Botnet, czyli sieć kontrolowanych zdalnie hostów można wynająć lub stworzyć. Gotowe narzędzia wykonujące automatycznie skanowanie i wykorzystywanie luk w systemie operacyjnym lub zainstalowanych aplikacjach znajdują się w internecie, gotowe do pobrania. To również nie jest istotne, choć wiadomo dziś, że najgroźniejsze ataki DDoS pochodzą z botnetów pieczołowicie utrzymywanych i pielęgnowanych jako cenne narzędzie pracy cyberprzestępców - i wynajmowane za określone sumy pieniędzy do ataku na dowolnie wskazaną infrastrukturę.

Istotny jest natomiast koniec - zawsze podobny i zwykle opłakany w skutkach, w świecie globalnego zastosowania protokołu IP. Zaskoczenie wywołane zniknięciem dostępu do internetu i aplikacji tak drogich każdemu jego użytkownikowi jak poczta elektroniczna, strony WWW, komunikatory internetowe i inne serwisy. Ile nowoczesna firma jest w stanie przeżyć bez obecności w internecie - czasami tylko godziny, czasami pojedyncze dni. Ale dobrze przygotowany atak nie kończy się tutaj - atakujący bezlitośnie wyszukuje wszystkie punkty styku z siecią internet atakowanego - i w zależności od wiedzy, rozeznania oraz determinacji (a także ewentualnie włożonych w to środków finansowych) odnajduje systemy telefonii i wideotelefoni IP, które w ramach połączeń SIP czy H.323 komunikują się ze światem zewnętrznym.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
• Wbudowana słabość protokołu HTTP/2 wykorzystana do masowych ataków DDoS
• 12 norweskich ministerstw ofiarą hakerów

Jeśli atakowane jest całe państwo - gdzieś po drodze ofiarą mogą paść również tradycyjne sieci telefoniczne, sieci komórkowe czy nawet elektrownie dostarczające prąd dzięki atakom DDoS, inżynierii społecznej, trojanom czy wręcz połączeniu tych wszystkich technik. Najpierw zaskoczenie, a potem nerwowe telefony, zebrania kryzysowych grup roboczych - i to wszystko przy założeniu, że firma jest przygotowana do radzenia sobie w takich sytuacjach. Rozmowy z operatorami sieciowymi, rozkładanie rąk, nerwy - a atak trwa, firma wciąż nie może prowadzić działalności. To wszystko może być potęgowane przez atak na infrastrukturę fizyczną - proszę sobie wyobrazić pracę w biurze, w którym nie ma światła, nie działają windy i czytniki identyfikatorów, nie ma bieżącej wody - to wszystko przykłady systemów, które potencjalnie można zaatakować przez sieć IP już dziś.

Nie ma takiego łącza, którego nie da się zapchać ruchem - ataki powyżej 20 Gb/s czy 20 mln pakietów na sekundę już się zdarzają. W świecie połączeń internetowych o przepływnościach 2, 10, 34, 100, 155, 622 czy nawet 1000 Mb/s taka wartość robi wrażenie.

Witamy w świecie nowej rzeczywistości IP...

Skutki i scenariusz ataku DDoS powyżej są oczywiście całkowicie fikcyjne, lecz oddają sytuację, z którą każda nowoczesna firma może spotkać się już dziś - całkowity paraliż wszystkich systemów tworzących jej układ krwionośny, od obecności w internecie, przez możliwość realizowania łączności przez internet, czy uzależnienie od infrastruktury budynku, w którym firma prowadzi swoje operacje, staje się wraz z upowszechnieniem transportu poprzez IP codziennością. Ataki DDoS to jednak nie domena firm, które stają się naturalnym, widocznym celem - osoba całkiem daleka od nowoczesnego zgiełku informatycznego również może spotykać się z awarią prozaiczną - tak jak stało się to np. z niedawną awarią systemu bankomatowego, firmy zalanej potężnym atakiem DDoS.

W artykule chciałbym omówić najlepsze praktyki związane z próbą zaradzenia atakom DDoS na poziomie sieci komputerowej (pozostawiając sprawy legalności i inne jako daleko wykraczające poza ramy tego artykułu). Wiele z opisanych tu zaleceń zebrano w dokumencie RFC 4732.

Solidny fundament

"Najważniejszym elementem naszej firmy są ludzie" - to motto jest często zupełnie ignorowane przez pracodawców, a faktycznie najcenniejszym "zasobem" firm są tworzący je pracownicy. W świecie dynamicznie rozwijających się technik komputerowych, utalentowany człowiek jest w stanie zdziałać więcej, niż sztab ludzi którzy "po prostu przychodzą do pracy".

Oprócz posiadania zmotywowanego i odpowiednio szkolonego zespołu profesjonalistów, chroniącego naszych zasobów, należy odpowiednio przygotować infrastrukturę, która powinna przejąć jak najwięcej zadań na siebie.

