Problem ataków DDoS (distributed denial of service) rokrocznie rośnie, a ich ofiarami stają się kolejne firmy i instytucje, także w Polsce. Paraliż łączy internetowych, firmowych serwerów czy telefonów VoIP oznacza realne straty finansowe i wizerunkowe.
W przeszłości organizacje nauczyły się walczyć ze spamem i wirusami, dziś konieczne stało się również zarządzanie dostępnością w internecie. Jednak inaczej niż w przypadku spamu, przed wolumetrycznym atakiem DDoS nie da się obronić bez zewnętrznego wsparcia. Największe znane ataki przekraczają bowiem poziom 500Gbit/s. W Polsce obserwowane dotychczas ataki przekraczają 50Gbit/s, ale nawet „drobny” atak rzędu 10Gbit/s to więcej, niż jest w stanie przyjąć typowe łącze klienckie.
Kto, czemu i jak to robi?
Ataki DDoS prowadzone są z różnych powodów – często mają podłoże ideologiczne, polityczne, ale również finansowe (walka z konkurencją, szantaże). Niestety, ataki DDoS można dziś kupić za kilka dolarów w formie usługi (Crime as a Service), dlatego taki atak można również otrzymać w odwecie od niezadowolonego klienta lub jako efekt uboczny walk między klanami graczy on-line.
Czy agresor dysponuje łączem 500Gbit? Oczywiście, że nie. Do ataku wykorzystywane są zjawiska odbicia (reflection) i wzmocnienia (amplification), na które podatne są niektóre protokoły sieciowe, np. DNS. Odbicie polega na wysłaniu do serwera trzeciego pakietu z zapytaniem, ale z fałszywym adresem IP nadawcy, wskazującym na ofiarę. Odpowiedź (np. lista rekordów DNS) wraca wówczas do ofiary. Dzięki temu nie wiadomo, kto inicjuje atak. Co gorsza, odpowiedź potrafi być bardzo duża, dziesiątki razy większa niż oryginalne zapytanie – i na tym właśnie polega drugi efekt, czyli wzmocnienie. Tysiące takich odbitych i wzmocnionych strumieni (flows) stają się w efekcie wielogigabitową rzeką zalewającą (flood) naszą sieć.
W poszukiwaniu rozwiązań
DARPA (Defense Advanced Research Projects Agency), organizacja której zawdzięczamy istnienie Internetu, uruchomiła w 2015 r. projekt badawczy XD3 (Extreme DDoS Defense), który ma ambitny cel kompleksowego rozwiązania problemu ataków DDoS. Nie czekając na wynik ich prac, już dziś możemy podejmować konkretne działania neutralizujące skutki tych ataków. Świadomość problemu jak i możliwości radzenia sobie z nim rośnie także w Polsce, coraz więcej podmiotów decyduje się na ukrycie swoich stron WWW za usługą typu odwrotnego proxy w chmurze (cloud-based reverse proxy). Trzeba jednak wiedzieć, że w większości przypadków atakujący może ustalić prawdziwy adres serwera (lub nawet tylko datacenter, w którym jest on kolokowany) i przeprowadzić skuteczny atak wolumetryczny.
Firma Atende Software opracowała redGuardian, system do filtrowania ataków DDoS, zdolny do filtrowania setek gigabitów ruchu. Jego sercem jest filtr pakietów, który wykorzystuje bibliotekę Intel DPDK i autorski framework, zoptymalizowany w celu osiągnięcia ekstremalnej wydajności (rzędu 100Gbit/s per serwer).
redGuardian jest oferowany w modelu usługi scrubbing center podmiotom biznesowym i instytucjom publicznym posiadającym własną sieć IP (minimum 256 adresów), ponieważ może być świadczony niezależnie od dostawcy łącza. W przypadku operatorów szkieletowej sieci IP, redGuardian jest z kolei ciekawą alternatywą dla kosztownych rozwiązań pudełkowych oferowanych przez globalnych graczy.
W modelu z zewnętrznym scrubbing center ruch IP wysyłany jest w czasie ataku najpierw do usługodawcy (przekierowanie następuje w światowej tablicy routingu BGP). Pakiety są filtrowane, a następnie odsyłane do sieci docelowej. Dużą zaletą tego podejścia jest brak potrzeby kupowania dodatkowych urządzeń po stronie klienta i stosunkowo proste wdrożenie. Nasz rekord to uruchomienie usługi w jeden dzień, na potrzeby pewnego zdarzenia medialnego. redGuardian sprawdził się również w boju, neutralizując m.in. wielogigabitowe ataki reflected NTP flood, reflected DNS flood czy TCP SYN flood.
Paweł Małachowski, Dział Systemów Bezpieczeństwa