Obrona przed atakami Distributed Denial of Service - najlepsze praktyki
31 marca 2008 20:25
NetWorld
(Strona 4 z 4)
Narzędzia dedykowane
Rozwiązania dedykowane dostępne komercyjnie łączą zwykle powyższe techniki (które już znalazły swoje miejsce w zestawie narzędzi każdego szanującego się operatora sieciowego) z opracowanymi dodatkowymi mechanizmami filtrowania i wykrywania.
Najważniejszą wadą mechanizmu BGP blackholing jest odrzucanie całego ruchu, na który skierowany jest atak - gdy atakowana jest np. witryna sklepu elektronicznego czy platforma B2B, taka "obrona" nie jest akceptowalna.
Rozwiązaniem jest połączenie mechanizmu przekierowującego ruch z mechanizmem oczyszczającym go z dających się zidentyfikować elementów generowanych przez zombie należące do botnetu i przesłanie tak "oczyszczonego" ruchu dalej. Oczywiście wraz z ewolucją i wzrastaniem stopnia skomplikowania algorytmów generujących ruch przez zombie, należy modyfikować mechanizmy pozwalające odfiltrować takie niechciane elementy ruchu. Jednym z rozwiązań, które zapewnia tego typu funkcjonalność, jest para urządzeń Cisco Guard i Traffic Anomaly Detector - wykorzystują one mechanizmy przekierowania ruchu przez protokół BGP lub inne, specyficzne dla otoczenia, w którym pracują i pozwalają na wysoko wydajne "oczyszczanie" ruchu z niepożądanych elementów, zapewniając jednocześnie przekazanie ruchu już oczyszczonego do docelowego adresu IP. Pozwala to atakowanemu hostowi podtrzymać działalność - warto jednak rozważyć opcje wdrożeniowe pary tych urządzeń ze względu na model, w jakim działają.
Podsumowanie
Artykuł ten zawiera jedynie skrócony przegląd mechanizmów i ich miejsc w ekosystemie bezpieczeństwa, choć mam nadzieję, że pozwoli przynajmniej usystematyzować wiedzę dotyczącą tych zagadnień. Na całym świecie zagadnieniami walki z atakami DDoS zajmują się zarówno ludzie oddani swojej pracy i zajmujący się tym zawodowo, jak i inżynierowie sieciowi wykonujący "po prostu" swoją pracę - zrzeszeni w organizacjach takich jak NSP-SEC.
Wraz z przenoszeniem się coraz większej ilości dziedzin naszego powszechnego dnia do internetu, zagrożenie związane z jego potencjalną "awarią" jest coraz bardziej poważne. Dziś problemem może być niemożność podjęcia gotówki czy dokonania zakupu w sklepie za pomocą karty płatniczej (co samo w sobie może spowodować pandemonium znane wszystkim, którzy 24 grudnia wybrali się na zakupy do hipermarketu), w przyszłości - całkowita zapaść mechanizmów wykorzystywanych przez nas codziennie do życia - od prądu, bieżącej wody, przez radio i telewizję, telefonię naziemną, GSM i satelitarną, aż po środki transportu (nie tylko miejskiego - producenci samochodów testują rozwiązania wyposażone w stosy sieciowe IPv6, odkrywając w ten sposób kolejny wektor ataku).
Z jednej strony rozsądek nakazuje zachować kontrolę nad zwalczaniem tego typu ataków w rękach ludzi. Z drugiej, tzw. efektywność operacyjna przeliczająca się wprost na sumy odszkodowań w ramach niespełnionych warunków SLA, wymusza stosowanie rozwiązań coraz bardziej zautomatyzowanych. Zachęcam zatem do rozważenia przynajmniej podstawowych technik wspomnianych powyżej - być może będą stanowić punkt wyjścia do wprowadzenia bardziej zaawansowanych mechanizmów.
***
Autorem artykułu jest Łukasz Bromirski, inżynier systemowy Cisco Systems.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
5
- IP: 212.87.229.34
- 23-04-2008, 20:40
Ciekawy artykuł poruszający istotną kwestię ale chyba jednak tylko dla dużych korporacji i sieci, napisany troszkę trudnym językiem ale zrozumiałym.
- ocena:
5
- IP: 212.106.23.156
- 22-05-2008, 15:04
Co tu komentowac... art taki jak inzynier, ktory go pisal - swietny :P
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
