Podle analýzy statistik provozu naší služby FlowGuard patří mezi tři nejčastější techniky používané pro volumetrické útoky amplifikace, packet generátor a simulace síťové komunikace.

Amplifikace

Princip útoku spočívá ve zneužití mnohdy legitimních aplikačních služeb, u kterých se velikost odpovědi očekává mnohem větší než velikost otázky. Vygeneruje se dotaz, který se rozešle na tisíce serverů a nahradí se IP adresa odesílatele (útočníka) IP adresou cíle útoku. Tisíce serverů pak nemají jak zjistit, že odpovídají tomu, kdo se na nic neptal – své odpovědi tak doručí nic netušícímu cíli útoku.

Pro tento typu útoků se využívá UDP protokol, protože se u něj očekává jen jednosměrná komunikace a podvržení zdrojové IP adresy a portu nemá vliv na jeho funkčnost. Stejným způsobem je možné modifikovat i zdrojový port a zacílit tak útok na konkrétní aplikační službu. Často vidíme například útoky na UDP/443.

Pomocí amplifikačních útoků je možné velmi snadno vygenerovat opravdu vysoké datové toky. Z praxe známe dva způsoby zneužití – vygenerování velmi vysokého toku, který zahltí trasy včetně internetového připojení, nebo naopak relativně nízkého toku, který je pod rozlišovací schopností transitních operátorů a přitom danému cíli škodí. Rozdíl je v době trvání – v prvním případě masivní útok trvá obvykle v řádech nižších desítek minut, v tom druhém i několik dní či týdnů v kuse.

Amplifikační útoky přicházejí mimo jiné i z legitimních serverů aplikačních služeb, například u DNS se běžně objevuje 8.8.8.8. To je třeba mít na paměti, protože ne vždy je lze blokovat bez nežádoucího dopadu na legitimní provoz. Místo blokace se tak pro ochranu spíše nabízí ratelimit. Kromě specializované AntiDDoS služby využívající behaviorální analýzu či signatury známých útoků tak může být relativně snadnou ochranou ratelimit UDP fragmentů a ratelimit pro každou unikátní IP adresu chráněné UDP služby.

Packet generátor

V tomto případě útočník používá jeden či více generátorů sítových packetů. Podoba generovaných packetů je v podstatě libovolná, záleží jen na kreativitě útočníka. Může si vymyslet libovolné síťové protokoly, zdrojové a cílové adresy či porty. Je možná jen jednosměrná komunikace z obvykle zfalšovaných zdrojových adres. Nejčastější typem útoků jsou různé varianty TCP nebo UDP floodu s cílem vyčerpat systémové prostředky cílového serveru a tím způsobit kolaps hostované aplikační služby. Pokud ale útočník generuje packety, který má každý unikátní zdrojovou IP adresu, tak může dojít i k jistým problémům na transitních síťových prvcích (například v podobě vyčerpání kapacity flow cache a chybějícímu exportu Netflow).

Tento typ útoku ovlivňuje dvě klíčové metriky síťového provozu – průměrnou velikost packetu a počet unikátních zdrojových IP adres. Ten obvykle vzroste na milionové řády. Co se týče velikosti packetů, tak útoky typu TCP SYN flood táhnou prázdnými packety průměr dolů, útoky typu UDP flood naopak plnými packety nahoru – v obou případech se průměrné hodnoty výrazně liší od těch běžných.

V rámci ochrany je možné analýzou TTL v paketech a následnou kontrolou zdrojových IP adres v geolokační databázi prokázat jejich náhodné generování. Průvodním jevem útoků z neexistujících IP adres či neotevřených portů je i zvýšený výskyt ICMP zpráv typu Destination Unreachable či Time Exceeded. Pomoci tak může pomoci stavový firewall s dostatečným výkonem – respektive kapacitou paralelních spojení, nebo jiné techniky detekce obousměrné komunikace.

Simulace síťové komunikace

U této techniky útočník simuluje síťovou komunikaci s napadenou aplikační službou s cílem ji kompromitovat. Podstata kompromitace může spočívat například v získání neautorizovaného přístupu třeba uhádnutím přístupových údajů (či jiných údajů, například slevového kódu u e-shopu) nebo otestováním známých přístupových údajů. Jedná se tak vlastně o přetížení díky komunikaci s autentizační databází.

Druhou možností, jak aplikační službu kompromitovat, je dosáhnout jejího výpadku přetížením – simuluje se tak mnoho uživatelů služby najednou, nebo se generuje velké množství složitých vyhledávacích dotazů do databáze. Nejčastěji se tato technika používá proti webovým službám a API. Důsledkem je selhání, opakované výpadky či pomalost napadené aplikační služby. V případě získání neautorizovaného přístupu pak samozřejmě mohou být dopady ještě mnohem závažnější.

Principy detekce jsou v tomto případě přímo závislé na typu aplikační služby. Například pro webové služby je možné detekovat kadenci požadavků (počet HTTP/HTTPS požadavků za jednotku času z unikátní zdrojové IP adresy), geografické rozložení (poměrné rozložení geografického umístění zdrojové IP adresy), zda se jedná o člověka, nebo stroj (náhodnost chování, drobné nepřesnosti a chyby), věrohodnost (sběr informací o prohlížeči, instalovaných rozšířeních atp. a porovnání se známými údaji) nebo oblíbená výzva typu captcha. Funkční ochranou jsou specializované AntiDDoS řešení pro aplikační služby a Web Application Firewall.

Petr Kadlec Autor článku je Senior Data Engineer ve společnosti ComSource.