Rozproszone ataki na aplikacje i portale – DDoS (ang. distributed denial of service) mają na celu uniemożliwienie ich poprawnego działania a w szczególności ich zablokowanie. Tego typu złośliwe działania najczęściej są zorganizowane i niestety skuteczne. Do takowych ataków często wykorzystywane są zainfekowane komputery, których użytkownicy nie są świadomi, że uczestniczą w przestępczym procederze. Zdarza się, iż wirtualni przestępcy wykorzystują w tym celu dedykowane usługi wykorzystujące sieć Botnet.

Według raportu Karspersky Lab, wykorzystanie do przeprowadzenia ataków sieci Botnet składających się z około 1000 komputerów kosztuje średnio 5 USD za 300 sekund trwania ataku DDoS do 400 USD za dobę. Tego typu serwisy są powszechnie dostępne dla każdego użytkownika. Zasadnym wydaje się przypuszczenie, iż za 5 USD jest możliwe dokonanie spustoszeń w wielu serwisach np. typu e-commerce szczególnie zaś w okresach przedświątecznych.

Rodzaje ataków DDoS
 

Spośród ataków rozproszonych można wyróżnić kilka najbardziej popularnych i stosunkowo łatwo dostępnych do przeprowadzania dla każdego użytkownika sieci posiadającego dostęp do Internetu.

• UDP Flood – polega na wysyłaniu dużej liczby pakietów typu UDP do ofiary, która po otrzymaniu takiego pakietu odpowiada do wysyłającego pakietem ICMP informując go, że na danym porcie nic nie nasłuchuje (ang. ICMP Destination Unreachable). Dodatkowo atakujący może zmienić źródłowy adres IP, co w konsekwencji zmusi atakowany serwer do wysłania pakietu ICMP na inny serwer, który nie uczestniczy w ataku.

• ICMP (Ping) Flood – polega na wysyłaniu dużej liczby pakietów typu ICMP (ang. ICMP Echo Request), które w konsekwencji zmuszają serwer do odpowiedzi (ang. ICMP Replay Request).

• SYN Flood – polega na symulowaniu próby nawiązania połączenia TCP poprzez wysłanie tylko pierwszego pakietu (SYN) z trójstopniowej negocjacji (ang. three-way handshake), w konsekwencji czego atakowany serwer jest zmuszony do wysłania odpowiedzi (pakiet SYN-ACK) do źródła i jednocześnie oczekuje na odpowiedź (pakiet ACK), która jednak nigdy nie zostanie wysłana przez atakującego. Atak ma na celu wykorzystanie zasobów serwera doprowadzając do niedostępności lub znacznego spowolnienia aplikacji.

• Slowloris – to metoda polegająca na otwarciu maksymalnej liczby sesji do serwera WWW i podtrzymywanie ich tak długo jak to tylko możliwe. W konsekwencji serwer WWW, może odrzucać połączenia prawdziwych użytkowników z uwagi na osiągnięte limity aplikacji.

• HTTP flood – polega na wysyłaniu dużej liczby pakietów typu HTTP GET oraz HTTP POST, mającym na celu wysycenie zasobów serwera WWW.

Źródła ataków

Według raportu Kaspersky Lab z Q4.2018, największym źródłem sieci Botnet, która służy do przeprowadzania ataków typu DDoS są Stany Zjednoczone co stanowi aż 43.48 % wszystkich ujawnionych ataków. Kolejne miejsce w rankingu pod rzeczonym względem zajmuje Wielka Brytania (7.88 %) – schem. 1.

Schemat nr. 1 – Lokalizacje sieci Botnet służących do ataków typu DDoS (Q4.2018)

Ataki DDoS często jednoczasowo wykorzystują kilka typów wymienionych wyżej ataków czyniąc je niezwykle groźnymi dla działania aplikacji i systemów informatycznych. Na schemacie nr. 2 przedstawiam podział typów ataków DDoS w roku 2018.

Schemat nr. 2 – Typy ataków DDoS w 2018 roku.

Zabezpieczenie przed DDoS

Zabezpieczenie się przed atakami DDoS typu UDP Flood, SYN Flood, ICMP Flood jest stosunkowo łatwe w implementacji. W przypadku UDP i ICMP najprostszym sposobem jest blokada pakietów na firewall, w przypadku SYN Flood można natomiast na systemie włączyć mechanizm SYN Cookies, który polega na zniwelowaniu skutków ataków DDoS poprzez znaczne zmniejszenie wykorzystywanych zasobów serwera WWW.

W przypadku ataków typu HTTP Flood czy też Slowloris sprawa nie przedstawia się już tak oczywiście. Ataki warstwy aplikacji z jednego powodu bywają trudne do zabezpieczenia. Źródło połączenia musi zostać przepuszczone przez zaprę ogniową, abyśmy w późniejszym etapie mogli ocenić, czy ma ono wrogie intencje czy też nie. Zatem w organizacji powinien być wdrożony mechanizm służący analizie zachowań użytkownika, kolekcjonujący metryki aktywności HTTP, priorytetyzujący wybraną grupę połączeń, blokujący żądania niezgodne ze standardem HTTP oraz blokujący źródła z uwagi na aktualną złą reputację w sieci Internet.

Jednym z kompleksowych rozwiązań służących do zabezpieczenia organizacji przed atakami DDoS, które wdrażamy klientom to Citrix Netscaler ADC / WAF. W artykule “Citrix Netscaler jako centralne zabezpieczenie przed DDoS” opisałem moim zdaniem priorytetowe funkcjonalności rozwiązań Citrix, dzięki którym rozproszone ataki na aplikacje www będą skuteczniej blokowane.

Źródła informacji:
 

• Raport Kaspersky Lab – DDoS Attacks in Q4 2018
• Kasperksy Lab – Koszt przeprowadzenia ataku DDoS
• Blog Cloudflare
   

Masz jakieś pytania? Skontaktuj się z nami!