Jak skutecznie bronić się przed atakami DoS/DDoS?

Ataki Denial of Service (DoS) i Distributed Denial of Service (DDoS) znane są od wielu lat, jednak w ostatnich miesiącach ich popularność wzrosła za sprawą ruchu Anonymous. Warto przypomnieć, na czym polegają zagrożenia tego typu i w jaki sposób ewoluowały. Po serii ataków, także na polskie witryny, jak grzyby pod deszczu na rynku zaczęły pojawiać się rozwiązania, które według ich dostawców - zapewniają skuteczną ochronę. Czy faktycznie po ich zakupie można czuć się bezpiecznym? Czy obrona przed DoS/DDos jest możliwa?

Ataki DoS - wytwór mediów czy rzeczywistość?

Jak skutecznie bronić się przed atakami DoS/DDoS?

Elementy, których celem są poszczególne techniki/narzędzia ataków DoS

Aby odpowiedzieć na to pytanie, warto przyjrzeć się wynikom badań, których w ostatnim czasie powstaje coraz więcej. I tak, np. z badań firmy Radware (2011 - Global Application & Network Security Report) wynika, że 76% ataków DDoS przeprowadzanych w 2011 r. generowało ruch nieprzekraczający 1 Gb/s. Zaledwie 9% z ponad 40 analizowanych ataków wywoływało ruch na poziomie 10 Gb/s. Co również interesujące, utrzymuje się trend wskazujący na coraz większą przewagę ataków kierowanych na konkretne usługi, nad tymi typowo sieciowymi (brute force). Mamy zatem głównie do czynienia z tzw. celowanymi atakami warstwy siódmej.

Analizując wyniki innych badań, np. firm Prolexic czy Arbor, można zauważyć, że z jednej strony ulega skróceniu czas samego ataku, a z drugiej - stopniowo rosną zarówno wolumin ruchu, jak i jego intensywność - wzrost PPS (Packets-Per-Second). Z kolei Yankee Group szacuje, że w USA ok. 150 tys. USD wynosi średnia strata przypadająca na firmę, spowodowana skutecznym atakiem.

DoS/DDoS w pigułce

Typowe (często historyczne) przykłady ataków DoS:

- SYN Flooding

- MAC Flooding

- ICMP Flooding

- Ping of Death

- Smurf Attack

- TCP RST Attack

DoS to taki rodzaj ataku, który ma uniemożliwić korzystanie z usługi, która jest jego celem. Czy będzie to pojedynczy atak, czy jego zmasowana postać (DDoS) - cel zawsze jest taki sam.

W dużym uproszczeniu możemy wyróżnić dwie główne grupy ataków DoS/DDos: ataki warstwy trzeciej i czwartej (typowo sieciowe) oraz ataki warstwy aplikacyjnej. W praktyce, napastnicy obecnie łączą je. Sprawcy wychodzą ze słusznego założenia, że im więcej technik w jednym ataku, tym będzie on skuteczniejszy. Dla celów poglądowych pozostańmy jednak przy tym rozróżnieniu.

Zarzucić sieci

Najczęściej DoS kojarzony jest z atakami pierwszego rodzaju, tj. generowaniem ruchu sieciowego o dużym wolumenie, z którego obsługą nie jest w stanie poradzić sobie infrastruktura atakującego.

Z reguły wąskim gardłem w atakach DoS stają się urządzenia sieciowe: routery, firewalle, a jeżeli te zawiodą, to ofiarą pada serwer, do którego ostatecznie dotrze ruch. Czasami, jeżeli urządzenia i serwery radzą sobie z przetwarzaniem ruchu, zostaje wysycone całe dostępne pasmo, a efekt dla użytkownika usługi jest taki sam. Wysycenie łącza za pomocą jednego komputera czy blokowanie sprzętu takimi bardzo prostymi w sumie atakami rzadko kiedy było skuteczne.


TOP 200