Image
3.2.2015 0 Comments

Ako sa efektívne brániť pred útokmi DDoS pomocou cloudu?

ddos_attack.png Výrobcovia ochranných sieťových technológií v priebehu posledného desaťročia vyvinuli pomerne účinné prostriedky na obranu proti útokom DDoS (NGIPS, UTM, NGFW). Tieto nástroje využívajú vzorky útokov a ich správanie na vyhľadanie nežiaduceho obsahu a jeho elimináciu. Na odhalenie sa používa napr. metóda sledujúca frekvenciu a objem dát prenášaných od zdroja k cieľovej aplikácii.

Takto sa dá odhaliť hoci známy útok SYN Flood využívajúci zostavenie spojenia na zahltenie tabuliek cieľovej aplikácie len tým, že požiada o obrovské množstvo spojení a neodpovedá na následnú komunikáciu. Tento útok už dnešné moderné prostriedky zachytávajú veľmi jednoducho tak, že počítajú množstvo zostavovaných spojení z jedného zdroja a v prípade prekročenia rozumných medzí nedovolia ďalšie spojenie nadviazať.

S pomocou zombie

Útočníci sa zamerali na inú metódu útokov DoS využívajúcu staré známe príslovie, že „stokrát nič umorilo osla" - tzv. distribuované útoky DoS (DDoS). Na oklamanie obranných prostriedkov používajú malé množstvo útokov, ale z obrovského množstva zdrojov. Na to sa využívajú buď veľké farmy virtuálnych strojov, alebo lepšie rozľahlá sieť ovládnutých počítačov (tzv. botnet). Botnety vznikajú napadnutím firemných alebo domácich počítačov pomocou malvéru. Takéto napadnuté počítače sa potom stanú spiacimi útočníkmi (tzv. zombies) a vyčkávajú na pokyny útočníka z tzv. Comand and Control (C&C) serverov.

Botnety môžu mať aj státisíce nedobrovoľných členov. Sú známe aj komunitné útoky DDoS, keď útok bol naplánovaný napr. skupinou protestujúcich študentov cez sociálnu sieť a potom vo vopred dohodnutom čase spustený z aplikácie nainštalovanej na osobných počítačoch, notebookoch, ale napr. aj z mobilných telefónov. Je teda zrejmé, že ak je takýto útok vykonaný zo státisícov miest a tvári sa ako legálna prevádzka, bežnými obrannými prostriedkami ho takmer nemožno zachytiť.

Existujú dva druhy distribuovaných útokov:

• Volumetrické - majú za úlohu zahltiť cieľovú linku nezmyselnou prevádzkou a spôsobiť tak jej praktickú nepoužiteľnosť.
• Aplikačné - útočiace na chybu v cieľovej aplikácii so zámerom jej resetu alebo významného spomalenia pomocou preťaženia zdrojov.

Na zachytenie týchto útokov vyvinuli bezpečnostné firmy novú oblasť produktov, tzv. Anti-DDoS. Zariadenia pracujú na báze analýzy dátovej prevádzky (podobne ako IPS), kde vyhodnocujú, či prevádzka obsahuje niektoré znaky útoku, a následne vykonajú jej zmiernenie (mitigation). Táto procedúra prebieha buď na zákazníckej úrovni, alebo operátorskej. Výhodou operátorskej kontroly je zachytenie napr. volumetrických útokov už vo chvíli, keď sa nachádzajú ešte v mieste dostatočnej prenosovej kapacity, a tak nemôžu napáchať veľké škody. Úskalie tejto metódy je však v nemožnosti plnej ochrany takéhoto pásma z výkonových dôvodov. Vybudovanie anti-DDoS ochrany na takejto sieti by bolo natoľko nákladné, že by pre mnoho zákazníkov bolo cenovo prakticky nedostupné.

Pomôcť môže operátor

Ponúka sa však jednoduché riešenie. Vzhľadom na to, že v prípade distribuovaného útoku prechádza obrovské množstvo prevádzky, možno takýto útok zachytiť i z jeho vzorky (napr. 1:1000). V prípade záchytu podozrivej prevádzky je potom tá presmerovaná a kompletne podrobená analýze. To umožňuje operátorovi zaobstarať zariadenie s rádovo nižším výkonom. Reakcia na útok trvá v takomto prípade asi desiatky až stovky sekúnd. O niečo efektívnejšou a pre zákazníka neraz lacnejšou metódou môže byť hybridné zákaznícke a operátorské riešenie, kde prevádzka je kompletne kontrolovaná zariadením na strane zákazníka a len v prípade, že zaťaženie linky presiahne vopred danú medzu, požiada toto zariadenie o výpomoc zariadenie na strane operátora.

Alebo obslúžime každého

Obrana proti útokom DDoS však nemusí spočívať iba v nasadení technológie, ktorá vie viac či menej efektívne identifikovať prebiehajúci útok. Anti-DDoS riešenie dokáže rozlíšiť stopercentne legitímne a stopercentne škodlivé požiadavky, existuje však veľké množstvo požiadaviek, o ktorých možno povedať, že sú škodlivé len s určitou pravdepodobnosťou. Inými slovami, požiadavky môžu byť označené za škodlivé, hoci sú úplne legitímne. V prípade automaticky škálujúcich systémov možno vybavovať aj takéto požiadavky tak, aby nedošlo k odmietnutiu služby ani v situácii falošného pozitívneho (false positive) nálezu.

Automaticky škálujúce systémy a infraštruktúru možno zabezpečiť súčasnými prostriedkami dátových centier a možno zabezpečiť napríklad aj automatické škálovanie do verejného cloudu. Služba je tak prevádzkovaná v hybridnom prostredí cloudu, v privátnom a verejnom cloude zároveň. Takýto prístup dokáže zvládnuť v podstate akýkoľvek útok DDoS a má aj veľa pozitívnych vedľajších efektov, ako je úspora nákladov na rozširovanie systémov na prirodzený nárast požiadaviek alebo zvládanie požiadaviek v špičkách, ako sú napr. Vianoce pre internetové obchody.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá