DDOS Attack! Potencjalne czy realne zagrożenie dla biznesu?
Większości z nas DDoS kojarzy się z atakami na strony rządów i wielkich korporacji. Podchodzimy często do tego jak do choroby, która zawsze zdarza się innym, tym, o których prasa rozpisuje się na pierwszych stronach. Czy jednak naprawdę wiemy, jakie konsekwencje niesie ze sobą ryzyko ataku na naszą firmową infrastrukturę? Czy umiemy obronić nasze dane i utrzymać ciągłość działania przedsiębiorstwa? Czy możemy czuć się bezpieczni, bo nie jesteśmy... warci ataku? Do odpowiedzi na powyższe pytania kluczowe jest zrozumienie, czym jest DDoS, jakie niesie ze sobą skutki i ile kosztuje.
Czym jest DDOS?
DDoS (ang. Distributed Denial Of Service) jest ogólnym określeniem na dowolne ataki na infrastrukturę, które powodują na różne sposoby jej niedostępność, a ich źródło jest rozproszone. Nie jest to więc tylko wysyłanie z wielu źródeł ogromnej ilości pakietów do naszego serwera czy ogromnej liczby zapytań z całego świata, które go przeciążają, lecz także bardziej zaawansowane technicznie ataki uderzające w czułe punkty infrastruktury sieciowej, często należące już nie do nas, a do dostawcy naszego łacza internetowego.
Dlatego kluczowe jest wybranie dostawcy naszych łączy czy sewera dedykowanego lub wirtualnego, którego cała infrastruktura jest chroniona przed atakami DDoS. Efektem takiego ataku jest nie tylko zapchanie łącza dostępowego, co powoduje, że nasze usługi przestają być widoczne ze świata, ale często też unieruchomienie routera naszego lub naszego dostawcy (potocznie zwanego "bramką").
Obraz po burzy
Skutki ataku odczuwają wszyscy zaangażowani w normalne działanie usługi. Podstawowym skutkiem łączącym wszystkie typy ataków DDOS jest jej niedostępność. Niezależnie od tego, czy unieruchomiono system służący sprzedaży, stronę sklepu internetowego czy systemy obsługi klientów, straty są wymierne zarówno finansowo, jak i wizerunkowo. Im większym jesteśmy przedsiębiorstwem, tym ich skala rośnie. Niedostępność jest jedynym efektem, dlatego możemy czuć się szczęśliwcami, gdyż często dużo groźniejsze jest uszkodzenie danych wywołane zerwaniem bieżącej transmisji lub przerwaniem przeciążonego zapisu, a w efekcie uszkodzenie plików lub bazy danych.
Jeszcze gorzej jest w przypadku środowisk wirtualnych. Przerwanie synchronizacji dysków chmurowych (opartych na wielu maszynach połączonych sieciowo) często powoduje uszkodzenia plików zawierających podzielone na „kawałki” (chunk) obrazy maszyn wirtualnych. Efektem tego często jest uszkodzenie zawartego na nich systemu plików i w najlepszym razie wielogodzinna naprawa lub całkowita utrata poszatkowanych danych. Taki apokaliptyczny obraz po burzy może przerażać, gdy zdamy sobie sprawę, co może nam grozić pomimo instalowania zaawansowanych firewalli (często zintegrowanych z przełącznikiem sieciowym).
"Bad Guys"
Skoro źródła ataków DDoS są w całym internecie, to kto nas atakuje i co z tego ma? Stare powiedzenie mówi: Gdy nie wiadomo, o co chodzi, to chodzi o pieniądze. Fakt, kto naprawdę nas atakuje fizycznie, w tym przypadku nie ma większego znaczenia. Patrząc na adresy IP, z których pochodzą szkodliwe pakiety, łatwo się zorientujemy, że należą do zwykłych, praworządnych organizacji. Jak to się dzieje? Proces generacji ataku zaczyna się dużo wcześniej, niż my go zaobserwujemy.
