Jak przetrwać atak na sieć?

Scenariusze ataków na sieć uległy zdecydowanej zmianie na przestrzeni ostatnich lat. Kilka lat temu bardzo często były to ataki na usługi sieciowe, wykorzystujące określone luki w oprogramowaniu. Aktualnie tego typu ataków jest zdecydowanie mniej, natomiast coraz mocniej akcentowane są ataki DoS (Denial of Service), także rozproszone DDoS (Disturbed Denial of Service). Ataki DoS wyrządzają także największe szkody z punktu widzenia właścicieli serwisów internetowych oraz operatorów.

Najprostszy atak na infrastrukturę sieciową, może polegać na wysyłaniu ruchu na określony interfejs urządzenia sieciowego z bardzo dużą jednoczesną liczbą połączeń. Innym przykładem ataku może być wykonywanie dużej ilości zapytań do firmowej witryny internetowej, uniemożliwiający dostęp dla legalnych użytkowników. Do realizacji tego typu ataków zazwyczaj wykorzystane są usługi serwerów wirtualnych, których aktualna oferta jest bardzo atrakcyjna. Przykładowo istnieją oferty usług dzierżawy serwerów wirtualnych lub chmury obliczeniowej z nieograniczonym limitem danych wysyłanych i odbieranych. Taki serwer najczęściej jest przyłączony do sieci z wykorzystaniem portu GigabitEthernet. Koszt – kilkanaście-kilkadziesiąt USD za miesiąc użytkowania. Tak tanio i dość szybko przygotowany serwer z odpowiednimi skryptami jest w stanie zablokować praktycznie każdą średniej wielkości sieć, czy serwis internetowy. Łatwo wyobrazić sobie, jakie efekty ataku może spowodować siatka takich maszyn, kontrolowana przez atakującego, skierowana w konkretny cel.

Atak rozproszony DDoS może wyrządzić jeszcze większe szkody. Nie tylko instytucje finansowe, ISP, czy duże portale powinny być uczulone na punkcie ataków DoS. Każda firma posiadająca witrynę internetową, czy dowolny typ usług udostępnianych przez Internet, może stać się celem ataku. Atak może zostać zainicjowany przez praktycznie każdego, ponieważ coraz częściej jest dostępny w formie usługi. Usługa ta nie jest legalna, ale bezproblemowo dostępna dla zainteresowanych. Koszt jest zależny od siły i częstotliwości ataku. Przyczyna ataków może być różna – najczęściej chodzi o pieniądze, ale czasami naciski polityczne, czy kompromitację konkurencji.

Zobacz również:

Czym jest DDoS?

Atak DoS (Denial of Service) to atak na usługę lub infrastrukturę sieciową, który poprzez wykorzystanie wszystkich dostępnych zasobów atakowanego systemu, powoduje utrudnienia lub całkowity brak dostępności infrastruktury lub usługi. Atak DDoS (Disturbed Denial of Service) realizowany jest w formie rozproszonej, co oznacza, że może odbywać się jednocześnie z wielu różnych lokalizacji.

Istnieją dwa typy ataków DDoS. Pierwszy z nich to atak DDoS na infrastrukturę sieciową i łącza sieciowe powodujący przekroczenie parametrów dostępności usługi, poprzez wykorzystanie całkowite przepustowości oraz zasobów urządzeń sieciowych. Najczęściej jest realizowany poprzez wysłanie bardzo dużej liczby pakietów TCP, UDP, ICMP bezpośrednio na określoną infrastrukturę. Najczęściej adresy źródłowe ataku są zmienione. Drugi typ ataku DDoS realizowany jest w warstwie aplikacji, gdzie ilość zapytań do aplikacji przekracza możliwości dostępnych zasobów, co w rezultacie przekłada się na niedostępność lub zmniejszoną wydajność usługi. Przykładem takiego ataku może być atak błędnych zapytań do serwera HTTP, czy ataki na serwery DNS. Atak może realizować pojedynczy komputer/serwer (DoS) lub siatka komputerów/serwerów (DDoS). Komputery znajdujące się pod kontrolą atakującego są określane nazwą „zombie”. Aktualnie ataki DDoS to największe zagrożenie bezpieczeństwa w Internecie.

Symptomy ataku

Rozpoznanie ataku DoS wymaga sporego doświadczenia. Warto jednak znać symptomy ataku DoS. Nie każde spowolnienie pracy sieci czy degradacja usług sieciowych będzie oznaczać atak. Istnieje wiele technicznych problemów z określonymi systemami sieciowymi, czy wydajnością określonych usług, Łatwo o pomyłkę i niepoprawną interpretację określonych zjawisk. Stosunkowo niewiele organizacji i firm posiada w szeregach IT specjalistę w zakresie bezpieczeństwa sieciowego, który poprawnie zidentyfikuje atak. Mimo wszystko warto wskazać symptomy wskazujące potencjalne pojawienie się ataku DoS.

Odczuwalnym dla każdego użytkownika symptomem będzie znaczące spowolnienie sieci i dostępności usług sieciowych. Szczególnie łatwe będzie to do zaobserwowania przy przeglądaniu witryn internetowych, odbieraniu poczty, zdalnej pracy. Kolejnym symptomem będzie niedostępność określonych usług, przykładowo firmowej witryny internetowej, czy aplikacji udostępnianych poprzez chmurę. Prawdopodobnie możliwość przeglądania stron internetowych zostanie całkowicie zablokowana. Powyższe symptomy mogą nam wskazać użytkownicy. Administrator z pewnością zauważy zwiększoną liczbę pakietów pojawiających się na urządzeniach sieciowych w określonej jednostce czasu. Z pewnością objawem może okazać się także szybki przyrost objętości dzienników zdarzeń. Dzienniki zdarzeń oraz analizę idealnie przeprowadza się z wykorzystaniem mechanizmów NetFlow/cFlowd. W celu stwierdzenia anomalii konieczna jest znajomość stanu sieci i parametrów w trybie standardowej pracy. W przypadku wątpliwości możemy zgłosić zdarzenie do operatora naszego łącza internetowego lub dostawcy usług hostingowych, z prośbą o sprawdzenie wystąpienia ataku na nasze usługi. Być może to właśnie usługodawca poinformuje nas o istniejącym zagrożeniu.

Warto pamiętać, że nasza sieć może być nie tylko celem ataku, ale także jego źródłem. Zainfekowane maszyny wewnątrz sieci potrafią wykonać ataki DDoS na zdalne sieci, bardzo często generując sporą dawkę wychodzącego ruchu. Administrator musi być świadomy tego zagrożenia i stosować odpowiednie środki ochronne oraz kontrolne.

Jak przetrwać atak?

Najważniejszym elementem układanki będzie urządzenie lub dane pozwalające wykryć atak DoS, wskazać potencjalne źródło oraz cel. Urządzeniem tego typu może być zapora ogniowa lub ruter, zapewniający funkcjonalność ochrony przed atakami DoS. W rzeczywistości tego typu sprzęt może nie poradzić sobie z nawet średniej wielkości atakiem, a często nie wykrywać niektórych form ataków. Dobrym sposobem na znoszenie ataków DoS jest wykorzystanie urządzenia umieszczonego na brzegu sieci, które będzie analizowało ruch pod kątem ataków DoS oraz blokowało zanim trafią do wnętrza naszej sieci. Wspomnieliśmy też o danych jako formie wykrywania ataków DoS. Dane mogą funkcjonować w postaci dzienników zdarzeń zawierających zapis zdarzeń z określonego serwera lub zapis połączeń przychodzących do naszej sieci z Internetu. Odpowiednie narzędzia analizujące mogą wskazać parametry ataku poprzez analizę tak przygotowanych dzienników zdarzeń. Warto przygotować plan awaryjny na czas trwania ataku.

Kluczowe elementy ochrony sieci komputerowych nie zawsze spełniają oczekiwania dotyczące detekcji i zapobiegania atakom. Systemy IDS oferują znakomite właściwości wykrywania ataków DDoS, ale nie potrafią im przeciwdziałać. Zapory ogniowa (firewall) zapewnia pewien poziom ochrony, dzięki wykorzystaniu list dostępu oraz filtracji. Nie zawsze będzie jednak chroniła przed najnowszymi typami ataków. Podobne funkcjonalności znoszenia ataków do zapory ogniowej ma ruter, który może posługiwać się listami dostępu, ale także pewnymi mechanizmami związanymi z trasowaniem. Takim mechanizmem jest „blackholing”. „Blackholing” opisuje proces blokowania ataku przez dostawców i operatorów, możliwie blisko jego źródła. Proces ten odbywa się automatycznie z wykorzystaniem mechanizmów trasowania oraz filtracji protokołu BGP. „Blackholing” ma jednak wadę, ponieważ odcięciu podlega najczęściej cały system autonomiczny, z którego pochodzi atakujący, łącznie z niewinnymi użytkownikami.

