Υπήρξε μια εποχή όπου ο κίνδυνος που διέτρεχε ένας οργανισμός από μια επίθεση DDoS περιοριζόταν απλώς στο να “πλημμυρίσει το δίκτυο του” από υπερβολική κίνηση δεδομένων. Οι επιθέσεις αυτές, γνωστές ως “ογκομετρικές” επιθέσεις μεγάλου εύρους (high-bandwidth “volumetric”), είχαν τη δυνατότητα να θέσουν ένα σύστημα offline, στέλνοντας έναν πολύ μεγάλο όγκο πακέτων προς τον αντίστοιχο Web server. Οι πάροχοι διαδικτυακών υπηρεσιών (ISPs) σε μια προσπάθεια αντιμετώπισης αυτών των επιθέσεων DDoS παρουσίασαν in-cloud υπηρεσίες προστασίας υπό τη μορφή managed services.
Για σχεδόν μια δεκαετία, οι υπηρεσίες in-cloud προστασίας προσέφεραν μια αποτελεσματική στρατηγική για την προστασία ενός οργανισμού από επιθέσεις DDoS.
Όλα αυτά άλλαξαν το 2010, όπου παρατηρήθηκε μια δραματική αύξηση των επιθέσεων DDoS, η οποία οφείλονταν στη χρήση πιο εξελιγμένων εργαλείων προσβολής που στοχεύουν σε συγκεκριμένες αδυναμίες των συστημάτων και δικτυακών υποδομών. Σήμερα, ο πιο δημοφιλής στόχος των επιθέσεων εντοπίζεται στο επίπεδο των εφαρμογών, και ειδικότερα σε εκείνο των Web services. Γενικά, οι επιθέσεις αυτού του τύπου (“application-layer attacks”) καταναλώνουν μικρότερο εύρος ζώνης και είναι από τη φύση τους περισσότερο δυσδιάκριτες από τις αντίστοιχες ογκομετρικές, γεγονός που καθιστά τον εντοπισμό τους πολύ πιο δύσκολο. Εκτός απ’ αυτό, επιθέσεις τέτοιου τύπου μπορεί να έχουν καταστροφικές επιπτώσεις στην επιχειρηματική δραστηριότητα ενός οργανισμού, καθώς απειλούν κρίσιμες εφαρμογές και υπηρεσίες που βασίζονται σε πρωτόκολλα HTTP, DNS, VoIP και SMTP.
Οι cloud-based υπηρεσίες ασφάλειας που παρέχονται σήμερα υπό τη μορφή managed services είναι αποτελεσματικές, κυρίως, σε περιπτώσεις που επιδιώκεται προστασία από ογκομετρικές επιθέσεις DDoS. Για την ανίχνευση και την αποτροπή επιθέσεων που γίνονται σε επίπεδο εφαρμογών, απαιτούνται λύσεις ασφάλειας οι οποίες εγκαθίστανται και υλοποιούνται στην εξωτερική περίμετρο των δικτυακών υποδομών ενός οργανισμού (on-premise). Το ερώτημα, βέβαια, είναι το ποια “on-premise” λύση είναι η πιο κατάλληλη για κάθε οργανισμό.
.
Δυστυχώς, πολλοί οργανισμοί βασίζουν την περιμετρική προστασία του δικτύου τους σε προϊόντα όπως firewalls και IPS, με ανεπιτυχή αποτελέσματα. Αυτό συμβαίνει επειδή οι συσκευές αυτές «επιτρέπουν» την διέλευση σε συγκεκριμένα πρωτόκολλα (όπως, για παράδειγμα HTTP και DNS), τα οποία οι hackers χρησιμοποιούν προκειμένου να πραγματοποιήσουν «έξυπνες» επιθέσεις στο επίπεδο της εφαρμογής (application layer attacks) και να υλοποιήσουν μια επίθεση DDoS παρακάμπτοντας εύκολα την πρώτη – και συχνά μοναδική – γραμμή άμυνας του οργανισμού. Επιπλέον, τα προϊόντα firewalls και IPS γίνονται πολλές φορές τα ίδια στόχος επιθέσεων DDoS, καθώς οι hackers προσπαθούν να εκμεταλλευτούν τις αδυναμίες που παρουσιάζει η αρχιτεκτονική τους και να εξαντλήσουν τους διαθέσιμους πόρους τους.
Στις ενότητες που ακολουθούν εξετάζουμε το πώς εξελίχθηκαν οι επιθέσεις DDoS στο χρόνο, και περιγράφουμε πώς είναι δυνατή η αποτροπή application-layer attacks πριν προκαλέσουν επιπτώσεις σε επίπεδο διαθεσιμότητας δικτύων και υπηρεσιών.
