DDoS nadchodzi szeroką falą

Ataki wykorzystujące rozproszoną infrastrukturę stają się coraz częstsze i intensywniejsze. Polski Internet nie jest na tym polu wyjątkiem. Zdarzały się już ataki, których siła dochodziła do 50-60 Gbit/s.

Najczęściej firmy nie ujawniają informacji o tym, że stały się celem ataku DDoS. Szczególnie, że skutki jedynie części ataków są publicznie widoczne czy odczuwane przez klientów. Pozorny spokój nie oznacza więc, że zagrożenie nie istnieje czy też można je bagatelizować. Z analiz opublikowanych przez Arbor Networks wynika kilka interesujących wniosków. Po pierwsze, liczba ataków na sieci mobilne podwoiła się, jeśli porównać stan obecny z danymi za 2013 r. To oznacza, że niemal jedna czwarta firm oferujących usługi mobilne doświadczyła ataków DDoS, które miały wpływ na ich infrastrukturę mobilnego Internetu. Natomiast w przypadku jednej piątej firm skutki tych ataków były widoczne dla klientów. Najczęstszym celem pozostają jednak centra danych. To w nie wymierzone było ponad 70 % zgłoszonych ataków DDoS (rok wcześniej ten odsetek wynosił poniżej 50 %). Ponad jedna trzecia z tych ataków była większa, niż łącza internetowe atakowanych ośrodków obliczeniowych. Niektóre centra danych doświadczały ponad 100 ataków miesięcznie.

Powszechne stają się ataki w warstwie aplikacji i prawie wszyscy ankietowani mieli już z nimi do czynienia w badanym okresie. Spory wzrost nastąpił, jeśli chodzi o ataki na szyfrowane usługi WWW (HTTPS) – o 17 %. Silny wzrost dotyczy również wielkości ataków. Największy przekroczył 300 Gbit/s, a wiele miało skalę ponad 100 Gbit/s.

Zobacz również:

Napad na bank

W Polsce na początku listopada KNF ostrzegała banki przed zagrożeniem atakami DDoS, których spodziewano się w związku z planową przez tzw. Anonymous akcją OpRemember. Informacje o incydentach, nawet jeśli miały one miejsce po publikacji ostrzeżenia przez KNF, nie przedostały się jednak do publicznej wiadomości. Według statystyk branża usług finansowych to najczęstszy cel ataków. Na drugim miejscu najczęstszych celów znajduje się administracja publiczna. Z reguły takie ataki odbijają się szerokim echem. W Polsce było już kilka takich spektakularnych przypadków. Najgłośniejszym była „wojna anonimowych z Polską”, rozpętana, kiedy nasz rząd ogłosił chęć podpisania układu ACTA.

Z punktu widzenia klientów ataki DDoS z reguły nie stanowią zagrożenia. Są przede wszystkim utrudnieniem w korzystaniu z usług. Jak sama nazwa wskazuje, chodzi bowiem o uniemożliwia dostępu do danego serwisu. Atak taki polega na zalewaniu ruchem serwerów WWW i nadmiernym obciążaniu łącza internetowego czy zasobów obliczeniowych. Jednakże ataki DDoS są coraz częściej wykorzystywane do odwrócenia uwagi czy zamaskowania bardziej wyrafinowanych prób wykradnięcia wartościowych danych.

Finezja ataku

Mimo że wciąż zdarzają się ataki wykorzystujące starsze, toporne metody ataków, największy problem stanowią coraz częstsze DDoS’y w warstwie aplikacji (7 warstwa modelu OSI/ISO). Zamiast zalać sieć intensywnym ruchem lub ogromną liczbą sesji, celem są aplikacje i usługi.

Takie ataki mogą mieć znaczące skutki nawet przy niewielkim natężeniu ruchu. To jeden z czynników, który sprawia, że większość tradycyjnych metod wykrywania ataków DDoS ma problemy z ich rozpoznaniem.

Jak się bronić

Większość operatorów sieciowych i firm hostingowych ma w ofercie usługi ochrony przed atakami DDoS w warstwach 3 i 4, niektórzy także w warstwie 7. Mogą to być niedrogie usługi dla małych stron WWW lub rozbudowane usługi korporacyjne. Z firmą hostingową można umówić się na zapewnienie ciągłości działania serwisu, a w przypadku ISP w umowie warto zapisać minimalną gwarantowaną przepustowość łącza. Trzeba jednak zwrócić uwagę na model rozliczania, ponieważ w przypadku obrony przed silnymi atakami opłaty mogą być bardzo wysokie. Dlatego warto przygotować również własną infrastrukturę na odparcie takich ataków, stosując się do kilku zaleceń, opracowanych przez CERT:

• wdrożyć firewalle (pamiętając o aplikacyjnych, ponieważ ataków w tej warstwie jest coraz więcej) oraz system IDS/IPS;

• stosować algorytmy rozkładania ruchu pomiędzy wiele fizycznych lokalizacji (loadbalancing);

• używać mechanizmu automatycznego (lub na żądanie) przełączania formy wyświetlania strony (strona dynamiczna lub strona statyczna, np. z informacją o przerwie technicznej) w zależności od poziomu obciążenia łączy czy serwerów;

• wdrożyć reguły, na podstawie których można odrzucać niepożądany ruch sieciowego.

DDoS z lodówki

W ostatnich miesiącach zaobserwowano nowy złośliwy kod nazwany Spike, który oprócz komputerów, potrafi infekować także routery, inteligentne termostaty, inteligentne suszarki i całą paletę innych urządzeń tworzących tzw. Internet Rzeczy. Szkodnika zaobserwowano na serwerach Windows i Linux, także na maszynach w architekturze ARM. Tak może powstać bardzo masywny botnet. To jednocześnie oznacza, że ochrony wymagają urządzenia, których dotychczas nie traktowana jako zagrożonych. Botnety Spike są wykorzystywane do przeprowadzania różnych ataków DDoS, włączając w to SYN, UDP oraz zapytania DNS. Inżynierowie z zespołu PLXsert obserwowali takie ataki w Azji i w Stanach Zjednoczonych, z których największych sięgnął 215 Gbits/s i 150 milionów pakietów na sekundę. Według szacunków pojedynczy botnet składał się z 12 do 15 tys. urządzeń.


TOP 200