Atacurile de blocare distribuită a serviciului, în limba engleză Distributed Denial of Service (DDoS) reprezintă o amenințare majoră pentru toate tipurile de organizații. Acest articol descrie tipurile de atacuri DDoS, tehnicile de atac utilizate, instrumentele utilizate de atacatori, efectele atacurilor asupra țintelor, metodele de aparare. Apărarea împotriva vectorilor de atac DDoS, care se schimbă rapid, este crucială pentru protejarea infrastructurii online și trebuie realizată cu resursele, expertiza și tehnologia potrivite.
Introducere
DDoS este un atac, în care se încearcă afectarea accesului utilizatorilor legitimi la orice aplicație sau serviciu conectat la internet. Acest atac, este realizat prin utilizarea mai multor dispozitive conectate la internet și deja compromise (botnet) pentru a ataca o anumită țintă.
Se realizeaza transmiterea unei serii de pachete de date de la computere sau alte dispozitive de calcul care au fost infectate cu așa-numitele programe malware: viruși și troieni.
Dispozitivele de calcul corupte sunt apoi numite “boți” și, în mod colectiv, pot forma o rețea numită “rețea bot”. Controlate de un server central de comandă, botnet-urile pot fi folosite în multe scopuri nefaste, inclusiv atacuri DDoS.
Prin utilizarea unui botnet atacatorii au la dispoziție o “putere de atac” mai mare, sursa reală a atacului fiind dificil de identificat.
Atacul DDoS implică generarea unui val de cereri de conexiune la adresa site-ului, ceea ce conduce la funcționarea semnificativ încetinită sau oprirea activității site-ului țintă.
Numărul atacurilor de acest fel este în continuă creștere, atât pe plan internațional cât și în România. Țara noastră este în top 15 în clasamentul celor mai vizate țări de atacurile DDoS, lansate cu ajutorul rețelelor de tip botnet. De asemenea, mărimea, durata, frecvența și complexitatea atacurilor DDoS crește în permanență.
Având în vedere amploarea unui atac DDoS sunt vizate, în principal, instituții guvernamentale, bănci, firme de pariuri online, companii multinaționale.
Datorită costurilor relativ reduse ale unui atac, practic orice instituție sau orice companie cu rivali pe piață poate fi expusă unor astfel de riscuri.
Din ce în ce mai multe companii și organizații din România sunt preocupate de aceste atacuri, în ideea de a asigura desfășurarea normală a activității și continuitatea afacerii.
Descrierea atacurilor de tip DDOS
UDP flood este un atac de tip denial-of-service (DoS) creat pentru a face un sistem IT, un server, sau o mașină logică indisponibilă pentru utilizatorii și solicitările legitime. Atacurile UDP flood sunt extrem de eficiente și necesită puține resurse pentru a fi executate. Atacurile DoS sau DDoS (denial-of-service distribuit) fac, adesea, parte din amenințările extrem de complexe care combină mai mulți vectori de atac (alias multi-vector), pentru a viza mediul IT al unei organizații. Spre deosebire de atacurile TCP DDoS, în care actorii amenințărilor folosesc pachetele TCP SYN, pachetele UDP pot fi fragmentate și pot provoca la fel de mult rău ca un atac de UDP normal.
TCP SYN Flood
Un atac TCP SYN Flood funcționează prin exploatarea arhitecturii protocolului de control al transmisiei (TCP). Acest protocol comun pentru serviciile e-mail și serviciile web reprezintă o țintă disponibilă și relativ simplu de atacat. O conexiune TCP se bazează pe metoda “3-way Handshake”.
Practic, o solicitare este primită și rămâne în starea “recepționat” până a fost verificată legitimitatea solicitării. Pentru a menține conexiunea deschisă, atacatorii folosesc adrese IP sursă care nu pot fi confirmate. Când verificarea nu poate fi efectuată, solicitările de stare primite încep să facă backup și, în cele din urmă, inundă sistemul care devine indisponibil pentru cererile legitime.
ICMP Flood
ICMP (Internet Control Message Protocol) este un instrument de diagnosticare și raportare a erorilor care face parte din orice implementare IP. Routerele și dispozitivele de rețea îl folosesc pentru a trimite mesaje către alte dispozitive în formă de pachete IP. Acestea comunică defecte și dificultăți, cum ar fi trimiterea notificărilor care anunță că dispozitivele originatoare nu pot fi contactate pentru livrare. Un atac ICMP are loc atunci când un atacator inundă în mod intenționat gazda cu pachete IP mai mari decât capacitatea sa. Pe măsură ce se încearcă să răspundă, capacitatea este supraîncărcată iar sistemul devine neoperațional.
Slowloris atac la nivel aplicație
Slowloris este un instrument de atac de tip DDoS care încearcă să păstreze deschise cât mai multe conexiuni cu serverul țintă, blocând astfel accesul utilizatorilor legitimi.
Slowloris funcționează prin trimiterea cererilor în porțiuni foarte mici cât mai încet posibil, ceea ce forțează serverul să aștepte până sosește următoarea porțiune. În acest fel, Slowloris nu necesită o cantitate mare de trafic sau multă lățime de bandă.
Metode de apărare împotriva atacurilor de tip DDoS
Deși nu există soluții pentru a evita complet un atac DDoS, există câteva soluții proactive, pe care administratorii de rețele le pot implementa pentru a reduce efectele unui astfel de atac:
- Implementarea unui serviciu de protecție împotriva DDoS (care detectează traficul anormal și îl redirecționează)
- Realizarea unui plan în caz de dezastru pentru a asigura eficiența comunicării, ameliorării și recuperării în contextul unui atac DDoS.