W przypadku sprzętu najlepiej sprawdzają się rozwiązania dedykowane zwalczaniu DDoS. Potrafią one zatrzymywać ataki DDoS, także te zaawansowane przechodzące do tej pory przez zabezpieczenia realizowane przez zapory ogniowe, IPS, czy inne elementy bezpieczeństwa. Takie rozwiązania łączą ochronę przeciw atakom DDoS w warstwach L3-L7 z inspekcją pakietów, sygnaturami, analizą behawioralną. Urządzenie tego typu musi zostać umiejscowione na „pierwszej linii ognia”, aby chronić nie tylko serwery, ale także rutery, przełączniki, czy zapory ogniowe wewnątrz sieci. Rozwiązanie jest idealne pod warunkiem, że przepustowość naszych łącz do Internetu jest na tyle wysoka, że atak nie spowoduje całkowitej blokady zasobów, pomimo skutecznej ochrony na brzegu naszej sieci.

Ataki DDoS możemy także blokować „ręcznie”. Zazwyczaj proces ten będzie polegał określeniu źródła ataku przykładowo z wykorzystaniem NetFlow/cFlowd, czy systemu IDS. Jeżeli ustalimy źródło ataku, pierwszą czynnością powinno być zablokowanie ruchu na własnej zaporze ogniowej czy ruterze, możliwie blisko styku z Internetem. W ten sposób chronimy wewnętrzną infrastrukturę i usługi. Jeżeli posiadamy nadmiarowość zasobów urządzenia brzegowego (ruter/zapora ogniowa) oraz łącza do Internetu, może okazać się to czasowym rozwiązaniem problemów. Jeżeli jednak istniejące zasoby nie pozwalają na przetrzymanie ataku, należy zwrócić się do dostawcy usług dostępu do Internetu z żądaniem blokady ataku. Jeżeli adres źródłowy atakującego nie jest podmieniony (spoofing), warto także poinformować o fakcie dostawcę usług internetowych atakującego.

Każda organizacja powinna posiadać przygotowany plan ciągłości działania, na okoliczność wystąpienia różnych zdarzeń powodujących zatrzymanie procesów biznesowych. Do takiego planu powinna zostać dołączona procedura rozwiązywania problemów z atakami DDoS. Pozwoli to zminimalizować czas potrzebny na podjęcie działań w przypadku ataku. Zawsze należy mieć przygotowane dane kontaktowe do osoby/organizacji, która może pomóc w zatrzymaniu ataku. Jeżeli nie posiadamy rozwiązania chroniącego przed DDoS, należy znaleźć dostawcę, który dostarczy nam taki system maksymalnie w kilka godzin od wystąpienia zdarzenia. Jeżeli atak skoreluje się na udostępnianych przez usługodawcę usługach hostingowych, należy posiadać dane kontaktowe do działu bezpieczeństwa danej firmy. Jeżeli atak dotyczy naszego łącza dostępu do Internetu, koniecznością jest posiadanie informacji o sposobie i formie zgłaszania istotnych problemów dla ISP.

Czy jesteśmy przygotowani na zagrożenie?

Większość organizacji nie ma przygotowanego planu walki z atakami DDoS. Firma Cerero Network Security przygotowała raport dotyczący stanu przygotowań organizacji na wystąpienie ataku. Okazało się, że wiele organizacji nie posiada formalnego planu działań w przypadku wystąpienia ataku. Mapy sieci i dokumentacja konfiguracji, która mogłaby pomóc w walce z atakiem nie istnieją lub są nieaktualne. Wiele firm bazuje jednocześnie na przestarzałych technologiach bezpieczeństwa, które nie gwarantują wykrycia nowych form ataków. Zgodnie z raportem 44 % zbadanych organizacji nie posiadała planu na walkę z atakiem DDoS, natomiast 54 % organizacji nie posiadało aktualnej mapy struktury sieci. Prawie 41 % organizacji posiadało system obrony przed DDoS, ale z tego 60 % nie testowało sprzętu pod kątem wystąpienia ataku. Około 44 % polegało na zaporze ogniowej jako głównej metodzie ochrony przez DDoS lub starszych generacjach sprzętu dedykowanego do ochrony przed atakami. Połowa organizacji nie ma wyznaczonego personelu odpowiedzialnego za ataki DDoS, więc tą funkcję najczęściej pełni osoba zajmująca się bezpieczeństwem lub administrator systemów.

Jeżeli firma może być celem ataków DDoS powinna przeprowadzić testy istniejących systemów bezpieczeństwa, a także symulację ataków. Istnieją branże i organizacje szczególnie narażone na potencjalne ataki, gdzie przestoje w działaniu mogą powodować utratę zysków i reputacji marki. A jak wygląda zabezpieczenie przed DDoS w Twojej organizacji?


TOP 200