baza wiedzy Network Expert

DDOS – Ochrona przed atakami

Serdecznie zapraszamy na naszą stronę StopFlow gdzie możecie się Państwo zapoznać z ofertą ochrony przeciwko atakom DDOS.

Typy ataków DOS

Atak DoS polega na wyczerpaniu zasobów atakowanego w ten sposób, że funkcjonowanie systemu jest niemożliwe (brak dostepu z powodu braku pasma, stałe obciążenie procesora itp.)

Dla porządku wymieniamy poniżej kilka ataków typu DoS:

  • Smurf – generowany przez atakujący pakiet ping z adresem source maszyny atakowanej (podstawionym) na adres broadcast sieci. Przesyłane jest tyle odpowiedzi ile aktywnych hostów w sieci. W ten sposób można stosunkowo niewielkim kosztem wygenerować znaczący ruch. Ten typ ataku zakłada, że routery obsługujące sieci, które służą do rozpoczęcia ataku obsługują funkcjonalność directed broadcast.
  • Fragle – udp echo zamiast ping, reszta jak smurf.
  • Buffer overflow – ping of death (pakiet ping większy niż 65k bajtów). Dla wielu starszych systemów obróbka pakietu o takiej nienormatywnej długości skutkowała awarią systemu. W zasadzie można się spierać czy jest to atak DoS.
  • Buffer overflow – teardrop, przesyłanie fragmentów z nieprawidłowym offsetem, co powoduje problemy w systemach ze starszą implementacją stosu TCP/IP.
  • SYN flood – do atakowanego z dużą prędkością przesyłane są pakiety SYN, three-way handshake TCP nie jest jednak kontynuowany. Atakowany system rezerwuje zasoby na potrzeby sesji TCP, nadsyłając większe ilości pakietów można system atakowany pozbawić mocy przerobowych.
  • Ping flood

Ataki typu DoS nie mają charakteru rozproszonego, atakującym jest zazwyczaj jedna maszyna.

Obrona przed atakami DoS
Na ataki Denial of Service dobrym rozwiązaniem jest proste urządzenie typu IPS. Z większością tych ataków (zasadniczo nie pierwszej świeżości) urządzenie takie poradzi sobie korzystając z reguł (sygnatur) opisujących różne rodzaje ataków sieciowych.

Urządzenie IPS może być umieszczone w ścieżce pakietu – tryb ten nazywany jest inline, lub może otrzymywać kopię ruchu i ewentualnie sterować regułami zabezpieczeń firewalla. Ataki DoS nie są w chwili obecnej dużym problemem. Można je łatwo opanować.

Ataki DDoS

Dla ataków DDOS sytuacja jest o wiele bardziej skomplikowana. Ataki tego typu wykorzystują “legalny ruch”, który dla żadnego IPS nie wyda się podejrzany. Ruch ten może i będzie zbliżony do normalnego, ale będzie go więcej.

Na tyle więcej żeby:

  • Zablokować działanie serwera przez jego przeciążenie.
  • Odciąć sieć przez wykorzystanie całego pasma dostępnego na łączach.

Nowoczesne serwery dysponujące sporą mocą obliczeniową nie jest łatwo przeciążyć. Bardziej zagrożonym zasobem jest w wielu wypadkach pasmo.

Skąd ten ruch się bierze? Powstaje bardzo łatwo. Ktoś pisze rewelacyjną aplikację która pomaga w odchudzaniu, deklaruje dietę, liczy kalorie itp. Aplikacja jest dobra i darmowa, miliony ludzi ją pobierają. Oprócz zasadniczej funkcjonalności dietowej aplikacja ma też wbudowaną dodatkową funkcjonalność, która pozwala twórcy aplikacji sterować komputerem z zainstalowaną aplikacją. Teraz tylko pora na wydanie komendy: wszystkie moje komputery pobierzcie z serwera A plik. No i wszystkie pobierają…

No tak, ale przecież komputery mają firewalle, aplikacje antywirusowe. Nie tak łatwo zainstalować na komputerze zainfekowany program i dodatkowo go kontrolować. Fakt, ale nie wszystkie. Poza tym pojawiły się smartfony. Kto ma antywirusa na swoim androidzie, czy iphonie? Ja nie mam…

Obrona przed atakami DDoS
Czy można się bronić? Tak, ale nie jest łatwo. Skoro ruch związany z atakiem jest podobny do prawidłowego to jak go odróżnić?

Z pomocą przychodzą:

  • Obserwacje wykonywane na poprzednio atakowanych: można określony rodzaj ruchu uznać z dużą pewnością za atak, jeśli to faktycznie była metoda ataku dla innej firmy sprzed trzech godzin.
  • Blokowanie podejrzanych sieci (często wykorzystywane są do niecnych celów komputery w różnych dziwnych sieciach, zwłaszcza w Państwach z potencjalnie niską kulturą IT, o ile jest coś takiego jak kultura IT).
  • Analiza ilościowa ruchu: np z użyciem netfow, skoro nasze codzienne statystyki pokazują, że nasz ruch internetowy to średnio np 120Mbps, z tego 30 procent połączeń przychodzi do nas z TP, 20 z Netii itd, a w dniu dzisiejszym ruch w ostatniej godzinie jest o 200% wyższy i połączenia przychodzą głównie z Chin i Kiribati. Możemy z dużą dozą pewności założyć, że ten dodatkowy ruch to nie jest efekt kampanii prowadzonej przez dział marketingu.

Stajemy jednak przed kolejnym trudnym problemem, o ile jeszcze serwer i jego zasoby zabezpieczyć przed atakiem DDoS można korzystając z dedykowanych rozwiązań służących tym zadaniom i umieszczonych w naszej sieci, o tyle jeśli nawet postawimy rewelacyjne urządzenie anti-DDoS u siebie w sieci to ono dostanie ruch, który już przeszedł przez nasze łącze. Może odciąć ten ruch od serwera, nie może wskazać routerowi naszego operatora internetowego, żeby ten wyłączył transmisję tego pakietu do nas do sieci . W końcu już nasze urządzenie anti-DDOS widzi ten pakiet, czyli operator go wysłał. Jak urządzenie anti-ddos ma powiedzieć operatorowi żeby ten pakiet nie zajmował naszych cennych kbps na łączu? On już je zajął, urządzenie anti-DDoS musiałoby się cofnąć w czasie!!!

No tak to może być problem . …

Jakie jest rozwiązanie?

Inwazyjne (dla nas) rozwiązanie problemu jest zapoponowane w projekcie BGP blackholing (www.null0.pl). Projekt jest rozwijany na zasadach non-profit. Możemy ogłosić naszą sieć do innych routerów tak aby one odesłały atak DDoS do null0. Odsyłając też cały inny ruch. obetniemy zatem w ten sposób atak, ale odetniemy też inny ruch. Będzie z tego pożytek dla naszych operatorów, którzy nie będą mieli przeciązanej infrastruktury. Gdybyśmy mieli więcej niż jedna sieć publiczną może być również pożytek dla nas, jedną siec odcinamy, druga nadal funkcjonuje.

Jakie są inne metody?

Pomóc może nam operator, jeśli postawi u siebie rewelacyjne rozwiązanie anti-DDoS. Podłączy te rozwiązanie do olbrzymiego pasma rzędu setek Gbps a nam da usługę w ramach której ruch docierający do nas będzie już odfiltrowany ze śmieci, które system uznał za atak DDoS. W ten sposób nasze 100Mbps łącza nie jest zagrożone, atakujący musieliby wysycić setki gigabajtów operatora.

Czy u nas w Polsce operatorzy to oferują? Z tego co mi wiadomo robi to Orange. Ile ta usługa kosztuje? Nie wiem. Miałem kiedyś przyjemność konfigurować taką usługę oferowaną przez BT, pewnie można coś takiego kupić pod warunkiem że nie przeszkadza nam fakt, że ruch z Warszawy do naszej sieci w Pruszkowie będzie szedł przez Londyn.

My skrótowo pokażemy jak alternatywnie zabezpieczyć się samemu.

Pomysł jest taki, że kupujemy swój system Anti DDoS. Umieszczamy go w serwerowni w punkcie wymiany ruchu, przykładowo PLIX ( www.plix.pl). Dlaczego tam? Dostajemy relatywnie niedrogie pasmo na styku z innymi operatorami, możemy mieć 1Gbps za ok 1000 zł a 10 już za 4000 zł miesięcznie.

Stawiamy w plix również router, który łączymy tunelami z naszymi istniejącymi routerami brzegowymi. Router w plix peerujemy po BGP z operatorami. Próbujemy tak zmienić nasze polityki, aby ruch przechodził do nas przez PLIX. Może być to relatywnie trudne, operatorzy którzy zaoferowali nam łącza do Internetu pewnie wolą puścić ruch bezpośrednio po tych łączach.

Jeśli osiągniemy stan w którym większość ruchu przychodzi do nas przez PLIX, możemy ten ruch skierować do postawionego tam urządzenia realizującego ochronę DDoS. Dopiero po przefiltrowaniu tego ruchu wysyłamy go tunelem przez nasze standardowe łącze o przepustowości marnych kilku setek Mbps. Zatem atakujący musi wysycić zasoby naszego portu w plix, a nie zasoby naszego łącza.

Czy to ma szanse działać? Tak – podobnie działają usługi DDoS świadczone w chmurze. Wszystkie zagraniczne warianty mają jednak dla Polski tą wadę, że ruch byłby wymieniany przez dajmy na to Londyn…

Na koniec poglądowy schemat:

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
0
projektów powyżej 100,000zł

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów