Ochrona przed atakami DDoS

0

Ataki odmowy usługi nie są niczym nowym, ale ich częstotliwość i skala zwiększają się. Warto więc wiedzieć, jak zapewnić ochronę własnego centrum danych przed tym zagrożeniem.

O ataku DDoS mówimy, kiedy duża liczba zhakowanych komputery służy do „zalania” wybranego celu ogromną liczbą zapytań czy dużą ilością ruchu sieciowego. Skutkiem tego jest zatrzymanie danej usługi czy brak możliwości dostępu do niej. Ataki DDoS są trudne do zwalczania ze względu na dużą skalę oraz fakt, że nie ma jednego źródło ataku. Przychodzi on bowiem z wielu rozproszonych maszyn (nie da się, np. łatwo zablokować na podstawie źródłowych adresów IP). Powodów przeprowadzania ataków DDoS i wyłączania usług jest wiele: próby wymuszenia, aktywizm, działania konkurencji czy po prostu nuda.

Ataki DDoS są bardzo zróżnicowane pod względem skali i zaawansowania. Atakujący może wysyłać fałszywe żądania wyglądające na przypadkowy ruch w sieci lub, co jest trudniejsze do wykrycia, imitować rzeczywisty ruch sieciowy, np. do strony internetowej. Dodatkowo, jeśli atakujący dysponuje wystarczającą mocą obliczeniową, może po prostu wygenerować tak dużo ruchu, że wyczerpie przepustowość łączy, którymi dysponuje ofiara.

Najprostsze typy ataków są przeprowadzane w trzeciej (L3L i czwartej (L4) warstwie stosu protokołów. Polegają one na zalaniu sieci i serwerów tak dużym ruchem, że nie są one w stanie go przetworzyć. To powoduje, że z celem ataku niemożliwa staje się komunikacja sieciowa. Bardziej złożone ataki w warstwie siódmej symulują (L7)  komunikację od prawdziwych użytkowników, np. imitują klikanie odnośników na stronie WWW czy próby wyszukania treści.

Są cztery główne typy ochrony przed atakami DDoS.

Samodzielnie przygotowane zabezpieczenia

To najprostsza, ale jednocześnie najmniej efektywna metoda. Ogólnie, polega na przygotowaniu skryptów w Pythonie, których zadaniem jest filtrowanie ruchu. Można również wykorzystać zapory sieciowe do blokowanie wrogiej komunikacji. Na początku XXI w., kiedy ataki były bardzo proste, te metody mogły się sprawdzić. Dzisiaj ataki są zbyt duże i złożone, aby ten rodzaj ochrony był skuteczny. Przykładowo, zapora sieciowa szybko padnie nawet pod naporem niezbyt dużego ataku.

Wyspecjalizowane urządzenia we własnej serwerowni

Jest to metoda podobna do prób przygotowania własnych zabezpieczeń w tym sensie, że użytkownik centrum danych sam wykonuje działania związane z zatrzymaniem ataków. Zamiast jednak polegać na skryptach i firewallach, korzysta się z dedykowanego sprzętu do ochrony przed DDoS. Są to specjalizowane urządzenia umieszczane w centrum danych na styku z Internetem, aby wykrywać i filtrować wrogi ruch sieciowy. Natomiast zaletą tej metody jest ochrona przed atakami w warstwie siódmej (L7). Warto też wspomnieć, że niektóre nowoczesne firewalle i systemy IPS mogą działać nie tylko jako pojedyncze urządzenie. Ochrona przed DDoS może być realizowana jako rozproszona usługa przez wiele urządzeń. Jako uzupełnienie warto stosować narzędzia do skanowania sieci, które mogą pomóc we wczesnym wykrywaniu ataków, zanim atakowane usługi przestaną być dostępne.

Jednakże z takimi urządzeniami wiążą się pewne fundamentalne problemy:

  • Wysokie koszty zakupy, a jednocześnie trudna do oszacowania przydatność (urządzenia nie robią nic, dopóki nie dojdzie do ataku). Mogą również być kosztowne w utrzymaniu. Poza tym potrzebny jest doświadczony administrator, który skonfiguruje takie urządzenia i będzie je nadzorował.
  • Muszą być stale aktualizowane, aby mieć informacje o najnowszych zagrożeniach, np. o nowych taktykach stosowanych przez atakujących.
  • Nie chronią przed dużymi atakami. Jest mało prawdopodobne, żeby firma miała wystarczające łącza, które nie zapchają się podczas tak dużych ataków DDoS, jakie mają dzisiaj miejsce. Te sprzętowe rozwiązania nie pomogą, jeśli zapcha się łącze sieciowe.

Usługi ochrony świadczone przez ISP

Firmy korzystają z usług dostawców Internetu, aby zwalczać ataki DDoS. Operatorzy sieciowi mają łącza o przepustowości, na którą nie stać większości przedsiębiorstw. Dzięki temu są w stanie zwalczać nawet duże ataki, ale z ich ofertą wiążą się pewne komplikacje:

  • Niekompletna ochrona. Większość usług ochrony przed DDoS oferowanych przez ISP zabezpiecza przed zagrożeniami w warstwie trzeciej (L3) i czwartej (L4) stosu protokołów, a ignoruje ataki w warstwie siódmej (aplikacji).
  • Ochrona od jednego dostawcy. Wiele przedsiębiorstw korzysta dzisiaj z usług więcej niż jednego operatora sieciowego, aby zapewnić dostępność swoich usług. Natomiast usługa ochrony przed DDoS chroni tylko łącza od danego dostawcy. Mając łącza od dwóch i więcej operatorów, należałoby u każdego wykupić usługę ochrony przed DDoS.
  • Brak ochrony zasobów w chmurze. Firmy coraz częściej mają swoje zasoby rozproszone między lokalnym środowiskiem i chmurą publiczną. Usługa ochrony przed DDoS nie zabezpiecza komunikacji do chmury. Z drugiej strony większość dostawców usług chmurowych bardzo dba o to, żeby ich usługi były dostępne, zabezpieczają więc swoje serwerownie przed atakami DDoS.

Chmurowe usługi ochrony przed DDoS

Na rynku funkcjonują firmy specjalizujące się w ochronie przed DDoS. Dysponują łączami o dużej przepustowości oraz infrastrukturą IT w wielu lokalizacjach, dzięki czemu są w stanie obsługiwać i filtrować bardzo duże ilości ruchu. Z reguły ich usługi są dostępne niezależnie od ISP, z którego korzysta potencjalny klient. Dostawcy tych usług przekierowują ruch sieciowy do swoich systemów i skanują go pod kątem podejrzanej komunikacji pochodzącej z botnetów. Są w stanie odfiltrować ruch tak, aby do celu ataku nie docierała wroga komunikacja.

Typowe rodzaje ataków DDoS

Ataki DDoS można podzielić w zależności od warstwy, w której są przeprowadzane. Ataki w warstwach trzecie i czwartej (L3 i L4) to stosunkowo proste, ale duże ataki. Najczęściej polegają na zalewaniu celu pakietami SYN, które doprowadzają do zapchania łączy sieciowych lub przeciążenia zapór sieciowych i IPS’ów, co powoduje, że chronione przez nie serwery przestają być dostępne. W dużych atakach stosuje się również pakiety protokołu ICMP. Z kolei w warstwie siódmej (L7) przeprowadzane są bardziej wyrafinowane ataki, ale o mniejszej skali. Są to ataki precyzyjnie celowane. Typowym przykładem jest wysyłanie do ofiary żądań HTTP GET, co doprowadza do wyczerpania zasobów atakowanego serwera WWW.

 

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