Atak DDoS – jak się bronić? 7 sposobów radzenia sobie z atakami

31.05.2021
Bezpieczeństwo
Autor: Atman

Ataki DDoS mogą dotknąć każdą organizację podłączoną do Internetu – niezależnie od jej wielkości i przepustowości łącza – i jeśli będą skuteczne, pociągną za sobą straty biznesowe. Jak można się przed tym bronić?

Przedstawimy tu różne podejścia firm do ochrony przed atakami DDoS i rozwiązania, z jakich możesz skorzystać. Jeżeli potrzebujesz wyjaśnienia, na czym polega atak DDoS, zajrzyj na koniec wpisu.

Ochrona zapewniana przez Twojego dostawcę Internetu

Najprostszym rozwiązaniem jest zamówienie ochrony anty-DDoS u dostawcy łącza do Internetu. Jeżeli Twój dostawca nie świadczy takiej usługi, warto rozważyć jego zmianę – na takiego, który korzysta z profesjonalnego systemu anty-DDoS klasy operatorskiej i nie zawaha się go użyć, by Cię ochronić 😉

Zalety ochrony świadczonej bezpośrednio przez dostawcę Internetu:

  • Operatorowi zależy tak samo jak Tobie, żeby system działał poprawnie i skutecznie, bo nie chce, żeby ataki wolumetryczne niepotrzebnie obciążały jego sieć – po prostu gracie do jednej bramki
  • Praktycznie brak opóźnień w dostarczaniu ruchu objętego czyszczeniem, bo wszystkie działania odbywają się w ramach jednej sieci
  • Wygodne zarządzanie usługami w jednym panelu: podgląd wysycenia łącza, raporty z ataków DDoS, możliwość zmiany planu ochrony.
  • Wygodne połączenie rozliczania usług na jednej fakturze.

Na system ochrony anty-DDoS składają się dwa mechanizmy. Pierwszy monitoruje i regularnie próbkuje kierowany do Ciebie ruch, sprawdzając jego jakość w szkielecie sieci Twojego dostawcy Internetu – jeszcze zanim trafi do Twojego łącza. W przypadku wykrycia anomalii do akcji wkracza drugi mechanizm. Ruch zostaje przekierowany do tzw. centrum czyszczącego (scrubbing center) znajdującego się na serwerach operatora, gdzie podejrzana część ruchu zostaje odfiltrowana. Reszta, czyli ruch poprawny, jest przesyłana do odbiorcy. W sytuacjach wyjątkowo nasilonych ataków scrubbing może okazywać się niewydolny i konieczne jest „wycięcie” całego ruchu przychodzącego (tzw. blackholing) do czasu zakończenia ataku. To działanie ekstremalne, ponieważ wiąże się z utratą zwykłego, a więc pożądanego ruchu.

Tak przedstawia się ogólna zasada działania, ale jak ze wszystkim: system systemowi nierówny jeśli chodzi o efektywność. Jakie więc cechy zapewniają wysoką skuteczność? Najważniejsze to:

  • Błyskawiczne wykrywanie anomalii/ataku i krótki czas od wykrycia do uruchomienia procedury obronnej (mitygacji ataku)
  • Automatyzm reakcji (wykluczenie zawodnego czynnika ludzkiego)
  • Wnikliwie opracowane i samouczące się algorytmy monitorowania ruchu bazujące na globalnej, bogatej i stale uaktualnianej bazie sygnatur
  • Częste próbkowanie ruchu w poszukiwaniu odstępstw od normy

Z polskich dostawców Internetu dla biznesu takim rozwiązaniem dysponuje na przykład Atman. Spośród dostępnych na rynku rozwiązań system Atman Anty-DDoS wyróżnia dodatkowo wydłużony okres przepuszczania ruchu przez centrum oczyszczania – do 15 min po zaobserwowanym zakończeniu ataku.

Z doświadczenia i analiz Atmana wynika, że dość często zdarzają się ataki pulsacyjne, tzn. kilka-kilkanaście minut po zakończeniu ataku nadchodzi następna fala, a po niej kolejna. Jeżeli scrubbing zostaje wyłączony bezpośrednio po wygaśnięciu ataku, jego nowa fala musi być znowu wykryta itd. – jak zupełnie nowy atak. Wydłużenie aktywnej ochrony po ataku w wielu wypadkach oszczędza więc czas konieczny do jej ponownego uruchomienia, pozwalając klientowi Atmana pracować bez zbędnych zakłóceń. Dodatkową zaletą Atman Anty-DDoS jest możliwość precyzyjnego ustawienia scrubbingu na poziomie pojedynczej usługi zamiast dla całego adresu IP.

Ochrona anty-DDoS u dostawcy Internetu właściwie nie ma słabych stron: jest stała, automatyczna, z możliwością regulacji (plany ochrony) i nie ma skutków ubocznych w postaci opóźnień czy przesyłania ruchu (a więc przekazywania danych) do zewnętrznego podmiotu, a jednocześnie nie musisz utrzymywać żadnych dodatkowych urządzeń czy zmieniać czegokolwiek w konfiguracji swojej sieci. W dodatku koszty są znane, a więc łatwe do zabudżetowania, bo płacisz stały abonament, niezależny od liczby, wielkości czy czasu trwania ataków.

Własna ochrona na brzegu firmowej sieci

Oczywiście teoretycznie możesz zakupić podobnego typu rozwiązanie sprzętowe i samodzielnie utrzymywać na brzegu swojej sieci. Teoretycznie, bo to zwyczajnie droga inwestycja. Poza tym trudno ocenić parametry wydajnościowe takiego rozwiązania, bo wolumeny i przebiegłość ataków DDoS stale rosną. Dość szybko po wdrożeniu systemu może się więc okazać, że jest on niewystarczający. W takim wypadku, aby osiągać zadowalającą efektywność, będzie wymagał ciągłego rozwijania, co dla Twojej firmy oznacza jeszcze wyższe koszty.

Ochrona świadczona w chmurze

Istnieją także firmy niebędące operatorami telekomunikacyjnymi, które oferują ochronę anty-DDoS jako usługę w chmurze. W tym przypadku nie ma znaczenia, kto dostarcza Ci Internet.

Są dwa warianty takiej ochrony: przekierowanie ruchu w sytuacji wystąpienia ataku/anomalii lub stałe przekierowywanie całego ruchu do zewnętrznego ośrodka oczyszczania znajdującego się w chmurze obliczeniowej.

W pierwszym przypadku przekierowanie ruchu przychodzącego do clouda wyzwalane jest przez anomalię. W chmurze dostawca usługi odfiltrowuje złą część ruchu, a do Ciebie odsyła ruch poprawny. Rozliczasz się za wolumen przekierowanego ruchu, a więc brak ataków/anomalii to brak kosztów, co może wydawać się zaletą. Jednak w zależności od częstości i wielkości ataków koszty mogą stać się przytłaczające, w dodatku są trudne do przewidzenia czy choćby ogólnego oszacowania i ujęcia w planach budżetowych.

W drugim przypadku mechanizm jest identyczny, tylko cały ruch przychodzący, zanim trafi do Ciebie, jest przekierowany do chmury. Dopiero tam dostawca usługi sprawdza jego jakość i ewentualnie odfiltrowuje podejrzane fragmenty. Do Ciebie trafia tylko ruch oceniony jako normalny i bezpieczny. Brzmi świetnie, ale zwróć uwagę, że powoduje to zwiększenie stałego opóźnienia w przesyłaniu pakietów, co w pewnych branżach czy typach prowadzonej działalności może być niedopuszczalne.

Oba warianty łączy problem natury formalno-prawnej. Ruch trafia do chmury, którą tworzą serwery w centrach danych rozproszonych po całym świecie, bo takie usługi świadczą dostawy globalni. A to oznacza prawdopodobieństwo przekazywania danych Twoich klientów poza obszar Unii Europejskiej i możliwą niezgodność z RODO.

Odgórna rezygnacja z części ruchu

Jednym ze sposobów obrony przed atakami DDoS jest zablokowanie na stałe całego ruchu przychodzącego z – Twoim zdaniem – podejrzanych źródeł. Możesz to zlecić swojemu dostawcy Internetu, wskazując, z których krajów czy regionów świata nie chcesz otrzymywać ruchu. Takie rozwiązanie może okazać się skuteczne, a przynajmniej wystarczające, o ile jesteś w stanie określić, skąd kontaktują się Twoi klienci/partnerzy/dostawcy, a skąd nie. A także dopóki nie pojawią się ataki generowane w tych „dobrych” częściach globu.

Warto też pamiętać, że istnieje ryzyko, że przez takie mechaniczne wycinanie ruchu według kryteriów geograficznych możesz utracić poprawny i jak najbardziej pożądany ruch, na przykład próbę kontaktu firmy z ofertą współpracy lub pierwszego kontrahenta z danego regionu świata.

Gigantyczne łącze do Internetu

A co gdybyś po prostu kupił wielokrotnie większe pasmo niż Twojej firmie jest potrzebne do prowadzenia działalności firmy? Możesz mieć nadzieję, że w razie ataku obsłuży ono wzmożony ruch bez uszczerbku dla pożądanej komunikacji. Nadzieję – ale nie pewność.

Przede wszystkim, jak wspominaliśmy, wolumeny ataków rosną skokowo i może się przytrafić atak większy niż jest w stanie przyjąć Twoje łącze. Poza tym nie wszystkie ataki DDoS polegają na zalaniu łącza masą fałszywego ruchu (ataki wolumetryczne). Niektóre są zaprojektowane tak, aby godzinami zajmować aplikacje niepotrzebnymi operacjami, wysycając ich pamięć (ataki aplikacyjne). Takie długotrwałe „zamulenie” kluczowych systemów potrafi znacznie utrudnić lub nawet uniemożliwić codzienną pracę firmy.

Pomyśl też o kosztach takiego rozwiązania. Jeżeli Twojej firmie wystarczy 1 Gb/s, a kupisz załóżmy 30 Gb/s, płacisz co miesiąc spory abonament za mnóstwo niewykorzystanego pasma – i przy tym nie masz gwarancji, że któregoś dnia nie padniecie ofiarą skutecznego ataku DDoS.

Mam już ochronę: firewall, IPS, antymalware itp.

Niestety, to tak nie działa, że jak zabezpieczasz brzeg sieci rozwiązaniami typu firewall, Intrusion Prevention System czy nawet Security Operation Center, to już wystarczy. Takie mechanizmy bezpieczeństwa są oczywiście potrzebne i skuteczne, ale na zupełnie inne rodzaje zagrożeń internetowych. Tak jak np. infekcji wirusowej nie zwalczy się antybiotykiem, tak ataki typu DDoS wymagają celowanej ochrony.

Strategia „na przeczekanie”

W niektórych firmach panuje przekonanie, że ochrona anty-DDoS jest zbędnym kosztem. Gdy atak wystąpi, to wystarczy go po prostu przeczekać, a następnie podjąć pracę jakby nigdy nic. To może się wydawać dobrym i niskobudżetowym pomysłem na radzenie sobie z problemem – ale prawdopodobnie tylko do pierwszego ataku.

Wyobraź sobie skutki niedostępności Twojego serwisu internetowego lub e-sklepu, niemożność obsłużenia klientów czy zarządzania dostawami, brak kontaktu z partnerami biznesowymi. Utracone transakcje lub kontrakty, zamówienia niezrealizowane w terminie, klienci zwracają się do konkurencji, a partnerzy zastanawiają się, czy można na Tobie polegać.

Nie da się przewidzieć ani kiedy atak nastąpi, ani kiedy się zakończy. A im dłużej trwa, tym większe straty finansowe i wizerunkowe przedsiębiorstwo ponosi. Bierne czekanie na koniec ataku DDoS to jak patrzenie na pieniądze wysypujące się z portfela wprost do rzeki. A jeśli o takiej podatności Twojego biznesu dowie się konkurencja i zechce ją wykorzystać?

Na czym polega atak DDoS

DDoS (Distributed Denial of Service) to rozproszony, ale skoordynowany atak na sieć lub system informatyczny w celu ich zablokowania. Zazwyczaj prowadzony jest przez botnet złożony z setek tysięcy zainfekowanych komputerów i innych urządzeń IP. DDoS jest dostępny jako usługa – nie trzeba mieć specjalistycznej wiedzy, wystarczy zlecić i zapłacić. A ceny, niestety, są przystępne.

Wyróżnia się dwa typy ataków DDoS:

  • Atak wolumetryczny polega masowej wysyłce niechcianych danych na wskazany adres IP, co wywołuje efekt „zatkania” łącza i zwykły ruch internetowy nie może się przedrzeć; łącze internetowe jest sprawne, ale ma zbyt małą wydajność, aby obsłużyć transmisję napływających danych. W świecie rzeczywistym mogłoby to wyglądać tak, że prawdziwi klienci nie mogą wejść do sklepu, nikt też nie może z niego wyjść, bo duża grupa podstawionych niby-klientów godzinami robi zamieszanie i sztuczny tłok przed zbyt wąskimi drzwiami, de facto je blokując.
  • Atak aplikacyjny polega na wyczerpaniu zasobów informatycznych aplikacji internetowych np. mocy obliczeniowej lub pamięci i nie musi wcale być duży. Odpowiednio przygotowany, indywidualnie dostosowany długotrwały atak o niskim wolumenie może zakłócić pracę w stopniu uniemożliwiającym prawidłowe działanie firmy i wyrządzić poważne szkody biznesowe (low & slow). Załóżmy, że we wspomnianym sklepie stacjonarnym przez wiele dni pojawia się kilku niby-klientów natrętnie wypytujących ekspedientów, żądających pokazywania coraz to nowych produktów, składających fałszywe reklamacje czy wręcz wykłócających się o coś. Absorbując personel sklepu, uniemożliwiają lub opóźniają obsługę prawdziwych klientów, którzy tracą cierpliwość i wychodzą szukać placówki konkurencji.

W niewielkich firmach często panuje przekonanie, że ataki DDoS kierowane są tylko w duże przedsiębiorstwa. Tymczasem większa część ataków realizowana jest przez botnety, które nie analizują swoich celów, ale atakują w ciemno, przez co ofiarą działań cyberprzestępców może paść absolutnie każdy biznes. Poza tym brutalna prawda jest taka, że atak DDoS na Twoją firmę może zlecić na przykład konkurencja nieuznająca zasad fair play.

Do trzech razy sztuka, czyli skorzystaj z doświadczenia

Atman wdrożył trzecią już wersję systemu Atman Anty-DDoS. Przeanalizował zebrane doświadczenie i wyciągnął wnioski z niedociągnięć i niewydolności poprzednich systemów. Ta wiedza pomogła mu określić warunki, jakie powinna spełniać wysoko efektywna ochrona anty-DDoS służąca firmom korzystającym z łączy Atmana. Dlatego zdecydował się na customizowane rozwiązanie łączące technologie uznanych na całym świecie firm Radware i Flowmon. Dołącz do tych, którzy nie czekają na pierwszy atak, aby się przekonać o niezbędności ochrony przed DDoS.