Ataky minulého týdne pod drobnohledem bezpečnostních expertů

CZ.NIC a CSIRT.CZ podrobně popsaly ataky, jimž mnohé české weby čelily v minulých dnech. Zejména operátoři (ISP) prý byli na situaci dobře připraveni -- jak po stránce technické, tak i organizační.

Ataky minulého týdne pod drobnohledem bezpečnostních expertů


V současné chvíli podle výzkumníků není zcela jasné, jestli útok byl opravdu typu DDOS nebo DOS. Většina útoků byla soustředěna na webové služby, přičemž většina toku při útocích přišla přes síť RETN.

Ačkoliv napadené strany, ISP i CSIRT.CZ podle svých slov zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu získat relevantní pomoc (data, zablokování útočníků). Je prý přitom pravděpodobné, že RETN disponuje daty, která by mohla pomoci blíže specifikovat útočníka (MRTG grafy provozu, poměr odeslaných paketů vs tok atd.).

Jak uvádí zpráva CZ.NIC, při útocích byly použity mechanismy tzv. SYN Flood v kombinaci s podvrženou adresou (IP spoofing). Cílem takového útoku je zahltit stroj, na který je útok veden, nebo jeho síťovou  infrastrukturu (např. firewall na předřazeném zařízení) a vyčerpat jejich systémové zdroje.

Další použitá verze útoku spočívala k přidání techniky „odražení“ (bounce traffic). Celý (D)DOS útok pak vypadal tak, že útočící stroje emitovaly velké množství paketů s podvrženou zdrojovou adresou. Jako zdrojová adresa byla použita IP adresa stroje, na který byl veden útok. Pakety se poslaly na jiné stroje, které ale komunikaci vracely na podvrženou zdrojovou adresu.

Tato technika založená na emitaci velkého množství paketů s podvrženými zdrojovými adresami a za využití techniky odražení útok ještě více zesílí.   

Metod a technologií pro obranu před (D)DOS útoky je podle autorů zprávy celá řada, ale obvykle je potřeba jich zkombinovat několik, nelze se spolehnout pouze na jednu. Na úrovni síťové infrastruktury se hovoří o obraně pomocí RTBH (remotely triggered black hole filtering), použití tzv. Load Balancer zařízení, zařízení typu Scrubber (čističky, kde se oddělí většina špatného provozu od dobrého), prefix-listy (omezení propagace AS), rate-limity, access listy na síťové vrstvě, firewall, IDS, IPS apod.

Zajištění dostupnosti konkrétní služby se může dále zvýšit posílením robustnosti celé architektury za použití technologie anycast, DNS round-robin, které zajistí rozklad zátěže mezi více strojů se shodným obsahem a pod.

Dalším krokem pak může být umístění serverů poskytujících jednu službu do více sítí. Jakékoliv rozhodování o architektuře služby a související síťové infrastruktury by ale vždy mělo jít ruku v ruce s rozvahou, do jaké míry se obrana vyplatí. Při tomto rozhodování hraje roli charakter služby a její kritičnost pro uživatele.

Jak však tvrdí výzkumníci, (D)DOS útoky vedené v období 4. 3. až 7. 3. vůči cílům v ČR měly poměrně slabý charakter, minimálně z pohledu ISP, kteří s útokem měli problém pouze ve vztahu ke koncovým sítím.

Útok podle expertů CZ.NIC svou silou nijak neohrožoval chod páteřních sítí providerů a jejich infrastrukturu. Podle dostupných informací se hovoří o datových tocích do 1Gbps (maximální zaznamenaný tok 1,5 mil. paketů za sekundu). Útoky způsobily problémy až v koncových sítích. Podle informací se ve většině případů útok ani k cílovému serveru nedostal, ale přetížil systém před – obvykle firewall, load balancer nebo podobné zařízení.

Úvodní foto: © chanpipat - Fotolia.com










Komentáře