dodany: 25.01.2013 | tagi: , ,

Autor:

Pięć porad, jak zabezpieczyć się przed atakami DDoS

6

Wystarczy przejrzeć czołówki mediów, by uświadomić sobie, że ataki DDoS (Distributed Denial of Service) nie tylko nie znikną, ale będą się nasilać w najbliższym czasie. Cyberprzestępcy i haktywiści zapowiadają zwiększenie aktywności. Skutkiem działań może być zniszczenie reputacji oraz wymierne straty biznesowe i finansowe zaatakowanych przedsiębiorstw i organizacji. Charakter ataków DDoS jest nieprzewidywalny.

 

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

 

Zaczęło się od prostych ataków DoS, których celem było zablokowanie pojedynczych komputerów. Wraz z rozprzestrzenianiem się botnetów zagrożenie ewoluowało w zmasowaną wersję, która jest obecnie jednym z najgroźniejszych zjawisk w obszarze bezpieczeństwa sieciowego.

 

Ataki są coraz bardziej intensywne. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorów i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne.

 

Firma Fortinet opracowała listę kroków, jakie firmy powinny podjąć, aby wzmocnić ochronę i zmniejszyć ryzyko ataku. Ważne jest, żeby nie dążyć do wyeliminowania całego ruchu DDoS generowanego przez hakerów, ale skupić się na utrzymaniu funkcjonowania krytycznych usług i zminimalizowaniu zakłóceń. Oczywiście, podobnie jak w przypadku każdego innego aspektu bezpieczeństwa sieci, skuteczność systemu ochrony przed DDoS wymaga odpowiedniego planowania.

 

Kluczowe kroki to:

1. ocena środowiska sieciowego,

2. opracowanie kompleksowej strategii ochrony przed DDoS zarówno w warstwie sieciowej, jak i aplikacyjnej,

3. wdrożenie systemu monitorowania i kontroli na każdym poziomie infrastruktury,

4. ochrona serwerów DNS i innych krytycznych elementów infrastruktury,

5. implementacja w siedzibie firmy dedykowanych narzędzi do ochrony przed DDoS.

 

DDoS należą do najbardziej skutecznych ataków w krajobrazie bezpieczeństwa IT, częściowo z powodu ich prostoty. Powszechnie nazywa się je atakami wolumetrycznymi. Cyberprzestępcy wykorzystują botnety, aby wysyłać do sieci komputerów swojej ofiary więcej ruchu niż może zostać przetworzona. Powoduje to blokadę serwisu i brak dostępności atakowanej usługi.

 

Jak w przypadku większości ataków, hakerzy wykorzystują lukę w jednym z komputerów, który następnie, pod ich pełnym nadzorem, używany jest do zainfekowania kolejnych systemów. W ten sposób budowany jest botnet z kompletnym system dowodzenia i kontroli.

 

Na polecenie operatora botnetu, komputer główny przekazuje wszystkim zainfekowanym komputerom zadanie przeprowadzenia ataku, czyli masowej wysyłki pakietów do zdefiniowanego celu. Przeciążony liczbą żądań komputer ofiary odnotowuje poważne pogorszenie wydajności, a w efekcie zostaje zmuszony do przejścia w tryb offline.

 

Obecnie, firmy i organizacje są coraz bardziej narażone na ataki DDoS wymierzone w aplikacje webowe. Jeszcze zaledwie kilka lat temu do przeciążenia atakowanego łącza wykorzystywano przede wszystkim masową wysyłkę pakietów ping i ataki typu smurf. Dzisiaj aplikacje internetowe są bombardowane w znacznie bardziej wyrafinowany sposób. Aby przeciążyć serwer, włamywacze posługują się pozornie legalnymi żądaniami dostępu do aplikacji. Dzięki temu zdobywają wiedzę, które akcje tworzą największe obciążenie dla serwerów baz danych SQL. Istnieją też takie techniki ataków, w konsekwencji których dochodzi do manipulacji i w efekcie przeciążenia pamięci i/lub dysku serwera będącego ich celem. Raport Verizon Data Breach Investigations 2012 ujawnił, że celem wielu działań DDoS w warstwie aplikacyjnej było ukrycie za atakiem wolumetrycznym prawdziwego zadania hakerów np. próby kradzieży danych.

