Powódź połączeń na wielką skalę

Ochrona przed rozproszonymi atakami odmowy obsługi jest trudna, kosztowna i nie zawsze skuteczna. Zmasowane ataki potrafią wykorzystać pasmo liczone w dziesiątkach gigabitów na sekundę.

Ataki odmowy obsługi zdarzają się coraz częściej i charakteryzują się dużym wykorzystaniem pasma atakowanego podmiotu. Zadaniem ataku jest przeciążenie atakowanej infrastruktury usługowej, by nie mogła świadczyć usług. Obecnie wydajność typowych serwerów usługowych jest na tyle duża, że do długotrwałego zablokowania usługi trzeba posłużyć się zestawem co najmniej kilku komputerów. Atak nazywa się DDoS (distributed denial of service - rozproszony atak odmowy obsługi) i przeprowadza się go z użyciem przejętych komputerów domowych lub innych maszyn. Liczba atakujących komputerów osiąga nawet ćwierć miliona, wykorzystywane pasmo dochodzi do 45 Gbit/s, co nie oznacza, że do tego celu zbudowano olbrzymią sieć. Dzisiejsi internetowi napastnicy wolą korzystać z kombinacji niedużych botnetów, zamiast budować rozległe sieci przejętych komputerów. Przyczyną jest niższy poziom ryzyka związany z mniejszym rozmiarem botnetu. Jeśli sieć jest nieduża, nieprzekraczająca 50 tys. hostów, prawdopodobieństwo wykrycia przygotowań do ataku jest niewielkie. Większość ruchu DDoS pochodzi z Azji, ale problem jest globalny i dotyczy także Polski.

Jak bronić się przed DDoS

Ponieważ DDoS jest powodzią prawie normalnych połączeń internetowych, ochrona przed takim atakiem jest trudna. Przed zalewem pakietów SYN (SYN Flood) można chronić się za pomocą mechanizmu TCP Syn Cookie obecnym w jądrze systemu Linux, ale przy nawale połączeń trzeba użyć specjalnych narzędzi. Ze względu na to, że do połączeń wykorzystywane są botnety, zablokowanie adresów IP na zaporze sieciowej nie rozwiązuje problemu.

Jednym z najskuteczniejszych sposobów jest zaprzęgnięcie do pracy modeli statystycznych. Tworzony na bieżąco model połączeń przychodzących umożliwia po pewnym czasie (zazwyczaj około dwóch tygodni) sporządzenie matematycznego profilu połączeń, opisującego stan określany jako normalny. W profilu tym znajdują się statystyki połączeń dotyczące sieci, krajów, grup komputerów, a nawet charakterystyki odwiedzin pod względem systemów operacyjnych. Jeśli nagle pojawią się masowe połączenia z nienotowanych adresów IP albo profil ruchu z danej podsieci gwałtownie się zmieni, system określa ten stan jako atak i blokuje połączenia, które nie pasują do modelu. W ten sposób działają narzędzia ochrony przed DDoS wbudowane w urządzenia IPS firmy McAfee. Zbliżony sposób ochrony stosują w praktyce operatorzy usług chroniących serwery usługowe przed atakami odmowy obsługi.


TOP 200