Anty DDoS – jak łatwo uruchomić ochronę!

bezpieczeństwo
DDoS
Scrubbing Center
Krzysztof Surgut
08.12.2015 Krzysztof Surgut

Anty DDoS to ochrona przed atakami DDoS, które wciąż stanowią temat tabu, dla wielu szefów działów IT. Z jednej strony szukają oni informacji o metodach wykrywania DDoS’a, z drugiej strony problemem jest, jak pozbyć się niechcianego ruchu IP – blokującego wąskie łącze internetowe na „ostatniej mili”? Ze spotkań, jakie odbywam praktycznie codziennie wynika, że wciąż niska jest świadomość zagrożenia oraz świadomość bezradności działów IT, w przypadku większego ataku DDoS – dotyczy to praktycznie każdej firmy a nawet operatorów ISP. Dlaczego?

Atak DDoS skutecznie odcina łącze internetowe!

Efekt ataku DDoS można przyrównać do przerwania łącza internetowego, takiego samego jakie może zagwarantować nam koparka – jeżeli kopiąc, znajdzie się na trasie światłowodu operatora ISP. Jednak w przypadku ataków DDoS sprawa jest dużo bardziej skomplikowana. Tutaj nie wystarczy zespawać zerwany światłowód, ponieważ w praktyce kabel nie jest uszkodzony.

Atak DDoS jest jak „nawałnica pakietów IP”, która nie mieści się w firmowym łączu do Internetu, co oznacza że zbyt duża ilość danych dostarczana jest na wskazany adres IP i nie jest w stanie zmieścić się w łączu internetowym firmy. Natłok niechcianych pakietów IP, praktycznie zablokowuje komunikację poprzez takie łącze – żaden program, aplikacja czy serwis internetowy nie ma szans przebić się ze swoimi pakietami IP przez takie zagęszczenie przypadkowej informacji. Co w takim razie można zrobić? Jak odfiltrować realny ruch użytkowników serwisu internetowego od niechcianego, sztucznie wygenerowanego ruchu IP?

A może kupię firewall?

Kupowanie własnych systemów i urządzeń do ochrony anty DDoS, ma sens wyłącznie wtedy, gdy dysponuje się bardzo dużym łączem od operatora ISP, liczonym co najmniej w wielokrotnościach Gbps.

Poniżej rysunek prezentuje największy zarejestrowany atak DDoS w Polsce z 2014 r.

atak DDoS (POLAND)
Wielowektorowy atak DDoS na Polskę o przepłwyności 100Gbp (źródło)

Oczywiście niewiele firm będzie musiało zmagać się z atakiem DDoS liczonym w dziesiątkach Gbps. Jednak w przypadku większości klientów biznesowych, łącza do internetu posiadają przepływności bliższej 100 Mbps niż 1Gbps. A to oznacza, że zatkanie takiego łącza staje się wręcz „dziecinnie proste”.

Odblokowanie takiego łącza internetowego, już takie proste nie jest. W takim wypadku nawet najlepszy firewall niczego nie zmieni – atak DDoS wysyci pasmo do Internetu i zablokuje transmisję strumieni danych. Jak chronić tak małe łącza internetowe, które są jednocześnie bardzo podatne na ataki DDoS? Odpowiedź jest prosta.

Anty DDoS w Scrubbing Center

Najszybszym i najprostszym rozwiązaniem – a być może i najtańszym – jest rozważenie usługi anty DDoS, zrealizowanej z wykorzystaniem Scrubbing Center.

Scrubbing Center – to specjalne miejsce w sieci Internet, w którym znajduje się wyspecjalizowany system do monitorowania ruchu IP, wykrywania ataków DDoS (ale nie tylko takich ataków), mitigacji ataków DDoS, które oczyszczają ruch ze sztucznie generowanego ruchu IP, likwidując niepotrzebne pakiety czy całe sesje internetowe.

wybór scrubbing center
SPRAWDŹ Pakiety usług Scrubbing Center w Data Space

Scrubbing Center firmy DataSpace znajduje się w Polsce – w Toruniu – i zlokalizowane jest w naszym Data Center klasy Tier3. Tym samym Scrubbing Center jest świetnie skomunikowane z Internetem (wielu dostawców ISP), ma zapewnioną ciągłość zasilania (zdublowane źródła poboru mocy + UPS + agregaty prądotwórcze), gwarancję stałych warunków klimatycznych dla działających systemów informatyczny (zdublowane systemy wytwarzania chłodu) oraz pełną kontrolę dostępu.

Do monitorowania ruchu IP naszych Klientów wykorzystujemy najbardziej zaawansowany i ustawiczne rozwijany system mitigacji ataków DDoS firmy Radware.

Jak uruchomić ochronę przed atakami DDoS?

Co trzeba zrobić, aby uruchomić usługę ochrony anty DDoS? Najprostszą metodą jest wykorzystanie usług DNS, która zamienia nazwy domen na fizyczne adresy IP w sieci Internet. Rozpatrzmy przykład serwisu internetowego, który pozwala zamawiać partnerom urządzenia u dystrybutora – nazwijmy ten serwis www.MojMagazyn.pl.

