Obecně DDoS (Distributed Denial of Service) útok je takovým útokem, jehož smyslem není ani tak proniknout do některého systému s cílem jej ovládnout či odcizit data, ale jen znemožnit běžnému uživateli cílový systém používat.
Útočník zpravidla nějakým nelegitimním způsobem získá přístup k cizím koncovým systémům, které pak z nějakého řídicího bodu (CoC) ovládá. To znamená, že určuje cíl, vektor a čas útoku. Ovládání zkompromitovaných cizích systémů je pak většinou automatizováno do té míry, že jedním příkazem lze zahájit útok mnoha (v praxi i statisíců až milionů) takových zkompromitovaných systémů.
To mohou být IoT zařízení, třeba webkamery nebo termostaty, domácí routery, stanice koncových uživatelů, případně to mohou být i servery, fyzické i virtuální, v housingových centrech. V případě útoků NoName057(16) z přelomu srpna a září to byly převážně servery v datových centrech, často právě VPS.
Přes portál dodavatele vaší internetové konektivity můžete do svého provozu a jeho čištění dle potřeby sami zasahovat. Zdroj: Quantcom
Tak, a co s tím?
Ochranu proti DDoS útokům si můžete koupit od některého cloudového operátora, jako je například Cloudflare nebo Akamai, vlastní službu tohoto typu ohlásil přednedávnem i Wedos.
Obrana proti DDoS útokům poskytovaná ISP/NSP, tedy dodavatelem vaší internetové konektivity, je další možností. Výhodou zde je to, že operátor je vám síťově nejblíž, dokáže snadno rozlišit vyčištěný provoz od nevyčištěného. Vy pak podle dohodnuté úrovně služeb můžete, nebo také nemusíte dostat přihlašovací údaje k webovému portálu, kde si potom do svého provozu a jeho případného čištění zasahujete dle potřeby sami.
Rozdíly pak jsou v míře toho, co jednotliví operátoři nechají své uživatele s takovými systémy dělat. K tomu je pochopitelně potřebné získat i nějaké to know-how. V Quantcomu jsme zvolili variantu detailního zaškolení IT pracovníků našich zákazníků a možnost, aby si sami mohli řídit a ladit jak probíhající čištění provozu, tak i případně zakládat čištění nová, pokud je intenzita útoku pro spuštění automatizovaných mitigačních procedur kupříkladu příliš nízká.
Útočník si často testuje, zda je cíl pod jeho útokem dostupný, a zvolené metody jsou občas zajímavé. Zdroj: Quantcom
Dá se dělat něco navíc?
Ideální je tedy nějaká rozumná a chráněným hodnotám přiměřená kombinace výše zmíněných metod, tedy třeba anycast reverzní proxy pro kritickou webovou službu a následně ochrana celých adresních rozsahů u operátora.
Nicméně platí vždy základní tři principy:
- vždycky lze přidat další úroveň zabezpečení, nicméně nekonečně velká míra zabezpečení také stojí nekonečně mnoho peněz
- pokud někdo nabízí nějaké zázračné řešení, které automaticky a snadno vyřeší vaše bezpečnostní problémy, je to s jistotou podvodník
- neměli byste to dělat útočníkům zbytečně snazší, ale naopak se snažit být co nejodolnějším cílem sami o sobě
Pozn.: Jedná se o zkrácenou verzi článku. Plnou verzi si můžete přečíst ZDE
