O útocích typu DoS (Denial of Service) nebo DDoS se v poslední době hodně mluví. Takový útok využívá chyby v kódu cílové aplikace k tomu, aby způsobil její pád, nebo alespoň přetíží její zdroje tak, že se stane prakticky nepoužitelnou. Jak se takovému útoku lze bránit?
Výrobci ochranných síťových technologií nezahálí, a tak v průběhu posledního desetiletí vyvinuli poměrně účinné prostředky k obraně proti takovýmto útokům (NGIPS, UTM, NGFW). Tyto nástroje využívají vzorků útoků a jejich chování k vyhledání nežádoucího obsahu a jeho eliminaci.
K odhalení se používá např. metoda sledující četnost a objem přenášených dat od zdroje k cílové aplikaci. Takto se dá odhalit třeba známý útok SYN Flood využívající sestavení spojení k zahlcení tabulek cílové aplikace pouze tím, že požádá o obrovské množství spojení a neodpovídá na následnou komunikaci. Tento útok již dnešní moderní prostředky zachycují velmi jednoduše tak, že počítají množství sestavovaných spojení z jednoho zdroje a v případě překročení rozumných mezí nedovolí další spojení navázat.
Útočníci se zaměřili na jinou metodu DoS útoků využívající staré známé přísloví, že „stokrát nic umořilo osla“ - tzv. distribuované DoS útoky (DDoS). K oklamání obranných prostředků používají malé množství útoků, ovšem z obrovského množství zdrojů. K tomu se využívají buď velké farmy virtuálních strojů, nebo lépe rozlehlá síť ovládnutých počítačů (tzv. Botnet).
Botnety vznikají napadením firemních, nebo domácích počítačů pomocí malware. Takto napadené počítače se pak stanou spícími útočníky (tzv. zombies), a vyčkávají na pokyny útočníka z tzv. Comand and Control (C&C) serverů.
Botnety mohou čítat i statisíce nedobrovolných členů. Jsou známy i komunitní DDoS útoky, kdy útok byl naplánován skupinou např. protestujících studentů přes sociální síť a po té, v předem dohodnutý čas, spuštěn z aplikace nainstalované na osobních počítačích, noteboocích, ale také např. z mobilních telefonů. Je tedy zřejmé, že pokud je takovýto útok proveden ze statisíce míst a tváří se jako legální provoz, je běžnými obrannými prostředky téměř nezachytitelný.
Existují dva druhy distribuovaných útoků:
Volumetrické – mají za úkol zahltit cílovou linku nesmyslným provozem, a způsobit tak její praktickou nepoužitelnost.
Aplikační – útočící na chybu v cílové aplikaci za účelem jejího resetu, nebo významného zpomalení pomocí přetížení zdrojů.
Za účelem zachycení těchto útoků vyvinuly bezpečnostní firmy novou oblast produktů – tzv. Anti-DDoS. Zařízení pracují na bázi analýzy datového provozu (podobně jako IPS), kde vyhodnocují, jestli provoz obsahuje některé znaky útoku a následně provede jeho zmírnění (mitigation). Tato procedura probíhá buď na úrovni zákaznické, nebo operátorské.
Výhodou operátorské kontroly je zachycení např. volumetrických útoků již ve chvíli, kdy se nacházejí ještě v místě dostatečné přenosové kapacity, a nemohou tak napáchat velké škody. Úskalí této metody je ovšem v nemožnosti plné ochrany takovéhoto pásma z výkonnostních důvodů. Vybudování anti-DDoS ochrany na takovéto síti by bylo natolik nákladné, že by pro mnoho zákazníků bylo cenově prakticky nedostupné.
Nabízí se ovšem jednoduché řešení. Vzhledem k tomu, že v případě distribuovaného útoku prochází obrovské množství provozu, je možné takovýto útok zachytit i z pouhého jeho vzorku (např 1:1000). V případě záchytu podezřelého provozu je pak tento přesměrován a kompletně podroben analýze. To umožňuje operátorovi pořídit zařízení s řádově nižším výkonem. Reakce na útok je v takovémto případě cca desítky až stovky vteřin.
O něco efektivnější a mnohdy pro zákazníka levnější metodou může být hybridní řešení zákaznického a operátorského řešení, kde provoz je kompletně kontrolován zařízením na straně zákazníka, a pouze v případě, že zatížení linky přesáhne předem danou mez, požádá toto zařízení o výpomoc zařízení na straně operátora.
Obrana proti DDoS útokům však nemusí spočívat pouze v nasazení technologie, které více či méně efektivně umí identifikovat probíhající útok. Anti-DDoS řešení dokáže rozlišit 100 % legitimních a 100 % závadných požadavků, nicméně existuje velké množství požadavků, o kterých lze říci, že jsou závadné jen s určitou pravděpodobností. Jinými slovy mohou být označeny požadavky za závadné, ačkoliv jsou zcela legitimní.
V případě automaticky škálujících systémů lze odbavovat i takovéto požadavky tak, aby nedošlo k odmítnutí služby ani v situaci falešného pozitivního (false positive) nálezu. Automaticky škálující systémy a infrastrukturu lze zajistit současnými prostředky datových center a lze zajistit například i automatické škálování do veřejného cloudu. Služba tak je provozována v hybridním cloudovém prostředí, v privátním a veřejném cloudu zároveň. Takovýto přístup dokáže zvládnout v podstatě jakýkoliv DDoS útok a má i mnoho pozitivních vedlejších efektů, jakou je úspora nákladů na rozšiřování systémů pro přirozený nárůst požadavků nebo zvládání požadavků ve špičkách, jakými mohou být Vánoce pro internetové obchody.
Autoři: Ing. Tomáš Jirák, DCS & NI Operations Manager, Dimension Data; Bc. Petr Zemánek, Solution Manager – Security, Dimension Data