Bezpieczeństwo w sieci

8 mitów nt. ataków DDoS

Grzegorz Marczak
8 mitów nt. ataków DDoS
41

Problem DDoS-ów z roku na rok rośnie. Żeby daleko nie szukać – w zeszłym miesiącu przetoczyła się fala potężnych ataków wymierzonych w dostawców e-mail z całego świata. Ceny ataków spadają, koszty dla ofiar rosną, a celami stają się już nie tylko duże firmy i instytucje, ale nawet osoby prywatne. Wa...

Problem DDoS-ów z roku na rok rośnie. Żeby daleko nie szukać – w zeszłym miesiącu przetoczyła się fala potężnych ataków wymierzonych w dostawców e-mail z całego świata. Ceny ataków spadają, koszty dla ofiar rosną, a celami stają się już nie tylko duże firmy i instytucje, ale nawet osoby prywatne. Warto więc rozwiać kilka mitów dotyczących DDoSów.

Autorem wpisu jest Krzysztof Surgut z Data Space.

Mit #1: Wystarczy zwiększyć pasmo

To najpopularniejszy mit nt. ataków DDoS. Żeby się nie rozpisywać – rzućcie okiem na grafikę poniżej. To screenshot z systemu monitorującego, przedstawiający jeden z ataków, jaki miał miejsce w Polsce 17 lipca 2014r. Zanotowana wielkość to 100 Gbps.

Ile firm w Polsce jest w stanie zwiększyć swoje pasmo do 100 Gbps w przeciągu paru godzin? Odpowiedź na to pytanie powinna wystarczyć za wyjaśnienie, dlaczego odparcie ataku DDoS poprzez zwiększenie pasma to mit.

Wielowektorowy atak DDoS na Polskę o przepływności 100Gbp (źródło)

Mit #2: Chmura wchłonie każdy DDoS

Wystarczy zainstalować aplikację w chmurze i mamy problem DDoSów z głowy? Niekoniecznie. Istnieją dwa poważne problemy.

Zasoby w chmurze są ograniczone

Twórcy aplikacji przewidują zapotrzebowanie na moc obliczeniową i pamięć z pewnym zapasem. Nigdy jednak te zasoby nie są nieograniczone. Warto wiedzieć, że istnieje wiele typów ataków DDoS, zwłaszcza typu slow, które mają właśnie na celu wyczerpanie tych zasobów. Wiąże się z tym drugi problem…

Ochrona DDoS data center nie zawsze chroni klientów

Wiele centrów danych posiada aktywne systemy ochrony przed DDoS. Niestety w praktyce oznacza to zwykle ochronę tylko przed atakami wolumetrycznymi. Tylko nieliczne data center są zabezpieczone przed atakami aplikacyjnymi, a te – jak pokazuje wykres powyżej – stanowią prawie połowę.

Ponadto data center dużo piszą o ochronie przed atakami DDoS, jednak nie definiują, w jaki sposób realizowana jest usługa dla klienta. Bardzo często jest tak, że ochrona dotyczy całego ruchu IP, jaki trafia do data center – analiza dotyczy ataków skierowanych na wysycenie łącza data center, a nie zasobów konkretnego klienta. Nikt nie gwarantuje odparcia ataku DDoS dla aplikacji umieszczonej w chmurze, z zagwarantowaną przepływnością np. 100 Mbps. Aby ochronić tak wąskie pasmo przed atakiem wolumetrycznym, system aktywnej analizy pakietów powinien mieć podzielony ruch IP wpływający do data center na małe podsieci przydzielone poszczególnym klientom.

Dlaczego ma to takie znaczenie? Większość systemów wykrywających ataki DDoS bazuje na analizie próbek netflow – to coś w rodzaju skróconego opisu ruchu IP. Dzięki temu analizuje się nawet 500-razy mniej danych, jednak konsekwencją tego jest mniejsza skuteczność i spora bezwładność w wykrywaniu ataków DDoS. Jeżeli analizie netflow poddaje się bardzo duży ruch IP to do analizatora próbek netflow trafia co 1000-na próbka. W efekcie wykrywane są wyłącznie bardzo duże ataki wolumetryczne. Znam operatora w Polsce, który posiada ochronę przed DDoS, jednak jest ona skuteczna dla łączy o przepływności powyżej 10 Gbps. Mniejsze ataki nie są wykrywane. Ile firm w Polsce posiada łącze 10 Gbps?

Posadowienie aplikacji w chmurze nie oznacza więc braku kłopotów z DDoS. Warto dopytać firmę hostingową o szczegóły ochrony przed atakami.

Mit #3: Wystarczy przeczekać DDoS

Przeczekanie to najgorszy sposób reakcji, zwłaszcza dla systemów informatycznych, od których zależy sprawne działanie firmy czy instytucji. Raporty wszystkich firm zajmujących się ochroną przed DDoS potwierdzają, że z roku na rok rośnie średni czas trwania tych ataków. Od 2014r. wielokrotnie wzrosła liczba ataków permanentnych, powstało nawet pojęcie ataku PDoS, czyli permanentnego ataku DDoS.

Zmiana długości trwania ataków na przestrzeni ostatnich lat (źródło: RADWARE)

W jaki sposób przewidzieć, jak długo potrwa atak? W opisanym przeze mnie przypadku ProtonMail usługi tej firmy były niedostępne dla użytkowników przez 6 dni z powodu permanentnego DDoS-a. Dopiero uruchomienie ochrony za pomocą Scrubbing Center umożliwiło powrót do normalnej pracy. Nie wiadomo, czy atak nie trwałby kolejnych 6 dni. Nie był to jedyny taki przypadek. W listopadzie tego roku miała miejsce cała seria ataków DDoS na serwisy poczty elektronicznej w takich krajach, jak USA, Kanada, Australia, Norwegia czy Szwajcaria (więcej DDoS – Czarny Listopad providerów).

Czekanie to najgorszy sposób reagowania na DDoS!

Jeżeli grupa agresorów zorientuje się, że ofiara nie radzi sobie z odparciem ataku DDoS, to prawdopodobieństwo zapłaty okupu z dnia na dzień staje się coraz większe. W końcu szefowie firmy pękną i stwierdzą „skoro nie możemy nic zrobić to zapłaćmy ten okup”.

Jakie koszty ataków DDoS mają hakerzy? Jedynym kosztem jest praca, jaką trzeba wykonać, aby zbudować botnet, jego wykorzystanie już potem praktycznie nic nie kosztuje. Dużo więcej do stracenia ma atakowana firma, począwszy od strat finansowych spowodowanych brakiem sprzedaży i odpływem klientów, przez utratę reputacji, a skończywszy na poufnych danych – DDoS to często zasłona dymna, ułatwiająca przełamanie zabezpieczeń.

Mit #4: DDoS to przestępstwo, więc policja mi pomoże

Źródłem tego mitu jest przeświadczenie, że skoro ktoś popełnia przestępstwo, to wystarczy zgłosić ten fakt do odpowiedniego organu ścigania i problem będzie rozwiązany.

Niestety w żadnym kraju rządowe służby nie przeciwdziałają atakom DDoS – od tego są komercyjne firmy. W przypadku służb mundurowych można co najwyżej liczyć na wsparcie w przypadku śledzenia przestępców, bazując na przesłanych mailem żądaniach okupu czy sposobie realizacji płatności. Jeżeli nie jesteś instytucją państwową, to żadne służby zajmujące się cyberprzestępczością nie zajmą się twoim problemem.

Niech do myślenia da fakt, że co roku wiele instytucji państwowych ogłasza przetargi na zapewnienie ochrony przed atakami DDoS. Usługi te świadczą firmy prywatne, a nie rządowa agencja czy instytucja. Dotyczy to nie tylko Polski, ale wielu krajów Europy.

Mit #5: Reputacja jest dobra na wszystko

Często producenci firewalli podpierają się wiedzą z różnego rodzaju centrów reputacji (własnych lub firm trzecich). Metoda może i dobra dla ataków hakerskich, jednak w przypadku ataków DDoS, gdzie wykorzystywane są botnety, centra reputacji tracą sens.

Ten sam komputer może być źródłem ataku DDoS, jak również generować ruch rzeczywistego użytkownika. Wpisanie w centrum reputacyjnym takiego źródła jako generatora ataków DDoS nie przyniesie rozwiązania problemu, a czasami może przysporzyć sporo kłopotów firmie użytkującej taki firewall. Wyobraźcie sobie, że na waszym komputerze jest malware, generujący ataki DDoS. Nie wiecie o nim, działa sobie w tle. W efekcie wasz komputer wpisany zostaje na listę reputacyjną z informacją, że jest źródłem ataku DDoS.

Gdy firewall odpyta taką listę w przypadku sesji internetowej z tego komputera ruch zostanie zablokowany! Możliwa jest sytuacja, gdy próbujecie się zalogować do swojego konta w banku, a jego firewall uzna was za źródło ataku i uniemożliwi dostęp do aplikacji.

Warto bardzo doczytać i dopytać przedstawicieli producenta firewalla, przed czym tak naprawdę chroni ich system w zakresie ataków DDoS. Tylko bardzo drogie i zaawansowane systemy NGF rzeczywiście posiadają funkcje odpowiedniej analityki. O ograniczeniach związanych z wielkością łącza internetowego, na którym zainstalowany jest firewall nawet nie wspominam – średniej wielkości atak wysyci pasmo i wszystkie funkcje anty DDoS firewalla będą bez znaczenia.

Mit #6: To mnie nie dotyczy, jestem za mały

Przekonanie, że za atakami DDoS stoją zakapturzeni hakerzy, siedzący przed klawiaturą komputera to efekt hollywoodzkiej wizji HAKERÓW

W praktyce za bardzo wieloma atakami hakerskimi stoją automaty. Specjalne skanery, które automatycznie przeczesują Internet, poszukując np. niezałatanej dziury w sieci LAN. Odnalezienie słabego miejsca w sieci uruchamia skrypty, których zadaniem jest dokonanie ataku, np. DDoS.

Bardzo rzadko hakerzy działają z precyzyjnie wyznaczonym celem, który obserwują, skanują, rozpoznają oraz wyczekują na odpowiedni moment do ataku. Wielu hakerów to zawodowcy – łamanie zabezpieczeń to ich praca, dlatego nie marnują czasu na przypadkowe cele. Wielu z nich pisze skrypty, automatyzujące procesy, aby ataki realizowane były masowo i samoczynnie. Wykrycie słabego punktu w sieci uruchamia scenariusz ataku. W tym czasie nie tylko ofiara, ale także haker  może spokojnie spać.

Niedowiarkom proponuję zainstalować sobie na jakimś serwerze centralkę iPABX, np. Asteriska i pozostawić ją bez zabezpieczeń. Zapewne już po kilku dniach dojdzie do włamania i zmiany ustawień centrali.

To nie wielkość sieci czy systemu informatycznego może zdecydować o ataku, ale podatność na konkretny atak. Automat nie będzie oceniał czy dana firma jest duża, czy też mała. Wykona procedury i w raporcie do hakera przekaże efekty swojego działania. Nie łudź się, że małemu nic nie zrobią.

Mit #7: DDoS to atak sieciowy, najczęściej SYN Floods

Kolejny mit to przekonanie, że wśród ataków DDoS zdecydowaną większość stanowi jeden typ – SYN Floods. Kiedyś może tak było, ale te czasy dawno już minęły. Obecnie DDoSy to często wielowektorowe ataki zarówno sieciowe, jak i aplikacyjne. Poniższy wykres pokazuje rozkład najważniejszych typów ataków w 2014r.

Statystyczny rozkład rodzajów ataków DDoS (źródło: RADWARE)

Rzeczywiście SYN Floods jest popularny, ale to tylko 18% wszystkich DDoSów. Co istotne, popularność tego rodzaju ataku spada z roku na rok - w 2012r. stanowił on ponad 35% całości. Powyższe statystyki potwierdzają także dane od providerów, którzy oferują usługi antyDDoS – ataki aplikacyjne są równie popularne, jak sieciowe.

Mit #8: Firewall z IPS wystarczy, aby odeprzeć DDoS

Kolejnym mitem jest twierdzenie, że „firewall z IPS mnie ochroni”. W mylnym przekonaniu utwierdzają nas niektórzy producenci firewalli, którzy w materiałach promocyjnych informują o nowej funkcji „DDoS Protection”.

Polecam dokładną lekturę opisu tej funkcji, ponieważ nie zawsze oznacza ona to, z czym się kojarzy. Wykres poniżej przedstawia elementy sieci, które podlegają atakom DDoS. W wielu firewallach funkcja „anty DDoS” dotyczy ochrony firewalla przed skutkami DDoS (aby się nie zawiesił), a nie ochronę łącza przed atakami DDoS.

Miejsca ataków DDoS oraz zmiany na przestrzeni ostatnich lat. (źródło: RADWARE)

Czy firewall z IPS może ochronić przed atakami DDoS?

Odpowiedź jest prosta: FIREWALL NIE JEST OD TEGO!

Po pierwsze, firewall został stworzony do analizy ruchu IP i wykrywania prób włamania do sieci. Najczęściej firewall monitoruje zestawione połączenia i wpisuje je do specjalnej tablicy połączeń. Wszystko po to, aby weryfikować poprawność każdego połączenia (czy dane są wysyłane na właściwy port, we właściwiej kolejności, itd.). Ponadto firewall interesują szczególnie pakiety IP adresowane na rzadko używane porty. W przypadku takich portów jak  80, 53, 25 i 443, które zawsze są otwarte ruch IP traktowany jest jak prawidłowy ruch internetowy. Ataki DDoS prawie zawsze kierowane są na powyższe porty.

Typowy firewall jest w stanie przechowywać w tabeli dziesiątki tysięcy aktywnych połączeń. Problem pojawia się, gdy tych połączeń zaczynają być miliony, a tak się dzieje w przypadku ataku DDoS adresowanego na otwarte porty. Prowadzi to do szybkiego wyczerpania się tablicy rejestrującej aktywne połączenia i następuje przepełnienie. W efekcie firewall zablokuje otwieranie kolejnych aktywnych połączeń, a to oznacza że zablokuje również ruch zwykłych użytkowników.

Poprzedni wpis autora na Antyweb - Ataki DDoS w realnym świecie.

Foto Hooded cyber criminal stealing secrets with laptop via Shutterstock.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu