MIRŐL LESZ SZÓ A BLOGBAN?
- MIÉRT CSINÁLJÁK
- HÁNY TÁMADÁST DETEKTÁLTAK
- HOGYAN LEHET AZ AZURE BIZTONSÁGOS
DDoS, felhőbiztonság, Azure
Felmerül a kérdés, ebben mi a jó? Miért csinálják? Hogy ne unatkozzanak az adminisztrátorok? A válasz ennél sokkal bonyolultabb lehet. A kiberbűnözésnek sok oldala van, és a célzott támadásoknak is sok oka lehet. Furcsa, de kijelenthető, hogy az okok között szerepel az adott szervezet védelmi képességeinek kijátszhatósága is. Nagyon egyszerű példa erre a forrás IP-cím hamisíthatósága.
EGY ROSSZ PÉLDA: HOGYAN MŰKÖDIK A DDOS
Az egyik legelterjedtebb DDoS forma az erősítő támadások (amplification attack), amiben a támadó több reflektor egységeket használ a célpont elárasztására (flooding). A támadó meghamisítja a cél IP-címét, hogy kérést küldjön egy reflektálónak (például nyílt szervernek, middleboxnak), amely válaszol a célpontnak. A támadás felerősítéséhez a válasznak nagyobbnak kell lennie, mint a kérésnek, ami tükröződő erősítő támadást eredményez. A támadó motivációja az, hogy a legkisebb kérések közül a legnagyobb tükröződést hozza létre. A támadó ezt a célt úgy éri el, hogy sok reflektort talál, és olyan kéréseket készít, amelyek a legmagasabb erősítést eredményezik. A visszatükröződő erősítésű támadások kiváltó oka az, hogy a támadó a forrás IP-címének meghamisításával kényszerítheti a reflektorokat, hogy reagáljanak a célpontokra.
Ha a hamisítás nem lehetséges, ez a támadási vektor mérséklődik. Tehát az IP cím meghamisításának ellehetetlenítésével a probléma egy része megoldott. Míg régebben az UDP-t (felhasználói datagram protokoll, gyors csomagok küldéséhez) használták ki a támadók, addig manapság a háromirányú kézfogással rendelkező TCP (átviteli vezérlő protokoll, az internet szállítási rétege) került a képbe a tükrözéses, erősítő támadásoknál. Ha a technikai részleteket átugorjuk, és inkább a tendenciákat nézzük, akkor kiderül, hogy egyre inkább találnak réseket a biztosabbnak hitt internet protokollon is, és sajnos új módszerekkel is előállnak a támadók.
Carpet bombing: DDOS HÁBORÚ?
Ilyen például a szőnyegbombázás, ami egy nagyobb hálózatot támad egy célpont helyett, ráadásul a válaszok maximális erősítése helyett kisebb mértékű erősödésre törekszik. Ezt a hagyományos alapvonalon alapuló észlelések (baseline-based detection) sokkal lassabban veszik észre és nehezebb is a támadás mérséklése, ellenben a forgalom túlterhelése így is megvalósul.
A blog eleji kérdésre ettől függetlenül nehéz pontos választ adni. Hogy miért kerül egy szervezet a DDoS támadások középpontjába, a kiberháború közepébe? Tulajdonképpen teljesen mindegy, mert azt sem tudjuk, hogy egy villám miért pont oda csap be, ahová? Persze lehet ezt is vizsgálni, van hozzá AI, de a statisztikák inkább válasz adnak arra, hogy mire kell számítani egy ilyen támadás során, és ebből adódóan hogyan lehet védekezni ellene.
MIT MUTATNAK A SZÁMOK?
A Microsoft Azure felhőinfrastruktúra hálózati csapata részletes kimutatásokat ad a támadások adatairól. Érdekes számok ezek, nyilván annak, aki a témában érintett, de laikusoknak is sokat mondhatnak:

Azure Networking Team
„Az elmúlt 12 hónapban körülbelül 175 000 UDP-t tükröző erősítési támadást mérsékeltünk. Több mint 10 támadási vektort figyeltünk meg, amelyek közül a leggyakoribb az NTP 49 700 támadással, a DNS 42 600 támadással, az SSDP 27 100 támadással és a Memcached 18 200 támadással. Ezek a protokollok akár x4670, x98, x76 és x9000 erősítési faktort is képesek bemutatni. Megmértük a maximális támadási sebességet csomagokban másodpercenként egyetlen támadáshoz az összes támadási vektorban. A legnagyobb átviteli sebesség egy 58 millió csomag per másodperc (pps) SSDP-áradás volt tavaly augusztusban, egy rövid támadási kampány során, amely 20 percig tartott egyetlen erőforráson az Azure-ban. A TCP által tükrözött erősítési támadások egyre elterjedtebbek, és új támadási vektorokat fedeztek fel. Ezekkel a támadásokkal találkozunk az Azure-erőforrások ellen, amelyek különféle típusú reflektorokat és támadási vektorokat használnak. Az egyik ilyen példa a TCP SYN+ACK TCP által tükrözött erősítési támadása egy Azure-erőforráson Ázsiában. A támadás elérte a 30 millió pps-t és 15 percig tartott. A támadás átviteli sebessége nem volt magas, azonban körülbelül 900 reflektor volt érintett, mindegyik újraküldéssel, ami magas pps sebességet eredményezett, amely lerombolhatja a gazdagépet és más hálózati infrastruktúraelemeket.”
Amir Dahan & Syed Pasha
MIT TESZ AZ AZURE A DDOS TÁMADÁS ELLEN?
A probléma tehát jelentős és a csökkenésére nem igazán lehet számítani sem úgy. Meg kell említeni, hogy a szolgáltatók sem képesek minden esetben megfelelő mérséklést biztosítani a támadások hatása ellen, míg az egyedi szervezetek IT üzemeltetői pláne nem tehetnek túl sokat megfelelő ismeretek hiányában. Szokták mondani „ilyen ez a pop szakma”. Azért nyilván van megoldás, mert minden felhőszolgáltató törekszik elkerülni a címlapokra kerülést DDoS témában is.
Az Azure, a SYSWIND felhőszolgáltatója a következő részleteket árulta el arról, hogyan készülnek a támadások mérséklésére:

Azure Networking Team
„Hálózati oldalon folyamatosan optimalizálunk és implementálunk különféle forgalomfigyelő, forgalomtervezési és szolgáltatásminőségi (QoS) technikákat, hogy blokkoljuk a tükröződő erősítő támadásokat közvetlenül az útválasztási infrastruktúránál. Ezeket a mechanizmusokat a nagy kiterjedésű hálózatunk (WAN) peremén és magjában, valamint az adatközpontokban valósítjuk meg. A bejövő forgalom (az internetről) esetén lehetővé teszi, hogy a hálózatunk szélén mérsékeljük a támadásokat. Hasonlóképpen, a kimenő támadásokat (amelyek hálózatunkból származnak) közvetlenül az adatközpontban blokkolják anélkül, hogy kimerítenék a WAN-unkat és elhagynák a hálózatunkat. Ezen túlmenően, dedikált DDoS-csökkentési folyamatunk folyamatosan fejlődik, hogy fejlett mérséklési technikákat kínáljon az ilyen támadások ellen. Ez a mérséklő folyamat a DDoS hálózati stratégiáink mellett egy másik védelmi réteget is kínál. Ez a két védelmi réteg együttesen átfogó lefedettséget biztosít a legnagyobb és legkifinomultabb visszaverődő erősítő támadásokkal szemben. Mivel a tükrözött erősítési támadások jellemzően volumetrikusak, nem csak fejlett mérséklési stratégiákat kell megvalósítani, hanem egy jól skálázható mérséklési folyamatot is fenn kell tartani ahhoz, hogy megbirkózzanak a legnagyobb támadásokkal. Csökkentő csővezetékünk több mint 60 Tbps-t képes mérsékelni globálisan, és továbbra is fejlesztjük a mérséklő kapacitás hozzáadásával az összes hálózati rétegben.”
Amir Dahan & Syed Pasha
Az Azure munkatársainak elemzése rámutat arra is, hogy mekkora szükség van az iparági szintű együttműködésre is, így a Microsoftnál az ügyfelek munkaterheléseinek, illetve magának a platformnak védelme érdekében számos más felhőszolgáltatóval kollaborálnak, hogy megelőzzék a DDoS támadásokból adódó leállásokat és károkat.
A Microsoft továbbá kiemelte, hogy az Azure-ügyfelek az infrastruktúra és a felhőplatform védelme részeként védettek a Layer 3 és Layer 4 DDoS támadásokkal szemben. Az Azure DDoS Protection Standard azonban átfogó védelmet biztosít az ügyfelek számára az észlelési házirend automatikus hangolásával a védett alkalmazás konkrét forgalmi mintáihoz. Ez biztosítja, hogy amikor a forgalmi minták megváltoznak, például gyors tömeges esemény esetén, a DDoS házirend automatikusan frissül, hogy tükrözze ezeket a változásokat az optimális védelem érdekében. Amikor egy védett alkalmazás ellen visszatükröződő erősítési támadást indítanak, az észlelési folyamatok automatikusan észlelik azt az automatikusan hangolt házirend alapján. Az automatikus mérséklő házirend tartalmazza a szükséges ellenintézkedéseket a tükröződő erősítési támadások blokkolására. A védelem egyszerűen engedélyezhető bármely új vagy meglévő virtuális hálózaton, és nem igényel semmilyen alkalmazás- vagy erőforrás-módosítást. A közelmúltban kiadott Azure beépített házirendek lehetővé teszik a hálózati biztonsági megfelelőség jobb kezelését azáltal, hogy nagymértékben megkönnyítik az összes virtuális hálózati erőforrás beépítését és a naplók konfigurálását. Az alkalmazások biztonsági helyzetének megerősítése érdekében az Azure hálózati biztonsági szolgáltatásai párhuzamosan dolgozhatnak a munkaterhelések biztonsága érdekében, ahol a DDoS-védelem az egyik Microsoft által biztosított eszköz.
ÖSSZEFOGLALÁS
A blogunk ugyan nem adott választ a legelső kérdésre, hogy miért érhet egy szervezetet célzott DDoS támadás, viszont az kiderült, hogy miért hatékonyabb egy tech-óriás felhőszolgáltatást igénybe venni a vállalati IT infrastruktúra kialakításához. Természetesen ennek ára van, vállalkozói szemszögből talán nem is kicsi. Viszont a DDoS támadások ellen igen nehéz küzdeni kis létszámú IT csapatokkal, helyi kiszolgálókkal. A viszonyítás pedig úgy teljes, ha az adott szervezet a támadásokból adódó károkat – amik értelemszerűen megelőzően nem meghatározhatók pontosan – méri össze egy biztonságos architektúra üzemeltetési költségeivel – amik viszont napra pontosan kifejezhetők.
Ha szeretnél további információkat megtudni a DDoS támadások elleni lehetőségekről, akkor látogass el a Microsoft weboldalára.
Linkek az Azure DDoS védelmi megoldásairól:
- Azure DDoS Protection termékoldal.
- Azure DDoS Protection Standard ismertető.
- DDoS Protection legjobb gyakorlatok.