Obrona przed atakami Distributed Denial of Service - najlepsze praktyki
Gdzieś na świecie w lokalu podczas dyskusji przy kawie, na forum internetowym, kanale IRC, ktoś kogoś obraził, lub jakaś kwota pieniędzy zmieniła właściciela. Równie dobrze powodem mogła być nieprzychylna wypowiedź jednego polityka wobec innego albo innego kraju. Albo kolegi o innym koledze z klasy. Powód nie jest istotny, ważne są skutki.
Narzędzia dedykowane
Rozwiązania dedykowane dostępne komercyjnie łączą zwykle powyższe techniki (które już znalazły swoje miejsce w zestawie narzędzi każdego szanującego się operatora sieciowego) z opracowanymi dodatkowymi mechanizmami filtrowania i wykrywania.
Najważniejszą wadą mechanizmu BGP blackholing jest odrzucanie całego ruchu, na który skierowany jest atak - gdy atakowana jest np. witryna sklepu elektronicznego czy platforma B2B, taka "obrona" nie jest akceptowalna.
Rozwiązaniem jest połączenie mechanizmu przekierowującego ruch z mechanizmem oczyszczającym go z dających się zidentyfikować elementów generowanych przez zombie należące do botnetu i przesłanie tak "oczyszczonego" ruchu dalej. Oczywiście wraz z ewolucją i wzrastaniem stopnia skomplikowania algorytmów generujących ruch przez zombie, należy modyfikować mechanizmy pozwalające odfiltrować takie niechciane elementy ruchu. Jednym z rozwiązań, które zapewnia tego typu funkcjonalność, jest para urządzeń Cisco Guard i Traffic Anomaly Detector - wykorzystują one mechanizmy przekierowania ruchu przez protokół BGP lub inne, specyficzne dla otoczenia, w którym pracują i pozwalają na wysoko wydajne "oczyszczanie" ruchu z niepożądanych elementów, zapewniając jednocześnie przekazanie ruchu już oczyszczonego do docelowego adresu IP. Pozwala to atakowanemu hostowi podtrzymać działalność - warto jednak rozważyć opcje wdrożeniowe pary tych urządzeń ze względu na model, w jakim działają.
Podsumowanie
Artykuł ten zawiera jedynie skrócony przegląd mechanizmów i ich miejsc w ekosystemie bezpieczeństwa, choć mam nadzieję, że pozwoli przynajmniej usystematyzować wiedzę dotyczącą tych zagadnień. Na całym świecie zagadnieniami walki z atakami DDoS zajmują się zarówno ludzie oddani swojej pracy i zajmujący się tym zawodowo, jak i inżynierowie sieciowi wykonujący "po prostu" swoją pracę - zrzeszeni w organizacjach takich jak NSP-SEC.
Wraz z przenoszeniem się coraz większej ilości dziedzin naszego powszechnego dnia do internetu, zagrożenie związane z jego potencjalną "awarią" jest coraz bardziej poważne. Dziś problemem może być niemożność podjęcia gotówki czy dokonania zakupu w sklepie za pomocą karty płatniczej (co samo w sobie może spowodować pandemonium znane wszystkim, którzy 24 grudnia wybrali się na zakupy do hipermarketu), w przyszłości - całkowita zapaść mechanizmów wykorzystywanych przez nas codziennie do życia - od prądu, bieżącej wody, przez radio i telewizję, telefonię naziemną, GSM i satelitarną, aż po środki transportu (nie tylko miejskiego - producenci samochodów testują rozwiązania wyposażone w stosy sieciowe IPv6, odkrywając w ten sposób kolejny wektor ataku).
Z jednej strony rozsądek nakazuje zachować kontrolę nad zwalczaniem tego typu ataków w rękach ludzi. Z drugiej, tzw. efektywność operacyjna przeliczająca się wprost na sumy odszkodowań w ramach niespełnionych warunków SLA, wymusza stosowanie rozwiązań coraz bardziej zautomatyzowanych. Zachęcam zatem do rozważenia przynajmniej podstawowych technik wspomnianych powyżej - być może będą stanowić punkt wyjścia do wprowadzenia bardziej zaawansowanych mechanizmów.
***
Autorem artykułu jest Łukasz Bromirski, inżynier systemowy Cisco Systems.
Komentarze (3)
A ja mam pytanie jakie jest zagrozenie sieciowe gdy wszyscy uzytkownicy maja taki sam adres IP w siciowce osiedlowej wlasnie sie dowiedzialam i martwi mnie to
Co tu komentowac... art taki jak inzynier, ktory go pisal - swietny :P
Ciekawy artykuł poruszający istotną kwestię ale chyba jednak tylko dla dużych korporacji i sieci, napisany troszkę trudnym językiem ale zrozumiałym.
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...