Το MTE εξηγεί: Πώς λειτουργεί η προστασία DDoS
Με την πάροδο των ετών, η κατανεμημένη άρνηση εξυπηρέτησης (DDoS) ήταν ένας πολύ αξιόπιστος τρόπος να διασφαλίσουμε ότι μια φιλοξενούμενη υπηρεσία (όπως ένας ιστότοπος ή κάποια υπηρεσία όπως το PlayStation Network) δεν βλέπει το φως της ημέρας τουλάχιστον για λίγο.
Η δύναμη που αυτές οι επιθέσεις ασκεί, κάνει τους ανθρώπους περίεργους για τους μηχανισμούς πίσω από αυτούς, γι 'αυτό έχουμε αφιερώσει χρόνο για να εξηγήσουμε πώς λειτουργούν και μάλιστα έφτασαν στο βαθμό που δείχνουν διεξοδικά πόσο τεράστιες μερικές από αυτές τις επιθέσεις μπορούν να πάρουν, ένας από αυτούς μπορεί να πάρει ακόμη και ολόκληρους τομείς του Διαδικτύου για εκατομμύρια ανθρώπους. Ωστόσο, υπάρχει ελάχιστη δημόσια συζήτηση για το πώς λειτουργεί το αντίμετρο (π.χ. προστασία DDoS).
Το πρόβλημα με την εξέταση της προστασίας DDoS
Το Διαδίκτυο είναι μια τεράστια ποικιλία δικτύων που συνδέονται σε ένα τεράστιο, ακατάστατο κενό. Υπάρχουν τρισεκατομμύρια μικρά πακέτα που ταξιδεύουν σχεδόν με την ταχύτητα του φωτός σε όλο τον κόσμο. Για να κατανοήσει το αποπροσανατολισμό και τη μυστηριώδη εσωτερική λειτουργία του, το Διαδίκτυο χωρίζεται σε ομάδες. Αυτές οι ομάδες συχνά χωρίζονται σε υποομάδες και ούτω καθεξής.
Αυτό κάνει πραγματικά τη συζήτηση για την προστασία DDoS λίγο περίπλοκη. Ο τρόπος με τον οποίο ένας οικιακός υπολογιστής προστατεύει τον εαυτό του από το DDoS είναι παρόμοιος και ελαφρώς διαφορετικός από τον τρόπο που το κάνει ένα κέντρο δεδομένων πολλών εκατομμυρίων δολαρίων. Και δεν έχουμε φτάσει ακόμα στους παρόχους υπηρεσιών Διαδικτύου (ISPs). Υπάρχουν εξίσου πολλοί τρόποι για να ταξινομήσετε την προστασία DDoS, όπως υπάρχουν για να ταξινομήσετε τα διάφορα διαφορετικά κομμάτια που απαρτίζουν το Διαδίκτυο με τα δισεκατομμύρια των συνδέσεών του, τις συστάδες του, τις ηπειρωτικές ανταλλαγές και τα υποδίκτυα του.
Με όλα όσα ειπώθηκαν, ας επιχειρήσουμε μια χειρουργική προσέγγιση που αγγίζει όλες τις σχετικές και σημαντικές λεπτομέρειες του θέματος.
Η αρχή πίσω από την προστασία DDoS
Αν διαβάζετε αυτό χωρίς να γνωρίζετε ξεκάθαρα πώς λειτουργεί το DDoS, σας προτείνω να διαβάσετε την εξήγηση που συνδέσαμε προηγουμένως ή αλλιώς μπορεί να πάρει λίγο συντριπτική. Υπάρχουν δύο πράγματα που μπορείτε να κάνετε σε ένα εισερχόμενο πακέτο: μπορείτε να το αγνοήσετε ή να το ανακατευθύνετε . Δεν μπορείτε να το σταματήσετε από το να φτάσετε επειδή δεν έχετε κανέναν έλεγχο πάνω στην πηγή του πακέτου. Είναι ήδη εδώ και το λογισμικό σας θέλει να ξέρει τι να κάνει με αυτό.
Πρόκειται για μια καθολική αλήθεια που όλοι ακολουθούμε και περιλαμβάνει τους ISP που μας συνδέουν με το Διαδίκτυο. Αυτός είναι ο λόγος για τον οποίο πολλές επιθέσεις είναι επιτυχείς: δεδομένου ότι δεν μπορείτε να ελέγξετε τη συμπεριφορά της πηγής, η πηγή μπορεί να σας στείλει αρκετά πακέτα για να συντρίψει τη σύνδεσή σας.
Πώς το κάνουν το λογισμικό και οι δρομολογητές (Home Systems)
Εάν τρέχετε ένα τείχος προστασίας στον υπολογιστή σας ή ο δρομολογητής σας έχει ένα, συνήθως είστε κολλημένοι ακολουθώντας μια βασική αρχή: εάν κυκλοφορήσει η κίνηση DDoS, το λογισμικό κάνει μια λίστα με IP που έρχονται με παράνομη κίνηση.
Το κάνει αυτό παρατηρώντας όταν κάτι σας στέλνει μια δέσμη δεδομένων απορριμμάτων ή αιτήματα σύνδεσης σε μια αφύσικη συχνότητα, όπως περισσότερο από πενήντα φορές το δευτερόλεπτο. Στη συνέχεια, αποκλείει όλες τις συναλλαγές που προέρχονται από αυτήν την πηγή. Με το κλείδωμα τους, ο υπολογιστής σας δεν χρειάζεται να δαπανήσει επιπλέον πόρους για την ερμηνεία των δεδομένων που περιέχονται μέσα. Το μήνυμα απλώς δεν καταλήγει στον προορισμό του. Αν είστε αποκλεισμένοι από το τείχος προστασίας ενός υπολογιστή και προσπαθήσετε να συνδεθείτε σε αυτό, θα λάβετε ένα χρονικό όριο σύνδεσης, επειδή ό, τι στέλνετε απλώς θα αγνοηθεί.
Αυτός είναι ένας θαυμάσιος τρόπος για να προστατεύσετε τις επιθέσεις απόρριψης μιας υπηρεσίας (DoS), διότι ο επιτιθέμενος θα βλέπει ένα χρονικό όριο σύνδεσης κάθε φορά που θα κάνει check-in για να διαπιστώσει εάν το έργο του κάνει κάποια πρόοδο. Με κατανεμημένη άρνηση εξυπηρέτησης, αυτό λειτουργεί επειδή όλα τα δεδομένα που προέρχονται από τα επιτιθέμενα IPs θα αγνοηθούν.
Υπάρχει πρόβλημα με αυτό το σχήμα.
Στον κόσμο του Internet, δεν υπάρχει κάτι τέτοιο όπως το "παθητικό μπλοκάρισμα". Χρειάζεστε πόρους ακόμη και όταν αγνοείτε ένα πακέτο που έρχεται προς το μέρος σας. Εάν χρησιμοποιείτε λογισμικό, το σημείο της επίθεσης σταματά στον υπολογιστή σας, αλλά εξακολουθεί να περνάει από το δρομολογητή σας σαν μια σφαίρα μέσα από χαρτί. Αυτό σημαίνει ότι ο δρομολογητής σας εργάζεται ακούραστα για να κατευθύνει όλα τα παράνομα πακέτα προς την κατεύθυνση σας.
Εάν χρησιμοποιείτε το τείχος προστασίας του δρομολογητή, όλα σταματούν εκεί. Αλλά αυτό εξακολουθεί να σημαίνει ότι ο δρομολογητής σας σαρώνει την πηγή του κάθε πακέτου και στη συνέχεια ανακατεύει τη λίστα των αποκλεισμένων διευθύνσεων IP για να διαπιστώσει εάν πρέπει να αγνοηθεί ή να επιτραπεί μέσω.
Τώρα, φανταστείτε ότι ο δρομολογητής σας πρέπει να κάνει αυτό που μόλις ανέφερα εκατομμύρια φορές ανά δευτερόλεπτο. Ο δρομολογητής σας έχει περιορισμένη ισχύ επεξεργασίας. Μόλις φτάσει αυτό το όριο, θα έχει πρόβλημα κατά προτεραιότητα στη νόμιμη κυκλοφορία, ανεξάρτητα από τις προηγμένες μεθόδους που χρησιμοποιεί.
Ας το αφήσουμε όλα αυτά για να συζητήσουμε ένα άλλο ζήτημα. Υποθέτοντας ότι έχετε έναν μαγικό δρομολογητή με άπειρη ποσότητα επεξεργαστικής ισχύος, ο πάροχος ISP σας δίνει ακόμα ένα πεπερασμένο εύρος ζώνης. Μόλις επιτευχθεί αυτό το εύρος ζώνης, θα δυσκολευτείτε να ολοκληρώσετε ακόμα και τις απλούστερες εργασίες στον Ιστό.
Έτσι, η τελική λύση για το DDoS είναι να έχει μια άπειρη ποσότητα επεξεργαστικής ισχύος και ένα άπειρο ποσό εύρους ζώνης. Αν κάποιος ανακαλύψει πώς να το επιτύχει αυτό, είμαστε χρυσοί!
Πόσο μεγάλες εταιρείες χειρίζονται τα φορτία τους
Η ομορφιά του τρόπου με τον οποίο οι επιχειρήσεις χειρίζονται το DDoS βρίσκεται στην κομψότητα: χρησιμοποιούν τις υπάρχουσες υποδομές τους για να αντιμετωπίσουν τυχόν απειλές που έρχονται στο δρόμο τους. Συνήθως, αυτό γίνεται είτε μέσω ενός εξισορροπήματος φορτίου, ενός δικτύου διανομής περιεχομένου (CDN) είτε ενός συνδυασμού και των δύο. Μικρότερες ιστοσελίδες και υπηρεσίες θα μπορούσαν να αναθέσουν σε τρίτους ένα τρίτο μέρος εάν δεν έχουν την πρωτεύουσα για να διατηρήσουν μια τόσο μεγάλη ποικιλία εξυπηρετητών.
Με το CDN, το περιεχόμενο ενός ιστότοπου αντιγράφεται σε ένα μεγάλο δίκτυο διακομιστών που διανέμονται σε πολλές γεωγραφικές περιοχές. Αυτό κάνει τον ιστότοπο να φορτώνεται γρήγορα ανεξάρτητα από το πού βρίσκεστε στον κόσμο όταν συνδέεστε σε αυτόν.
Οι αντισταθμιστές φορτίου συμπληρώνουν αυτό τον τρόπο με την αναδιανομή δεδομένων και την καταλογογράφηση σε διαφορετικούς διακομιστές, δίνοντας προτεραιότητα στην κίνηση από τον τύπο εξυπηρετητή που ταιριάζει καλύτερα στη δουλειά. Οι διακομιστές χαμηλότερου εύρους ζώνης με μεγάλους σκληρούς δίσκους μπορούν να χειρίζονται μεγάλα ποσά μικρών αρχείων. Οι διακομιστές με τεράστιες συνδέσεις εύρους ζώνης μπορούν να χειριστούν τη ροή μεγαλύτερων αρχείων. (Σκεφτείτε "το YouTube.")
Και εδώ είναι πώς λειτουργεί
Δείτε πού πάω με αυτό; Εάν μια επίθεση προσγειώνεται σε ένα διακομιστή, ο εξισορροπητής φορτίου μπορεί να παρακολουθεί το DDoS και να αφήνει να συνεχίσει να χτυπά τον συγκεκριμένο διακομιστή, ενώ ανακατευθύνει όλη την νόμιμη κυκλοφορία σε άλλο σημείο του δικτύου. Η ιδέα εδώ είναι να χρησιμοποιήσετε ένα αποκεντρωμένο δίκτυο προς όφελός σας, διαθέτοντας πόρους όπου χρειάζονται, ώστε ο ιστότοπος ή η υπηρεσία να μπορεί να συνεχίσει να τρέχει, ενώ η επίθεση στρέφεται προς ένα "κύμα".