 

Ewolucja ataków DDoS

Mechanizmy ataków DDoS ewoluują w czasie, ale podstawowa koncepcja pozostaje wciąż ta sama – zablokowanie użytkownikom dostępu do atakowanej usługi. Pierwsze ataki DoS pojawiły się już pod koniec lat 90 tych. Początkowo były to ataki typu SYN Flooding, które polegają na wysyłaniu dużej liczby pakietów TCP z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy. Kolejne działania z tego czasu (WinNuke, Teardrop, Ping of Death) przeniosły ataki DoS na nowy poziom, zmieniając ich charakter z czysto rozrywkowego, swoistej zabawy hakerów, w potężne narzędzie cyberprzestępcze.

 

Hakerzy zaczęli migrować do modelu bardziej złożonego, ponieważ zbyt łatwo można było zidentyfikować źródła prostych ataków DoS. W ostatnich latach ataki rozrosły się i osiągnęły zmasowaną postać DDoS. Cyberprzestępcy posługują się setkami tysięcy komputerów zombie, którymi są zarówno urządzenia z sieci korporacyjnych, jak i maszyny użytkowników domowych. Sieci komputerów kontrolowanych przez hakerów dysponują ogromnym potencjałem do przeprowadzania ataków DDoS. Przykładem jest niedawna akcja, w której posiadacze urządzeń funkcjonujących w ramach botnetu zostali poproszeni o kliknięcie linku na Twitterze. Centralny serwer odbierał pakiety i przesyłał je masowo do ofiary. W operacji zastosowano zaawansowane techniki JavaScript.

 

Ataki DDoS są dziś powszechne, ale ich rozmiary, zasięg i metody stale ewoluują. W 2011 roku po raz pierwszy zaobserwowano spadek wielkości ataków wolumetrycznych, co tylko potwierdza fakt, że hakerzy mogą obecnie spowodować zawieszenie się systemu, generując znacznie mniejszy ruch niż w ubiegłych latach. Pojawiły się ataki takie, jak Slowloris, wykorzystujące łącza o niskiej przepustowości do unieruchomienia serwera WWW. Eksploatują one luki w standardowych protokołach komunikacyjnych, aby obciążyć atakowany serwer połączeniami pozornie legalnymi.

 

Kompletny zestaw narzędzi do przeprowadzania ataków DDoS

Do przeprowadzania ataków hakerzy mają do dyspozycji zestaw narzędzi. Wiele z nich można łatwo i szybko pobrać za darmo w Internecie. Najprostsze i najbardziej prymitywne pozwalają dokonać ataku nawet osobom z małą lub bez wiedzy technicznej.

 

Jednym z najbardziej popularnych narzędzi krążących w sieci jest Low Orbit Ion Cannon (LOIC). Udostępniona przez Anonymous aplikacja jest równocześnie jednym z najłatwiejszych w obsłudze programów. Zaprojektowano ją do przeprowadzania ataków DDoS na strony internetowe za pomocą jednego kliknięcia.

 

Wystarczy pobrać aplikację, która przekształca komputer użytkownika w generator przesyłający do atakowanego serwera fałszywe żądania protokołu HTTP. Jeśli akcja zostanie zrealizowana przez tysiące osób działających w ramach dobrowolnego botnetu, narzędzie nabiera wystarczającej mocy żeby doprowadzić do zablokowania serwisu WWW na poziomie globalnym. Łatwość użycia aplikacji sprawia, że pozwala ona na udział w ataku DDoS nawet osobom, które nie mają pojęcia jak się włamać do sieci.

 

Narzędzia do przeprowadzania ataków DDoS stają się coraz bardziej wyrafinowane i złożone. Zaawansowane technologicznie trojany zdalnego dostępu (RAT) i botnety DDoS stworzono do zautomatyzowanych ataków o ogromnym zasięgu. Nowe zagrożenia zawierają w swoim arsenale możliwość unieruchomienia sieci całych korporacji, rządów, czy nawet państw.