Organizacje świadczące „usługi DDOS” wyłapują dziury w zabezpieczeniach serwerów i domowych komputerów, instalując na nich programy, które tylko czekają na zdefiniowanie celu ataku (tzw zombie). Jednocześnie generują listy maszyn widocznych w internecie, które mają stare oprogramownie, podatne na atak typu „amplification” – czyli z jednego pakietu otrzymanego generują tysiące pakietów skierowanych na cel. Gdy grupa ma już wystarczającą armie maszyn, czeka na klienta, który zapłaci za atak na swój cel. Krótkie wyszukiwanie w Google pokaże wiele stron, na których można taki atak zamówić, wybierając parametry, takie jak: geograficzne źródła, typ ataku czy czas jego trwania. Ceny zaczynają się już od pięciu dolarów, przy czym ulubiona walutą jest Bitcoin. Zlecającym jest przeważnie konkurent, zdenerwowany klient, były pracownik, a nawet... była żona niezadowolona z rozwodu. Gdy zdamy sobie sprawę z faktu, że już za 5 dolarów ktoś może nas skrzywdzić, pozostając nieuchwytnym, cyberprzestrzeń może stać się dla nas przerażającym miejscem.
Do broni
Nawet mając 100-megabitowe łącze i dobry firewall, nic nie wskóramy ze zmasowanym atakiem DDoS. Sami pozostajemy tylko i wyłącznie na łasce atakującego lub jego zleceniodawcy, i to niezależnie od tego, ile pieniędzy władowaliśmy w firewalle, IPSy czy inne urządzenia stojące u nas w biurze. Ataki osiągają ogromne przepustowości, rzędu nawet kilkuset gigabitów na sekundę lub setek milionów pakietów. Łatwo więc możemy wywnioskować, że ani nasz router/firewall, którego realna wydajność osiąga co najwyżej tysiące pakietów na sekundę, ani nasze łącze, choćby miało przepustowość 1 gigabita, na nic się nie zda.
Kto tak naprawdę ma nas chronić przed tym zagrożeniem? Jedyna właściwa odpowiedź to dobry operator dostarczający nam usługi kolokacyjne lub łącze jest w stanie zmitygować ogrom atakujących nas pakietów. Musimy jednak wskazać, że nie możemy tu brać pod uwagę małych lokalnych operatorów biorących swój dosył od tych większych. Kluczowy dla nas jest więc właściwy wybór takiego dostawcy, i to jest jedyna realna rzecz, którą możemy zrobić, by czuć się bezpiecznie, a nasze usługi były stabilne.
Techniki obrony
Jak działa prawdziwa ochrona antyDDoS u dobrego operatora? Podstawą jest błyskawiczne wykrycie ataku dochodzącego do sieci operatora. W tym przypadku typowe „Netflow” zainstalowany na routerze jest zbyt powolny, by być przydatny. Zaawansowane systemy wykrywania ataku opierają się na sensorach wpiętych równolegle w główne łącza, które w ciągu niecałej sekundy wykrywają i identyfikują anomalie na poziomie drugiej warstwy sieci (więc niżej niż warstwa IP). Wtedy w zależności od wykrytego typu ataku automatyczny system podejmuje decyzję o formie mitygacji. Ma do dyspozycji szereg działań w zależności zarówno od nasilenia, jak i typu ataku. W przypadku ataku gęstego (duża liczba malutkich pakietów) system mitygacji włącza filtry chroniące łącze klienta. Przy- ataku o średniej skali stosuje się także mechanizmy typu BYPASS – puszczające dobry ruch z pominięciem głównej drogi, którą przemieszcza się atak. W końcu może zastosować mechanizm zwany „BlackHole”, polegający na zablokowaniu pakietów idących w kierunku atakowanego celu już na odległych routerach operatorów międzynarodowych. Należy podkreślić, że najlepszą techniką tego typu metody mitygacji jest jego rozszerzona wersja, czyli tzw. „blackholing selekcji źródła”, który nie odcina większości ruchu od atakowanej maszyny, a bierze także pod uwagę kierunki, z których jest ona atakowana. Na takie rozwiązania mogą sobie jednak pozwolić operatorzy posiadajacy wiele bezpośrednich łączy peeringowych z innymi operatorami na świecie.
Co więc robić, by spać spokojnie? Podejmować słuszne decyzje wyboru i oddać swoje bezpieczeństwo profesjonalistom, bo najgorsze, to nic nie robić. Opisane powyżej techniki ochrony antyDDOS są zastosowane we wszystkich usługach oferowanych przez DataHouse.pl/Etop sp. z o.o.
Autorzy: Michał Denis i Konrad Olszewski
