Wiadomości
Obrona przed atakami Distributed Denial of Service - najlepsze praktyki
31 marca 2008 20:25,
NetWorld
TAGI:
ddos
Gdzieś na świecie w lokalu podczas dyskusji przy kawie, na forum internetowym, kanale IRC, ktoś kogoś obraził, lub jakaś kwota pieniędzy zmieniła właściciela. Równie dobrze powodem mogła być nieprzychylna wypowiedź jednego polityka wobec innego albo innego kraju. Albo kolegi o innym koledze z klasy. Powód nie jest istotny, ważne są skutki.
Twoja sieć jako Twoje narzędzie
Wykrycie ataku pozwala podjąć świadomie kroki do jego zatrzymania, lub chociażby ograniczenia jego skutków. Kroki, które umożliwią zbudowanie w sieci odpowiednich mechanizmów, należy podjąć jednak zanim atak się wydarzy - inaczej w najlepszym wypadku będzie to bolesna nauczka.
Do ochrony zasobów, które mogą zostać rozproszone w sieci IP, a klienci korzystający z nich nie utrzymują sesji, tylko pracują w modelu pytanie/odpowiedź, może posłużyć mechanizm IP Anycast. Został on z powodzeniem wykorzystany do ochrony serwerów DNS domen głównych. Część z serwerów jest tak naprawdę klastrem, przy czym są one rozproszone geograficznie, ale ich jeden, wspólny adres rozgłaszany jest jednocześnie w wielu miejscach. Dzięki temu ruch kierowany do konkretnego adresu widocznego w opisie strefy rozkłada się na wiele fizycznych serwerów. Klient otrzymuje odpowiedź od najbliższego serwera (w większości przypadków), nie wiedząc nawet, że w sieci znajduje się jeszcze jego wiele "kopii" i to dostępnych dokładnie pod tym samym adresem IP.
Jeśli chcemy chronić zasoby przez przekierowanie bądź odfiltrowanie ruchu docierającego do naszej infrastruktury, interesujący może być mechanizm tzw. BGP blackholingu, który - jak sama nazwa wskazuje - wykorzystuje obecny w większości dużych sieci protokół BGP do przekierowania ruchu niechcianego do logicznych koszów na śmieci (lub do dalszej analizy, ale z dala od głównej osi ataku).
Idea działania jest prosta i w pełni wykorzystuje mechanizmy obecne w standardowej implementacji protokołu BGP - w momencie wykrycia ataku, cel (czyli docelowa sieć lub adres IP) jest rozgłaszany wśród wszystkich routerów BGP z dodatkowym atrybutem - przenoszonym zwykle jako community, któremu administratorzy przypisali szczególne znaczenie. Każdy z routerów, otrzymując takie rozgłoszenie i orientując się w znaczeniu community, zmienia atrybut next-hop dla prefiksu na wskazujący albo na logiczny kosz na śmieci (jeśli ruch ma być odrzucany), albo na inny router (zwykle koniec tunelu GRE prowadzącego do stacji zbierającej ruch do dalszej analizy). Warto zauważyć, że skuteczny mechanizm BGP blackholingu prowadzi wprost do spełnienia życzenia atakującego - odcięcia chronionych zasobów od łączności ze światem zewnętrznym. Czasami jednak relatywnie łatwo jest zmienić adresy IP atakowanej infrastruktury i uaktualnić rekordy w strefie DNS. Tak czy inaczej - jeśli ruch odrzucany jest we własnej infrastrukturze, zapewne i tak łącza do innych systemów autonomicznych (w szczególności - po prostu internetu) są w całości wypełnione.
Rozwinięciem koncepcji BGP blackholingu staje się zatem współpraca wielu operatorów systemów autonomicznych w rozgłaszaniu i akceptowaniu prefiksów, do których wykryto atak. Pozwala to na skuteczne zminimalizowanie skutków ataku DDoS zgodnie z regułą naczyń połączonych - sieci tranzytowe dla ataku przestają go przenosić, sieci w których atak jest rozpoczynany - przestają go inicjować i tłumią go już na swoim brzegu. Projekty wspomagające tego typu aktywności, takie jak projekt Cymru (rozgłaszanie prefiksów nieprzydzielonych jeszcze w internecie bądź zarezerwowanych), czy projekt, który mam przyjemność prowadzić osobiście - BGP Blackholing PL (pozwalamy dodatkowo rozgłaszać prefiksy atakowane ich właścicielom, dając realne narzędzie do walki z atakiem), znakomicie ułatwiają tego typu inicjatywy lub mogą stać się inspiracją do tworzenia swoich, dedykowanych rozwiązań.
Warto również zwrócić uwagę, że mechanizm BGP może być wykorzystany do dynamicznego ograniczenia pasma dla ruchu do konkretnego prefiksu - i nie musi wiązać się z odrzucaniem ruchu w całości. Takie rozwiązanie przydaje się, gdy wolumen ruchu do konkretnego zasobu zaczyna niepokojąco rosnąć (ponad dotychczas obserwowany poziom), ale nie mamy jeszcze pewności, że jest to atak DoS/DDoS. Innym ciekawym mechanizmem, który nadal nie doczekał się ustandaryzowania, jest możliwość przenoszenia przez BGP przez nowy rodzaj NRLI informacji analogicznych do list kontroli dostępu - dających możliwość filtrowania dynamicznie ruchu z dokładnością do warstwy trzeciej i czwartej. Rozwiązanie zaimplementowane jest do tej pory w routerach firmy Juniper (od JunOS 7.2).
Komentarze (3)
A ja mam pytanie jakie jest zagrozenie sieciowe gdy wszyscy uzytkownicy maja taki sam adres IP w siciowce osiedlowej wlasnie sie dowiedzialam i martwi mnie to
Co tu komentowac... art taki jak inzynier, ktory go pisal - swietny :P
Ciekawy artykuł poruszający istotną kwestię ale chyba jednak tylko dla dużych korporacji i sieci, napisany troszkę trudnym językiem ale zrozumiałym.
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...