W serwerze DNS, na którym zaparkowana została domena www.MojMagazyn.pl zaznaczono, że aplikacja internetowa (strona WWW) tego serwisu znajduje się pod adresem np. IP: 10.10.1.1. Chcąc uruchomić ochronę przed atakami DDoS, należy zgłosić się do Scrubbing Center i uzyskać dedykowany adres IP, np: IP:  198.41.204.167. Uzyskany adres IP ze Scrubbing Center należy wprowadzić w serwerze DNS zamiast adresu IP: 10.10.1.1.

Scrubbing_Center-anty_DDoS
Przekierowany ruch IP do Scrubbing Center

Jednocześnie obsługa Scrubbing Center, w ciągu paru minut, przygotuje konfigurację systemu ochrony anty DDoS w taki sposób, aby pakiety trafiające na adres 198.41.204.167 kierowane były do analizy.

Analiza sprawdza czy w potoku pakietów nie występują ataki DDoS, próby włamania (odpowiada za to system IPS/IDS), czy też ma miejsce niestandardowy sposób komunikowana (niezgodny z obowiązującymi standardami). Metod i płaszczyzn analizy jest setki, a wszystko odbywa się automatycznie. W przypadku wykrycia niepożądanych zachowań – konkrety ruch IP zostanie zablokowany.

Co się dzieje z pakietami, które są zwykłym ruchem IP, pochodzącym od realnych użytkowników chronionej aplikacji www.MojMagazyn.pl? Pakiety są przesyłane na adres docelowy IP: 10.10.1.1 (lub inny uzgodniony wcześniej z administratorem aplikacji). Ruch IP do… oraz z… aplikacji www.MojMagazyn.pl, za każdym razem przechodzi przez Scrubbing Center (przy wykorzystaniu mechanizmu ReverseProxy), gdzie jest analizowany a w przypadku wyrycia ataku – uruchamiana jest procedura odseparowania i stłumienia niechcianych potoków pakietów.

Wszystko dzieje się automatycznie. Sam proces przekierowania ruchu do Scrubbing Center wymaga ok. 15min. pracy administratorów Scrubbing Center oraz chronionego serwisu www.MojMagazyn.pl. Od momentu, gdy w sieci Internet rozpropaguje się informacja o nowym adresie IP serwisu – wszystkie pakiety trafią do Scrubbing Center, gdzie po poddaniu analizie i odseparowaniu ataków DDoS – zostaną dostarczone do serwisu internetowego.

Droga pakietów w drugą stronę odbywa się tą samą drogą – dzięki temu system Scrubbing Center ma pełną wiedzę o komunikacji, a tym samym bardzo łatwo jest w stanie wykryć jakiekolwiek anomalie. Każda anomalia podlega automatycznej weryfikacji, w wyniku której stwierdza się czy to jest zwykły ruch IP, czy też sztucznie wytworzony napływ pakietów IP oznaczający atak DDoS – tak działa najprostszy scenariusz uruchomienia usługi anty DDoS.

Dlaczego warto?

  • Nie musisz inwestować w zaawansowane i drogie systemy ochronne. Ponadto ochrona odbywa się 24h/dobę, czyli kiedy Ty śpisz my czuwamy nad bezpieczeństwem Twojej aplikacji internetowej.
  • Proces uruchomienia usługi, dla niedużych łączy internetowych, liczony jest w minutach, od kiedy rozpoczyna się proces przekierowania, a potem ochrony.
  • Chronimy nie tylko przed atakami DDoS (wolumetrycznymi oraz typu slow), ale także monitorujemy i zabezpieczamy przed próbami włamań (IDS/IPS). Takiego samego systemu ochronnego firmy Radware używają największe instytucje finansowe na świecie (notowane na nowojorskiej giełdzie).
  • A to nie wszystko, ponieważ analizujemy strumienie IP wykrywając malware oraz detekujemy niestandardowe zachowania w komunikacji TCP/IP.
  • Do tego analizowanych jest 120 różnych wektorów ataków hakerskich, aby wykryć aktywność hakerów lub ich systemów atakujących. Do tego specjalne systemy sztucznej inteligencji analizują zachowania użytkowników, wykorzystując bardzo zaawansowaną analitykę behawioralną.

No i najważniejsze – nie musisz zmieniać operatora, rozbudowywać łącza internetowego czy wciąż doszkalać swój dział IT.

Co w takim razie mają robić Twoi informatycy?

Niech się skupią przede wszystkim na rozwoju aplikacji internetowych, a nie martwią się co zrobić, gdy masa niechcianych pakietów IP, zablokuje łącze internetowe w wyniku ataku DDoS! Bez profesjonalnej ochrony, żaden dział IT nie ma najmniejszych szans i możliwości, aby poradzić sobie z atakami DDoS.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
DDoS - "Czarny Listopad" providerów
Bezpieczeństwo IT
8 mitów nt. ataków DDoS
   /   Bezpieczeństwo IT   /   Anty DDoS – jak łatwo uruchomić ochronę!