Narzędzia dedykowane

Rozwiązania dedykowane dostępne komercyjnie łączą zwykle powyższe techniki (które już znalazły swoje miejsce w zestawie narzędzi każdego szanującego się operatora sieciowego) z opracowanymi dodatkowymi mechanizmami filtrowania i wykrywania.

Najważniejszą wadą mechanizmu BGP blackholing jest odrzucanie całego ruchu, na który skierowany jest atak - gdy atakowana jest np. witryna sklepu elektronicznego czy platforma B2B, taka "obrona" nie jest akceptowalna.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
• Wbudowana słabość protokołu HTTP/2 wykorzystana do masowych ataków DDoS
• 12 norweskich ministerstw ofiarą hakerów

Rozwiązaniem jest połączenie mechanizmu przekierowującego ruch z mechanizmem oczyszczającym go z dających się zidentyfikować elementów generowanych przez zombie należące do botnetu i przesłanie tak "oczyszczonego" ruchu dalej. Oczywiście wraz z ewolucją i wzrastaniem stopnia skomplikowania algorytmów generujących ruch przez zombie, należy modyfikować mechanizmy pozwalające odfiltrować takie niechciane elementy ruchu. Jednym z rozwiązań, które zapewnia tego typu funkcjonalność, jest para urządzeń Cisco Guard i Traffic Anomaly Detector - wykorzystują one mechanizmy przekierowania ruchu przez protokół BGP lub inne, specyficzne dla otoczenia, w którym pracują i pozwalają na wysoko wydajne "oczyszczanie" ruchu z niepożądanych elementów, zapewniając jednocześnie przekazanie ruchu już oczyszczonego do docelowego adresu IP. Pozwala to atakowanemu hostowi podtrzymać działalność - warto jednak rozważyć opcje wdrożeniowe pary tych urządzeń ze względu na model, w jakim działają.

Podsumowanie

Artykuł ten zawiera jedynie skrócony przegląd mechanizmów i ich miejsc w ekosystemie bezpieczeństwa, choć mam nadzieję, że pozwoli przynajmniej usystematyzować wiedzę dotyczącą tych zagadnień. Na całym świecie zagadnieniami walki z atakami DDoS zajmują się zarówno ludzie oddani swojej pracy i zajmujący się tym zawodowo, jak i inżynierowie sieciowi wykonujący "po prostu" swoją pracę - zrzeszeni w organizacjach takich jak NSP-SEC.

Wraz z przenoszeniem się coraz większej ilości dziedzin naszego powszechnego dnia do internetu, zagrożenie związane z jego potencjalną "awarią" jest coraz bardziej poważne. Dziś problemem może być niemożność podjęcia gotówki czy dokonania zakupu w sklepie za pomocą karty płatniczej (co samo w sobie może spowodować pandemonium znane wszystkim, którzy 24 grudnia wybrali się na zakupy do hipermarketu), w przyszłości - całkowita zapaść mechanizmów wykorzystywanych przez nas codziennie do życia - od prądu, bieżącej wody, przez radio i telewizję, telefonię naziemną, GSM i satelitarną, aż po środki transportu (nie tylko miejskiego - producenci samochodów testują rozwiązania wyposażone w stosy sieciowe IPv6, odkrywając w ten sposób kolejny wektor ataku).

Z jednej strony rozsądek nakazuje zachować kontrolę nad zwalczaniem tego typu ataków w rękach ludzi. Z drugiej, tzw. efektywność operacyjna przeliczająca się wprost na sumy odszkodowań w ramach niespełnionych warunków SLA, wymusza stosowanie rozwiązań coraz bardziej zautomatyzowanych. Zachęcam zatem do rozważenia przynajmniej podstawowych technik wspomnianych powyżej - być może będą stanowić punkt wyjścia do wprowadzenia bardziej zaawansowanych mechanizmów.

***

Autorem artykułu jest Łukasz Bromirski, inżynier systemowy Cisco Systems.