Atak DDoS (Distributed Denial of Services) to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, najczęściej przeprowadzany równocześnie z wielu komputerów. Przeważnie do przeprowadzenia ataku służą komputery, nad którymi przejęto kontrolę przy użyciu specjalnego złośliwego oprogramowania (ang. malware). Komputery te,na zewnętrzną komendę, atakują system ofiary, na przykład zasypując go fałszywymi próbami skorzystania z usług, jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej liczbie żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu.
Jednym z istotnych problemów związanych z atakami jest ich różnorodność i zmienność. Taksonomia rodzajów ataków obejmuje ich kilkadziesiąt typów, a najnowsze ataki posiadają zdolność wykrywania słabych ogniw celu ataku i dynamicznej zmiany sposobów ataków.

Ochrona przed atakami DDoS składa się z kilku wariantów i możliwości.
Najskuteczniejsza ochrona jest możliwa w sytuacji, gdy Strona uwzględniająca ryzyko ataku przygotuje się do takiej sytuacji wcześniej. Ochrona przed atakiem może polegać na wybudowaniu własnej infrastruktury ochrony przed atakiem (Rysunek 1.) lub skorzystanie z usługi zewnętrznej tego rodzaju (Rysunek 2.).
W zaawansowanym rozwiązaniu możliwe jest też połączenie obydwu metod. W każdej z wyżej wymienionych sytuacji wskazane, a wręcz konieczne jest skorzystanie w czasie ataku ze wsparcia zespołu specjalizującego się w reagowaniu i zwalczaniu ataków typu DDoS (tzw. DDoS CERT), który podejmie działania minimalizujące skutki ataku, jak również np. chociażby wesprze w zabezpieczeniu dowodów w celu dalszego postępowania np. sądowego. Wynika to ze skomplikowanej natury i zmienności ataków, co powoduje konieczność szybkiego i skutecznego reagowania w oparciu o duże doświadczenie eksperckie, związane ściśle ze stałym zajmowaniem się ochroną przed tego typu atakami.

grafika_ochrona_przed_DDOS_1_small

Atak DDoS na przygotowany do tego podmiot, który zainstalował u siebie urządzenia filtrujące ruch pochodzący z ataku. Urządzenie to oczyszcza ruch i jedynie „uprawniony” ruch jest kierowany do Klienta

grafika_ochrona_przed_DDOS_2_small

Atak DDoS na przygotowany do tego podmiot, który wykupił usługę polegającą na skierowaniu ruchu (w czasie ataku) adresowanego do Klienta (po prawej stronie) na scrubbing center ComCERT (na dole rysunku), w którym ruch jest oczyszczany i jedynie „uprawniony” ruch jest kierowany (osobnym kanałem) do Klienta

grafika_ochrona_przed_DDOS_3_small

 

ComCERT SA posiada specjalistyczny zespół pełniący rolę DDoS CERT dla swoich Klientów.

Uruchomienie ochrony anty-DDoS dla Klienta

Komponenty usługi

Uruchomienie ochrony DDoS u Klienta polega na:

1. w fazie przed podpisaniem umowy:
a. zidentyfikowaniu stopnia zagrożenia Klienta
b. rozpoznaniu architektury dołączenia do Internetu od strony Klienta i świadczonych oraz oferowanych przez niego usług sieciowych
c. dopasowaniu rozwiązania technicznego do sytuacji Klienta
d. wycenie rozwiązania

2. w fazie po podpisaniu umowy:
a. wykonaniu szczegółowego projektu technicznego
b. instalacji urządzeń filtrujących oraz towarzyszących im routerów w lokalizacji Klienta lub w obsługującym go scrubbing center należącym do ComCERT
c. uruchomieniu usługi anycast DNS w celu zwiększenia odporności infrastruktury Klienta na ataki skierowane na usługę DNS (ataki tego typu mogą powodować te same skutki co ataki na łącze i aplikacje Klienta)
d. wsparciu Klienta w renegocjacjach umów z operatorami telekomunikacyjnymi i data centers, obsługujących Klienta, tak, aby ew. atak nie wysycał łączy telekomunikacyjnych lub urządzeń „po drodze” oraz możliwa była okresowa zmiana parametrów świadczenia usługi dostępu do sieci na czas ataku
e. rozpoczęciu okresu gotowości do zareagowania i przystąpienia do wsparcia Klienta w czasie ataku. Gotowość ta, w trybie 24/7, związana jest z odpowiednimi warunkami SLA (Service Level Agreement) określającymi szybkość reakcji (przystąpienia do działania) w sytuacji wystąpienia ataku (możliwa jest również tańsza opcja polegająca na gotowości w trybie 8/5);

3. w czasie ataku:
a. identyfikacji charakteru i źródeł ataku, stałej analizie dynamiki ataku
b. dopilnowaniu, aby urządzenia filtrujące działały optymalnie
c. wsparciu Klienta w stałym kontakcie z operatorem telekomunikacyjnym i ew. operatorem data center, aby urządzenia tych operatorów oraz ich łącza nie okazały się wąskimi gardłami, lub reprezentowaniem Klienta w kontaktach z innymi podmiotami (np.: operatorami telekomunikacyjnymi i CERT-ami) w kraju i zagranicą
d. podjęciu działań związanych z zatrzymaniem ataku
e. minimalizacji szkód wyrządzonych przez atak
f. profesjonalnym zabezpieczeniu danych i dowodów w celu umożliwienia wykorzystania ich w ew. dalszym postepowaniu (np.
prawnym), zarówno z sieci jak i od dostawcy usług internetowych (ISP), bez względu na ich geograficzną lokalizację;

4. po ataku:
a. rekomendacjach związanych z uniknięciem powtórzenia zagrożenia (technicznych, organizacyjnych)
b. fine-tuningu/rekonf

 

Wsparcie Klienta w momencie ataku DDoS

Komponenty usługi

Klient, który nie jest przygotowany na atak, i zostanie zaatakowany przez DDoS, również może skorzystać z usług ComCERT, jednak skuteczność tej obrony jest mniejsza. W szczególności nie jest możliwe podpisanie umowy SLA z Klientem od pierwszej chwili ataku.
Jednak ComCERT podejmie, w ramach swoich możliwości, natychmiastowe działania mające na celu minimalizację skutków ataku DDoS. Działania te polegają m.in. na:

1. w czasie ataku:
a. identyfikacji charakteru i źródeł ataku, stałej analizie dynamiki ataku (przy założeniu dostępu do urządzeń Klienta, umożliwiających monitoring ataku)
b. wsparciu Klienta w stałym kontakcie z operatorem telekomunikacyjnym i ew. operatorem data center, aby urządzenia tych operatorów oraz łącza działały tak, aby zminimalizować szkody, lub reprezentowaniem Klienta w kontaktach z innymi podmiotami (np.:operatorami telekomunikacyjnymi i CERT-ami) w kraju i zagranicą
c. podjęciu działań związanych z zatrzymaniem ataku
d. minimalizacji szkód wyrządzonych przez atak, jeśli jakieś nastąpiły
e. profesjonalnym zabezpieczeniu danych i dowodów w celu umożliwienia wykorzystania ich w ew. dalszym postepowaniu (np. prawnym), zarówno z sieci jak i od dostawcy usług internetowych (ISP), bez względu na ich geograficzną lokalizację;

2. po ataku:
a. rekomendacjach związanych z uniknięciem powtórzenia zagrożenia (techniczne, organizacyjne)
b. nawiązaniu stałej współpracy, aby ew. przyszłe ataki nie powodowały takich szkód, jakie powodują u nieprzygotowanych podmiotów.

Rozliczenie
Koszt podjęcia działań związanych z obroną Klienta uzależniony jest od zakresu oczekiwań Klienta i specyfiki trwającego ataku sieciowego.