Ochrona przed atakami DDoS

Ochrona przed atakami DDoS

Często w mediach można usłyszeć nowości o tym, że ten czy inny serwis został zaatakowany za pomocą DDoS i czasowo przestał działać. Atak DDoS (Distrubuted Denial of Service) - to sytuacja, w której przestępcy generują taką ilość zapytań, której nie może opracować serwer, obsługujący daną witrynę, co w efekcie powoduje jego przeciążenie i niedostępność serwisu. Co oczywiste, jeden komputer nie jest w stanie wykonać takiej ilości zapytań, aby nawet stosunkowo słaby serwer mógł się z nimi uporać.

Do ataku wykorzystywana jest cała sieć komputerów zarażonych wirusami - tzw. “botnet”. Jest to grupa komputerów, lub innych urządzeń, które mogą być zdalnie kontrolowane przez jedną osobę, bez wiedzy i zgody właścicieli (takie komputery nazywane są “zombie”).  Skala działania takich sieci może być naprawdę imponująca - największy botnet w historii, BredoLab, zdołał zainfekować ponad 30 mln. urządzeń na całym świecie.

Co ważne, w ostatnim okresie wykrywane jest coraz więcej stosunkowo niewielkich botnetów (ok. 3000 - 7000 urządzeń). Takie sieci są znacznie trudniejsze do wykrycia, a przy tym równie niebezpieczne.

Niekiedy podobne problemy mają miejsce w przypadku jak najbardziej naturalnych zjawisk, niezwiązanych z działaniem hakerów. Przykładem może być sytuacja, gdy na bardzo popularnym serwisie zamieszczany jest link do witryny rozmieszczonej na słabym, współdzielonym serwerze - w efekcie ograniczonych możliwości technicznych serwer nie wytrzymuje przeciążenia i staje się niedostępny. Hostingodawcy mogą nawet czasowo wyłączać serwisy, rozmieszczone na serwerach współdzielonych, jeśli te nagle stają się celem dziesiątków tysięcy zapytań. Z tego powodu, jeśli Wasz serwis jest stosunkowo popularny, lub planujecie kampanie reklamowe, które mogą czasowo podwyższyć jego odwiedzalność, konieczne jest zainwestowanie w serwer dedykowany.

Dlaczego dochodzi do ataków?

Ataki DDoS mogą być organizowane z różnych powodów: przez konkurentów, aby “wyeliminować” cudzy serwis i zabrać sobie część odwiedzących go Internautów, w celu uzyskania pieniędzy za odblokowanie zaatakowanej witryny, a niekiedy nawet dla rozrywki. Częstą przyczyną ataków hakerów są względy polityczne lub ideologiczne - ma to miejsce zwłaszcza w przypadku blokowania serwisów publicznych (np. rządowych stron internetowych).

Jeśli Twoja strona internetowa jest poświęcona modelarstwu, czy innego rodzaju czysto hobbystyczną działalnoscią i ma stosunkowo niewielką odwiedzalność, to nie należy się obawiać DDoS ataku, gdyż nie będzie ku temu przyczyn - no, chyba że masz jakiegoś osobistego wroga, który może zamówić atak na Twój serwis. Nie należy zapominać, że dokonanie podobnego ataku jest stosunkowo drogie - w botnetach (zombi - sieciach) powinny być używane tysiące zarażonych komputerów - jest to zabawa dla poważnych hakerów.

Poziomy zabezpieczeń

Aby uchronić się od DDoS, należy przygotować cały kompleks środków obronnych - w tym wypadku jeden sposób ochrony to za mało, zwłaszcza jeśli Twój serwis był już atakowany w przeszłości, lub istnieje realne ryzyko, że do takiej sytuacji dojdzie. Można wydzielić kilka poziomów ochrony:

• dostęp do serwera;
• oprogramowanie serwera;
• sieć;
• dostawca usług internetowych (provider);
• wyspecjalizowany sprzęt;
• arządzanie serwerem.

Ochrona na poziomie dostępu do serwera

Ten typ ochrony w opinii wielu webmasterów i specjalistów w danym zagadnieniu jest dosyć pewny i efektywny, co potwierdza także praktyka. Serwer obowiązkowo musi mieć możliwość zdalnego restartu, czyli ponownego startu. Przy tym konsola (wiersz poleceń) powinna być dostępna za pomocą protokołu SSH z innego adresu IP, aby była możliwość używać go w przypadku przeciążenia serwera. Takie działanie pozwoli na szybką reakcję w początkowej fazie ataku DDoS. Dostępność konsoli daje możliwość wyłączenia protokołu SSH na serwerze, co jest przydatne, jako że jest on również często celem ataku DDoS.

Ochrona na poziomie oprogramowania serwera

Serwer powinien zostać dokładnie sprawdzony w zakresie bezpieczeństwa. Całość oprogramowania należy regularnie aktualizować, aby wszystkie wykryte “dziury” w ochronie zostały dokładnie “zakryte”. W tym celu warto sporządzić spis wszystkich zainstalowanych programów, aby wygodniej było pilnować pojawienia się ich nowych wersji i patchów.

Ochrona na poziomie sieci

Już w momencie rozpoczęcia ataku postaraj się zablokować absolutnie wszystko, co może dać jakiekolwiek informacje dla organizatora ataku DDoS. Do listy do zablokowania i ukrycia wchodzą ping i traceroute. Bardzo użyteczną czynnością jest włączenie mechanizmu NAT (Network Address Translation), czyli konwersji adresów sieciowych. Jeszcze jedna ważna kwestia to ukrycie adresu IP, ta czynność pomaga efektywnie ochronić się przed napastnikami i utrudnić im działalność. Do ukrycia IP istnieje stosunkowo dużo sposobów, i są one popularnym środkiem ochrony przed sieciowymi atakami.

Ochrona na poziomie dostawcy Internetu

Na tym poziomie środki zapobiegawcze polegają na badaniu pakietów otrzymywanych danych i blokowaniu adresów IP. Jak to działa? Zasadą jest, że zapytania są wykonywane z różnych urządzeń, ale jednocześnie ich cecha wspólna to bardzo podobny rodzaj ruchu. Pakiety danych podlegają analizie, w trakcie której wykrywane są podobieństwa. Ręczne dokonywanie sprawdzenia ruchu za pomocą śledzenia logów jest praktycznie niemożliwe (tym bardziej w czasie rzeczywistym). Takie zadanie mogą wypełniać specjalne programy. Z ich pomocą bez problemu można określić dominujący typ ruchu, i operatywnie zareagować w przypadku wystąpienia niebezpieczeństwa.

Aby zablokować adresy IP atakujących urządzeń, należy przede wszystkim znaleść je w ogólnym ruchu na stronie. Można to zrobić na podstawie analizy częstotliwości zapytań, kierowanych w stronę serwera. Zwykły użytkownik może wykonać do kilku zapytań w ciągu sekundy, ale w tym wypadku będą od niego pochodziły zapytania dotyczące kilku adresów URL (URL samej podstrony, grafik, skryptów java, itp.), zaś atakujące urządzenie raczej będzie kierować się do jednego adresu. Na tej zasadzie można wykryć atakujące adresy IP i dodać je do czarnej listy adresów, od których nie jest przyjmowany jakikolwiek ruch.

Ochrona na poziomie sprzętu

Ten poziom ochrony serwera przed atakami DDoS jest o wiele poważniejszy niż pozostałe, w związku z czym wymaga zdecydowanie większych nakładów. Koszt pełnych rozwiązań może może sięgać dziesiątków tysięcy złotych. W związku z tym rozwiązania na poziomie hardware są raczej odpowiednie dla poważnych i dużych projektów, w których podobne wydatki można uznać za uzasadnione.

Uznanymi liderami w zakresie podobnych systemów ochrony są firmy Cisco i HP. Tworzą one stosunkowo efektywny sprzęt do zwalczania ataków sieciowych, a także proponują kompleksowe rozwiązania dla ochrony witryn i sieci internetowych. Mechanizmy działania takiego sprzętu bazują na analizie ruchu przychodzącego za pomocą specjalnych algorytmów i wielostopniowego filtrowania. Oznacza to, że wartościowe zapytania, które przeszły sprawdzenie, nie są blokowane, a podejrzane - są wpisywane na czarną listę. W ten sposób odsiewany jest jakościowy traffic i zapewniane jest bezproblemowe działanie serwisów.

Ochrona na poziomie wsparcia hostingodawcy

Specjaliści firm hostingowych wykorzystują sposoby analizy logów zapory internetowej, które pozwalają na określenie adresów IP tych urządzeń, z których dokonywany jest atak. Posiadając spis takich adresów można spróbować je zablokować. Jednocześnie inne adresy IP nie zostaną zablokowane, co oznacza, że zapytania od zwykłych użytkowników będą normalnie opracowywane na serwerze i użytkownicy będą w stanie korzystać z serwisu.

Istnieje także wiele firm, które oferują usługi ochrony od ataków DDoS. Istnieją różne plany taryfowe, broniące przed atakami o różnym natężeniu. Właściciele mogą wybrać optymalny dla swoich potrzeb, zależnie od skali projektu i budżetu.

Jeszcze jedną kwestią, której nie należy ignorować, jest wybór dostawcy Internetu - o ochronie od ataku DDoS można pomyśleć jeszcze w momencie wyboru hostingodawcy. Praktycznie wszyscy dostawcy podobnych usług stosują zabezpieczenia, które działają na zasadzie analizy i filtrowania pakietów danych. Warto szczegółowo przeczytać, lub dowiedzieć się w pomocy technicznej danej firmy o środkach ochrony serwerów wirtualnych. Często providerzy internetowi proponują ochronę przed atakami DDoS jako usługę dodatkową. Nie należy liczyć na to, że tani hosting uratuje nas przed atakiem sieciowym: hostingodawcy często oszczędzają na sprzęcie i oprogramowaniu dla ochrony.

Wnioski

Jeśli posiadasz zwykłą stronę - wizytówkę lub niewielki sklep internetowy, to ryzyko, że twój spokój zostanie zakłócony przez możliwy atak DDoS są minimalne. W związku z tym wydawanie dużej ilości środków na zabezpieczenie się w tym zakresie jest ekonomicznie nieuzasadnione. Jeśli jednak tematyka serwisu, lub jakieś inne powody mogą spowodować szersze zainteresowanie (społeczne, czy polityczne), to jest sens zabepieczać się przed możliwymi atakami. Witryny instytucji państwowych, partii politycznych, czy też ruchów społecznych obowiązkowo powinny mieć solidną ochronę przed hakerami, gdyż często są celem dla dobrze zorganizowanych ataków.

Poznaj swoich rywali!

Zapraszamy do wzięcia udziału w szkoleniu online, poświęconemu nowemu narzędziu analitycznemu, badającymi Twoich konkurentów w TOP10! Szkolenie odbędzie się już 29 kwietnia.

Nowe zasady działania trybu "long tail"

Dla Waszej wygody dokonujemy zmiany w sposobie naliczania opłat za pozycjonowanie nowych fraz w trybie "long tail"

Pozycjonuj frazy z potencjałem

Z przyjemnością informujemy o publikacji nowych narzędzi dla wyboru korzystnych fraz kluczowych - "frazy z potencjałem, bliskie TOP10".

16 złoty za frazę po raz drugi!

Mamy dla Was nową promocję dla fraz w trybie automatycznym, które już były pozycjonowane za pomocą Systemu