Atacurile de tip DDoS devin din ce in mai indraznete si par ca se intrec in a dobori record dupa record. Pe 21 iulie, o companie din Europa de Est care folosea din fericire platforma Prolexic a companiei Akamai a fost victima celui mai mare atac de tip DDoS inregistrat asupra unei companii din Europa. In punctul sau maxim, atacul a transmis un volum de trafic de 853,7 Gbps si 659,6 Mpps (milioane de pachete pe secunda) timp de 14 ore. Akamai a reusit sa detecteze si sa mitigheze atacul inainte de a cauza daune substantiale. Alte exemple notabile sunt atacul asupra gigantului rusesc de Internet Yandex atacat de reteaua botnet Meris cu 21,8 Mpps si cel asupra unui client Cloudflare care a inregistrat un atac DDoS de 26 de milioane de cereri pe secunda. Riscul de a fi victima unui atac DDoS este foarte mare, iar cei mai multi dintre noi putem fi victime colaterale.
Atacurile de tip DDoS au ca obiectiv incarcarea unei resurse (retea, site sau aplicatie web, API, data center, ) cu o cantitate atat de mare de trafic incat respectiva resursa nu mai este capabila de a mai accepta clienti legitimi sau de a mai raspunde la cereri valide de date. Scopul este de a impiedica organizatia sa mai ofere servicii clientilor sai provocand pierderi financiare sau de a masca un alt atac cum ar fi exfiltrarea de informatii confidentiale din interiorul organizatiei.
Hackerii folosesc adesea retele botnet pentru a sincroniza si coordona atacurile DDoS pentru maxim de impact. Retelele botnet pot cuprinde orice dispozitiv compromis de un malware capabil sa ofere control remote asupra sistemului catre un hacker: laptop, tableta, smartphone si echipamente IoT (camere IP, imprimante si electrocasnice smart). Malware-ul poate fi mult timp dormant, evitand detectia de catre solutia antivirus/antimalware, si poate fi activat de la distanta de catre hackeri la momentul atacului.
Atacurile DDoS se pot folosi de diferite elemente specifice unei retele pentru a incapacita o resursa:
- atac DDoS volumetric – intentia atacului este de a trimite un volum de trafic atat de mare care sa consume intreaga latimea banda de care dispune resursa tintita. Cel mai adesea, hackerii folosesc tehnici de reflectie si amplificare pentru a coplesi victima trafic nesolicitat:
- ICMP flood
- UDP flood
- DNS reflection and amplification
- atac DDoS la nivel de protocol – un astfel de atac vizeaza consumarea tuturor conexiunilor pe care un server le poate avea, impiedicand clientii legitimi sa acceseze serverul. Doua dintre cele mai populare atacuri DDoS care exploateaza modul in care protocoalele de retele functioneaza sunt atacurile de tip SYN flood si atacurile de tip Smurf.
- atac DDoS la nivel de aplicatie – un astfel de atac vizeaza o aplicatie, de regula o aplicatie web, trimitand catre aceasta un numar foarte mare de cereri malitioase menite sa incetineasca aplicatia sau sa o faca sa se comporte anormal.
Organizatiile nu pot sa se apere singure de atacurile de tip DDoS intrucat nu au la dispozitie infrastructura care sa acomodeze un volum atat de mare de trafic nesolicitat si trebuie sa apeleze la serviciile unui furnizor specializat sa raspunda impotriva acestui tip de atac. Metodele de protectie pe care furnizorul le poate oferi sunt:
- o retea de tip CDN (Content Delivery Network) care sa stea intre Internet si resursa care trebuie securizata actionand ca un proxy. Reteaua CDN are ca rol accelerarea traficului HTTP si HTTPS pentru serviciile clientului si atacurile DDoS care vizeaza serverele web vor fi oprite inainte ca ele sa ajunga pe servere. Atacurile DDoS care functioneaza la nivelul 3 si 4 din stiva OSI bazate pe ICMP sau UDP vor fi mitigate instant intrucat acestea nu vizeaza porturile 80 si 443.
- un WAF – Web Application Firewall care sa protejeze impotriva atacurilor DDoS avansate care tintesc sa perturbe activitatea aplicatiilor web prin trimiterea de cereri HTTP GET si POST malformate.
- scanarea traficului cu o solutie de tipul DDoS scrubbing. Spre deosebire de o solutie CDN, un serviciu de DDoS scrubbing poate oferi protectie pentru toate porturile, protocoalele si aplicatiile organizatiei. Organizatia trebuie sa isi directioneze traficul catre infrastructura furnizorului serviciului de scrubbing folosinf fie BGP, fie redirectare la nivel de DNS pentru inregistrarile de tip adresa sau CNAME. Traficul este monitorizat si inspectat pentru activitati malitioase si daca este detectat un atac DDoS, furnizorul aplica masuri de protectie. Acest serviciu de DDoS scrubbing poate fi contractat de o organizatie sub forma de protectie always-on sau on-demand in functie de nevoile de securitate ale organizatiei.
Pe masura ce atacurile devin din ce in ce mai avansate, protectia anti-DDoS bazata de tehnologiile cloud ofera o aparare scalabila si pe mai multe nivele (defense-in-depth). Astfel infrastructura din backend si serviciile accesibile din Internet vor fi intotdeauna disponibile si vor performa in mod corespunzator.
Mihai Dumitrascu, Sr Systems Engineer