DDoS útoky v ČR: řešení místo strašení

DDoS útok může být zahájen v podstatě kdykoliv, odkudkoliv a na kohokoliv. Žádná organizace si nemůže být jista, že zrovna jí se útok vyhne.

V první řadě je důležité, abyste se naučili DDoS útok rozpoznat a byli schopni na něj reagovat, tj. měli sepsaný nějaký scénář, podle kterého budete v případě útoku postupovat. A tento scénář byste si měli projít a skutečně otestovat, nejlépe formou simulovaného útoku, a ověřit si, že všichni vědí, jaká je jejich role. Součástí tohoto scénáře by mělo být i prohlášení, ve kterém budete připraveni o důvodu nedostupnosti svých služeb informovat veřejnost.

Cílem DDoS útoků, jak už tato zkratka napovídá, je odepření služby (Distributed Denial of Service). Útok může být veden na všech vrstvách ISO/OSI modelu, a zahlcen může být i prvek, který je cíli předřazen, třeba firewall. Nezapomínejte, že typická infrastruktura se skládá zpravidla těchto prvků: hraniční router, firewall, load balancer, DNS server, reverzní proxy, a teprve až poté webové, aplikační a databázové servery.

Byť je dnešní aplikace obvykle vícevrstvá a jednotlivé její vrstvy, minimálně webová, aplikační a databázová bývají dost často od sebe odděleny firewally, tak může dojít k situaci, že určitý prvek se DDoS útoku sice ubrání, ovšem začne intenzivně komunikovat s jiným prvkem a to na stejné nebo nižší vrstvě a ten zahltí. Uživateli takového systému se pak bude daná služba jevit jako nefunkční nebo nedostupná.

Zakoupení nějaké zázračné krabičky vám zpravidla nepomůže, protože i dedikované zařízení, které provádí filtraci, má určité omezení, zpravidla několik málo Gb/s a tak vás nemusí ochránit před všemi volumetrickými útoky, které mohou mít i více jak několik desítek Gb/s. V případě většího datového toku je nutné tento tok kompletně odklonit do cloudu, který v pohodě zvládá až několik Tb/s, a který vás zpravidla ochrání i před většinou volumetrických útoků.

Ovšem pozor, v obou případech se bude jednat o poměrně vysokou investici, která se vám s největší pravděpodobností nevrátí, protože DDoS útoky na vás nejspíš nebudou realizovány neustále a také škoda plynoucí z nedostupnosti bude zpravidla nižší, než cena za dané zařízení nebo službu. Nicméně pro větší společnosti by mohla být obě řešení zajímavá.

I když vůbec nejlepší by bylo, kdyby toto řešení nasadili ISP nebo poskytovatelé hostingu, protože ti by mohli realizovat výrazné úspory z rozsahu. Je možné, že s rostoucím počtem útoků budou ISP a poskytovatelé hostingu donuceni svými klienty k tomu, aby toto řešení nasadili, obzvlášť pokud s nimi mají uzavřenou SLA, ve kterém jsou sankce v případě delší nedostupnosti.

Základní ochranu před DDoS by měl vždy implementovat ISP, neboť útok je nutné detekovat a zarazit co nejblíže u zdroje. ISP může přijmout jednoduché řešení spočívající v tzv. peering policy, kdy se dohodne s dalšími ISP, že z jejich sítí nebudou odcházet pakety, které tam nemohou vzniknout. ISP provider zná rozsah IP adres, které přiděluje, takže pokud mu přijde paket, který obsahuje IP adresu, kterou nemohl přidělit, tak ji zahodí, bez toho aniž by o tom informoval odesílatele. Problém je, že aby to takto fungovalo, museli by se tak chovat opravdu všichni ISP a ne fungovat jako tranzitní, tedy že přepošlou vše, co k nim přijde.

Lze očekávat, že jak se budou tato řešení proti volumetrickým DDoS útokům postupně nasazovat, bude počet těchto útoků klesat, což povede k tomu, že budou přibývat DDoS útoky vedené na vyšší vrstvy OSI modelu. To však bude ještě nějakou dobu trvat, a proto zatím můžeme počítat spíše s útoky realizovanými na síťové vrstvě. A jak vyplývá např. ze zprávy společnosti Prolexic, bude se jednat o útoky o datovém toku až několika desítek Gb/s.

Jen minimum společností však bude čelit takovýmto masivním útokům. Drtivá většina bude naopak čelit útokům výrazně menším, řekněme kolem 1 Gb/s, tedy pokud jde o síťový útok. V případě aplikačního DDoS pak můžeme očekávat datový tok kolem 100 Mb/s. Pokud vás zajímá, jaký je poměr aplikačních a síťových útoků, tak vězte, že jest přibližně stejný.

V ČR, která v současné době není cílem útočníků, neboť ve světě jsou daleko zajímavější cíle, lze očekávat spíše DDoS útoky z botnetu generující datový tok výrazně nižší, podobně jako tomu bylo v březnu tohoto roku, kdy se jednalo o obyčejný SYN flood útok, při kterém stačilo jen zapnout SYN cookies, a k zahlcení fronty a vyčerpání paměti dojít vůbec nemuselo.

Stejně tak doba útoku na jeden subjekt v ČR nebude v drtivé většině případů delší než pár hodin. Samozřejmě, záleží na motivaci útočníka, ale jestliže mu jde o to, aby útoku byla věnována dostatečná pozornost ze strany médií, tak mu stačí shodit během několika málo hodin pár serverů pomocí botnetu, který si může pronajmout za 5 USD na hodinu. Ano, cena útoku je směšná v porovnání s náklady na ochranu před tímto útokem nebo možnými následky.

Obrana před aplikačními DDoS útoky realizovanými přes HTTP, HTTPS, SMTP nebo DNS je o poznání náročnější, neboť zde je mnohem větší problém odlišit legitimního uživatele od zombií zapojených v botnetu. V obou případech je totiž navázáno spojení, probíhá standardní komunikace a je využíváno všech dostupných služeb daného serveru, tedy i těch, jejichž extenzivní využití vede k DDoS.

Je nasnadě, že většina řešení, která nabízí ochranu před DDoS útoky, nabízí v podstatě jen ochranu před volumetrickými útoky, nikoliv před aplikačními útoky, tedy záplavou HHTP nebo HTTPS požadavků. Přesměrování datového toku do cloudu vám může pomoci jen tehdy, když daný poskytovatel této služby bude terminovat SSL za účelem hloubkové inspekce paketů. To ale znamená, že bude mít přístup ke všem datům, přenášených přes SSL, tedy např. i k přihlašovacím údajům.

Pokud je toto řešení pro vás nepřijatelné, budete muset nasadit krabicové řešení přímo na vaší síti. Takové zařízení funguje celkem jednoduše, po nějakou dobu se učí, jaký provoz na vaší síti je normální, a pokud později detekuje nějaké odchylky od tohoto stavu, tak požadavky na spojení odmítá. Takový útok lze většinou odhalit tak, že požadavky na spojení jsou navazovány z jiných lokalit, v jinou dobu, s určitou pravidelností, mají stejné charakteristiky apod.

Pokud nechcete investovat do žádných zázračných krabiček, protože ani ty nemusí ustát DDoS, a nechcete též platit za službu firmě provozující cloud, bude vám možná stačit, když budete dodržovat pár obecných zásad, které by vás měly ochránit před většinou útoků, které zpravidla netrvají déle než pár hodin, a zbytkové riziko akceptovat.

  • Myslete na to, že všechny prvky, z kterých se určitý systém skládá, by měly být odolné vůči útoku. Abyste věděli, které to jsou, měli byste zavést proces Asset and Configuration Management, protože jedině tak lze sledovat vazby a závislost mezi jednotlivými prvky.
  • Nakonfigurujte správně svá síťová zařízení. Většina siťových prvků se dokáže nejčastějším útokům poměrně účinně bránit.
  • Analyzujte log a podívejte se, z jakých IP adresních rozsahů se k vám klienti připojují, a o jaký počet klientů se jedná.
  • Blokujte přístup. Jestliže nepodnikáte na světovém trhu a většinu vašich zákazníků tvoří občané nacházející se na území ČR nebo SR, můžete zvolit jednoduché řešení a blokovat přístup ze všech ostatních zemí na základě GeoIP, a to třeba jen po dobu trvání daného útoku. Riziko, že by vámi poskytovaná služba byla nedostupná pro vaše klienty, kteří se zrovna v době útoku nachází v zahraničí, je skutečně minimální.
  • Chraňte šířku pásma. Zjistěte si, jaká je maximální propustnost vaší infrastruktury a to i mezi jednotlivými vrstvami a nepovolte větší datový tok. I za cenu, že by se pro některé uživatele měla služba jevit jako dočasně nedostupná.
  • Omezte počet současně připojených uživatelů. Zjistěte si, kolik současně připojených uživatelů je váš systém schopen obsloužit a kolik uživatelů se k vaší službě běžně připojuje. Při překročení této hodnoty další požadavky na spojení zahazujte. Případně můžete toto pravidlo omezující počet současně připojených uživatelů aplikovat jen na přístupy pocházející mimo ČR a SR. Tím získají i občané nacházející mimo republiku větší šanci se připojit.
  • Své řešení navrhněte jako disaster tolerant, a provozujte ho jako geografický cluster. Pokud máte všechny své core systémy umístěné u jednoho poskytovatele, máte problém, protože v případě útoku na jednu službu dojde k nedostupnosti i těch ostatních, které útočník odstavit ani původně nezamýšlel. To je nevýhoda konsolidace serverů v jednom datovém centru nebo přesun všech služeb do cloudu k jednomu CSP za jeden firewall a společný DNS server.
  • Své pobočky, agenty a nejrůznější terminály připojujte přes privátní linky na dedikované brány. Přístup by měl být umožněn pouze z vybraných IP adres nebo IP adresního rozsahu. Je nesmysl, aby přes stejnou bránu byl realizován přístup na služby s různou kritičností.
  • Aplikace vytvářejte jako vícevrstvé a jednotlivé vrstvy od sebe oddělte firewally a nastavte na nich prostupy jen pro vybraný protokol, IP adresu a port. Z internetu umožněte přístup jen na ty servery, které jsou pro poskytování dané služby nezbytné.
  • Pokud provozujete web s vysokou návštěvností, a u kterého hrozí, že by mohly být i legitimním provozem přetížen, např. zpravodajský server, tak můžete video, obrázky, skripty, widgety apod. uložit do cloudu, odkud se pak budou stahovat. Výrazně tak můžete redukovat počet požadavků na webový server. V krajním případě se pak nestáhnou obrázky, ale text, který je ve zpravodajství stěžejní, ano. Tato technika se nazývá Content Delivery Network, zkr. CDN.
  • Kromě běžných penetračních testů provádějte i DoS test. Pořád lepší, když si svou infrastrukturu otestujete sami, než když to udělá někdo jiný v době, kdy se vám to bude nejméně hodit.

Máte nějaký další tip, jak se bránit před DDoS? Napište.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. DDoS útoky v ČR: řešení místo strašení. Online. Clever and Smart. 2013. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/ddos-utoky-v-cr-reseni-misto-straseni/. [cit. 2025-02-10].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “DDoS útoky v ČR: řešení místo strašení” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: