Hacktivistické a kyberzločinecké skupiny používajú DDoS útoky, lebo sú ľahko dostupné a funkčné. Častou motiváciou útočníkov je diskreditácia organizácie či vyvolanie neurčitých stavov v správaní technických prvkov alebo vo vykonávaní procesov. Tým si útočníci „otvárajú dvierka“ k ďalším typom útokov.
Útočníci menia stratégiu
Na základe samotnej definície Distributed Denial of Service útok spôsobí, že služba sa stane nedostupnou. Ak sú útoky realizované pomocou extrémneho množstva požiadaviek, ide o volumetrické útoky. Tento typ útokov zneužíva fyzické limity sieťových prvkov, akými sú rýchlosť a priepustnosť liniek a sieťových kariet. Limitovaná je aj kapacita centrálneho procesora, čo obmedzuje možnosti spracovávania požiadaviek.
Tu by sa dal robiť vyčerpávajúci zoznam DDoS útokov či už na základe ISO/OSI modelu, cieľového protokolu alebo hardvérového komponentu. Namiesto toho sa však pozrime na trendy.
Nenápadne, ale isto
Ak hovoríme, že volumetrický DDoS útok využíva hrubú silu, na druhej strane tejto pomyselnej stupnice je DDoS útok typu slow loris. Ten, naopak, posiela relatívne málo požiadaviek, no drží extrémne veľa otvorených spojení.
Pre každé spojenie musí cieľová služba alokovať miesto RAM pamäte. Pri dostatočnom počte otvorených spojení sa RAM zaplní a služba sa stáva nedostupnou. Hoci oba prístupy využívajú princípy DDoS, obrana proti nim je diametrálne odlišná.
Keď zariadenia nevládzu
Ak ste sa teda niekedy čudovali, prečo skupina hackerov vie urobiť „na počkanie“ úspešné útoky na kľúčové organizácie a vlády, tak je to práve pre fyzické limity ochrany proti DDoS útokom. Aj to najvýkonnejšie bezpečnostné zariadenie či služba v cloude majú limity.
Tu je namieste uviesť obligátnu bezpečnostnú „poznámku pod čiarou“, že neexistuje 100-percentná ochrana. Práve pri DDoS útokoch má svoje nekompromisné ratio. Existujú však efektívne riešenia, ako eliminovať dosah takéhoto útoku. A to do významnej miery.
Začíname u seba doma
Základná vrstva ochrany sa dá realizovať už správnym škálovaním samotnej služby. Rozložením záťaže pomocou LoadBalancerov medzi viaceré servery či využívaním CDN (content deliver networks) sa záťaž na službu efektívne rozkladá medzi viaceré zdroje.
K základným prvkom ochrany patrí aj architektúra siete, respektíve publikovanej služby. Služby pre zákazníkov a tie, ktoré konzumuje samotná organizácia, je vhodné rozdeliť medzi rôzne siete. Na aplikačnej úrovni je vhodné použiť metódy ako captcha či rôzne typy presmerovaní. Hoci tieto nastavenia sú často súčasťou dedikovaných zariadení, stále ich vieme realizovať vo vlastnej sieti, a tým zvýšiť úroveň ochrany proti DDoS útokom.
Pridávame hardvér
V druhom kroku zvážme implementáciu zariadení na filtrovanie DDoS útokov. Poskytujú komplexné metódy detekcie, alarmov a možností nastavenia filtrovania škodlivých požiadaviek. Efektivita takýchto zariadení je pri správnom nastavení pomerne vysoká, keďže pre detekciu útokov používajú komplexné heuristické modely a nezriedka aj prvky strojového učenia.
Správna architektúra siete v spojení s hardvérovým vybavením poskytujú bohaté možnosti nastavenia, v oboch prípadoch však počítajte so zriaďovacími a operatívnymi nákladmi.
Služba od poskytovateľa
Väčšina poskytovateľov internetového pripojenia poskytuje službu ochrany pred DDoS útokmi. Nespornou výhodou je, že potenciálny útok sa filtruje ešte pred vstupom do vašej infraštruktúry.
Implementačné náklady bývajú oveľa nižšie. Nevýhodou takéhoto riešenia je práve jeho balíkovosť, čiže absencia možnosti detailného nastavenia.
Služba cloudovej DDoS ochrany posúva útoky ešte ďalej od infraštruktúry. Predstavuje dodatočný element ochrany a vyšší stupeň komfortu z hľadiska možností ochrany, škálovania a nastavenia. Vzhľadom na pomerne jednoduchú implementáciu tejto služby v súčasnosti existuje niekoľko riešení, ku ktorým patria pravidelné reporty a monitorovacie rozhrania.
Nikdy sa to nekončí
Výber riešenia závisí od mnohých faktorov, akými sú možnosti implementácie, akútnosť potreby či v neposlednom rade dostupný rozpočet.
A ani potom nemôžeme spať na vavrínoch – o samotnú DDoS ochranu sa treba pravidelne starať, monitorovať a upravovať jej nastavenia, aby efektívne plnila úlohu vzhľadom na meniace sa požiadavky organizácie a aj povahu útokov.
Michal Srnec, CISO Aliter Technologies