Stále oblíbenější metodou, jak získat peníze, poškodit konkurenta, nebo zhroutit ekonomiku znepřáteleného státu je útok ve světě nul a jedniček. Dříve zločinci použili roušku přes obličej, pistoli, nebo raketu středního doletu. Dnes se již používají mnohem „čistější" a sofistikovanější metody. Jednou z nich je útok na znepřístupnění služby (DoS – Denial of Service). Využívá chyby v kódu cílové aplikace k tomu, aby způsobil její pád, nebo alespoň přetíží její zdroje tak, že se stane prakticky nepoužitelnou.
Výrobci ochranných síťových technologií ovšem nezahálí, a tak v průběhu posledního desetiletí vyvinuli poměrně účinné prostředky k obraně proti takovýmto útokům (NGIPS, UTM, NGFW). Tyto nástroje využívají vzorků útoků a jejich chování k vyhledání nežádoucího obsahu a jeho eliminaci. K odhalení se používá např. metoda sledující četnost a objem přenášených dat od zdroje k cílové aplikaci. Takto se dá odhalit třeba známý útok SYN Flood využívající sestavení spojení k zahlcení tabulek cílové aplikace pouze tím, že požádá o obrovské množství spojení a neodpovídá na následnou komunikaci. Tento útok již dnešní moderní prostředky zachycují velmi jednoduše tak, že počítají množství sestavovaných spojení z jednoho zdroje a v případě překročení rozumných mezí nedovolí další spojení navázat.
S pomocí zombie
Útočníci se zaměřili na jinou metodu DoS útoků využívající staré známé přísloví, že „stokrát nic umořilo osla" - tzv. distribuované DoS útoky (DDoS). K oklamání obranných prostředků používají malé množství útoků, ovšem z obrovského množství zdrojů. K tomu se využívají buď velké farmy virtuálních strojů, nebo lépe rozlehlá síť ovládnutých počítačů (tzv. Botnet). Botnety vznikají napadením firemních, nebo domácích počítačů pomocí malware. Takto napadené počítače se pak stanou spícími útočníky (tzv. zombies), a vyčkávají na pokyny útočníka z tzv. Comand and Control (C&C) serverů. Botnety mohou čítat i statisíce nedobrovolných členů. Jsou známy i komunitní DDoS útoky, kdy útok byl naplánován skupinou např. protestujících studentů přes sociální síť a po té, v předem dohodnutý čas, spuštěn z aplikace nainstalované na osobních počítačích, noteboocích, ale také např. z mobilních telefonů. Je tedy zřejmé, že pokud je takovýto útok proveden ze statisíce míst a tváří se jako legální provoz, je běžnými obrannými prostředky téměř nezachytitelný.
Existují dva druhy distribuovaných útoků:
· Volumetrické – mají za úkol zahltit cílovou linku nesmyslným provozem, a způsobit tak její praktickou nepoužitelnost.
· Aplikační – útočící na chybu v cílové aplikaci za účelem jejího resetu, nebo významného zpomalení pomocí přetížení zdrojů.
Za účelem zachycení těchto útoků vyvinuly bezpečnostní firmy novou oblast produktů – tzv. Anti-DDoS. Zařízení pracují na bázi analýzy datového provozu (podobně jako IPS), kde vyhodnocují, jestli provoz obsahuje některé znaky útoku a následně provede jeho zmírnění (mitigation). Tato procedura probíhá buď na úrovni zákaznické, nebo operátorské. Výhodou operátorské kontroly je zachycení např. volumetrických útoků již ve chvíli, kdy se nacházejí ještě v místě dostatečné přenosové kapacity, a nemohou tak napáchat velké škody. Úskalí této metody je ovšem v nemožnosti plné ochrany takovéhoto pásma z výkonnostních důvodů. Vybudování anti-DDoS ochrany na takovéto síti by bylo natolik nákladné, že by pro mnoho zákazníků bylo cenově prakticky nedostupné.
Pomoci může operátor
Nabízí se ovšem jednoduché řešení. Vzhledem k tomu, že v případě distribuovaného útoku prochází obrovské množství provozu, je možné takovýto útok zachytit i z pouhého jeho vzorku (např 1:1000). V případě záchytu podezřelého provozu je pak tento přesměrován a kompletně podroben analýze. To umožňuje operátorovi pořídit zařízení s řádově nižším výkonem. Reakce na útok je v takovémto případě cca desítky až stovky vteřin. O něco efektivnější a mnohdy pro zákazníka levnější metodou může být hybridní řešení zákaznického a operátorského řešení, kde provoz je kompletně kontrolován zařízením na straně zákazníka, a pouze v případě, že zatížení linky přesáhne předem danou mez, požádá toto zařízení o výpomoc zařízení na straně operátora.
Nebo obsloužíme každého
Obrana proti DDoS útokům však nemusí spočívat pouze v nasazení technologie, které více či méně efektivně umí identifikovat probíhající útok. Anti-DDoS řešení dokáže rozlišit 100 % legitimních a 100 % závadných požadavků, nicméně existuje velké množství požadavků, o kterých lze říci, že jsou závadné jen s určitou pravděpodobností. Jinými slovy mohou být označeny požadavky za závadné, ačkoliv jsou zcela legitimní. V případě automaticky škálujících systémů lze odbavovat i takovéto požadavky tak, aby nedošlo k odmítnutí služby ani v situaci falešného pozitivního (false positive) nálezu. Automaticky škálující systémy a infrastrukturu lze zajistit současnými prostředky datových center a lze zajistit například i automatické škálování do veřejného cloudu. Služba tak je provozována v hybridním cloudovém prostředí, v privátním a veřejném cloudu zároveň. Takovýto přístup dokáže zvládnout v podstatě jakýkoliv DDoS útok a má i mnoho pozitivních vedlejších efektů, jakou je úspora nákladů na rozšiřování systémů pro přirozený nárůst požadavků nebo zvládání požadavků ve špičkách, jakými mohou být Vánoce pro internetové obchody.
autoři:
Ing. Tomáš Jirák, DCS & NI Operations Manager, Dimension Data
Tomáš Jirák se problematice systémové a komunikační infrastruktury věnuje již téměř 20 let. V oblasti infrastrukturní bezpečnosti se pohybuje od roku 2003. Ve společnosti Dimension Data působí od roku 2011 a v současnosti vede oddělení Professional Services pro oblasti Data Center Solutions, Network Integrations a Security.
Bc. Petr Zemánek, Solution Manager – Security, Dimension Data
Petr Zemánek je absolventem přírodovědecké fakulty Palackého Univerzity v Olomouci (obor Informatika) s 15ti letou zkušeností v oblasti síťové bezpečnosti. Ve společnosti Dimension Data pracuje již 10 let a v současné době má na starosti rozvoj oblasti zabezpečení datových sítí a ochrany citlivých dat.