Kaj je DDoS napad in kako se ga lahko ubranimo?

Porazdeljena ohromitev storitve (ang. Distributed Denial of Service – DDoS)

Podobno kot običajni svet tudi internet ni varen pred kriminalom in prav tako obstaja tudi na internetu veliko različnih kriminalnih dejanj.

Večina kriminalnih dejanj je predvidljivih in ciljanih le na enega naročnika in njegovo spletno stran. Vsi dobri ponudniki gostovanja imamo vzpostavljene obrambne mehanizme proti takšnim poskusom, pri nas za vas skrbi tudi Imunify360.

Obstajajo pa tudi kriminalna dejanja, ki vplivajo na celotni strežnik ali podatkovni center, proti katerim se je veliko težje braniti. Med takšne napade spada tudi porazdeljena ohromitev storitve (ang. DDoS).

Kaj je DDoS napad?

Napad je dobil ime po cilju kriminalcev. Želijo namreč doseči ohromitev storitve torej nedosegljivost storitve za normalne uporabnike. Za to ponavadi uporabijo omrežja okuženih računalnikov ali drugih ranljivih naprav, nad katerimi so v preteklosti pridobili nadzor (ang. Botnet). Napad se torej izvaja iz več sto ali tisoč različnih naprav hkrati.

Preden lahko razložimo, kako napadalci s takšnim »botnet-om« dosežejo ohromitev storitve, si moramo pogledati kako so zgrajena računalniška omrežja. Poenostavljeno omrežja sestavljajo:

  • odjemalci, ki jih vi uporabite za prikaz vsebine (npr. Chrome),
  • strežniki, ki zagotavljajo vsebine,
  • podatkovne povezave, ki samo prenašajo podatke in
  • omrežne naprave, kjer podatki »spremenijo smer«.

Če računalniško omrežje primerjamo s cestnim omrežjem, so odjemalci naše stanovanjske hiše, strežniki so nakupovalni centri, podatkovne povezave so ceste in omrežne naprave so križišča.

Tako kot so npr. nakupovalni centri različnih velikosti, imajo tudi strežniki različno zmogljivost in seveda so tudi podatkovne povezave (ceste) različnih velikosti oz. zmogljivosti.

Pri porazdeljeni ohromitvi storitve napadalci želijo doseči nedosegljivost omrežja ali strežnika. Obstaja veliko različnih načinov kako to doseči, vendar (spet poenostavljeno) bi jih lahko razdelili v naslednje kategorije:

Napad z obsegom podatkov (ang. Gbps, ang. Volumetric DDoS)

Tako kot cestno omrežje so tudi podatkovna omrežja sestavljena iz podatkovnih vodov različnih velikosti. Tudi v podatkovnih omrežjih se velikost vodov manjša, ko se podatki bližajo končnemu cilju (npr. strežniku), enako kot se v realnem svetu ceste ožijo, ko se bližajo nakupovalnemu centru.

Napadalci to izkoristijo na način, da pošljejo proti svoji tarči več stokrat ali tisočkrat več prometa, kot ga streže običajno in posledica so »zastoji« tj. ohromitev.

Tem napadom se v angleščini reče tudi »flood attack« ali napad s poplavo, kar zelo lepo opiše situacijo.

Ironija je, da v večini primerov vsi strežniki popolnoma normalno delujejo, vendar jih zaradi ohromitve podatkovnih poti legitimen promet ne doseže.

Napad omrežnega protokola (ang. Pps, ang. Network Protocol DDoS)

Napadalci svoj cilj ohromitve lahko dosežejo tudi tako, da zlorabijo pravila oz. protokole za komunikacijo med napravami. Informacije se med napravami pošiljajo v paketih, ki morajo ustrezati tem protokolom. Kriminalci napad zasnujejo tako, da ustvarjajo pakete informacij, ki so sicer v skladu s protokoli za komunikacijo med napravami, vendar zaradi svojih lastnosti preobremenijo omrežne naprave. Omrežne naprave imajo namreč omejitev, koliko paketov na sekundo (ang. Pps) so zmožne obdelati. Napadalci s svojim početjem dosežejo in presežejo zgornjo zmogljivost teh naprav in s tem »zabašejo križišče«.

Analogija v realnem svetu bi bili protestniki, ki neprestano korakajo čez prehod za pešce in s tako zlorabo pravil zaustavijo promet.

Kako se lahko branimo pred DDoS napadom?

Najprej moramo definirati, kaj pomeni, da se uspešno ubranimo pred napadom s porazdeljeno ohromitvijo storitev. Želimo namreč, da storitev deluje za vse uporabnike, ki jo uporabljajo na predviden tj. legitimen način.

Cilj je torej, da preprečimo prehod vsem podatkom, ki jih pošiljajo v omrežje kriminalci, hkrati pa spustimo naprej promet vseh normalnih uporabnikov.

Če se spomnite prejšnje analogije s poplavo, si lahko predstavljate kako težka je ta naloga, še posebej zaradi tega, ker lahko napadalec uporablja več tisoč različnih računalnikov in aktivno maskira promet, da je podoben normalnim uporabnikom.

Zato je prvi korak pri vsakem napadu s porazdeljeno ohromitvijo analiza s ciljem najti vzorce, na podlagi katerih lahko identificiramo promet napadalca. Po končani analizi je nato ta promet treba ustaviti.

Tako kot v običajnem svetu nič ne pomaga, če tovornjake izločaš, ko je že nastala kolona, tako je tudi v računalniških omrežjih potrebno škodljiv promet ustaviti preden doseže ciljno omrežje. To pomeni, da je skoraj nemogoče, da DDoS napad ustavi žrtev samostojno, ampak je potrebno sodelovanje tudi s ponudniki povezljivosti. Če spet uporabimo primerjavo, so to podjetja, ki upravljajo »avtocesto«, ki vodi do končnega omrežja.

Seveda vse skupaj otežuje tudi to, da se kriminalcev med napadi ne da razlikovati tako lepo kot smo opisali zgoraj. Njihov cilj je ohromitev omrežja in pri tem pogosto tudi v istem napadu kombinirajo različne tehnike ter spreminjajo način napada.

Kaj lahko storimo ob DDoS napadu?

V času napada je naš cilj doseči normalno delovanje storitev za uporabnike, ki niso del ekipe računalnikov napadalcev. Cilj je torej, da preprečimo prehod vsem podatkom, ki jih pošiljajo v omrežje kriminalci, hkrati pa spustimo naprej promet vseh normalnih uporabnikov.

Zato je prvi korak vedno analiza podatkov, s katero želimo identificirati promet napadalcev. Po končani analizi pa je potrebno ta promet ustaviti. To pomeni, da žrtev napad zelo težko ustavi samostojno, ampak pri tem potrebuje pomoč ponudnika omrežne povezljivosti. Vse skupaj otežuje še dejstvo, da kriminalci v istem napadu kombinirajo različne tehnike ter spreminjajo način napada.

Zakaj ne podate več podrobnosti o DDoS napadih?

Obstaja zelo dober razlog, da pri takšnih napadih ne delimo tako veliko število informacij kot je sicer naša navada. Seveda se kot profesionalen ponudnik spletnega gostovanja zavedamo nevarnosti napadov s porazdeljeno ohromitvijo storitve (DDoS napadi) in imamo za to tudi pripravljene ustrezne protiukrepe. Ti ukrepi zmorejo vsakodnevno zaustaviti večje število napadov o katerih niti ne obveščamo naših naročnikov.

Žal pa se vseeno kdaj najde napadalec, ki zmore obiti naše zaščitne ukrepe. Ker napadalci pri napadu pogosto uporabijo več različnih tehnik, bi podrobne informacije o napadu kriminalcem le podale potrditev, katera vrsta napada najbolje deluje. V takšnem primeru je naš prvi cilj zaustaviti aktivni napad, nato pa v miru opraviti analizo ter izboljšati naše »protipoplavne« ukrepe.

Podobni članki