DDoS! Hogy ne unatkozzanak a SecOps-nál!

A DDoS támadások olyan kiberbűnözési technikák, amikkel a támadók túlterhelik a szervezet számítási célpontjait, így az nem tudja feldolgozni a forgalmat, kimerítik az erőforrásokat és azok ezáltal elérhetetlenné válnak.
MIRŐL LESZ SZÓ A BLOGBAN?

DDoS, felhőbiztonság, Azure

Felmerül a kérdés, ebben mi a jó? Miért csinálják? Hogy ne unatkozzanak az adminisztrátorok? A válasz ennél sokkal bonyolultabb lehet. A kiberbűnözésnek sok oldala van, és a célzott támadásoknak is sok oka lehet. Furcsa, de kijelenthető, hogy az okok között szerepel az adott szervezet védelmi képességeinek kijátszhatósága is. Nagyon egyszerű példa erre a forrás IP-cím hamisíthatósága.

EGY ROSSZ PÉLDA: HOGYAN MŰKÖDIK A DDOS

Az egyik legelterjedtebb DDoS forma az erősítő támadások (amplification attack), amiben a támadó több reflektor egységeket használ a célpont elárasztására (flooding). A támadó meghamisítja a cél IP-címét, hogy kérést küldjön egy reflektálónak (például nyílt szervernek, middleboxnak), amely válaszol a célpontnak. A támadás felerősítéséhez a válasznak nagyobbnak kell lennie, mint a kérésnek, ami tükröződő erősítő támadást eredményez. A támadó motivációja az, hogy a legkisebb kérések közül a legnagyobb tükröződést hozza létre. A támadó ezt a célt úgy éri el, hogy sok reflektort talál, és olyan kéréseket készít, amelyek a legmagasabb erősítést eredményezik. A visszatükröződő erősítésű támadások kiváltó oka az, hogy a támadó a forrás IP-címének meghamisításával kényszerítheti a reflektorokat, hogy reagáljanak a célpontokra.

Ha a hamisítás nem lehetséges, ez a támadási vektor mérséklődik. Tehát az IP cím meghamisításának ellehetetlenítésével a probléma egy része megoldott. Míg régebben az UDP-t (felhasználói datagram protokoll, gyors csomagok küldéséhez) használták ki a támadók, addig manapság a háromirányú kézfogással rendelkező TCP (átviteli vezérlő protokoll, az internet szállítási rétege) került a képbe a tükrözéses, erősítő támadásoknál. Ha a technikai részleteket átugorjuk, és inkább a tendenciákat nézzük, akkor kiderül, hogy egyre inkább találnak réseket a biztosabbnak hitt internet protokollon is, és sajnos új módszerekkel is előállnak a támadók.

Carpet bombing: DDOS HÁBORÚ?

Ilyen például a szőnyegbombázás, ami egy nagyobb hálózatot támad egy célpont helyett, ráadásul a válaszok maximális erősítése helyett kisebb mértékű erősödésre törekszik. Ezt a hagyományos alapvonalon alapuló észlelések (baseline-based detection) sokkal lassabban veszik észre és nehezebb is a támadás mérséklése, ellenben a forgalom túlterhelése így is megvalósul.

A blog eleji kérdésre ettől függetlenül nehéz pontos választ adni. Hogy miért kerül egy szervezet a DDoS támadások középpontjába, a kiberháború közepébe? Tulajdonképpen teljesen mindegy, mert azt sem tudjuk, hogy egy villám miért pont  oda csap be, ahová? Persze lehet ezt is vizsgálni, van hozzá AI, de a statisztikák inkább válasz adnak arra, hogy mire kell számítani egy ilyen támadás során, és ebből adódóan hogyan lehet védekezni ellene.

MIT MUTATNAK A SZÁMOK?

A Microsoft Azure felhőinfrastruktúra hálózati csapata részletes kimutatásokat ad a támadások adatairól. Érdekes számok ezek, nyilván annak, aki a témában érintett, de laikusoknak is sokat mondhatnak:

Microsoft Azure felhőszolgáltatás

Azure Networking Team

„Az elmúlt 12 hónapban körülbelül 175 000 UDP-t tükröző erősítési támadást mérsékeltünk. Több mint 10 támadási vektort figyeltünk meg, amelyek közül a leggyakoribb az NTP 49 700 támadással, a DNS 42 600 támadással, az SSDP 27 100 támadással és a Memcached 18 200 támadással. Ezek a protokollok akár x4670, x98, x76 és x9000 erősítési faktort is képesek bemutatni. Megmértük a maximális támadási sebességet csomagokban másodpercenként egyetlen támadáshoz az összes támadási vektorban. A legnagyobb átviteli sebesség egy 58 millió csomag per másodperc (pps) SSDP-áradás volt tavaly augusztusban, egy rövid támadási kampány során, amely 20 percig tartott egyetlen erőforráson az Azure-ban. A TCP által tükrözött erősítési támadások egyre elterjedtebbek, és új támadási vektorokat fedeztek fel. Ezekkel a támadásokkal találkozunk az Azure-erőforrások ellen, amelyek különféle típusú reflektorokat és támadási vektorokat használnak. Az egyik ilyen példa a TCP SYN+ACK TCP által tükrözött erősítési támadása egy Azure-erőforráson Ázsiában. A támadás elérte a 30 millió pps-t és 15 percig tartott. A támadás átviteli sebessége nem volt magas, azonban körülbelül 900 reflektor volt érintett, mindegyik újraküldéssel, ami magas pps sebességet eredményezett, amely lerombolhatja a gazdagépet és más hálózati infrastruktúraelemeket.”
Amir Dahan & Syed Pasha

MIT TESZ AZ AZURE A DDOS TÁMADÁS ELLEN?

A probléma tehát jelentős és a csökkenésére nem igazán lehet számítani sem úgy. Meg kell említeni, hogy a szolgáltatók sem képesek minden esetben megfelelő mérséklést biztosítani a támadások hatása ellen, míg az egyedi szervezetek IT üzemeltetői pláne nem tehetnek túl sokat megfelelő ismeretek hiányában. Szokták mondani „ilyen ez a pop szakma”. Azért nyilván van megoldás, mert minden felhőszolgáltató törekszik elkerülni a címlapokra kerülést DDoS témában is.

Az Azure, a SYSWIND felhőszolgáltatója a következő részleteket árulta el arról, hogyan készülnek a támadások mérséklésére:

Azure DDoS Protection

Azure Networking Team

„Hálózati oldalon folyamatosan optimalizálunk és implementálunk különféle forgalomfigyelő, forgalomtervezési és szolgáltatásminőségi (QoS) technikákat, hogy blokkoljuk a tükröződő erősítő támadásokat közvetlenül az útválasztási infrastruktúránál. Ezeket a mechanizmusokat a nagy kiterjedésű hálózatunk (WAN) peremén és magjában, valamint az adatközpontokban valósítjuk meg. A bejövő forgalom (az internetről) esetén lehetővé teszi, hogy a hálózatunk szélén mérsékeljük a támadásokat. Hasonlóképpen, a kimenő támadásokat (amelyek hálózatunkból származnak) közvetlenül az adatközpontban blokkolják anélkül, hogy kimerítenék a WAN-unkat és elhagynák a hálózatunkat. Ezen túlmenően, dedikált DDoS-csökkentési folyamatunk folyamatosan fejlődik, hogy fejlett mérséklési technikákat kínáljon az ilyen támadások ellen. Ez a mérséklő folyamat a DDoS hálózati stratégiáink mellett egy másik védelmi réteget is kínál. Ez a két védelmi réteg együttesen átfogó lefedettséget biztosít a legnagyobb és legkifinomultabb visszaverődő erősítő támadásokkal szemben. Mivel a tükrözött erősítési támadások jellemzően volumetrikusak, nem csak fejlett mérséklési stratégiákat kell megvalósítani, hanem egy jól skálázható mérséklési folyamatot is fenn kell tartani ahhoz, hogy megbirkózzanak a legnagyobb támadásokkal. Csökkentő csővezetékünk több mint 60 Tbps-t képes mérsékelni globálisan, és továbbra is fejlesztjük a mérséklő kapacitás hozzáadásával az összes hálózati rétegben.”
Amir Dahan & Syed Pasha

Az Azure munkatársainak elemzése rámutat arra is, hogy mekkora szükség van az iparági szintű együttműködésre is, így a Microsoftnál az ügyfelek munkaterheléseinek, illetve magának a platformnak védelme érdekében számos más felhőszolgáltatóval kollaborálnak, hogy megelőzzék a DDoS támadásokból adódó leállásokat és károkat.

A Microsoft továbbá kiemelte, hogy az Azure-ügyfelek az infrastruktúra és a felhőplatform védelme részeként védettek a Layer 3 és Layer 4 DDoS támadásokkal szemben. Az Azure DDoS Protection Standard azonban átfogó védelmet biztosít az ügyfelek számára az észlelési házirend automatikus hangolásával a védett alkalmazás konkrét forgalmi mintáihoz. Ez biztosítja, hogy amikor a forgalmi minták megváltoznak, például gyors tömeges esemény esetén, a DDoS házirend automatikusan frissül, hogy tükrözze ezeket a változásokat az optimális védelem érdekében. Amikor egy védett alkalmazás ellen visszatükröződő erősítési támadást indítanak, az észlelési folyamatok automatikusan észlelik azt az automatikusan hangolt házirend alapján. Az automatikus mérséklő házirend tartalmazza a szükséges ellenintézkedéseket a tükröződő erősítési támadások blokkolására. A védelem egyszerűen engedélyezhető bármely új vagy meglévő virtuális hálózaton, és nem igényel semmilyen alkalmazás- vagy erőforrás-módosítást. A közelmúltban kiadott Azure beépített házirendek lehetővé teszik a hálózati biztonsági megfelelőség jobb kezelését azáltal, hogy nagymértékben megkönnyítik az összes virtuális hálózati erőforrás beépítését és a naplók konfigurálását. Az alkalmazások biztonsági helyzetének megerősítése érdekében az Azure hálózati biztonsági szolgáltatásai párhuzamosan dolgozhatnak a munkaterhelések biztonsága érdekében, ahol a DDoS-védelem az egyik Microsoft által biztosított eszköz.

ÖSSZEFOGLALÁS

A blogunk ugyan nem adott választ a legelső kérdésre, hogy miért érhet egy szervezetet célzott DDoS támadás, viszont az kiderült, hogy miért hatékonyabb egy tech-óriás felhőszolgáltatást igénybe venni a vállalati IT infrastruktúra kialakításához. Természetesen ennek ára van, vállalkozói szemszögből talán nem is kicsi. Viszont a DDoS támadások ellen igen nehéz küzdeni kis létszámú IT csapatokkal, helyi kiszolgálókkal. A viszonyítás pedig úgy teljes, ha az adott szervezet a támadásokból adódó károkat – amik értelemszerűen megelőzően nem meghatározhatók pontosan – méri össze egy biztonságos architektúra üzemeltetési költségeivel – amik viszont napra pontosan kifejezhetők.

Ha szeretnél további információkat megtudni a DDoS támadások elleni lehetőségekről, akkor látogass el a Microsoft weboldalára.

 

Linkek az Azure DDoS védelmi megoldásairól:

 

KÉRJ SZAKMAI KONZULTÁCIÓT SZAKÉRTŐINKTŐL!

Szaktanácsadással segítjük infrastruktúrafejlesztési döntéseidet. Informatikus mérnökeink évtizedes tapasztalattal várják elképzeléseidet. Garantáljuk, hogy csak és kizárólag megbízható, élvonalbeli technológiákat javasolunk. Megoldásunkkal Te is költséghatékonyan üzemeltetheted informatikai infrastruktúrád.

OLVASS TOVÁBB!

SZAKMAI BLOGUNK

EMAIL SECURITY
Kiberbiztonság

KATTINTS ÓVATOSAN! – SZÓL A KIBERVÉDELMI JAVASLAT

Sok mindent lehet óvatosan csinálni, de egy emailben elhelyezett linkre nehéz óvatosan kattintani. Vagy kattintasz, vagy nem. A kibervédelem leggyengébb láncszeme az ember – csak nem mindegy, hogy a felhasználó vagy az IT adminisztrátor.

ELOLVASOM »
HYBRID WORK
Informatikai tanácsadás

HIBRID MUNKA 2022

A “home office” a pandémia alatt kapott egy újabb trendi kifejezést. Ha be is jársz a munkahelyedre, akkor az a hibrid munkavégzés. A kiberbűnözök köszönik szépen a kibővített lehetőséget.

ELOLVASOM »

SZAKMAI BLOG

Iratkozz fel, és értesítünk a következő blog megjelenéséről!

IRATKOZZ FEL!