Kako protiv DDoS napada?
U prvom tromesečju 2014. godine kompanija Kaspersky Lab otkrila je u Srbiji 373.588 slučajeva napada zlonamernih programa. Čak trećina od toga bili su lokalni napadi!
Poslednjih godina beleži se porast broja bezbednosnih incidenata na internetu, počevši od onih koji kompromituju krajnje korisnike, sve do napada čiji su cilj veliki sistemi, poput multinacionalnih kompanija, državnih organa i internet provajdera. Napadi usmereni ka krajnjim korisnicima najčešće dolaze u vidu malicioznog softvera koji degradira performanse korisničkih računara i prikuplja osetljive podatke, poput lozinki ili brojeva kreditnih kartica. Napadači često preko malicioznog softvera preuzimaju kontrolu nad napadnutim računarima, radi izvođenja koordinisanih napada.
S druge strane, napadi usmereni ka velikim sistemima realizuju se najčešće u formi DDoS (Distributed Denial of Service) napada, čiji je osnovni cilj da onemoguće krajnjim korisnicima korišćenje napadnutog servisa. Pošto mreže internet provajdera, velikih kompanija i državnih organa opslužuju više korisnika, efekat ovakvih napada je najčešće velikih razmera.
Rani DDoS dani
Iako su se metode i motivi DDoS napada menjali tokom proteklih godina, cilj samih napada ostao je isti: onemogućiti ili otežati korisnicima pristup određenim servisima ili resursima, a ne biti otkriven.
Paralelno sa razvojem sistema zaštite, razvijale su se i tehnike napada. U početku je napade vršio direktno napadač, dok je identitet skrivao modifikacijom izvorišne adrese.
Prvobitni napadi ovog tipa nazvani su DoS (Denial of Service) napadima, a obuhvatali su napade na mreže, sisteme i određene servise prilikom kojih se prema napadanom resursu šalje velika količina neželjenog saobraćaja, koji je po svojoj formi ekvivalentan regularnom saobraćaju. Usled ogromne količine saobraćaja, informacioni sistemi bivaju preopterećeni i nisu u stanju da procesiraju celokupan saobraćaj, što rezultuje ili potpunim prekidom servisa ili otežanim pristupom korisnika određenim servisima.
Vremenom su DoS napadi evoluirali u DDoS (Distributed Denial of Service) napade, tako što su ulogu direktnih izvršilaca preuzeli računari zaraženi malicioznim softverom, takozvani botovi, kojima diriguje napadač, preko bot‑servera. Napadač je često skriven iza nekoliko prstenova zaštite, dok napade nesvesno izvodi velika grupa korisnika koja čini mrežu napadača, odnosno botnet. Botnetovi predstavljaju dobar način za povećavanje intenziteta napada jer obuhvataju veliku grupu korisnika, a istovremeno skrivaju direktnog napadača.
DDoS napadi, s druge strane, predstavljaju koordinisane napade više izvršilaca, čiji je cilj onesposobljavanje određenog servisa. Veza između botnetova i DDoS napada je takva da se ovi pojmovi često i ne razdvajaju, jer je najveći broj DDoS napada realizovan upravo direktnim korišćenjem botnetova. Korišćenjem velikog broja izvršilaca, napadač, pored povećanja intenziteta, istovremeno i efikasnije krije svoju IP adresu, jer u napadu učestvuje „samo“ kao kao koordinator. Što je veći broj slojeva između napadača i njegove žrtve, manje su šanse da on bude otkriven.
Situacija danas
Današnji napadi koji za cilj imaju onesposobljavanje informacionih sistema uglavnom su DDoS napadi, zbog lakoće kojom se veliki broj korisnika inficira malicioznim softverom, preko kojeg se kreira botnet i kasnije diriguje napadom.
Upravo veliki broj zaraženih uređaja predstavlja oslonac gotovo svih današnjih DDoS napada. Na ubrzano širenje utiče i brzina razvoja interneta, nedostatak antivirusnog softvera na korisničkim računarima, ali često i informatička nepismenost korisnika.
Individualno posmatrano, svaki zaraženi korisnik ili bot može da pošalje malu količinu saobraćaja, koja ne remeti njegove resurse. Grupno gledano, količina saobraćaja kojom zaraženi korisnici mogu da napadnu ciljanu mrežu direktno je srazmerna njihovom broju.
Napadači su, zapravo, u stanju da slanjem svega nekoliko komandi upravljaju armijom od nekoliko hiljada, pa čak i nekoliko stotina hiljada botova, odnosno direktnih izvršilaca. Maliciozni softver najčešće se širi putem internet crva, preko koga zaraženi računar dalje širi maliciozni softver.
Tipovi napada
Načelno gledano, DDoS napadi se mogu podeliti na bandwidth, protokol i aplikativne napade.
Bandwidth napadi su uglavnom usmereni ka zagušenju mrežnih resursa, poput protoka ili propusne moći uređaja. Ukoliko je intenzitet napada veliki, moguće je potpuno zagušenje linkova između provajdera i korisnika. Prilikom zagušenja dolazi i do usporavanja korisničkog saobraćaja, pojave retransmisija koje proizvode dodatni saobraćaj i kašnjenja.
Protokol napadi se izvode preko tačno određenih protokola, koristeći osobine protokola preko koga se realizuju, tačnije njegove nesavršenosti.
Aplikativni napadi, za razliku od prethodno navedenih napada koji direktno crpe mrežne resurse ili iskorišćavaju karakteristike protokola, ciljaju softverske nedostatke aplikacija na kojima se baziraju korisnički servisi, kao npr. nedostatke web servera.
Kako ih sprečiti?
Zaštita od DDoS napada izvodi se implementacijom posebnih uređaja na perimetrima korisničkih mreža ili korišćenjem dodatnih servisa koje internet provajderi nude. Implementacijom posebnih uređaja za zaštitu od DDoS napada moguće je ostvariti bolju kontrolu i monitoring. Problem kod ovakvog pristupa je što neželjeni saobraćaj dolazi do mreže krajnjeg korisnika, zauzima kapacitet pristupnih linkova, dodatno opterećuje mrežne uređaje i distributivnu mrežu provajdera.
Provajderi nude korisnicima, kao dodatni servis, zaštitu od DDoS napada. Krajnji korisnici imaju mogućnost da preko web portala definišu parametre filtriranja. Najčešće je to grubo filtriranje saobraćaja, gde se određenom skupu IP adresa zabranjuje pristup napadnutom servisu.
Ako je ka krajnjem korisniku usmeren DDoS napad visokog intenziteta, tada najčešće dolazi do zagušenja pristupnih linkova ili samog uređaja za zaštitu od DDoS napada. Metoda zaštite na nivou provajdera pokazala se kao bolja za ovakvu vrstu napada, jer saobraćaj ne dolazi do korisničke mreže.
Postojanje uređaja za zaštitu od DDoS napada na perimetru mreže krajnjeg korisnika neophodno je zbog detekcije napada, ali i zaštite od inteligentnijih DDoS napada koji ciljaju nedostatke protokola ili samih aplikacija. Ovakva rešenja nude krajnjim korisnicima mogućnost definisanja velikog broja polisa, putem kojih je moguće detektovati maliciozni saobraćaj.
U brojnim slučajevima, problem kod DDoS napada je kasna detekcija, jer se DDoS napad najčešće detektuje tek kada neki servis postane nedostupan. Iz tog razloga, primena specijalizovanih uređaja je opravdana, jer je moguće detektovati napad u ranoj fazi i analizom logova ustanoviti prirodu napada.
Hibridni model zaštite, koji podrazumeva korišćenje specijalizovanih uređaja na perimetru mreže krajnjeg korisnika i korišćenje DDoS zaštite na nivou provajdera, pokazao se kao najefikasniji, jer je na uređaju moguće detektovati DDoS napad u ranoj fazi, utvrditi prirodu napada, a nakon toga takav saobraćaj označiti kao nepoželjan na nivou internet provajdera.
Najpoznatiji napadi
Prvim DoS napadom smatra se onaj koji je 1974. godine izveo Dejvid Denis. Tada je napadnuta istraživačka laboratorija Univerziteta Ilinois. Napad je bio usmeren na terminalne uređaje i koristio je njihov nedostatak da na komandu external, putem koje se pristupa eksternom uređaju koji je zakačen na terminal, reaguju prelaskom u locked mod, ukoliko nema povezanih eksternih uređaja. Izlazak iz locked moda zahtevao je restart terminala. Napadač je iskoristio ovaj nedostatak i poslao komandu ka grupi terminala, blokirajući njihov dalji rad.
Jedan od najvećih DDoS napada zabeležen je tokom 1999. godine, kada su napadači, korišćenjem alata Trinoo, onesposobili mrežu Univerziteta Minesota na nekoliko dana. Princip napada svodio se na postojanje master i deamon računara: napadač je slao instrukcije ka master računarima, dok su oni te instrukcije dalje prosleđivali ka deamon grupama računara, koje su ka napadanoj mreži slale velike količine UDP paketa.
U maju 2014. godine, došlo je do snažnog napada na DNS servere kompanije Akamai. Primarni cilj napada, prvog u nizu, bio je chat server u Akamai sistemu, a kompanija je zabeležila najveći broj paketa u sekundi (pps) prošle godine – čak 110 miliona!
Napad je istovremeno ciljao Akamai servere na više lokacija širom sveta, a odvijao se u dva navrata – oba puta u trajanju od šest do sedam sati. U prvom napadu, 28. maja, ostvaren je ukupan protok od preko 119 Gbps, uz preko 59 miliona pps. Potom su napadači promenili taktiku i dva dana kasnije ostvarili ukupan protok od “svega” 92,8 Gbps, dok je broj paketa u sekundi skoro dupliran na 110 miliona.
Iako se sumnja da je izvor napada iz Kine, analizom IP adresa sa kojih je saobraćaj stizao vidi se zapravo gde se nalaze zaraženi računari, odnosno delovi bot mreže. Većina njih, preko 56% je u SAD, dok ih je u Kini bilo blizu 23%. Pored toga, zabeležene su IP adrese iz Velike Britanije, Nemačke i Japana.
Autor: Aleksandar Pavlović
Objavljeno u časopisu Business&IT #4