DDoS útok je vedený z mnoha zdrojů současně, přičemž útočící zařízení posílají cílové službě, serveru nebo síti buď velké množství malých požadavků s cílem narušit dodávku služby zahlcením primárních zdrojů (přetížení CPU, zahlcení RAM) anebo významné množství aplikačních dat, v tomto případě však s potenciálem úplného zahlcení síťové infrastruktury poskytovatele služby. Obě tyto základní metody útoku lze kombinovat, někdy dokonce s cílem zakrýt jedním útokem druhý (odvedení pozornosti) anebo připravit některým typem DDoS útoku půdu pro zcela jiný typ útoku.

Obvyklý způsob jak současně zaútočit z mnoha zdrojů je prostřednictvím pronajatého botnetu. Botnetem zjednodušeně nazýváme síť „unesených“ a infikovaných zařízení (počítači a aktivními síťovými prvky počínaje a nejrůznějšími chytrými spotřebiči konče), které má útočník pod kontrolou. Botnet má sám k dispozici nebo si jej jednoduše pronajme. Ve druhém případě tak existuje i možnost, že útok vyhasne jednoduše proto, že pronajímateli botnetu dojdou finanční zdroje.

Důvody útoků jsou různé, ať už se jedná o nějakou formu protestu, kde se větší skupina lidí domluví a v určitou dobu se pokusí přetížit konkrétní server, nebo častější nekalé praktiky organizovaných skupin vydírající provozovatele služby a požadující určitou částku bitcoinů jako výpalné pod pohrůžkou znedostupnění.

V obecné rovině je obrana před DDoS útoky tvrdým oříškem, protože je především nutné odlišit škodlivý datový provoz od regulérního a následné filtrování provozu bývá extrémně náročné na zdroje. Asi nejúčinnější přístup k analýze – behavioristický – patří mezi ty velmi náročné a síla útoku je důležitým kritériem.

V našem datacentru hostujeme množství zajímavých projektů a máme tak bohaté praktické zkušenosti jak s volumetrickými tak s aplifikačními DDoS útoky nejrůznější síly i rozsahu.

Nejčastější typy DDoS útoků

SYN Flood

Podstatou útoku SYN Flood je zneužití způsobu navazování spojení v TCP protokolu (Three-Way Handshake). Útočící strana začne odesílat množství paketů s nastaveným příznakem SYN (žádost o spojení), druhá strana pošle nazpět příznak ACK a čeká až do vypršení nastaveného timeoutu na obdržení příznaku SYN-ACK a obdržení dat. Útočník však na ACK neodpoví. Na serveru oběti se hromadí otevřená čekající spojení, až nakonec dojde k zaplnění pro tento účel alokovaného zásobníku. Cíle bylo dosaženo, server není schopen přijímat další pokusy o spojení a služba, která je na něm provozována, se tudíž stává nedostupnou.

Horším dopadem SYN Floodu může být úplné vyčerpání volné paměti (při nesprávné limitaci velikosti zásobníku pro spojení), což často vede až k pádu serveru a ohrožena může být dokonce i konzistence samotných dat.

DNS Amplification Attack

Útok typu DNS Amplification Attack spočívá v posílání DNS dotazů se zdrojovou IP adresou nastavenou na IP adresu oběti veřejně dostupným DNS serverům a nezabezpečeným rekurzivním DNS resolverům. K realizaci útoku je třeba jen veřejný DNS server a speciálně upravená DNS zóna s co možná největším množstvím dat pro nějaký konkrétní záznam (např. velké množství A záznamů pro nějakou generickou doménu).

DNS server pracuje s protokoly UDP i TCP. Standardně se používá protokol UDP umožňující posílat DNS odpovědi do velikosti 512B. To znamená, že pokud např. zažádáte o překlad doménového jména na IP adresu, můžete dostat odpověď velikou až 512B. V případě, že se odpověď do 512B nevejde, použije se rozšíření EDNS umožňující posílat odpovědi větší než 4kB.

Útočník si vytvoří seznam závadně nastavených rekurzivních DNS resolverů (nebo využije specifický botnet) a začne těmto serverům posílat dotazy na svoji předem připravenou generickou doménu, přičemž u dotazů zamění svou IP adresu za IP adresu oběti. DNS servery pak posílají na zfalšovaný cíl obrovské odpovědi z připravené zóny, jež jsou několikrát větší než dotazy (útočníkovi stačí k útoku výrazně nižší konektivita, než má cíl).

NTP DDoS

Během posledních dvou let jsme zaznamenali značný nárůst NTP DDoS útoků. NTP protokol je jedním z nejstarších síťových protokolů. Referenční implementace NTP publikovaná v rámci NTP Project, umožňuje klientovi požádat o seznam zařízení, se kterými NTP server nedávno komunikoval. Klient tento seznam získá odesláním požadavku "monlist", jež může obsahovat až 600 IP adres, a tak je i malý paket s požadavkem "monlist" schopen vygenerovat velice velkou odpověď.

Nejlépe je to patrné na serveru, kde seznam obsloužených klientů obsahuje maximálních možných 600 záznamů. Poměr mezi velikostí požadavku odeslaného serveru a přijatou odpovědí se nazývá faktor zesílení (Amplification Ratio) a v případě NTP „monlist“ dosahuje až hodnoty 206. Zfalšováním zdrojové adresy datagramu při odeslání požadavku „monlist“ je možné směrovat odpověď na libovolnou IP adresu dosažitelnou NTP serverem. Posílání velkého množství takto upravených datagramů generuje obrovský datový tok směřující na oběť útoku.

Útočník s připojením 1Gbps může teoreticky vytvářet více než 200 Gbps DDoS provozu. Jak se proti tomuto typu útoku bránit? Ochrana je celkem jednoduchá, stačí, aby správci své NTP servery řádně zabezpečili.

Krátkodobé DDoS útoky

Kromě dlouhodobých útoků trvajících až několik dní se poslední dobou začaly objevovat útoky krátkodobé, které trvají pouze minutu, zato jejich opakování je velmi četné a velkoobjemové. Jedná se o takové „oťukávání“. Vzhledem k tomu, že většina zákazníků využívá v monitoringu 5 minutové bloky, tak občas útoky ani nezaznamenají. Tento typ útoků se často projevuje nestabilitou poskytovaných služeb.

Projekt FENIX

DoS útoky nezůstaly bez povšimnutí ani ve sdružení NIX.CZ. Na intenzivní útoky roku 2013, kterým tehdy v březnu čelila významná česká média, banky nebo operátoři, reagoval NIX.CZ založením projektu FENIX. Jeho smyslem je umožnit v případě DoS útoku dostupnost internetových služeb v rámci subjektů zapojených do této aktivity a fungování v tzv. „ostrovním režimu“. Projekt FENIX řídí sami jeho členové, kteří jsou nezávislí na sdružení NIX.CZ a mají v rozhodování naprostou autonomii. Projekt je určen společnostem, které poskytují připojení významným službám a potřebují zabezpečit jejich provoz i v těch nejkritičtějších situacích.

Ochrana proti DDoS

Operátoři a datová centra nabízejí různé typy ochran, bohužel se někdy dostávají do situací, kdy je DDoS útok tak velký, že musí chránit vlastní infrastrukturu. Možností ochrany je mnoho: IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Load Balancery, „scrubbers“ neboli „pračky“, které vyčistí většinu špatného provozu, RTBH (Remotely Triggered Black Hole), prefix-listy (omezení propagace AS), access-listy, firewally, aplikační firewally, aj. Obvykle je potřeba zkombinovat a zřetězit více metod podle toho, jak útok probíhá, co je jeho cílem, jestli a jaké má charakteristické a dobře rozpoznatelné vlastnosti, apod. Taková obrana ale stojí velké úsilí a především nemalé finanční prostředky.

Shrnutí

DDoS útoky jsou jednou z nejčastějších hrozeb, jimž firmy v současnosti musí čelit. Jak pro snadnou realizovatelnost útoku, tak pro velkou dostupnost. Dnes není problém si zakoupit DDoS útok o takřka libovolné velikosti. Existují skupiny, které se DDoS útoky živí. Současný nárůst kapacity připojení firem a domácností přispívá ke značnému nárůstu velikosti DDoS útoků. A konečně nárůst aktivních síťových prvků a inteligentních spotřebičů, které nebývají příliš dobře zabezpečené, přispívá k růstu počtu botnetů.

Téma DDos útoků a kvalitní obrana proti nim tak nadále zůstává jedním z důležitých bodů každodenní práce všech zodpovědných operátorů a provozovatelů datacenter a cloudových služeb.

Ing. Michal Mráz Autor článku je Chief Information Officer společnosti Casablanca INT. Ve společnosti Casablanca INT působí již téměř sedm let. Svou kariéru zde zahájil jako systémový a síťový administrátor. Po roce se posunul na pozici ředitele divize Casablanca INT Services. Pod jeho vedením se Casablanca INT Services stala partnerem společností Microsoft a VMware. Po třech letech zaujal klíčovou pozici technického ředitele Casablanca INT.