Jeśli nie spotkałes się nigdy z pojęciem ataku DDoS, to jesteś bardzo szczęśliwym człowiekiem, albo niełatwo spotkać Cię w internecie (a przynajmniej nie masz swojej strony). W czasie pisania tego postu, na świecie trwają 4 ataki zakwalifikoane jako duże (aktualne dane możesz sprawidzć tu).

Zacznijmy jednak od wyjaśnienia pojęcia ataku DoS. Polega on na skierowaniu w kierunku serwera, tak dużego ruchu, że serwer zostaje przeciążony i nie jest w stanie obsłużyć kolejnych zapytań. Istnieje wiele metod i wektorów ataku, ale dosłownie DoS (ang. Denial of Service) oznacza odmowę dostępu do usługi i taki zawsze jest zasadniczy cel ataku.

DoS a DDoS a ataki amplifikowane

DDoS jest popularniejszy od DoSa ponieważ trudniej go zablokować. Zasadnicza różnica polega na ilości źródeł z których prowadzony jest atak. W przypadku DoSa mamy do czynienia z jednym atakującym adresem, a więc jednym źródłem ataku. Dość łatwo jest go zatem odfiltrować.

Dużo większą popularnością cieszą się ataki DDoS, gdzie źródeł ataku jest znacznie więcej – setki, a nawet tysiące adresów, rozsianych geograficznie po całym świecie. Tak skoordynowany atak jest praktycznie niemożliwy do odfiltrowania i z dużym prawdopodobieństwem doprowadzi do niedostępności serwera lub usługi.

Od początku roku popularne stało się dodatkowe wzmacnianie ataków DDoS przez niezabezpieczone serwery Memcached, co pozwala na wykonanie ataku o dużo większym natężeniu przy stosunkowo niewielkich nakładach finansowych. Jego działanie opiera się o mechanikę podatnego serwera, który w odpowiedzi na rzekome zapytanie zwraca nawet 50 tysięcy razy więcej danych, niż otrzymał. Przy takich możliwościach, przestają szokować ataki o natężeniu ponad 1 Tbps.

Jak nie dopuścić do ataku?

Najprostsza odpowiedź to: nie da się.

To co możemy zrobić, to minimalizować ryzyko i łagodzić konsekwencje ataku. Tutaj opcji jest wiele. Warto pamiętać, że nawet jeśli dojdzie do ataku, to odpowiednie przygotowanie pozwoli przetrwać naszym serwerom, a skutki takiego „testu wydajności” będą mniej dotkliwe.

Kilka rad, jak robić to skutecznie:

1. Dywersyfikacja

Rozdzielaj swoje usługi na różne serwery. Nie trzymaj poczty razem ze stroną WWW, czy innymi usługami. Warto także rozważyć całkowite oddzielenie poczty e-mail od innych usług.

Dobrym pomysłem jest trzymanie części serwerów w innej serwerowni, a nawet u innego dostawcy usług. Warto również zabezpieczyć alternatywny kanał komunikacji z klientami i partnerami. Dzięki temu, jeśli strona nie działa (a usługi są rozdzielone), to złożene zamówienia nadal będzie możliwe, na przykład drogą mailową.

2. Korzystanie z usług CDN i loadbalancing

CDN jest to usługa, która powoduje, iż klient zawsze łączy się z serwerem najbliższym geograficznie. Przykładowo użytkownik z Francji będzie łączył się do serwerów na

terenie Francji, a Austriak – do serwerów austriackich. To sprawia, że podczas ataku ruch rozkłada się na wiele serwerów i nie obciąża tylko jednego z nich. Jednymi z najpopularniejszych dostawców usług tego typu są Cloudflare, AWS, Akamai i Incapsula.

Według raportów Imperva Incapsula za rok 2017, najwięcej ataków pochodzi z Chin. Wybierając dostawcę usług CDN, który przekierowuje ruch na swoje serwery w Chinach jesteśmy niemal całkowicie zabezpieczeni przed atakami z tego kraju. Rozwiązanie to zadziała jednak tylko pod warunkiem, że ataki kierowane są bezpośrednio do naszej strony (domeny wskazującej na serwery CDN), a nie głównego adresu IP serwera.

Drugim Twoim sprzymierzeńcem stanie się loadbalancing – określamy w ten sposób rozłożenie ruchu na kilka maszyn. Taki zabieg pozwala obsłużyć większą ilość równoczesnych zapytań, dzięki czemu wpływ ataku na serwis będzie mniej odczuwalny. Dodatkowym elementem ograniczającym siłę ataku w warstwie aplikacji, może być firewall aplikacyjny (tzw. WAF od angielskiego Web Application Firewalls). Może on pomóc ograniczyć negatywny wpływ ataku, ale niestety, może też zaszkodzić – jeśli skala ataku unieruchomi firewalla lub loadbalancera, doprowadzi to do niedostępności serwisu, mimo że serwery aplikacyjne będą działać.

3. Wydajne łącze z protekcją (D)DoS

Większa przepustowość łącz prowadzących do naszych serwerów oznacza większy koszt ataku typu DDoS, a to może odstraszyć potencjalnych atakujących (zwłaszcza, że zwykle są to boty szukające “łatwych celów”). Nieduży atak przy wydajnym łączu może tylko spowolnić działanie usług, zamiast ich wyłączenia, więc nie odniesie zamierzonego efektu.

Obecnie wielu operatorów zapewnia dodatkową, dedykowaną ochronę przed atakami DDoS. Niestety jeśli skala ataku jest większa, dostawcy usług najczęściej stosują politykę tzw. ‘black hole’ (null routing), czyli upraszczając, odłączają adres IP serwera na poziomie łącz operatorskich.

4. Monitoring i plan działania na wypadek ataku

Warto stworzyć plan działania gotowy na wypadek spowolnienia lub zablokowania serwisu. W razie awarii pomoże to zaoszczędzić dużo czasu, energii, a przede wszystkim nerwów. Dobry monitoring to podstawa w rozpoznaniu rodzaju anomalii i wektoru ataku, a w połączeniu ze skuteczną procedurą, pozwoli na sprawne przywrócenie usług do działania.

Według statystyk Imperva Incapsula niemal połowa ataków jest powtarzana, więc stworzenie scenariusza działań w razie ataku wydaje się być obecnie koniecznością.

Przed atakami DDoS nie da się obronić, ale można minimalizować ich skutki. Może nie brzmi to najlepiej, ale przygotowany zawczasu plan pozwoli na sprawną reakcję i znaczne ograniczenie negatywnego wpływu ataku na nasz biznes.

Niektóre usługi warto zlecić firmom zewnętrznym. Na przykład tworzenie własnego CDNa jest bardzo kosztowne i lepiej skorzystać z oferty specjalistów w tej dziedzinie. Również samodzielne przygotowanie infrastruktury pozwalającej na filtrowanie dużych ataków wiąże się z bardzo wysokimi kosztami łącz internetowych. Zamiast tego możemy wybrać usługi dostawcy, który takie łącza już posiada i zapewni nam ochronę przed DDoSami.

Zostałem zaatakowany! Co teraz?

Statystyki mówią jasno – większość ataków trwa poniżej godziny. Nie musisz robić nic, właściwie teraz niewiele już możesz zrobić. Ale spokojnie – DDoS wkrótce minie (chyba, że to akurat atak na chiński telekom), natomiast niedostępność wynikającą z ataku warto wykorzystać na przemyślenie jak, w przyszłości, zminimalizować wpływ takiej sytuacji na Twój biznes.

A przede wszystkim: głowa do góry! Ataki DDoS to problem, który dotyka nawet największych (w marcu rekordowy atak przypuszczono na serwis Github).