Pentru a evita compromiterea dispozitivelor utilizatorilor și includerea acestora într-un botnet care lansează atacuri DDoS, există următoarele soluții:
- Instalarea unui firewall și configurarea acestuia astfel încât să restricționeze traficul care vine spre sau pleacă dinspre dispozitiv
- Implementarea unor bune practici de securitate în sensul minimalizării accesului altor persoane la informațiile de pe dispozitiv și gestionării traficului nedorit
- Implementarea unor soluții de protecție Anti DDoS asigurate de furnziorii serviciilor Internet
Prin utilizarea serviciului de protecție Anti-DDoS clienții pot diminua riscurile asociate atacurilor DDoS. Soluțiile de protecție pot acționa atât la nivel de rețea a furnizorului de Internet, cât și la nivelul conexiunii Internet de la sediul clientului.
Se poate realiza mitigarea la nivel de rețea prin rutarea traficului cu probleme prin platforma de protecție împotriva atacurilor DDoS instalată în rețeaua furnizorului de servicii Internet. Platforma de protecție împotriva atacurilor DDoS realizează detecția și mitigarea pentru atacurile lansate de atacatorii malițioși.
Platforma de protecție împotriva atacurilor DDoS sunt produse ale Radware, Akamai, F5, Netscout- Arbor, Cloudflare, Imperva.
O soluție completă de protecție Anti DDoS integrează și un echipament instalat în rețeaua de acces a organizației beneficiare. Astfel, clientul este protejat atât împotriva atacurilor realizate de rețele botnet internaționale – calculatoare ’zombie’ infectate răspândite pe întreg globul care sunt utilizate pentru efectuarea de atacuri informatice concertate asupra unor ținte civile sau guvernamentale din România, cât și în cazurile în care există un atac DDoS local din rețelele furnizorilor de servicii internet ISP (Internet Service Provider) din România.
Principalele caracteristici și funcționalități ale soluțiilor de protecție împotriva atacurilor de tip DDoS produse de Radware, Akamai, F5, Netscout- Arbor, Cloudflare, Imperva sunt:
Platforma anti DDoS realizează analiza de trafic și monitorizarea anomaliilor. La detectarea oricărui comportament anormal, soluția adoptată transmite alarme, iar mitigarea se face automat.
Soluția de mitigare poate oferi protecție împotriva diferitelor tipuri de atacuri DDoS posibile (în limba engleză: Flood Attacks, Fragmentation Attacks, TCP Stack Attacks, Application Attacks, DNS cache poisoning, Vulnerability Attack etc.).
Platforma anti DDoS include diferite metode de detecție și mitigare (în limba engleză: Blacklist / Whitelist, geo-location reporting and blocking, IP Reputation Database, learning Fingerprints attack, zombies blocking, content filtering packet, packet header filtering, Botnet Removal, malformed packet removal etc.).
Platforma anti DDoS oferă un timp de răspuns foarte rapid la apariția unui atac: câteva secunde pentru a începe auto-detecția și activarea protecției într-un interval de ordinul minutelor. Acești timpi depind de configurarea routerelor, încărcarea CPU, timpul de convergență.
Clasificarea incidentelor asociate atacurilor de tip DDoS
Incidentele sunt definite ca disfuncționalități care afectează disponibilitatea și accesibilitatea resurselor IT.
Incidentele se clasifică în următoarele categorii: Extrem, Serios, Moderat și Scăzut.
| INCIDENT | DESCRIERE | SEVERITATEA IMPLICITĂ |
| Denial of service (atac de tip respingere serviciu) | Denial of service constă în cauzarea indisponibilității unui serviciu IT, împiedicând astfel clienții legitimi să utilizeze serviciul în cauză.
Atunci când se efectuează un atac în masă dintr-o rețea de mașini corupte, acest lucru este cunoscut ca fiind “distributed denial of service (“respingerea distribuită de serviciu” – DDoS). |
Serios |
| Intruziune tehnică | Această categorie acoperă orice tip de atac care permite unei persoane neautorizate să aceseze sistemul informatic al organizației țintă | Extrem |
| Prezența de programe rău intenționate (malware) | Programele rău intenționate (malware) se instalează pe o stație de lucru fără cunoașterea utilizatorului, cu scopul de a impiedica funcționarea normală a sistemului IT. Acest termen acoperă: viruși, viermi, cai troieni, keyloggers etc. | Moderat |
| Degradarea website-urilor găzduite intern | Această categorie acoperă orice tip de modificare făcută paginilor web ale organizației țintă de către terți, fără cunoștinta proprietarului de site. | Scăzut |
| Alte tipuri de atacuri ce afectează sistemul informatic al organizației țintă | Orice alt atac extern care nu se încadrează în categoriile de mai sus este clasificat în această categorie. | Scăzut |
Concluzii
Pentru a gestiona apărarea împotriva atacurilor de tip DDoS, cea mai bună practică comună validată de experți la nivel global, este aceea de a implementa dispozitive în rețeaua IT locală care vor proteja activele de internet în timp real.
Atacurile DDoS recente utilizează o combinație între atacurile volumetrice și cele la nivel de aplicație și de aceea, cea mai bună apărare constă în utilizarea platformelor instalate local combinate cu platformele situate în rețeaua furnizorului de servicii Internet.
Atacurile DDoS sunt în creștere și, de aceea, indiferent de soluțiile alese, o strategie personalizată va oferi cea mai bună apărare posibilă. Fiecare organizație are cerințe speciale precum și puncte slabe distincte, care trebuie luate în considerare la planificarea mecanismelor de apărare.
Nicio organizație nu își poate permite să aștepte până când se confruntă cu un atac care conduce la sustragerea de date sensibile sau blocarea completă a serviciilor și, de aceea, trebuie să implementeze soluții de prevenție și de apărare cibernetică.
Autor: Vasile VOICU