Nedavni napad DDoS na nekatere slovenske banke nas je opozoril na resnost te grožnje v našem okolju. Kaj lahko storimo, da bomo varnejši pred napadi DDoS?

V začetku oktobra je Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (SI-CERT) obravnaval poskus ohromitve spletnih storitev nekaterih bank in hranilnic v Sloveniji z namenom izsiljevanja. Napadalci so sprožili napad ohromitve (angl. Distributed Denial of Service – DDoS) in poslali izsiljevalsko sporočilo, s katerim so zahtevali plačilo odkupnine za prenehanje napada.

Podrobneje o napadu DDoS na banke

Napadalci so izvedli t. i. volumetrične napade, kar pomeni, da so proti ciljnim omrežjem sprožili velike količine omrežnega prometa, ki je preobremenil povezave med ponudniki internetnih storitev in omrežji bank.

Za volumetrične napade DDoS je značilno, da napadalci na različne načine zlorabljajo veliko število geografsko razpršenih omrežnih naprav tako, da slednje generirajo ogromno količino omrežnega prometa in ga usmerijo proti omrežju tarče. Obseg prometa lahko tipično preseže nekaj 10 Gb/s ali celo 100 Gb/s, največji znani napadi doslej pa so presegli 1 Tb/s!

Pred volumetričnimi napadi DDoS se s klasičnimi varnostnimi ukrepi v našem omrežju žal ne moremo zaščititi. Ko promet napada DDoS »poplavi« povezavo med ciljnim omrežjem in ponudnikom internetnih storitev, je popolnoma vseeno, kakšna požarna pregrada ščiti dostop do ciljnega omrežja in kakšna varnostna politika je na njej ali kateri koli drugi varnostni napravi v omrežju. Pomagale nam ne bodo niti nobene druge varnostne kontrole, ki nas sicer obvarujejo pred drugimi vrstami napadov. Brez rednega nameščanja popravkov na strežnike in delovne postaje si varnega omrežja sicer ne moremo zamisliti, vendar nas napad DDoS zaradi tega ne bo nič manj učinkovito odrezal od medmrežnega sveta. Zmogljivost lokalne internetne povezave je preprosto premajhna v primerjavi s prometom DDoS.

Ali zmoremo napad DDoS obvladati sami?

V lastnem omrežju ne morete postaviti učinkovite obrambe, se pa lahko za določene načine zaščite dogovorite s svojim internetnim ponudnikom.

Napad DDoS je v omrežju ponudnika relativno lahko zaznati:

• ogromen porast prometa z zelo velikega števila izvornih naslovov na en oziroma majhno število ciljnih naslovov IP je težko prezreti;
• tipično je uporabljena ista kombinacija vrat UDP/TCP;
• promet praviloma izvira iz tujine (največkrat iz Kitajske, ZDA, Rusije ali Brazilije in nekaterih drugih držav).

Ponudnik lahko identificira in blokira takšen promet po pričetku napada in s tem prepreči, da bi promet DDoS onemogočil legitimen dostop do napadenega omrežja. Radikalnejša možnost je, da ponudnik začasno onemogoči ves promet med tujino in ciljnim omrežjem. Javne storitve omrežja so zavarovane pred napadom in so tako še naprej na razpolago uporabnikom v Sloveniji, uporabniki iz tujine pa seveda ne morejo do njih. Po koncu napada ponudnik omogoči prost dostop do ciljnega omrežja svoje stranke.

Kako se ubraniti največjih napadov DDoS?

Obsežni napadi DDoS – spomnimo se, v skrajnih primerih dosegajo 1 Tb/s – lahko generirajo več prometa, kot ga lahko prenesejo povezave manjših internetnih ponudnikov. V takem primeru ponudnik sam postane žrtev napada.

Pri največjih napadih potrebujemo rešitve, ki vključujejo t. i. centre za filtriranje prometa (angl. scrubbing center). Naloga takega centra je, da »prečisti« promet proti ciljnemu omrežju ali spletni aplikaciji. Promet DDoS se v centru blokira, preostali (legitimen) promet pa nadaljuje pot do cilja. Prednost centrov za filtriranje prometa v primerjavi z lokalnimi internetnimi ponudniki je v tem, da uporabljajo centri zelo zmogljive povezave (velikostnega razreda 1 Tb/s in več) do največjih globalnih ponudnikov (na primer »Tier 1«) internetnih storitev.

Potreba po zmogljivih povezavah narekuje tudi ustrezno geografsko lokacijo centrov, zato se nahajajo v bližini večjih globalnih internetnih vozlišč oziroma križišč. Centri dobrega ponudnika so med sabo redundantni. Dogovorimo se lahko, da promet proti našemu omrežju ali stalno usmerjamo prek centra ali pa to naredimo na zahtevo (le med trajanjem napada DDoS).

Promet običajno preusmerimo prek centra za filtriranje na enega od dveh načinov:

• z uporabo usmerjevalnega protokola BGP (angl. Border Gateway Protocol);
• s spremembo razreševanja imen DNS (angl. Domain Name System).

Pri preusmeritvi z BGP spremenimo oglaševanje našega javnega naslovnega prostora (»prefiksa BGP«) tako, da se ta v internet oglašuje prek centra za filtriranje. Ves promet, namenjen v naše omrežje, zato najprej prečka center za filtriranje. Da prečiščen promet doseže naše omrežje, vzpostavimo s centrom povezavo, ki uporablja enkapsulacijo GRE, ali pa uporabimo katero drugo primerno rešitev, ki jo center podpira. Promet lahko na ta način preusmerimo le, če uporabljamo javni naslovni prostor z masko /24 ali večji.

Če želimo prek centra preusmeriti samo promet do posameznih strežnikov, lahko to storimo s spremembo zapisov DNS. Center v tem primeru opravlja storitev posredniškega strežnika (angl. proxy).

Katero obrambno strategijo izbrati?

Pred napadi DDoS se torej lahko učinkovito zaščitimo, a sami tega ne moremo storiti. Storitve centrov za filtriranje so praviloma dražje od storitev lokalnih internetnih ponudnikov, so pa učinkovite tudi pri največjih napadih.

Odločitev o načinu obrambe je seveda v največji meri odvisna od potencialnih poslovnih stroškov, ki jih nedostopnost vaših storitev povzroči. Morda se na prvi pogled zdi, da je ceneje plačati odkupnino, a se vas bodo napadalci v tem primeru najverjetneje lotili ponovno.

Z napadi DDoS se bomo soočali še naprej, saj jih napadalci izvajajo na relativno enostaven način. Napade lahko prožijo samodejno, stroški izvedbe napada pa so nizki.