Walka z wiatrakami

Charakterystyka ruchu generowanego podczas ataku DDoS jest bardzo podobna do tego, jaki odbywa się podczas normalnej pracy sieci. To właśnie dlatego zwykłe filtrowanie ruchu nie daje w przypadku ataków DDoS spodziewanych rezultatów. Pakiety wysyłane do naszej sieci często nie mają bowiem żadnej wspólnej cechy, na podstawie której można by stworzyć ich syntetyczny opis. Problem leży zresztą gdzie indziej: pakietów jest tak dużo, że momentalnie zapełniają całe dostępne pasmo łącza internetowego.

Wyśledzenie źródła ataku za pomocą prostych metod nie jest możliwe, ponieważ pakiety wysyłane podczas ataku DDoS mają z zasady nieprawdziwy adres nadawcy. Wskazuje to na bardzo istotną potrzebę współpracy między dostawcami usług internetowych, którzy choć powinni, nie zawsze sprawdzają ruch wychodzący z ich sieci pod kątem zgodności adresów rzeczywistych z zapisanymi w pakietach. Nie zawsze też badają przyczyny zwiększonego ruchu na niektórych interfejsach ich routerów.

Obrona przed konkretnym atakiem DDoS może trwać kilka godzin, a nawet kilka dni. Zależy to od liczby atakujących komputerów oraz od jakości współpracy między usługodawcami internetowymi. Aby maksymalnie ograniczyć wpływ potencjalnego ataku DDoS na działanie firmy, należy się do tego odpowiednio przygotować. Warto sprawdzić, czy obsługujący firmę dostawca usług internetowych ma plan postępowania na wypadek zgłoszenia ataku DDoS. Plan to jednak za mało - nikt, kto nie próbował chociażby zasymulować ataków DDoS w swojej sieci, nie jest tak naprawdę gotowy na ich nadejście.

Trzeba też zadbać o to, aby samemu nie stać się narzędziem w rękach intruza atakującego inną sieć. Podstawowym środkiem ostrożności jest czuwanie nad aktualizacją oprogramowania. Dzięki temu intruzowi znacznie trudniej będzie przejąć kontrolę nad komputerami firmowymi. Kolejna sprawa to takie skonfigurowanie routerów, aby uniemożliwić wysyłanie przez firmową sieć pakietów z adresem nadawcy innym niż adres rzeczywisty. Nie daje to pewności, że firmowa sieć nie zostanie wykorzystana do ataku, umożliwi jednak ofierze ataku DDoS poinformowanie nas o zaistniałej sytuacji, dzięki czemu będzie można szybciej zareagować.

Atakom DDoS nie da się przeciwdziałać, stosując urządzenia sieciowe najnowszej generacji. W ciągu ostatnich kilku lat powstało kilka ciekawych projektów związanych z wykrywaniem i namierzaniem źródeł ataków DDoS, np. IP Traceback, ICMP Traceback czy CenterTrack. Żaden z nich nie doczekał się jednak implementacji na szeroką skalę, co tak naprawdę jest podstawowym warunkiem ich skuteczności. Producenci nie kwapią się z wyposażaniem swoich urządzeń w nowe oprogramowanie, wytykając tym technikom liczne wady. Polegają one głównie na tym, że intruz jest w stanie oszukać korzystające z tych technik urządzenia i skierować podejrzenia na sieć nie związaną z atakiem. Poza tym praktyczne testy wykazały, że w przypadku bardzo rozproszonego geograficznie ataku techniki te są raczej zawodne. Na razie pozostaje więc żmudne namierzanie sprawców ataku oparte na lepszej lub gorszej współpracy dostawców usług internetowych.

Uczynna Jennie

Sytuacja nie jest do końca beznadziejna. Zamiast ręcznie wykrywać zwiększony ruch na interfejsach, dostawcy Internetu mogliby wykorzystać do tego specjalistyczne oprogramowanie mogące wykonać to automatycznie. Namierzenie sprawcy zajmowałoby wtedy nieporównywalnie mniej czasu niż obecnie. Rozwiązania tego rodzaju, przeznaczone zwłaszcza dla dużych sieci korporacyjnych i większych ISP, oferuje kilka firm, takich jak Arbor, Mazu, Captus czy Asta. Po zainstalowaniu narzędzia te "uczą się" ruchu typowego dla danej sieci, a następnie wykrywają anomalie. Stosowane w nich algorytmy nie dają 100-proc. pewności namierzenia źródła ataku, niemniej pomagają znacznie osłabić jego siłę. Podstawową wadą tych rozwiązań jest to, że wymagają one zakupu dedykowanych urządzeń oraz współpracują tylko z routerami Cisco i Juniper.

Mając na uwadze te ograniczenia, w Akademickim Centrum Informatyki w Szczecinie rozpoczęliśmy projekt open source o nazwie Jennie, w ramach którego jest rozwijane oprogramowanie do walki z atakami DDoS. System pozwala ustalać m.in. czy sieć jest źródłem czy celem ataku i wykrywać którymi interfejsami przechodzą wrogie pakiety. Może też sugerować administratorowi sposoby zmniejszenia negatywnego oddziaływania ataku na sieć, np. wskazywać, na którym interfejsie i jakiego rodzaju filtry powinien uruchomić. Po wykryciu ataku Jennie przekieruje podejrzany ruch do wyspecjalizowanej stacji, która zajmie się jego szczegółową analizą. Wynikiem tych analiz będzie informacja o tym, co i jak należy skonfigurować na poszczególnych urządzeniach. Ponadto ten wyspecjalizowany system zarejestruje treść wszystkich podejrzanych pakietów, aby umożliwić ich późniejszą analizę, np. w celach dowodowych.

Pakiet Jennie będzie także wyposażony w detektory ruchu charakterystycznego dla znanych programów do przeprowadzania ataków DDoS. Będzie też pomocny przy wykrywaniu przejętych komputerów, np. poprzez korelację ich działania z dotychczasowym przebiegiem ataku czy też swoiste "udawanie" zachowania intruza, który sprawdza, czy nadal ma dostęp do przejętych komputerów. Do poprawnej pracy systemu Jennie będzie potrzebny jeden komputer PC, choć oczywiście dwa lub trzy zdecydowanie usprawnią jego funkcjonowanie. Oprogramowanie będzie zbierać informacje za pomocą protokołu SNMP, dzięki czemu będzie mogło współpracować ze wszystkimi urządzeniami sieciowymi. Osoby zainteresowane szczegółami technicznymi oprogramowania Jennie lub uczestnictwem w projekcie zapraszam na witrynę:http://jennie.man.szczecin.pl .

Użytkownicy łączcie się

Spektakularne ataki DDoS zdarzają się dosyć rzadko, jednak i te mniej widoczne są poważnym zagrożeniem bezpieczeństwa przedsiębiorstw. Stosowane dziś metody ataków wymyślono kilka lat temu. Już dziś znane są jednak teoretyczne założenia, które - jeśli zostaną wprowadzone w życie - uczynią przyszłe ataki DDoS bardziej wyrafinowanymi i groźnymi, niż to, co widzieliśmy do tej pory. Warto poświęcić większą uwagę projektowi Curious Yellow, który bardzo dokładnie opisuje jak mogą wyglądać w przyszłości ataki DDoS i oparte na nich nowe zagrożenia.

Łatwość, z jaką można uruchamiać ataki DDoS, ich trudne do przewidzenia skutki oraz problemy w wyśledzeniu ich sprawców powinny skłonić wszystkich do współpracy mającej na celu znalezienie skutecznych środków zaradczych. Skoro jednak do aktywnej walki z atakami DDoS nie spieszą się ani producenci sprzętu sieciowego, ani dostawcy usług internetowych, swoich sił powinni spróbować użytkownicy Internetu.

Tomasz Grabowski jest kierownikiem Akademickiego Centrum Informatyki Politechniki Szczecińskiej.