Jak skutecznie bronić się przed atakami DoS/DDoS?

Pojawił się więc pomysł zwielokrotnienia i zastosowania ataków rozproszonych (DDoS). Obecnie generowanie ataków typu brute-force nie wymaga już angażowania olbrzymich botnetów, choć w dalszym ciągu jest to standard. Wystarczy kilku atakujących, dysponujących odpowiednio wydajnym łączem. Ataki sieciowe przypominają najczęściej cięcie siekierą i trudno mówić, że są one finezyjne. Dużo bardziej niepokoją jednak ataki, które z chirurgiczną precyzją są wymierzone w pojedynczą usługę, i są prowadzone dość dyskretnie. Dlatego to właśnie im poświęcimy nieco więcej uwagi.

Low Orbit Ion Cannon (LOIC) w wersji na PC i Androida

Low Orbit Ion Cannon (LOIC) w wersji na PC i Androida

Niemniej jednak, nawet proste ataki DoS/DDoS są w dalszym ciągu skuteczne. Wystarczy przywołać te przeprowadzone na strony kościoła scjentologicznego, organizacji RIAA czy witryny organizacji wspierających finansowo WikiLeaks (operacja Payback). Nie stały za nimi żadne skomplikowane narzędzia. Wystarczył ogólnodostępny LOIC (Low Orbit Ion Cannon), który obecnie dostępny jest w bardzo wielu odsłonach, w tym np.: na Androida, w wersji przeglądarkowej czy stacjonarnej. Skuteczność tego typu ataku wynikała z dodania opcji HiveMind, dzięki której napastnicy mogą oddać kontrolę w ręce serwera IRC - podając adres, port oraz kanał. W ten sposób tworzony jest dobrowolny botnet, a LOIC przekształca się w narzędzie do ataków DDoS.

Do ochrony przed LOIC wystarczą: dobrze skonfigurowany firewall u dostawcy internetowego (ISP), gotowa sygnatura (np. SNORT) czy rozwiązanie WAF.

Szturmem na aplikacje

Dużo groźniejsze i trudniejsze do odparcia są ataki warstwy aplikacyjnej, nazywane często AppDoS. Ich celem padają niemalże w całości usługi webowe. Jednym z powodów tej skuteczności jest to, że trudno jest odróżnić zwyczajny wzrost zainteresowania usługą od samego ataku.

Problem z atakami na aplikacje polega również na tym, że jeżeli są dobrze "skrojone", potrafią sparaliżować serwis bez generowania dużego ruchu. Wystarczy odpowiednie zapytanie (które zostaje następnie zwielokrotnione), wymagające od serwisu wykonania skomplikowanych operacji. Niektóre z prowadzonych ataków były skuteczne przy 10 zapytaniach na sekundę. Są też takie, które wykorzystują podatności komponentu aplikacji i mogą być przeprowadzone bez potrzeby zatrudniania całego botnetu. Przykładem jest tutaj podatność Apache Killer (CVE-2011-3192) serwera Apache. Eksploit na nią został włączony do kodu najnowszej wersji bota Armageddon, który przez wielu jest wykorzystywany jako skuteczne narzędzie DoS. Armageddon zawiera także mechanizmy, które są kierowane przeciwko popularnym platformom vBulletin czy phpBB.

Innym przykładem narzędzia, które może być użyte do "wywrócenia" usługi, jest Slowloris. Z uwagi na jego polityczne konotacje - wykorzystanie do ataków DDoS na rządowe strony Iranu - przyjrzyjmy się mu. Działanie Slowloris polega na tym, że spowalniany jest proces przetwarzania zapytania od klienta do aplikacji - atak slow-POST. W rzeczywistości takie zapytanie nigdy nie jest kończone. Zwykle w takiej sytuacji sesja by wygasła, dlatego też Slowloris ją podtrzymuje, wykrywając wcześniej wartość parametru "time out" serwera i wysyłając pakiet podtrzymujący w ostatniej chwili, i tak bez końca. Jednocześnie otwieranych jest wiele takich sesji (ze zmienianymi dynamicznie nagłówkami), co powoduje, że w krótkim czasie, przy stosunkowo niewielkiej liczbie pakietów (twórca RSnake utrzymuje, że wystarczy zaledwie 4000 pakietów do położenia serwisu), wypełnione zostają wszystkie dostępne "gniazda" serwera webowego. To z kolei powoduje niedostępność usługi.