Jak bronic się przed atakami DDoS

Ataki DDoS są coraz bardziej powszechne a ich liczba rośnie systematycznie w bardzo szybkim tempie a średnia siła ataku w 2013 roku wynosi obecnie 3.37 Gb/s, z czego w ostatnich trzech miesiącach jest to przedział 3-3.5Gb/s. W porównaniu w całym 2012 roku średnia siła wyniosła 1,48Gb/s.

Zlecenie ataku DDoS (Distributed Denial of Service) nie jest dziś żadnym problemem. Coraz więcej pojawia się, bowiem płatnych - a nawet darmowych - serwisów oferujących przeprowadzanie ataków DDoS. Na forach (http://www.safeskyhacks.com/Forums/showthread.php?39-Top-10-DDoser-s-(Booters-Stressers),  cyberprzestepcy tworzą top 10 najlepszych Booterów (cloudowych platform DDoS as a Service) oferujących juz od 10 dolarów całkiem dobry 60 sekundowy atak o wydajności 800MBit/s, który może być wykorzystywany przez miesiąc, a dla chcących więcej za 169 dolarów atak dwu godzinny. Popularność DDoS as a Service wzrasta a dzięki analizie opublikowanej w Internecie wykradzionej bazy operacyjnej jednego w Botterów znanego TwBooter można stwierdzić ze serwis zarabiając w miesiąc 7,500 dolarów został wykorzystany do wykonania ponad 48,000 ataków DDoS przeciwko 11,000 ofiarom wliczając strony rządowe i serwisy informacyjne.
Z raportu Arbor Network z trzech pierwszych kwartałów 2013 roku wynika ze ataki trwają dłużej i maja coraz większy rozmiar liczony w Gbps (giga bits per second).
http://www.arbornetworks.com/corporate/blog/5025-q3-findings-from-atlas?goback=%2Egde_4833846_member_5798801102438678530#%21

W porównaniu z 2012 rokiem widzimy znaczny wzrost ataków DDoS z których największy rozmiar monitorowanego i zweryfikowanego ataku wynosił aż 191Gb/sec.  54% ataków w pierwszych 3 kwartalach 2013 roku miała sile 1Gb/sec. W porównaniu w 2012 roku odnotowano 33% takich ataków. 37% ataków mieściło sie w przedziale 2-10Gb/s, jest to wzrost z 15% w 2012 roku. Ataki powyżej 10Gb/s stanowią 4% wszystkich ataków i jest to wzrost aż o 44% w stosunku do 2012 roku. Wzrost o ponad 350% w ilości monitorowanych ataków o sile powyżej 20 Gb/s zaobserwowano w stosunku do 2012 roku.

Dostawcy Internetu, usług i serwisów w chmurze oraz korporacje borykaja sie ze wspólnym globalnym problemem jakim jest DDoS, który może zablokować dostęp do usług a co za tym idzie narazić organizacje na straty wizerunków, które mogą nadszarpnąć pozycje na rynku budowana latami. Obecne technologie pozwalają jednak optymistycznie patrzeć na sposób, w jaki zwalcza się, czy minimalizuje ataki DDoS. Jedną z firm, która oferuje skuteczne możliwości walki z atakami DoS/DDoS jest Arbor Networks. Wielu providerów korzysta z technologi takich, jak  Arbor Peakflow SP czy Arbor Threat Management System , oferując rożnego rodzaju serwisy, broniące bądź też redukujące skalę ataków, które są często dostosowane i spersonalizowane do wymagań firmy. 




Arbor Peakflow SP pozwala integrować pracę infrastruktury sieciowej z dodatkową inteligencją pozyskiwaną z warstwy aplikacji do zabezpieczania i zarządzania krytycznymi aplikacjami takimi jak dźwięk, obraz, dane, komunikacja, udostepnianie plików, strony internetowe i inne. Dzięki temu wiemy jakie aplikacje są używane i w jaki sposób zachowują sie w sieci, co pozwala na redukcje downtime i identyfikacje potencjalnych błędów przed ich wystąpieniem. Arbor Threat Management System może zostać wdrożony jako osobne „oczyszczające” rozwiązanie lub w połączeniu z Arbor Peakflow SP oferuje monitorowanie wydajności w warstwie aplikacji, wykrywanie i łagodzenie ataku oraz optymalizacje dostępności krytycznych usług IP takich jak DNS, HTTP lub VoIP. 

Kolektory Arbor Peakflow SP są bardzo ważna częścią calego systemu. Za pomocą protokołów IP Flow, SNMP oraz BGP zbierają informacje na temat ruchu sieciowego przychodzącego, który jest ciągle monitorowany i kierowany bezpośrednio do sieci klienta. Arbor Peakflow SP „uczy się" prawidłowego ruchu sieciowego i zasad rutingu, tworząc wzorce ruchu sieciowego które pozwalają na budowe logicznego modelu danych. W momencie gdy Arbor Peakflow SP wykryje atak, ruch sieciowy przychodzący jest kierowany bezpośrednio do Arbor Threat Management System gdzie jest oczyszczany na podstawie reguł których Arbor Peakflow "nauczył się" wcześniej analizując naszą sieć. Następnie oczyszczony ruch sieciowy przesyłany jest bezpośrednio do klienta.

Proces oczyszczania konfigurowany jest bezpośrednio w konsoli Peakflow SP. Można używać własnych bądź tez defaultowych reguł oszczania. Mamy do wyboru dwa rodzaje modelów sterowania, raw i event-driven, które zostaną zaaplikowane do ruchu sieciowego, gdy proces oczyszczania zostanie rozpoczęty. Raw jest aplikowane do calego ruchu sieciowego przepływającego przez TMS. Event-driven jest to model sterowania oparty na obsłudze zdarzeń które występują w momencie pojawienia sie określonego zdarzenia co może wywołać inspekcje, segmentacje i składanie pakietów. Zazwyczaj ta metoda jest wykorzystywana do ochrony usług DNS, SIP czy HTTP lub pewnych źródeł takich jak TCP session tables.
Dodatkowo można zastosować filtry black- and white-list, które zwiększają jakość oczyszczania. W black liscie dodajemy znane źródła, ip adresy które zostają blokowane, co pozwala nam uniknąć aplikowania bardziej kompleksowych reguł do ruchu sieciowego. Odwrotnie postępujemy ze źródłami które są bezpieczne i wykluczamy je z możliwości blokowania poprzez umieszczenie na white-list. Umiejętne zarządzanie filtrami pozwoli uniknąć problemów z przypadkowym zablokowaniem źródeł zewnętrznego DNS, ważnych klientów itd.

Filtry mogą być konfigurowane jako globalne listy lub jako dodatkowe. Globalne listy możemy ściągnąć i zaimportować do systemu np known infected hosts.
Najczęściej stosowane filtry w TMS:

• HTTP Mitigation (Malformed HTTP filtering, HTTP Request Limiting, HTTP Object Limiting). Kombinacja raw i event-driver powoduje ze tylko znane HTTP requesty ze znanych źródeł są dopuszczone. Opcja ta zabezpiecza serwery WWW przed spoofed sources, traffic generators i bot sources. Zastosowanie w środowiskach zwirtualizowanych, udostępnionych i NAT’d.

• Zombie removal. Usuwa źródła które przekroczą zdefiniowaną wartość pps lub bps. Zastosowanie przeciwko flood, TCP SYN, protocol attacks. Zaleca sie umieszczenie takich hostów na black list do czasu aż spadnie wartość pps lub bps poniżej zdefiniowanego progu.

• TCP SYN authentication. Event-driven, blokuje TCP requests ze spoofed sources i traffic generators. Zabezpieczaserwery, firewalle I load balancery przed TCP session table exhaustion.

• TCP Connection Reset.  Event-driven, zabezpieczaserweryprzed excessive idle sessions. TMS oczyszcza idle TCP sessions występującenaserwerach.

• DNS (Malformed DNS filtering, DNS Authentication). Kombinacja raw i event-driver powoduje ze tylko znane DNS requesty ze znanych źródeł są dopuszczone. Zapobiega DNS amplification, cache piosoning i resource exhaustion. Zabezpiecza recursive i authoritative DNS. Zastosowanie w środowiskach zwirtualizowanych, udostępnionych i NAT’d.

• Baseline enforcement. Monitoruje ruch sieciowy i protokoły. Blokuje źródła i protokoły które przekroczyły normę. Zastosowanie w oczyszczaniu ataku który jest uznany za wewnętrzny.

• Traffic Shaping/Rate Limiting. Ogranicza ruch sieciowy do poziomu który pozwala na normalne działanie. Zastosowanie w przypadku flash crowd oraz pomaga w przypadku gdy inne metody całkowicie nie oczyszają ataku.

Można zamówić usługę, która automatycznie oczyszcza ruch w sieci bądź też taką, która „działa na żądanie”. W pierwszym przypadku klient także może powiadomić dostawcę usług o ataku DoS/DDoS w celu jego zatrzymania bądź zmiany procesu oczyszczania, jednocześnie jednak ruch sieciowy zawsze będzie automatycznie przekierowywany w przypadku wystąpienia anomalii. Druga opcja jest rozszerzona o możliwość ustawienia własnych procedur postępowania w przypadku wystąpienia ataku. W przypadku wystąpieniabądź tez oczyszczenia ataku email jest wysłany do klienta. Warto równieżpodać numer telefonu on-call w razy gdy atak odbywa sie nocą.

W czasie testowania i "uczenia się" ruchu sieci trzeba zwrócić szczególna uwagę na stosowanie filtrów, aby nie ustawić ich zbyt bardzo agresywnie co może skutkować fałszywymi atakami. Przez pierwsze 4 tygodnie ruch sieciowy jest analizowany przez kolektory Arbor Peakflow, które gromadzą informacje. Następnie wysyłają je do kontrolera Peakflow, gdzie budowany jest tzw. baseline używany przy detekcji każdej anomalii.

Dostawcy usług obrony przed atakami DoS/DDoS - którzy posiadają bardzo rozbudowaną infrastrukturę, rozproszoną po całym świecie - zapewniają, że klient nigdy nie odczuje skutków pełnego ataku ponieważ sieć jest cały czas monitorowana i automatycznie chroniona przez jego platformę. Zapewniają również, że podczas ataku wydajność Internetu możne spaść, ale dostęp do firmowej strony nie zostanie zablokowany. Tak naprawdę zależy to jednak od prędkości łącza firmy, które nie możne być mniejsze niż 10 Mb/s i być używane maksymalnie w 60-70%.

Jak widać, mamy już możliwość skutecznej walki z DoS/DDoS. Pytanie kiedy z tej usługi zaczną korzystać polskie firmy?

Blazej Malczak