 

Na przykład, program hakerski zwany „Killer Apache” wykorzystał lukę w zabezpieczeniach serwerów Apache związaną z obsługą protokołu HTTP. Narzędzie umożliwiało przeprowadzenie ataku DDoS z poziomu pojedynczego komputera.

 

Równolegle, środowisko hakerskie udostępniło szeroki zakres usług komercyjnych, oferujących dokonywanie ataków DDoS za dodatkową opłatą,

 

Realny koszt DDoS

Nie ma wątpliwości, że konsekwencje ataków DDoS są dotkliwe dla każdego. W mediach dominują wiadomości o działaniach hakerskich grup partyzanckich skierowanych we wrogie im rządy. Jednak ofiarami są bardzo często firmy, zarówno z sektora małych i średnich przedsiębiorstw, jak i korporacje.

 

Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Będą musiały również zmierzyć się z niematerialnymi rezultatami ataku. Są nimi m. in. utrata reputacji oraz zmniejszone zaufanie klientów, które może skutkować rezygnacją z dokonywania transakcji, trwającą kilka miesięcy, a nawet lat.

 

Koszty ataku DDoS można szybko policzyć. Oprócz przychodów utraconych w każdej minucie przestoju, organizacje muszą ponieść koszty analizy i przywrócenia do działania systemu IT. Drastycznie zmniejsza się wydajność pracowników w sytuacji, gdy systemy są niedostępne. Bywa, że dochodzą wydatki operacyjne związane z koniecznością dodatkowego wynagrodzenia personelu obsługującego zapytania od klientów i działania naprawcze. Dodatkowo, wiele firm ponosi kary finansowe, które wynikają z niewywiązania się w wyniku przestoju z podpisanych umów z klientami.

 

Ograniczyć ataki DDoS

Aby ograniczyć ataki DDoS organizacje mają do wyboru celowe działania proaktywne, które mogą zrealizować, żeby znacznie zmniejszyć ryzyko ataku, wzmocnić ochronę i przygotować się na wypadek wystąpienia zagrożenia.

 

Warto zacząć od oceny środowiska sieciowego i opracowania planu obrony. Schemat postępowania powinien zawierać politykę backupu i odzyskiwania danych, dodatkowy nadzór oraz sposoby przywrócenia dostępności usług tak szybko i efektywnie, jak to możliwe.

 

Wielowarstwowa strategia ochrony

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały anty-spoofing i uwierzytelnianie klientów. Istotne jest również by określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

 

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Kluczowe jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym. Muszą także wdrożyć system zarządzania i monitoringu, aby uzyskać pełną wiedzę na temat funkcjonowania całej sieci.

Logo-Fortinet-0309

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

6 odpowiedzi na “Pięć porad, jak zabezpieczyć się przed atakami DDoS”

  1. avatar koks pisze:

    Artykuł o nniczym :)

  2. avatar seq pisze:

    i nic sie od 45tygodni nie zmienilo

  3. avatar Jakub pisze:

    Jak widzę, że ochrona przed DDOS zaczyna się od polityki dostępu i backupu to ręce opadają. Do tego najistotniejsze jest urządzenie w siedzibie firmy – no błagam, chyba z punktu widzenia sprzedawcy urządzenia.

  4. avatar Koksik pisze:

    Swietny artykl o niczym :) oooo koks widze, ze mamy podobne zdanie :)

  5. avatar Paul pisze:

    Spodziewalem sie PORAD a nie bezsensownej tyrrady na temat o ktorym wiemy wystarczajaco wiele ;)
    Obsmialem sie jak mrowka.

  6. avatar NetAudit pisze:

    Najlepszą metodą ochrony jest wykonanie audytu bezpieczeństwa strony internetowej, audyt pozwoli na poznanie oraz eliminację luk bezpieczeństwa polecam usługi firmy NetAudit – http://www.netaudit.com.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *