I denne artikkelserien ser nettverksadministrator Trond nærmere på DDoS angrep. Hva det er, hvorfor det skjer og hvordan det kan håndteres. Serien er i 3 deler og hver uke publiseres en ny del.
I del 1 og del 2 så vi på hva et DDoS angrep egentlig er, hvem som utfører de og hvorfor det skjer samt litt om hva som faktisk foregår under et angrep. I denne artikkelen skal vi se på hvordan man kan håndtere og stoppe slike angrep.
Hvor stort er DDoS angrepet?
Først og fremst; hvordan det håndteres kan variere ut i fra hvordan angrepet utføres og viktigst av alt, hvor stort angrepet faktisk er.
Ett lite, usofistikert, DDoS angrep vil i de fleste tilfeller kunne stoppes ved hjelp av en ordinær brannmur, gjerne softwarebasert direkte på server/enheten som angripes. Dette kan være eksempelvis et TCP-SYN-Flood angrep. Vi går ikke inn på detaljer om de enkelte angrepene, men i all enkelhet handler angrepet om å starte, men ikke stoppe, tilkobling mot en server/tjeneste. Måten TCP fungerer på gjør at slike «halveis-tilkoblinger» kan bli værende åpne over noe tid, og en server/tjeneste har kun et gitt antall tilkoblinger tilgjengelig. På denne måten kan en server gjøres utilgjengelig uten at større mengder data overføres.
En forholdsvis enkel brannmur kan oppdage denne type angrep og utføre tiltak som blokkering av IP adressene tilkoblingene kommer fra, resette sesjoner raskere og lignende (igjen, vi går ikke inn på alle detaljene her).
TCP-SYN-Flood er et enkelt angrep og ikke vanskelig å stoppe. Men hva med de større angrepene, når en server bombarderes med 1Gbit/s trafikk?
Den første regelen er; man må alltid ha større kapasitet på egen internettforbindelse, enn hva angriperne har tilgang til. For en infrastrukturleverandør (eks et datasenter) er ikke 1Gbit/s en veldig stor mengde trafikk, men en server har gjerne en uplink (tilkobling mot Internet) på 1Gbit/s, og da er i praksis denne serveren lammet. Man kommer altså ikke noen vei med brannmuren man har på serveren, siden mengden trafikk overvelder denne og den vil ikke lenger ha noen effekt. Man må da altså stoppe angrepet før det kommer til serveren.
Vi snakket tidligere om hvordan «Ola» angrep sine motspillere etter noen dårlige omganger i et online spill. La oss se nærmere på hvordan en typisk internettleverandør vil håndtere dette.
Ola har skaffet seg en konto på et russisk hackerforum, og avtalt å betale for et DDoS angrep på 2Gbit/s rettet mot 2stk IP adresser, tilhørende 2 av motspillerne. Angrepet skal opprettholdes i 4 timer.
For en Internettleverandør (ISP) er ikke 1Gbit/s mye trafikk, men når det er rettet mot 1 enkelt IP blir saken fort en annen.
Motspillerne til Ola har gjerne en Internettforbindelse på 30Mbit/s, så trafikken er mer enn nok til å oppta all tilgjengelig båndbredde og gjøre internett for brukeren ubrukelig. Problemet er at i samme nabolag er det 10 andre koblet til samme base/knutepunkt, og til dette knutepunktet har gjerne ISPen en linje med 200Mbit/s kapasitet. Det som skjer er altså at hele nabolaget mister internettforbindelsen, noe ISPen selvsagt må rette opp.
En av de vanligste metodene her er å «nullroute» trafikken. I praksis betyr det at man tar all trafikk som er rettet mot en gitt IP (den som blir angrepet), og sender denne til et annet sted hvor den bare blir ignorert/kastet. For å være sikker på at nytt angrep ikke starter uten videre blir som regel den angrepet var rette mot, suspendert for en periode (1-24t).
Så har vi de riktig store angrepene. Tidligere har vi nevnt angrep på en nettavis i Ukraina og epost-tjenesten ProtonMail. Dette er begge tjenester som er bygd for å håndtere svært mange besøkende og mye datatrafikk i alle retninger. For å effektivt slå ut en sånn tjeneste kreves store datavolum, og det er da snakk om 20Gbit/s++.
Den første regelen når vi snakker om DDoS beskyttelsen gjelder også her; man må ha større kapasitet på eget nettverk og egne linjer, enn hva angriper klarer å levere. Når vi snakker om de store angrepene er det ofte her problemene starter; båndbredde og kapasitet på brannmurer/Anti-DDoS utstyr koster mye, mye penger. For noen vil det ikke være verken mulig, eller ønskelig, å investere millionbeløper i avansert utstyr, bla siden man også må skaffe kompetanse til å drifte dette. For en nettverksadministrator vil det også være veldig vanskelig å forsvare slike investeringer, da det man beskytter seg mot «kanskje» vil skje en gang i fremtiden, kanskje.
Oppe i «skyen»
De siste årene har ordet cloud blitt mer eller mindre innarbeidet i de fleste tekniske løsninger; det ligger i «clouden», er det nok flere som har hørt, og noen mener dette for lengst har blitt et moteord som misbrukes på det sterkeste.
Uansett; der det finnes et marked vil det unektelig dukke opp noen som ønsker å tilby tjenester til dette markedet, og de opererer ofte med «CloudBased protection». Det er ofte dette vi snakker om når de veldig store angrepene skal håndteres.
De siste årene har mange selskaper sett sitt snitt til å tilby denne type tjenester, og de som gjør det best er som regel de som allerede er store på fysisk utstyr. Eksempler er Arbor og F5, som kombinerer fysisk utstyr plassert «foran serveren», men skybaserte løsninger. Samtidig har man leverandører som i utgangspunktet kun satser på skybaserte (cloud based) løsninger, og en av de mest kjente og største her er CloudFlare.
Når man snakker skybaserte løsninger snakker man som regel om såkalte CDN, altså Content Delivery System. I praksis fungerer dette som en proxyløsning. Dvs at når noen besøker en nettside så går ikke trafikken direkte fra serveren nettsiden er plassert på, men via en tredjepart. Som besøkende er man uvitende om at det er en aktør mellom seg og nettsiden, og alt av angrep som måtte bli utført mot nettsiden blir i praksis utført mot tredjepart; leverandøren av CDN.
Disse leverandørene tilbyr ofte produkter i de fleste prisklasser, fra helt gratis til svært dyre, avhengig av hva som skal beskyttes, hva man ønsker beskyttelse mot, størrelse på angrep osv.
Skybaserte løsninger er bygd opp av store menger fysisk utstyr, og hos de store leverandørene er dette også spredd over mange geografiske lokasjoner. Summert opp betyr dette at de har all den kapasitet de trenger, og vel så det, for å ta unna selv de største angrepene før det når kundens lokasjon. Det er også grunnen til at tjenesten kan benyttes uavhengig av hvor din server og ditt innhold er plassert.
Siden det er såpass mange angrep som skjer, hele tiden, har disse store leverandørene veldig god oversikt over metodene som benyttes og hvordan de best kan håndtere det. Dette er noe av grunnen til at det tilbys gratis beskyttelse; i tilfelle små angrep får man masse «god data» man kan analysere for å finne nye og bedre måter å beskytte seg på.
Hvordan beskytte seg mot DDoS angrep?
Som man forhåpentligvis vil forstå etter å ha lest dette, er det vanskelig å gi noe konkret svar på hvordan man beskytter seg mot DDoS. Både fordi det finnes mange typer angrep og mange måter å beskytte seg mot og hindre dette, men også fordi ikke alle har samme forutsetninger. Det gjelder både teknisk og økonomisk.
Det ville vært enkelt å si at; invester 10 000,- så får du en garanti mot DDoS! Dette går ikke. Man kan nok finne leverandører som garanterer både det ene og det andre, men en garanti betyr som regel bare at hvis det ikke overholdes så kompenseres man ihh til avtale som er inngått. Mange har nok derfor et litt urealistisk syn på hvor beskyttet man faktisk er, gitt «garantien».
Her er våre topp 3 tips:
1. Velg leverandørene dine med omhu. Mange ser kun på pris når de velger leverandør, det være seg domeneregistrering, webhotell, serverdrift og annet. Pris må selvsagt vurderes, men det er noen spørsmål man bør stille før man velger;
Er leverandøren kjent i markedet?
Finner man (positiv) info når man søker opp leverandøren i forum og lignende? Har leverandøren en portal/infoside hvor hendelser informeres om, hvor detaljert er infoen og hvor lett tilgjengelig er infoen (sosiale medier etc)?
2. Har leverandøren support og oppfølging av kundene sine, som står i stil med det du forventer og trenger? Mange har også her en litt urealistisk oppfatning av hva de faktisk betaler for. En leverandør kan ha så gode og stabile produkter de bare vil; problemer kan og vil oppstå, og da er man avhengig av å både få kontakt med, få hjelp av, og ikke minst samarbeide med leverandøren når uhellet er ute (litt uavhengig av om det er snakk om DDoS eller bare generelt).
3. Gjør det du kan fra din side, slik at det du ønsker å beskytte er så sikkert det kan være før det er «synlig» på nett. Hvis det eks gjelder en nettside du har laget i WordPress, så handler det om å holde alt oppdatert/patchet til enhver tid, holde seg oppdatert og følge opp evt sikkerhetsbrister som publiseres, sørge for å benytte gratis-tjenester ift «CloudBased» beskyttelse osv. Det er MYE man både kan og bør gjøre for å ha en så sikker nettside som mulig.
Det er mange måter et DDoS angrep kan utføres på, mange grunner til at det utføres og mange måter man kan beskytte seg mot det på. Uavhengig av hva man måtte mene er dette problematikk som må tas seriøst.
Denne artikkelen er ikke en fullstendig oversikt over DDoS, på noen som helst måte. Ei heller en håndbok i hvordan man beskytter seg, hvordan det fungerer etc, men det er et forsøk på å opplyse på en forholdsvis enkel måte om hvem, hva og hvor ift angrepet som flere og flere dessverre stifter bekjentskap med.
Kilder:
The Register – «Internet’s root servers take hit in DDoS attack»
GEN – Cyber attacks – how to protect your newsroom (fjernet)