DDoS w praktyce

Atak odmowy obsługi, choć jest łatwy do przeprowadzenia, może przynieść duże szkody wizerunkowe i materialne. Niekiedy jednak nie warto z nim walczyć.

Zadaniem ataku odmowy obsługi jest zajęcie wszystkich zasobów internetowych, aby serwery nie mogły obsłużyć następnych żądań i usługi, takie jak internetowe aplikacje, przestały być dostępne dla tych, którzy chcą z nich skorzystać. Atak obecnie przeprowadza się z różnych sieci jednocześnie, z różną koordynacją. Atakowanie tą drogą jest proste, gdyż nie wymaga specjalistycznej wiedzy - wystarczy proste w użyciu darmowe oprogramowanie. DDoS mogą być formą wyrażenia protestu przez internautów, ale mogą być także organizowane przez cyberprzestępców. Ponieważ komercyjny atak jest tani, może być wykorzystywany także do walki politycznej lub konkurencyjnej. Z kolei DDoS zorganizowany samodzielnie przez grupę Anonimowych zwykle charakteryzuje się nieco mniejszą skalą od komercyjnych ataków, ale bywa równie skuteczny.

Czy warto z tym walczyć?

Przy planowaniu ochrony przed atakami DDoS firma powinna rozważyć rzeczywiste ryzyko biznesowe. Jeśli jej obecność jest niewielka, np. koncentruje się na informacyjnej stronie www, to niekiedy najtańszym i najprostszym sposobem jest wyłączenie strony. Po wyłączeniu i zablokowaniu ruchu do strony www za pomocą narzędzi takich jak blackholing dalsze prowadzenie ataku DDoS jest nieskuteczne.

Zupełnie inaczej wygląda ochrona przed DDoS, gdy przedsiębiorstwo prowadzi działalność w internecie i z usług webowych korzysta główna gałąź biznesowa. Podobnie jest w przypadku instytucji rządowych lub państwowych, które z uwagi na prestiż lub względy bezpieczeństwa muszą być dostępne, niezależnie od tego, czy są atakowane, czy nie. Do tego typu serwisów należą m.in.: publikacje Monitora Rządowego, informacje Sejmu i Senatu, strony Ministerstwa Spraw Wewnętrznych i Administracji czy nawet skrzynki podawcze instytucji rządowych.

Niepożądani goście

DDoS jako usługa

Rozproszony atak odmowy obsługi można zakupić w modelu usługowym. Podziemny cennik przedstawia się następująco:

Czas ataku Koszt (USD)

godzina 10

dzień 30-70

tydzień 150

miesiąc 1200

Można również zakupić gotowy botnet przeznaczony do ataków DDoS, chociaż oferty są o wiele rzadsze, gdyż włamywacze-botmasterzy wolą utrzymywać własny botnet i za jego pomocą świadczyć usługi, za które więcej zarobią. Botnet kosztuje ok. 700 USD za 2 tys. maszyn, co wystarczy do ataku na znaczną skalę.

Jedną z metod walki z DDoS jest określenie pożądanego ruchu i zablokowanie niepożądanego. Kryterium podziału może dotyczyć kraju, z którego połączenia są inicjowane.

Rik Ferguson, dyrektor ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro, wyjaśnia: "Jeśli celem ataku jest sklep, który sprzedaje swoje produkty tylko w Polsce, a jego personel mówi głównie po polsku i nie potrzebuje publikować informacji w internecie poza Polskę, to naturalnym wyborem byłoby odfiltrowanie ruchu przychodzącego z zagranicy. W ten sposób można odsiać znaczącą część połączeń, a zatem zmniejszyć skalę ataku".

Na rynku znajdują się rozwiązania techniczne, które analizują bieżący ruch, dopasowując go do wyliczonych wzorców i modeli statystycznych. Metoda ta, chociaż wymaga rozpoznania stanu normalnego obciążenia serwisu przez pewien czas, np. przez dwa tygodnie, umożliwia szybką reakcję systemu na rozpoczynający się atak odmowy obsługi. Metoda ma jednak wadę: jest realizowana po stronie serwerów usługowych, a zatem między urządzeniem filtrującym a magistralą internetową dużych dostawców znajduje się wąskie gardło w postaci łącza internetowego. Jeśli atak jest na tyle mocny, by takie łącze wysycić, filtrowanie przed serwerami niewiele pomaga.

Komercyjny filtr

Alternatywą dla filtrowania lokalnego jest usługa zewnętrzna. Najprostszym sposobem, który daje obronę przed typowym amatorskim atakiem DDoS, jest przekierowanie DNS na serwery usługodawcy, który po odfiltrowaniu przekaże je dalej do firmowego serwera www. Jest to najprostsza czynność, możliwa także do przeprowadzenia w trakcie ataku. Koszty zależą od planowanego pasma, usługa firmy Gigenet o paśmie 5 Gbit/s lub wydajności 5 mln zapytań na sekundę kosztuje 5 tys USD miesięcznie. Niekiedy jednak tak wysoka skala nie jest potrzebna, obrona przed atakiem o paśmie 500Mbit/s lub 0,5 mln zapytań na sekundę kosztuje 750 USD miesięcznie. Podobną usługę świadczy firma Vistnet, oferując podstawową ochronę strony www (bez SSL) za 199 euro miesięcznie; bardziej rozbudowana, dedykowana dla sklepów kosztuje 399 euro miesięcznie, chroniąc przed atakami do 1 mln połączeń na sekundę i 35 Gbit/s pasma. Istnieją także wyższe plany taryfowe, przeznaczone dla dużych korporacji. O wiele tańszą usługę zapewnia firma DDoSDefend, oferujac podstawową ochronę dla niewielkich stron www za 99 USD miesięcznie.

Najskuteczniejszym sposobem ochrony przed atakiem odmowy obsługi jest skorzystanie z usług sieci dostarczania treści. Zasoby te są na tyle duże, że ich wysycenie w praktyce przekracza możliwości nawet dużych botnetów, a zatem mogą służyć do obrony przed większością ataków. Usługi takich firm jak Akamai nie są jednak tanie i nie zawsze korzystanie z nich jest uzasadnione finansowo.


TOP 200