Náš nedávný průzkum naznačil, že DDoS útoky budou pravděpodobně i nadále velmi oblíbenou útočnou technikou. Podle zprávy Check Point 2015 Security Report vzrostl v minulém roce počet DDoS útoků cílených na organizace 6x oproti předchozímu roku, přičemž ohrožené jsou všechny společnosti bez ohledu na odvětví.

Závažnost podobných incidentů potvrzuje i útok na počítačové systémy polské národní letecké společnosti, který zablokoval řadu letů a zamezil ve včasném vytvoření letového plánu. Někteří komentátoři zlehčovali význam incidentu a popisovali jej pouze jako „jednoduchý DDoS útok“, protože neměl vliv na přímou komunikaci mezi leteckou společností a jejími letadly nebo jinými kritickými systémy. Nicméně pořád to stačilo na zastavení letů, narušení letových plánů a zásadním způsobem to zkomplikovalo život cestujícím. Je tedy vidět, jak účinná technika to může být. Stále častěji (jedná se o dlouhodobý pravidelný růst) také sledujeme, jak jsou DDoS útoky používané k vydírání. Konkrétní skupiny (například DD4BC) hrozí útokem, pokud jim organizace nezaplatí v Bitcoinech.

Systémy jsou dnes stále více propojené a vzájemně závislé, takže narušení jednoho prvku v komunikačním řetězci může vyvolat dominový efekt a způsobit významné výpadky a ovlivnit celkový chod firmy. Jak DDoS útoky vlastně fungují a jak se mohou organizace bránit?

DDoS DNA

Charakteristickým prvkem DDoS útoku je odesílání masivní vlny on-line žádostí na webové stránky nebo služby a vytížení zdrojů, takže stránky nebo služby jsou nakonec nepřístupné pro legitimní požadavky, zastaví se nebo zkolabují. Útoky obvykle zahrnují jeden ze čtyř možných typů:

• Objemové útoky pracují s miliony UDP (User Datagram Protocol) paketů na portu 80, což je provoz, kterému web server typicky „naslouchá“ nebo očekává, že jej pro komunikaci využijí weboví klienti. Tento typ útoku vytěžuje hlavní stránku falešnými žádostmi, takže webový server nemá dostatek výkonu k obsloužení všech požadavků a následně dochází k vyřazení webové stránky z provozu bez následné možnosti poskytovat související služby.
• DNS reflection je sofistikovaný útok, který způsobí, že systém odpovídá na „bombardování“ externími legitimními dotazy. Požadavek ovšem předtím odeslal útočník maskovaný právě za adresu, která byla vytipována jako cíl. Takže systém vlastně odpovídá na požadavky, které si sám vyžádal. Lze použít i různá zesílení, aby byl efekt ještě drtivější. To účinně paralyzuje systém, jelikož musí generovat (nebo odrážet) stejný provoz, jaký zvládne přijmout.
• SYN flooding je typ útoku, který se zaměřuje na konkrétní hostitelský stroj. Zahrnuje odesílání velkého množství SYN (synchronizace) žádostí na server a server se pokouší odpovídat. Nakonec tento proces zkonzumuje příliš mnoho zdrojů, takže hostitelský stroj nereaguje na legitimní provoz.
• Pomalé útoky otevírají maximální možné množství připojení k serveru a snaží se o jejich udržení po co nejdelší možnou dobu tím, že těsně před vypršení platnosti TCP připojení posílají třeba jen několik bitů dat. Provoz není velký, ale objem pomalých připojení „ucpává“ příchozí síťové porty.

Obrana proti těmto typům útoků je náročná, navíc útočníci mohou kombinovat různé metody, aby ochranu ještě ztížili. Často využívají levné velkoobjemové metody ve spolupráci se sofistikovanějším cíleným přístupem. Nicméně existují čtyři důležité kroky, které mohou organizacím pomoci zmírnit dopad DDoS útoků.

1. V boji s velkoobjemovými útoky mohou pomoci scrubbingové služby

Při konfrontaci s velkoobjemovými DDoS incidenty je první věc, kterou organizace musí zvážit, možnost směrovat svůj internetový provoz přes dedikované cloudové poskytovatele scrubbingových služeb, což pomůže odstranit škodlivé pakety z proudu komunikace. Tito poskytovatelé představují první linii obrany proti velkoobjemovým útokům, protože mají potřebné nástroje a šířku pásma k čištění síťového provozu, takže DDoS pakety jsou zastaveny v cloudu a běžný firemní provoz je povolen.

2. Použijte dedikované DDoS zařízení pro izolování a zmírnění útoků

Složitost DDoS útoků a snaha kombinovat objemové a aplikační metody vyžaduje, aby zároveň docházelo ke kombinování technologií pro zmírnění potenciálních škod. Nejúčinnější způsob, jak se vyrovnat s kombinováním útoků na aplikace a pomalými útoky, je použít vlastní dedikovaná zařízení. Firewally a systémy prevence narušení jsou kritickým prvkem pro zmírnění škod. Další vrstvu obrany poskytují bezpečnostní DDoS zařízení prostřednictvím specializovaných technologií, které identifikují a blokují pokročilé DDoS aktivity v reálném čase.

3. Vylaďte firewall na zpracování vysokorychlostního připojení

Firewall nebo bezpečnostní brána jsou důležitým prvkem síťových zařízení během DDoS útoků. Správci by měli přizpůsobit své nastavení firewallu, aby rozpoznal a zpracovával objemové útoky a útoky na aplikační vrstvu. V závislosti na možnostech firewallu lze také aktivovat blokování DDoS paketů a zlepšit výkon firewallu v případě útoku.

4. Vytvořte strategii pro ochranu aplikací před DDoS útoky

Správci IT zabezpečení by měli vedle používání bezpečnostních řešení zvážit také úpravy webových serverů a strategií, aby vyrovnávací zátěž odpovídala prostředí dané organizace a byla zajištěna co nejlepší doba provozu a minimalizovala se rizika výpadků. To by mělo zahrnovat také ochranu proti opakovaným pokusům o přihlášení. Například lze blokovat automatizované činnosti, když uživatelé musí při vstupu na webové stránky kliknout na tlačítka „Přijmout“ nebo „Ne, děkuji“, aby se dostali hlouběji do obsahu webových stránek. Pomoci může také analýza obsahu. Pro začátek stačí i jednoduché kroky, aby na důležitých serverech nebyly uloženy velké obrázky nebo PDF soubory. I to ve výsledku může znamenat velký rozdíl.

DDoS je stále oblíbenější útočný nástroj, protože je relativně jednoduchý a levný a přitom stále efektivní. Pochopením DDoS útoků a implementováním výše uvedených metod mohou organizace lépe zmírnit dopad útoků na své podnikání.

David Řeháček