Επειδή το δίκτυο είναι αποκεντρωμένο, κερδίζει ένα σημαντικό πλεονέκτημα σε σχέση με τα απλά τείχη προστασίας και ανεξάρτητα από την προστασία που μπορούν να προσφέρουν οι περισσότεροι δρομολογητές. Το πρόβλημα εδώ είναι ότι χρειάζεστε πολλά χρήματα για να ξεκινήσετε τη δική σας επιχείρηση. Ενώ μεγαλώνουν, οι εταιρείες μπορούν να βασίζονται σε μεγαλύτερους εξειδικευμένους παρόχους για να τους παρέχουν την προστασία που χρειάζονται.
Πώς κάνουν οι Behemoths
Έχουμε περιοδεύσει σε μικρά οικιακά δίκτυα και μάλιστα αποτολμήσαμε στο χώρο των mega corporations. Ήρθε η ώρα να μπείτε στο τελικό στάδιο αυτής της αναζήτησης: θα εξετάσουμε πώς οι εταιρείες που σας δίνουν μια σύνδεση στο Internet προστατεύονται από το να πέσουν σε μια σκοτεινή άβυσσο. Αυτό πρόκειται να γίνει λίγο περίπλοκο, αλλά θα προσπαθήσω να είμαι όσο πιο σύντομος όσο μπορώ χωρίς μια διδακτορική διατριβή για διάφορες μεθόδους προστασίας DDoS.
Οι ISP έχουν τους δικούς τους μοναδικούς τρόπους αντιμετώπισης των διακυμάνσεων της κυκλοφορίας. Οι περισσότερες επιθέσεις του DDoS μόλις καταγράφονται στα ραντάρ τους, καθώς έχουν πρόσβαση σε σχεδόν απεριόριστο εύρος ζώνης. Η καθημερινή κυκλοφορία τους στις 7-11 μ.μ. (γνωστή ως "Ώρα Internet Rush") φθάνει σε επίπεδα που υπερβαίνουν κατά πολύ το εύρος ζώνης που θα έχετε από μια μέση ροή DDoS.
Φυσικά, δεδομένου ότι αυτό είναι το Διαδίκτυο για το οποίο μιλάμε, υπάρχουν (και έχουν γίνει συχνά) περιπτώσεις όπου η κυκλοφορία γίνεται κάτι πολύ περισσότερο από ένα blip στο ραντάρ.
Αυτές οι επιθέσεις εισέρχονται με αιώνια φαινομενική δύναμη και προσπαθούν να κατακλύσουν την υποδομή μικρότερων ISPs. Όταν ο πάροχός σας σηκώνει τα φρύδια του, φτάνει γρήγορα σε ένα οπλοστάσιο εργαλείων που έχει στη διάθεσή του για να καταπολεμήσει αυτή την απειλή. Θυμηθείτε, αυτά τα παιδιά έχουν τεράστιες υποδομές στη διάθεσή τους, έτσι υπάρχουν πολλοί τρόποι με τους οποίους αυτό μπορεί να μειωθεί. Εδώ είναι τα πιο κοινά:
- Μακρινή σκανδάλη Μαύρη τρύπα - Ακούγεται πολύ σαν κάτι από μια ταινία sci-fi, αλλά RTBH είναι ένα πραγματικό πράγμα που τεκμηριώνεται από τη Cisco. Υπάρχουν πολλοί τρόποι για να το κάνετε αυτό, αλλά θα σας δώσω την "γρήγορη και βρώμικη" έκδοση: ένας ISP θα επικοινωνήσει με το δίκτυο που έρχεται η επίθεση και θα του πει να αποκλείει κάθε εξερχόμενη κίνηση που έχει πετάξει προς την κατεύθυνσή του. Είναι πιο εύκολο να αποκλείσετε την κυκλοφορία που βγαίνει από το μπλοκάρισμα των εισερχόμενων πακέτων. Σίγουρα, τα πάντα από τον ISP-στόχο θα εμφανίζονται τώρα σαν να είναι εκτός σύνδεσης για τους ανθρώπους που συνδέονται από την πηγή της επίθεσης, αλλά παίρνει τη δουλειά και δεν απαιτεί πολλή ταλαιπωρία. Η κυκλοφορία του υπόλοιπου κόσμου παραμένει ανεπηρέαστη.
