Obrona przed atakami Distributed Denial of Service - najlepsze praktyki
31 marca 2008 20:25
NetWorld
(Strona 2 z 4)
Narzędzia podstawowe
Aby zatrzymać atak - trzeba posiadać możliwość wykrycia go, lub wręcz jeszcze lepiej - zaobserwowania symptomów jego zbliżania się. Tradycyjną metodą na wykrywanie wszelkiego rodzaju anomalii - a atak DDoS jest zwykle bardzo widoczną anomalią w ruchu sieciowym - jest obserwowanie ruchu na interfejsach urządzeń, obciążenia procesorów w chronionych serwerach za pomocą protokołu SNMP. Wykrycie nagłego wzrostu ruchu jest proste, ale niestety zbyt wolne - domyślne odczytywanie liczników co minutę czy pięć może dostarczyć informacji o ataku już po jego rozwinięciu, bo - jak pokazują praktyki ataków DDoS - wzrost ruchu następuje zwykle najgwałtowniej w ciągu kilkunastu sekund, by nabierać na sile przez kolejne minuty i czasami godziny.
Do analizy wszelkiego rodzaju anomalii dostępne są setki wręcz mechanizmów i narzędzi, których należy jedynie odpowiednio użyć, by jak najlepiej wykorzystać je w monitoringu i ochronie swojej sieci. Oczywiście dobry system monitoringu powinien łączyć analizę różnego rodzaju komunikatów - pochodzących z sieci, hostów czy wręcz użytkowników (dzięki zaawansowaniu w technologiach oprogramowania klasy host FW i IPS).
Z punktu widzenia sieci, tradycyjne metody monitoringu obejmują wykorzystanie protokołu SNMP do zbierania różnego rodzaju informacji o pracy urządzeń - obciążeniu interfejsów ruchem, obciążeniu CPU i pamięci procesorów sieciowych i kart liniowych. Tak jak jednak wcześniej wspomniałem, wykorzystanie SNMP skazuje nas z reguły na odczytywanie informacji w najlepszym wypadku co minutę lub pięć (oczywiście w większości przypadków nic nie szkodzi, by informacje odczytywać częściej, ale z reguły robi się to bardzo rzadko).
Lepszym i tradycyjnie używanym w ogromnej większości sieci dostawców usług mechanizmem jest NetFlow - opatentowany przez Cisco (choć dostępny w ogromnej ilości wolnych implementacji) mechanizm eksportu informacji o ruchu sieciowym przez routery. Dla każdej sesji (identyfikowanej jako połączenie pomiędzy konkretną parą adresów IP i portów TCP/UDP, ze śledzeniem sesji TCP oraz określonym czasem wygaśnięcia dla sesji UDP) router zbiera rekord informacji podsumowującej i wysyła ją do kolektora. Informacje te w zależności od wersji zawierają czas trwania sesji, ilość przesłanych pakietów i bajtów, źródłowy i docelowy adres IP (oraz informacje dla warstwy czwartej, ewentualnie od wersji 9 wybrane informacje o warstwie drugiej), źródłowy i docelowy numer systemu autonomicznego (jeśli router ma informacje pozwalające wypełnić te pola).
Możliwe jest również eksportowanie informacji od razu zagregowanych - zależy to już od potrzeb administratora. Kolektor zbiera rekordy (zwykle przechowuje je w relacyjnej bazie danych) i pozwala na generowanie rozmaitego rodzaju raportów na ich podstawie. To otwiera pole do wszelkiego rodzaju zestawień i podsumowań powstałych w czasie rzeczywistym - od listy hostów generujących najwięcej ruchu, do zestawień relacji ruchowych (z kim wymieniamy najwięcej ruchu), czy ilości krótkich sesji pochodzących z konkretnych "podejrzanych" sieci (najbanalniejszy atak DDoS polega właśnie na wysyłaniu krótkich pakietów - np. TCP SYN w dużych ilościach).
Mechanizmem uzupełniającym tego typu analizy jest mechanizm sFlow, implementowany na części przełączników sieciowych - zbiera potencjalnie nawet więcej informacji niż NetFlow w wersjach 1/3/5 (choć większość implementacji sprzętowych nie implementuje większej części funkcjonalności opisywanej w RFC3176, a wbudowane próbkowanie powoduje, że dokładność podawanych danych waha się raczej w okolicach 25-30% vs 80-90% podawanych przez NetFlow). Jeśli jednak mamy urządzenia pozwalające na eksport informacji tylko w tym formacie - należy je dołączyć do stale analizowanych w ramach monitoringu bezpieczeństwa sieci.
Oczywiście warunkiem pomyślnego wykorzystania zbieranych informacji jest kolektor i system pozwalający realizować odpowiednie do naszych potrzeb raporty - do protokołu NetFlow dostępne są zarówno wolne kolektory takie jak cflowd, flow-tools, ntop, jak i komercyjne, wychodzące dalej w stronę analiz i nawet wizualizacji ścieżki ataku - m.in. Fluke, Arbor Networks czy Cisco MARS. Wiele organizacji tworzy jednak na swoje, nierzadko bardzo specyficzne potrzeby, własne rozwiązania, oparte na doświadczeniu osób mających największą wiedzę w firmie.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
5
- IP: 212.87.229.34
- 23-04-2008, 20:40
Ciekawy artykuł poruszający istotną kwestię ale chyba jednak tylko dla dużych korporacji i sieci, napisany troszkę trudnym językiem ale zrozumiałym.
- ocena:
5
- IP: 212.106.23.156
- 22-05-2008, 15:04
Co tu komentowac... art taki jak inzynier, ktory go pisal - swietny :P
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
