Image
3.2.2015 0 Comments

Ako sa efektívne brániť pred útokmi DDoS pomocou cloudu?

ddos_attack.png Výrobcovia ochranných sieťových technológií v priebehu posledného desaťročia vyvinuli pomerne účinné prostriedky na obranu proti útokom DDoS (NGIPS, UTM, NGFW). Tieto nástroje využívajú vzorky útokov a ich správanie na vyhľadanie nežiaduceho obsahu a jeho elimináciu. Na odhalenie sa používa napr. metóda sledujúca frekvenciu a objem dát prenášaných od zdroja k cieľovej aplikácii.

Takto sa dá odhaliť hoci známy útok SYN Flood využívajúci zostavenie spojenia na zahltenie tabuliek cieľovej aplikácie len tým, že požiada o obrovské množstvo spojení a neodpovedá na následnú komunikáciu. Tento útok už dnešné moderné prostriedky zachytávajú veľmi jednoducho tak, že počítajú množstvo zostavovaných spojení z jedného zdroja a v prípade prekročenia rozumných medzí nedovolia ďalšie spojenie nadviazať.

S pomocou zombie

Útočníci sa zamerali na inú metódu útokov DoS využívajúcu staré známe príslovie, že „stokrát nič umorilo osla" - tzv. distribuované útoky DoS (DDoS). Na oklamanie obranných prostriedkov používajú malé množstvo útokov, ale z obrovského množstva zdrojov. Na to sa využívajú buď veľké farmy virtuálnych strojov, alebo lepšie rozľahlá sieť ovládnutých počítačov (tzv. botnet). Botnety vznikajú napadnutím firemných alebo domácich počítačov pomocou malvéru. Takéto napadnuté počítače sa potom stanú spiacimi útočníkmi (tzv. zombies) a vyčkávajú na pokyny útočníka z tzv. Comand and Control (C&C) serverov.

Botnety môžu mať aj státisíce nedobrovoľných členov. Sú známe aj komunitné útoky DDoS, keď útok bol naplánovaný napr. skupinou protestujúcich študentov cez sociálnu sieť a potom vo vopred dohodnutom čase spustený z aplikácie nainštalovanej na osobných počítačoch, notebookoch, ale napr. aj z mobilných telefónov. Je teda zrejmé, že ak je takýto útok vykonaný zo státisícov miest a tvári sa ako legálna prevádzka, bežnými obrannými prostriedkami ho takmer nemožno zachytiť.

Existujú dva druhy distribuovaných útokov:

• Volumetrické - majú za úlohu zahltiť cieľovú linku nezmyselnou prevádzkou a spôsobiť tak jej praktickú nepoužiteľnosť.
• Aplikačné - útočiace na chybu v cieľovej aplikácii so zámerom jej resetu alebo významného spomalenia pomocou preťaženia zdrojov.

Na zachytenie týchto útokov vyvinuli bezpečnostné firmy novú oblasť produktov, tzv. Anti-DDoS. Zariadenia pracujú na báze analýzy dátovej prevádzky (podobne ako IPS), kde vyhodnocujú, či prevádzka obsahuje niektoré znaky útoku, a následne vykonajú jej zmiernenie (mitigation). Táto procedúra prebieha buď na zákazníckej úrovni, alebo operátorskej. Výhodou operátorskej kontroly je zachytenie napr. volumetrických útokov už vo chvíli, keď sa nachádzajú ešte v mieste dostatočnej prenosovej kapacity, a tak nemôžu napáchať veľké škody. Úskalie tejto metódy je však v nemožnosti plnej ochrany takéhoto pásma z výkonových dôvodov. Vybudovanie anti-DDoS ochrany na takejto sieti by bolo natoľko nákladné, že by pre mnoho zákazníkov bolo cenovo prakticky nedostupné.

Pomôcť môže operátor

Ponúka sa však jednoduché riešenie. Vzhľadom na to, že v prípade distribuovaného útoku prechádza obrovské množstvo prevádzky, možno takýto útok zachytiť i z jeho vzorky (napr. 1:1000). V prípade záchytu podozrivej prevádzky je potom tá presmerovaná a kompletne podrobená analýze. To umožňuje operátorovi zaobstarať zariadenie s rádovo nižším výkonom. Reakcia na útok trvá v takomto prípade asi desiatky až stovky sekúnd. O niečo efektívnejšou a pre zákazníka neraz lacnejšou metódou môže byť hybridné zákaznícke a operátorské riešenie, kde prevádzka je kompletne kontrolovaná zariadením na strane zákazníka a len v prípade, že zaťaženie linky presiahne vopred danú medzu, požiada toto zariadenie o výpomoc zariadenie na strane operátora.

Alebo obslúžime každého

Obrana proti útokom DDoS však nemusí spočívať iba v nasadení technológie, ktorá vie viac či menej efektívne identifikovať prebiehajúci útok. Anti-DDoS riešenie dokáže rozlíšiť stopercentne legitímne a stopercentne škodlivé požiadavky, existuje však veľké množstvo požiadaviek, o ktorých možno povedať, že sú škodlivé len s určitou pravdepodobnosťou. Inými slovami, požiadavky môžu byť označené za škodlivé, hoci sú úplne legitímne. V prípade automaticky škálujúcich systémov možno vybavovať aj takéto požiadavky tak, aby nedošlo k odmietnutiu služby ani v situácii falošného pozitívneho (false positive) nálezu.

Automaticky škálujúce systémy a infraštruktúru možno zabezpečiť súčasnými prostriedkami dátových centier a možno zabezpečiť napríklad aj automatické škálovanie do verejného cloudu. Služba je tak prevádzkovaná v hybridnom prostredí cloudu, v privátnom a verejnom cloude zároveň. Takýto prístup dokáže zvládnuť v podstate akýkoľvek útok DDoS a má aj veľa pozitívnych vedľajších efektov, ako je úspora nákladov na rozširovanie systémov na prirodzený nárast požiadaviek alebo zvládanie požiadaviek v špičkách, ako sú napr. Vianoce pre internetové obchody.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá