V uplynulých týdnech se do popředí zájmu opět dostaly útoky typu DDoS (Distributed Denial-of-Service), které nakrátko zastínily i stálici na nebi kyberzločinů, kterou je již několikátým rokem v řadě ransomware.
Co je DDoS útok?
Zkratka DDoS znamená „Distributed Denial of Service“, tedy kybernetický útok, spočívající v masivním zahlcení kapacit oběti – typicky internetového připojení, výkonu serverů či databází – prostřednictvím požadavků, které se mohou na první pohled jevit jako legitimní. Smyslem je vyřadit z provozu službu (zpravidla webové stránky, e-shop ad.), na kterou je útok veden, aby nemohla přijímat další požadavky – a tedy odmítala poskytovat svoje služby (Denial of Service). Pokud by byl takový útok vedený z jednoho místa, byl by relativně snadno odhalitelný a bylo by možné jej odpojením útočníka rychle odvrátit.
Proto kyberútočníci zneužívají k zahlcení kapacit oběti počítače po celém světě a útok je tedy veden jako „distribuovaný“ (Distributed). Oběť útoku přichází o zákazníky i zisk a dochází k poškození její pověsti. Zvláště kritické může být DDoS v období hlavní nákupní sezóny a dalších okamžicích, kdy firma či organizace potřebuje 100% výkon a spolehlivost svých služeb.
Na konci ledna Microsoft publikoval zprávu, že se mu podařilo odvrátit masivní DDoS útok na jeho cloudovou platformu Azure. S datovým tokem 3,47 Tb/s (340 milionů packetů za sekundu), cíleným na jednoho z asijských zákazníků platformy Azure, a jednalo se o největší dosud zaznamenaný DDoS útok v historii internetu. Bohužel nejde o ojedinělý případ – jen během prosince loňského roku byly zaznamenány útoky s datovými toky 2,5 a 3,25 Tb/s. V průměru je platforma Microsoft Azure cílem bezmála 2 000 DDoS útoků denně a jejich počet i intenzita průběžně narůstají. Azure ale samozřejmě není zdaleka jediným cílem. U nás jsme například nedávno zaznamenali útoky na Českou televizi, resp. její streamovací platformu iVysílání, a celkem dochází na internetu k desítkám tisíc DDoS útoků každý den.
Není útok jako útok…
S hrozbou DDoS se i u nás setkalo mnoho firem, včetně velkých e-shopů. Nabízí se tedy samozřejmě otázka, jak se bránit. V době, kdy zažíváme DDoS útoky s intenzitou v Tb/s a se stovkami packetů za sekundu, se totiž nemůžeme bavit jen o možnosti odvrácení napadení zvýšením šířky pásma. Musíme použít i jiné nástroje, které ale musí být dimenzovány na stále silnější útoky. Abychom ale věděli, jak se proti DDoS obrnit, musíme je nejprve lépe poznat a uvědomit si, že existuje hned několik typů těchto útoků.
Nejčastěji se setkáváme s volumetrickými útoky, které jsou zaměřeny primárně na zahlcení internetové linky oběti. Útočník se, zpravidla pomocí amplifikace síťového provozu, snaží napadenou linku přetížit provozem, který je větší než její celková kapacita. Když pomineme extrémy, jako je výše zmíněný pokus o zahlcení Microsoft Azure, není dnes úplně snadné vyřadit volumetrickým DDoS útokem třeba e-shop nebo jiný podnik, který má svoje servery s okolním světem propojené 100Gb/s linkou, a zároveň má nasazeno bezpečnostní řešení na detekci a potlačení DDoS útoku. Naše datová centra jsou do NIXu připojena linkou s šířkou pásma 1,2 Tb/s a klientům dnes běžně poskytujeme konektivitu s propustností 400 Gb/s.
Výrazně širší „datové dálnice“ donutily kybernetické útočníky hledat jiné mechanismy napadení, které nespoléhají jen na zahlcení kapacity datového připojení. Tzv. protokolové útoky míří na uzly a zdroje obsahu v síti, které zahlcují požadavky na TCP/IP spojení. Většina DDoS útoků tohoto typu funguje podobně, a často využívá tzv. TCP SYN flood, nejjednodušší typ tohoto útoku, který se snaží přetížit výkon serveru krátkými synchronizačními pakety. V tomto případě nám při obraně nepomůže zvyšování šířky pásma (útočník si vystačí třeba „jen“ s desítkami Gb/s), ale potřebujeme síťový provoz očistit od milionů škodlivých packetů, ale zároveň propustit packety legitimního provozu. Za tímto účelem používáme řešení typu TMS (Threat Mitigation System), která dokážou odfiltrovat packety útočníků a naopak bezpečně doručit požadavky zákazníků e-shopu nebo třeba uživatelů streamovací platformy. U nás v O2 jsme se na protokolové DDoS útoky připravili nasazením výkonného řešení, schopného odvrátit útoky v řádech desítek milionů packetů za sekundu. Žádné TMS řešení ale nedokáže 100% odlišit legitimní a škodlivý provoz, takže je samozřejmě stále žádoucí, aby měl potenciální cíl útoku sám o sobě dostatečný výkon na zvládnutí požadavků, které se TMS nepodaří odfiltrovat.
Abych nezapomněl, existuje ještě třetí typ DDoS útoku, který nazýváme aplikační. Tento typ DDoS útoku probíhá nejčastěji na 7. vrstvě síťového modelu (aplikační vrstvě) a jeho účelem je zahlcení konkrétní aplikace na straně oběti. Sílu aplikačních útoků hodnotíme v požadavcích za sekundu (rps), kterými se útočníci snaží zahltit zpravidla nejslabší článek webové služby, kterým může být třeba databáze, nebo aplikace se známými, ale neošetřenými, zranitelnostmi. Obrana před aplikačními DDoS útoky není vůbec jednoduchá a vyžaduje opravdu důkladnou analýzu packetů síťového provozu pro zjištění vektoru probíhajícího útoku, stejně jako systém na detekci abnormálních stavů na aplikační vrstvě.
Poslední spálí most
Techniky a síla současných DDoS útoků prakticky nedávají šanci obětem, které se spoléhají na obranu sítě vlastními silami, prostřednictvím běžných firewallů nebo bezpečnostních řešeních nasazených na standardních počítačích a serverech. Mnohem účinnější jsou extrémně výkonná řešení typu TMS, nasazená v infrastruktuře poskytovatele internetového připojení, která zvládnou síťový provoz očistit i v případě masivních útoků. Poskytovatel připojení by navíc měl být připraven i na i extrémy, jako je DDoS útok na jednu z velkých evropských bank, ke kterému došlo v polovině roku 2020. Zde se poskytovatel síťových služeb Akamai se musel vypořádat s protokolovým útokem o síle 809 milionů packetů za sekundu – zatím největším zaznamenaným útokem tohoto typu. Při takto masivních útocích je nutné počítat nejen s maximálním nasazením TMS, ale i s kombinací dalších metod obrany.
Úkolem poskytovatele připojení je být na DDoS útoky připraven nejen technologicky, ale také znalostmi a zkušenostmi. A to platí i pro situace, kdy je útok tak masivní, že už nestačí filtrovat packety a je nutné začít postupně odpojovat datová připojení (např. do zahraničí), což ovšem může postihnout nejen útočníky, ale i zákazníky napadené firmy. Obránci ale musí umět poznat přesný okamžik, kdy je poslední šance spálit most a stáhnout se do bezpečí věže.
Jak v O2 bojujeme s DDoS útoky na naše zákazníky?
Pro O2 je zajištění chodu aplikací a služeb našich zákazníků naprostou prioritou, a proto jsme nasadili TMS řešení schopné filtrovat packety v řádu desítek milionů za sekundu.
Náš O2 AntiDDoS, využívající nejmodernější TMS řešení, poskytuje ochranu před DDoS útoky firemním zákazníkům všech velikostí, pro které je provoz jejich internetových služeb za všech okolností kriticky důležitý.
Služba O2 AntiDDoS je dostupná ve třech variantách (Basic, Standard a Advanced), podle úrovně ochrany, kterou zákazník pro své webové aplikace požaduje. Nejvyšší varianta Advanced je schopná detekovat i velmi malé útoky, které mohou být předzvěstí zásadnějšího ohrožení, a v případě zjištění útoku začít s jeho potlačením prakticky v reálném čase.
Tomáš Křešťák, ředitel pro fixní produkty a inovace
25 let v oblasti telekomunikací a IT a během nich mnoho různorodých funkcí a pozic. Od projektanta sítí přes obchodní role až po předsedu představenstva. To je ve zkratce profesní život Tomáše Křešťáka. Aktuálně už devátým rokem působí v O2, kde, jak sám říká, přináší i do technologických částí byznysový pohled. A to jako ředitel pro fixní a ICT produkty a inovace. Volný čas věnuje motorkám, sportu, ale i mentoringu kolegů, který vnímá jako možnost vrátit společnosti to, co sám kdysi načerpal od svých zkušenějších kolegů.