- Συσκευές πλύσης - Μερικοί πολύ μαζικοί πάροχοι υπηρεσιών διαδικτύου διαθέτουν κέντρα δεδομένων γεμάτα εξοπλισμό επεξεργασίας που μπορούν να αναλύσουν μοντέλα κυκλοφορίας για να διαχωρίσουν τη νόμιμη κυκλοφορία από την κυκλοφορία DDoS. Δεδομένου ότι απαιτεί πολλή υπολογιστική ισχύ και μια καθιερωμένη υποδομή, οι μικρότεροι πάροχοι υπηρεσιών ISP συχνά προσφεύγουν σε εξωτερική ανάθεση αυτής της εργασίας σε άλλη εταιρεία. Η κυκλοφορία στον επηρεαζόμενο τομέα περνάει από ένα φίλτρο και τα περισσότερα πακέτα DDoS αποκλείονται ενώ επιτρέπεται η νόμιμη κίνηση. Αυτό εξασφαλίζει την κανονική λειτουργία του ISP με το κόστος των τεράστιων ποσοτήτων υπολογιστικής ισχύος.
- Κάποιο βουντού της κυκλοφορίας - Χρησιμοποιώντας μια μέθοδο γνωστή ως "διαμόρφωση της κυκλοφορίας", ο πάροχος υπηρεσιών διαδικτύου θα αναστέλλει όλα όσα φέρνει η επίθεση DDoS μαζί του στην IP προορισμού, αφήνοντας ταυτόχρονα όλους τους άλλους κόμβους. Αυτό βασικά θα πετάξει το θύμα κάτω από το λεωφορείο για να σώσει το υπόλοιπο δίκτυο. Είναι μια πολύ άσχημη λύση και συχνά η τελευταία που ένας ISP θα χρησιμοποιήσει εάν το δίκτυο βρίσκεται σε σοβαρή κρίση και χρειάζεται ταχεία και αποφασιστική δράση για να εξασφαλίσει την επιβίωση του συνόλου. Σκεφτείτε το ως "οι ανάγκες των πολλών αντισταθμίζουν τις ανάγκες του λίγου" σεναρίου.
Το πρόβλημα με το DDoS είναι ότι η αποτελεσματικότητά του συμβαδίζει με τις εξελίξεις στην ισχύ του υπολογιστή και τη διαθεσιμότητα εύρους ζώνης. Για να πολεμήσουμε πραγματικά αυτήν την απειλή, πρέπει να χρησιμοποιήσουμε προηγμένες μεθόδους τροποποίησης δικτύου που υπερβαίνουν τις δυνατότητες του μέσου οικιακού χρήστη. Είναι πιθανώς καλό ότι τα νοικοκυριά δεν είναι συχνά άμεσοι στόχοι του DDoS!
Παρεμπιπτόντως, αν θέλετε να δείτε πού συμβαίνουν αυτές οι επιθέσεις σε πραγματικό χρόνο, ελέγξτε τον Χάρτη ψηφιακών προσβολών.
Έχετε πέσει θύμα τέτοιων επιθέσεων στο σπίτι ή στο χώρο εργασίας σας; Πείτε μας την ιστορία σας σε ένα σχόλιο!