Ataki DDoS należą do grupy najstarszych zagrożeń w Internecie, jednak wciąż plasują się w czołówce największych sieciowych plag. Wraz z rozwojem systemów bezpieczeństwa ewoluowały, a ich głównym celem stały się aplikacje i usługi. Obecnie mogą ukrywać się w warstwie 3, 4 lub 7, co dalece utrudnia ich wykrywanie. Stosując się do pewnych wytycznych można jednak zminimalizować ryzyko ich uciążliwego oddziaływania.

Mariusz Rzepka, Fortinet Territory Manager na Polskę, Ukrainę i Białoruś
Mariusz Rzepka, Fortinet Territory Manager na Polskę, Ukrainę i Białoruś

Ataki DDoS (ang. Distributed Denial of Service) najczęściej wycelowane są w branżę usług finansowych. Na drugim miejscu najbardziej pożądanych celów znajduje się zaś administracja publiczna. Poza znacznym ograniczeniem przepustowości pasma lub jego całkowitym wysyceniem w wyniku tzw. „powodzi zapytań” (ang. flood), ataki DDoS są coraz częściej wykorzystywane do zamaskowania bardziej wyrafinowanych prób wykradnięcia danych finansowych lub handlowych. Tego rodzaju ataki częstokroć mają na celu uniemożliwienie uzyskania dostępu do strategicznych informacji.

Ataki DDoS mogą być motywowane różnymi względami, najczęściej jednak cyberprzestępcy sięgają po tą broń ze względów politycznych, odwetowych lub finansowych. Wyłączenie botnetu lub rozbicie organizacji cyberprzestępczej może pociągnąć za sobą działania odwetowe wymierzone w tych, którzy pomagali lub współpracowali z organami ścigania. Ataki o pobudkach finansowych są zwykle zlecane i opłacane przez zewnętrznego zleceniodawcę. Niezależnie jednak od motywów przeprowadzenia ataku, rezultaty są zawsze takie same: sieć i usługi internetowe stają się niedostępne i pozostają w tym stanie przez dłuższy czas.

Uwaga na zaawansowane ataki DDoS przeprowadzane w warstwie aplikacji

Obecnie stosowanych jest wiele różnych rodzajów ataków DDoS. Wciąż wykorzystywane są nawet stare metody, znane od początków istnienia Internetu. Najnowszą „Wunderwaffe” w arsenale hakerów są jednak zaawansowane ataki przeprowadzane w warstwie 7, których celem są usługi aplikacyjne. Najczęściej spotykane są zalewy żądań SYN i HTTP GET. Służą one do zakłócenia pracy połączeń sieciowych lub przeciążenia serwerów znajdujących się za firewallami i systemami zapobiegania włamaniom (IPS, ang. Intrusion Prevention System).
Najbardziej martwiące jest jednak wykorzystywanie w atakach przeprowadzanych w tej warstwie dalece bardziej wyrafinowanych mechanizmów biorących na cel sieci i usługi ofiary. Zamiast zwyczajnie zalać sieć intensywnym ruchem lub ogromną liczbą sesji, atakowane są konkretne aplikacje i usługi w celu powolnego wyczerpania zasobów.

Ataki przeprowadzane w warstwie aplikacji mogą być bardzo skuteczne przy nawet bardzo małym natężeniu ruchu, wskutek czego mogą pozostać niewykryte przez większość tradycyjnych metod wykrywania ataków DDoS.

Możliwości zabezpieczenia się przed atakami DDoS

Większość dostawców Internetu oferuje ochronę przed atakami DDoS w warstwach 3 i 4, chroniąc łącza swoich klientów przed zalaniem nadmierną ilością danych. Nie mają jednak możliwości wykrycia dużo subtelniejszych ataków w warstwie 7. Operatorzy centrów przetwarzania danych i właściciele przedsiębiorstw nie mogą oczekiwać, że ich dostawca Internetu zapewni im ochronę w warstwie aplikacji. Powinni rozważyć samodzielne wprowadzenie jednego z omówionych poniżej środków:

    1. Zamówienie pakietu bezpieczeństwa u dostawcy usług ochrony przed atakami DDoS

Na rynku dostępnych jest wiele rozwiązań ochrony przed atakami DDoS w chmurze, obejmujących warstwy 3, 4 i 7. Mogą to być niedrogie usługi dla niewielkich serwisów WWW lub rozbudowane usługi korporacyjne obejmujące cały ekosystem różnych stron. Są zwykle bardzo proste w konfiguracji. Większość tego rodzaju usług oferowana jest w różnych pakietach cenowych. Wiele usług kierowanych do dużych przedsiębiorstw może się poszczycić funkcjami wykrywania ataków w warstwie 7. Wymagają one zainstalowania wyspecjalizowanych czujników w centrum przetwarzania danych. Wiele firm decyduje się na wykupienie takich usług, aczkolwiek część narzeka na nieprzewidywalne, często olbrzymie opłaty w przypadku wykrycia bardzo intensywnego ataku. Także wydajność takich rozwiązań często nie spełnia oczekiwań klientów, ponieważ usługodawcy przekierowują ruch DDoS do centrów interwencyjnych, zamiast zwyczajnie blokować go w czasie rzeczywistym. Jest to szczególnie uciążliwe w przypadku napotykanych zazwyczaj krótkotrwałych ataków.

    2. Zakup firewalla lub systemu IPS

Obecnie praktycznie każdy dostępny na rynku firewall czy system IPS jest wyposażony w pewne funkcje zabezpieczające sieć przed atakami DDoS. Zaawansowane zapory nowej generacji (NGFW, ang. Next Generation Firewall) oferują usługi IPS oraz ochrony przed atakami DDoS i potrafią poradzić sobie z wieloma tego rodzaju zagrożeniami. Połączenie firewalla, systemu IPS i ochrony przed atakami DDoS w jednej obudowie ułatwia zarządzanie infrastrukturą. Naraża jednak urządzenie na przeciążenie intensywnymi atakami DDoS, a także może nie dysponować mechanizmami wykrywania wyrafinowanych ataków w warstwie 7, dostępnych w rozwiązaniach innego typu. Kolejnym mankamentem jest fakt, że włączenie ochrony przed atakami DDoS w firewallu lub systemie IPS może obniżyć ogólną wydajność danego urządzenia, co zmniejsza przepustowość sieci i zwiększa opóźnienia odczuwane przez użytkowników końcowych.

    3. Zakup dedykowanego urządzenia do ochrony przed atakami DDoS

Dedykowane urządzenia fizyczne instalowane w samym centrum przetwarzania danych bądź w przedsiębiorstwie służą do wykrywania i powstrzymywania podstawowych (warstwy 3 i 4) oraz zaawansowanych (warstwa 7) ataków DDoS. Wdrożenie takiego urządzenia w głównym punkcie wejścia całego ruchu WWW umożliwia blokowanie zarówno ataków masowych, jak i monitorowanie całego ruchu wchodzącego do sieci i ją opuszczającego w celu wykrywania wzorców podejrzanych zachowań w warstwie 7. Koszt nabycia takiego urządzenia jest z góry ustalony i taki sam niezależnie od częstotliwości odpierania ataków. Minusem takiego rozwiązania jest konieczność zainstalowania i skonfigurowania nowego urządzenia w centrum przetwarzania danych bądź serwerowni oraz późniejszego nim zarządzania. Ponadto modele niższej klasy mogą sobie nie poradzić z najbardziej intensywnymi masowymi atakami. Trzeba też pamiętać, że wiele produktów wymaga regularnych aktualizacji sygnatur ataków.

Dedykowane sprzętowe rozwiązania do zwalczania ataków DDoS dostępne są w dwóch głównych wersjach – operatorskiej (Carrier) i korporacyjnej (Enterprise). Wersje operatorskie to duże, bardzo drogie urządzenia przeznaczone do wykorzystania w sieciach globalnych dostawców Internetu. Większość przedsiębiorstw pragnących zabezpieczyć swoje prywatne centra przetwarzania danych zwykle sięga po modele korporacyjne. Urządzenia dostępne obecnie na rynku potrafią poradzić sobie z dużym, intensywnym atakiem i chronią w pełni warstwy 3, 4 oraz 7. Można je również zastosować jako uzupełnienie podstawowej ochrony przed masowymi atakami DDoS, zapewnianej przez dostawcę Internetu, o wykrywanie i dławienie ataków w warstwie 7. Chociaż – w odróżnieniu od rozwiązań hostowanych – urządzenia te wymagają poniesienia pewnych kosztów inwestycyjnych, w dalszej perspektywie okazują się zdecydowanie tańsze, ponieważ nie występują żadne opłaty dodatkowe za ochronę przed intensywnymi atakami.

Przedsiębiorstwa powinny szukać urządzeń antyDDoS, które wykorzystują do wykrywania zagrożeń adaptacyjne metody analizy zachowania. Takie urządzenia „uczą się” normalnej aktywności aplikacji, po czym wykorzystują te dane jako punkt odniesienia analizy ruchu w sieci. Takie podejście do ochrony aplikacji ma tę zaletę, że chroni użytkowników przed nieznanymi atakami typu zero-day. Urządzenie nie musi czekać na aktualizację sygnatur, aby zauważyć podejrzany ruch.

Ataki DDoS stają się coraz większym problemem praktycznie wszystkich przedsiębiorstw, niezależnie od ich wielkości. Potencjalne zagrożenia i ich intensywność są coraz poważniejsze w miarę podłączania do Internetu kolejnych urządzeń, w tym tabletów i telefonów komórkowych. Jeśli firma posiada jakikolwiek serwis WWW, znajduje się w gronie potencjalnych celów ataku. Z uwagi na postępującą ewolucję ataków DDoS przedsiębiorstwa nie mogą już polegać wyłącznie na ochronie zapewnianej przez dostawcę Internetu. Muszą już teraz podjąć konkretne kroki, które lepiej przygotują je na przyszłość i zapewnią proaktywną obronę sieci oraz usług aplikacyjnych.

Mariusz Rzepka, dyrektor regionalny FORTINET na Polskę, Białoruś i Ukrainę