Kolejny aksjomat bezpieczeństwa - to kwestie związane z ochroną infrastruktury - każdego urządzenia, które będzie przenosić ruch w sieci. Atak DDoS nie musi polegać na stworzeniu/wynajęciu botnetu i zaatakowaniu sieci ofiary - dużo prościej jest zalogować się na router brzegowy i wyłączyć jego interfejsy wewnętrzne - administratorzy nie będą mieli do niego dostępu, a sieć ofiary tak samo niedostępna jak przy ataku milionami pakietów na sekundę. Kwestie związane z tzw. hardeningiem idą jednak dalej - atakującemu nie jest potrzebne zalogowanie się na nasze urządzenie, może np. podszyć się pod naszego partnera routingu. Taki atak pozwala na manipulację informacjami o osiągalności prefiksów - atakujący może przekierować do siebie cały ruch wychodzący z sieci atakowanego (próbując podsłuchać informacje, których potrzebuje, bądź możliwych do wykorzystania do dalszego ataku). Zarówno producenci sprzętu, jak i niezależne organizacje publikują wiele poradników jak wykonać tzw. hardening urządzeń na wielu różnych poziomach. Warto potraktować je jako punkt wyjściowy do opracowania własnego modelu zabezpieczeń infrastruktury sieciowej.

Jeśli urządzenia są zabezpieczone, możemy przejść do kwestii obsługiwania przez nie ruchu sieciowego. Powszechnie znane najlepsze praktyki względem ruchu sieciowego zebrano w dokumentach takich jak RFC2827 i można je sprowadzić do dwóch punktów:

- nie wysyłaj ruchu sieciowego do internetu z adresami źródłowymi, które nie należą do przydzielonej Ci przestrzeni adresowej;

- nie akceptuj ruchu sieciowego, którego adresy źródłowe są sfałszowane - w szczególności należą do Twojej sieci, adresów z puli opisanych w dokumencie RFC1918 czy ogólnie rzecz biorąc - puli adresów nieprzydzielonych i zarezerwowanych.

Tworzenie i ciągłe uaktualnianie filtrów realizujących powyższe zalecenia nie muszą być banalne, w szczególności dla większych organizacji i dostawców internetowych. Na pomoc przychodzi tu mechanizm pozwalający dynamicznie realizować filtrowanie pakietów na podstawie adresów źródłowych, czyli unicast Reverse Path Filtering. uRPF uruchomiony na interfejsie routera automatycznie odrzuca ruch, dla którego wpis w tablicy routingu nie zgadza się z adresem źródłowym (np. sieć 192.168.0.0/24 w tablicy routingu widoczna jest przez interfejs Ethernet1, a do interfejsu Ethernet0 dotarł właśnie pakiet IP z adresem 192.168.0.10). uRPF ma wiele trybów pracy i warto wykorzystać go wszędzie tam, gdzie jest to możliwe - oszczędza on wielu zmartwień z aktualizacją filtrów ruchowych zapobiegających fałszowaniu adresów źródłowych. W sieciach lokalnych przedsiębiorstw podobne mechanizmy zapobiegające fałszowaniu adresów źródłowych oferują mechanizmy takie jak IP Source Guard, a w sieciach kablowych - Cable IP Source Verify.

Drugą koncepcją, która ułatwia tworzenie prostych filtrów ruchowych we własnej sieci, jest wydzielenie adresacji IP urządzeń przenoszących ruch. Pozwala to łatwo odfiltrować na brzegu własnej sieci ruch kierowany do urządzeń sieciowych, a nie tranzytowy - do lub z hostów w naszej sieci. Ruch do urządzeń powinien być dopuszczony tylko z podsieci, w których znajdują się stacje zarządzające, a jeszcze lepiej - realizowany osobnymi interfejsami sieciowymi tak, by nie docierał do routera interfejsami przenoszącymi ruch klientów. Dalsze rozwinięcie tej koncepcji, to wykorzystanie architektury MPLS do ukrycia własnej sieci przed zewnętrznymi użytkownikami sieci internet (koncepcja opisana między innymi w RFC4381) - przenoszenie ruchu w sposób nie pozwalający odkryć wewnętrznej struktury naszych połączeń.

Dostawcy usług oraz dostawcy sprzętu rozszerzają te proste reguły o sugestie dotyczące wdrażania konkretnych mechanizmów. Zbiory zaleceń (takie jak zalecenia związane z ograniczaniem ruchu do serwerów głównych systemu DNS i nakłanianie bądź przekierowywanie zapytań do serwerów własnych) znaleźć można zarówno w pracach poszczególnych grup inżynierskich wspomagających pracę operatorów, jak i w materiałach konferencyjnych ze spotkań zrzeszających operatorów internetowych, takich jak NANOG czy RIPE.

Osobne zalecenia dotyczą budowy punktu wymiany ruchu z innymi operatorami oraz ochrony sesji routingu i filtrowania informacji routingowej otrzymywanej od sąsiednich systemów autonomicznych. Coraz większa liczba ataków DDoS jest bardziej wyrafinowana niż po prostu deszcz pakietów - atakowane są urządzenia sieciowe operatorów, styki pomiędzy operatorami i sesje protokołów routingu, wykorzystywane są prawidłowo działające usługi, a czasami nawet - dzięki przejętemu urządzeniu - mniej lub bardziej subtelnie tylko modyfikowana informacja routingowa (dzięki czemu można wysyłać spam, ale również przekierować ruch kierowany z internetu do ofiary w stronę innej sieci kontrolowanej przez atakującego, lub wręcz odwrotnie - skierować ruch do wielu różnych sieci w sieć atakowanego, zapychając go zupełnie niechcianym i źle skierowanym ruchem, ale wysyłanym zgodnie z tablicami routingu).