Considerente în privinţa atacurilor DDoS

Posted on: 17/11/2016   By:Veracomp

[vc_row][vc_column][vc_single_image image=”3134″ img_size=”full” alignment=”center”][vc_column_text]Cercetătorii de la NexusGuard au estimat că în al doilea trimestru al 2016 a avut loc o creștere a atacurilor DDoS cu 83%, în comparaţie cu primul trimestru.

attacks-by-method-q2-2016
Image Source: NexusGuard

Ca și vectori de propagare a atacurilor, protocolul NTP era creditat că având cea mai mare pondere (47% din total), urmat îndeaproape de DNS (prin atacurile de tip DNS reflection).
Un atac de tip DNS flood este reprezentat printr-o multitudine de pachete UDP, avînd ca ţintă unul sau mai multe servere DNS resolver. Aceste atacuri sunt simetrice și au ca și scop încărcarea resurselor serverelor DNS (memorie, procesor, conexiuni). Atacatorul trimite cereri malformate pentru rezolvarea unui nume în adresă IP, multiplicand acest mecanism de milioane de ori, serverele DNS ţintă vor deveni incapabile să răspundă cererilor legitime prin
degradarea serviciului.
Din nefericire, statistica arată că atacurile au crescut nu doar în intensitate cît și ca volum.
Dacă în 21 septembrie experţii în securitate se arătau consternaţi în faţa amplitudinii atacului asupre site-ului krebsonsecurity.com (multiple atacuri
culminînd cu vîrful de 620 Gbps), 4 zile mai tîrziu compania franceză de hosting OVH era victima unui atac ce depășea 1,1 Tbps! (estimarea
capacităţii de atac arata că banda folosită de device-urile IoT implicate în atac putea fi apropiată de 1,5 Tbps).aws
O lună mai tîrziu, pe 21 octombrie, atacul masiv asupra infrastructurii DNS a provider-ului de «managed DNS services», DYN, făcea inutilizabile serviciile oferite de giganţi precum Tweeter, Paypal, Amazon, AirBnB, Spotify, Tweeter și Netflix.

Ce stă însă la baza acestor atacuri?

Atacurile DDoS nu reprezintă o noutate, chiar dacă abia în ultimii ani au început să capete notorietate. Primele tentative au apărut la sfârșitul anilor ’80 și au căpătat amploare în decada următoare, pentru ca de la începutul anilor 2000 să se diversifice și să devină din ce în ce mai complexe.

Fig.1 – Distribution of network and application layer DDoS attacks

Creșterea frecvenţei acestui tip de ameninţări a avut ca rezultat dezvolta rea de soluţii de securitate complexe, dedicate acestor tipuri de atac. De exemplu, compania F5 Networks oferă soluţii eficiente pentru protecţia infrastructurii DNS, protecţie împotriva atacurilor volumetrice DoS/DDoS (L3-4), cît și protecţie împotriva atacurilor la nivel de aplicaţie (L7).
Taxonomic vorbind, toate atacurile menţionate mai sus se încadrează în categoria DDoS, avînd ca și vector de atac protocolul UDP folosit de serviciul DNS.
Toate aceste atacuri concertate au folosit vulnerabilităţi ale device-urilor tip IoT (camere IP, DVRs, routere SOHO), iar dacă în cazul atacurilor asupra krebsonsecurity.com și OVH numărul acestora se apropia de 150.000, atacul asupra DYN a fost condus de pe milioane de asemenea dispozitive.

Tipuri de atac DDoS

dns-flood
dns-amplification-attack

sergiu-banyai
Autor: Sergiu Banyai, Business Development Manager, Veracomp Europe Experienţa: 24 de ani în proiectarea de soluţii complexe în domeniul IT / Cybersecurity pentru companii mari şi telco.

Din nefericire, pentru mulţi specialiști în networking și/sau security, protejarea serviciilor DNS a fost rareori o preocupare esenţială, deși DNS reprezintă o componentă extrem de importantă a infrastructurii de reţea.
În multe cazuri, chiar și măsurile de protecţie a aplicaţiilor web prin care tranzitează date cu caracter personal ale utilizatorilor, sau aplicaţiile cu caracter financiar sînt superficiale.
Atacurile recente au proiectat o nouă lumină atât asupra necesităţii regândirii modurilor în care infrastructura trebuie protejată, cît și a meto delor sau echipamentelor ce trebuie folosite, iar discuţiile asupra standardizării securităţii device-urilor IoT și a riscurilor
introduse de folosirea lor pe scară largă vor fi din ce în ce mai aprinse.
În mod cert DoS/DDoS reprezintă o problemă ce va rămîne în actualitate multă vreme, dar înţelegerea mecanismelor ce stau la baza acestor atacuri ne poate ajuta să fim mai bine pregătiţi.
Mai mult, cel mai probabil atacurile direcţionate către aplicaţii vor deveni la fel de puternice, deja puterea acestora a ajuns la nivelul 100 Gbps pentru L7 POST, iar companiile vor trebui să le cumuleze cu cele la nivel de reţea menţionate mai sus.
O arhitectură de reţea proiectată pentru redundanţă și rezilienţă va trebui să combine soluţiile de protecţie onpremise cu cele de cloud DDoS scrubbing pentru a se proteja eficient împotriva atacurilor volumetrice asupra reţelei și aplicaţiilor.

Surse

[/vc_column_text][/vc_column][/vc_row]