Twoja sieć jako Twoje narzędzie

Wykrycie ataku pozwala podjąć świadomie kroki do jego zatrzymania, lub chociażby ograniczenia jego skutków. Kroki, które umożliwią zbudowanie w sieci odpowiednich mechanizmów, należy podjąć jednak zanim atak się wydarzy - inaczej w najlepszym wypadku będzie to bolesna nauczka.

Do ochrony zasobów, które mogą zostać rozproszone w sieci IP, a klienci korzystający z nich nie utrzymują sesji, tylko pracują w modelu pytanie/odpowiedź, może posłużyć mechanizm IP Anycast. Został on z powodzeniem wykorzystany do ochrony serwerów DNS domen głównych. Część z serwerów jest tak naprawdę klastrem, przy czym są one rozproszone geograficznie, ale ich jeden, wspólny adres rozgłaszany jest jednocześnie w wielu miejscach. Dzięki temu ruch kierowany do konkretnego adresu widocznego w opisie strefy rozkłada się na wiele fizycznych serwerów. Klient otrzymuje odpowiedź od najbliższego serwera (w większości przypadków), nie wiedząc nawet, że w sieci znajduje się jeszcze jego wiele "kopii" i to dostępnych dokładnie pod tym samym adresem IP.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
• Wbudowana słabość protokołu HTTP/2 wykorzystana do masowych ataków DDoS
• 12 norweskich ministerstw ofiarą hakerów

Jeśli chcemy chronić zasoby przez przekierowanie bądź odfiltrowanie ruchu docierającego do naszej infrastruktury, interesujący może być mechanizm tzw. BGP blackholingu, który - jak sama nazwa wskazuje - wykorzystuje obecny w większości dużych sieci protokół BGP do przekierowania ruchu niechcianego do logicznych koszów na śmieci (lub do dalszej analizy, ale z dala od głównej osi ataku).

Idea działania jest prosta i w pełni wykorzystuje mechanizmy obecne w standardowej implementacji protokołu BGP - w momencie wykrycia ataku, cel (czyli docelowa sieć lub adres IP) jest rozgłaszany wśród wszystkich routerów BGP z dodatkowym atrybutem - przenoszonym zwykle jako community, któremu administratorzy przypisali szczególne znaczenie. Każdy z routerów, otrzymując takie rozgłoszenie i orientując się w znaczeniu community, zmienia atrybut next-hop dla prefiksu na wskazujący albo na logiczny kosz na śmieci (jeśli ruch ma być odrzucany), albo na inny router (zwykle koniec tunelu GRE prowadzącego do stacji zbierającej ruch do dalszej analizy). Warto zauważyć, że skuteczny mechanizm BGP blackholingu prowadzi wprost do spełnienia życzenia atakującego - odcięcia chronionych zasobów od łączności ze światem zewnętrznym. Czasami jednak relatywnie łatwo jest zmienić adresy IP atakowanej infrastruktury i uaktualnić rekordy w strefie DNS. Tak czy inaczej - jeśli ruch odrzucany jest we własnej infrastrukturze, zapewne i tak łącza do innych systemów autonomicznych (w szczególności - po prostu internetu) są w całości wypełnione.

Rozwinięciem koncepcji BGP blackholingu staje się zatem współpraca wielu operatorów systemów autonomicznych w rozgłaszaniu i akceptowaniu prefiksów, do których wykryto atak. Pozwala to na skuteczne zminimalizowanie skutków ataku DDoS zgodnie z regułą naczyń połączonych - sieci tranzytowe dla ataku przestają go przenosić, sieci w których atak jest rozpoczynany - przestają go inicjować i tłumią go już na swoim brzegu. Projekty wspomagające tego typu aktywności, takie jak projekt Cymru (rozgłaszanie prefiksów nieprzydzielonych jeszcze w internecie bądź zarezerwowanych), czy projekt, który mam przyjemność prowadzić osobiście - BGP Blackholing PL (pozwalamy dodatkowo rozgłaszać prefiksy atakowane ich właścicielom, dając realne narzędzie do walki z atakiem), znakomicie ułatwiają tego typu inicjatywy lub mogą stać się inspiracją do tworzenia swoich, dedykowanych rozwiązań.

Warto również zwrócić uwagę, że mechanizm BGP może być wykorzystany do dynamicznego ograniczenia pasma dla ruchu do konkretnego prefiksu - i nie musi wiązać się z odrzucaniem ruchu w całości. Takie rozwiązanie przydaje się, gdy wolumen ruchu do konkretnego zasobu zaczyna niepokojąco rosnąć (ponad dotychczas obserwowany poziom), ale nie mamy jeszcze pewności, że jest to atak DoS/DDoS. Innym ciekawym mechanizmem, który nadal nie doczekał się ustandaryzowania, jest możliwość przenoszenia przez BGP przez nowy rodzaj NRLI informacji analogicznych do list kontroli dostępu - dających możliwość filtrowania dynamicznie ruchu z dokładnością do warstwy trzeciej i czwartej. Rozwiązanie zaimplementowane jest do tej pory w routerach firmy Juniper (od JunOS 7.2).