Η εξέλιξη των επιθέσεων DDoS: Από τις «ογκομετρικές» επιθέσεις (Flooding attacks) στις «έξυπνες» επιθέσεις στο επίπεδο των εφαρμογών (Application-Layer attacks)
Η εξέλιξη των επιθέσεων DDoS ήταν ταχύτατη. Μέχρι πριν λίγα χρόνια, οι περισσότερες επιθέσεις DDoS είχαν σαν στόχο την αποστολή εξαιρετικά μεγάλου όγκου αιτημάτων εξυπηρέτησης προς κάποιο σύστημα ή δικτυακό κόμβο, ώστε να εξαντλήσουν τους διαθέσιμους πόρους του. Τέτοιες (“ογκομετρικές – volumetric”) επιθέσεις ξεκινούν συνήθως από διαφορετικά γεωγραφικά σημεία, χρησιμοποιώντας συνδέσεις υψηλής ταχύτητας και παγιδευμένους υπολογιστές-ζόμπι (bots) ή μεμονωμένα PC οργανωμένα σε δίκτυα-ζόμπι (botnets) μεγάλης κλίμακας. Στα παραδείγματα περιλαμβάνονται επιθέσεις DDoS εναντίον Βρετανικών ιστοσελίδων διαδικτυακού στοιχήματος, όπου οι επιτιθέμενοι προχώρησαν στον εκβιασμό των εταιρειών στοιχημάτων, αλλά και επιθέσεις DDoS εναντίον της Γεωργιανής κυβέρνησης για πολιτικούς λόγους.
Καθώς το μέγεθός τους συνεχίζει να αυξάνεται χρόνο με το χρόνο, οι ογκομετρικές επιθέσεις DDoS παραμένουν μια μεγάλη απειλή, τόσο για τις επιχειρήσεις, όσο και για τους ISPs.
Εκτός από τις ογκομετρικές επιθέσεις, οι επιχειρήσεις βρίσκονται πλέον αντιμέτωπες και με μία νέα γενιά επιθέσεων DDoS οι οποίες απειλούν την συνέχιση της επιχειρηματικής τους δραστηριότητας. Φανταστείτε ένα σενάριο, όπου δύο ημέρες πριν τα Χριστούγεννα, οι πελάτες που θέλουν να αγοράσουν κάτι την τελευταία στιγμή να μην μπορούν να έχουν πρόσβαση σε κάποια από τα πιο δημοφιλή ηλεκτρονικά καταστήματα. Αυτό ακριβώς συνέβη πριν μερικά χρόνια, με μια επίθεση DDoS σε βάρος της εταιρείας Ultra DNS, κορυφαίου παρόχου υπηρεσιών DNS, εξαιτίας της οποίας πολλά μεγάλα online καταστήματα τέθηκαν εκτός λειτουργίας στο απόγειο των χριστουγεννιάτικων αγορών.
Το συγκεκριμένο περιστατικό αποκάλυψε τις ενδεχόμενες επιπτώσεις μιας επίθεσης DDoS στο ηλεκτρονικό εμπόριο. Ακόμη πιο σημαντικό είναι το γεγονός ότι έφερε στο φως ένα νέο, πολύ πιο εξελιγμένο, σύνθετο κι επικίνδυνο τύπο επίθεσης, τις επιθέσεις στο επίπεδο των εφαρμογών (application-layer attacks). Οι επιθέσεις αυτού του τύπου στοχεύουν κατευθείαν στην περίμετρο ενός εταιρικού δικτύου ή ενός κέντρου μηχανογράφησης (data center), θέτοντας σε κίνδυνο τη διαθεσιμότητα δραστηριοτήτων και υπηρεσιών που παρέχονται μέσω του διαδικτύου.
Αυτού του τύπου οι επιθέσεις χρησιμοποιούν μικρότερο εύρος ζώνης από τις ογκομετρικές, γεγονός που καθιστά την ανίχνευσή τους πιο δύσκολη. Επίσης, οι επιθέσεις στο επίπεδο των εφαρμογών (application-layer attacks) είναι από τη φύση τους πολύ συγκεκριμένες. Έχουν στόχο τη λειτουργία των υποδομών προστασίας ενός δικτύου, όπως για παράδειγμα συστήματα firewall και IPS, και μπορούν να χρησιμοποιηθούν προκειμένου να διακόψουν τη λειτουργία ενός web site ή μιας υπηρεσίας που βασίζεται στο Web, όπως Email, Online banking και E-commerce.
Βασικός στόχος των μηχανισμών προστασίας ενός εταιρικού δικτύου θα πρέπει να είναι η διαφύλαξη της διαθεσιμότητας συστημάτων κι εφαρμογών, ειδικά σε περιπτώσεις που η δραστηριότητα της επιχείρησης στηρίζεται σε κρίσιμες υπηρεσίες κι εφαρμογές, όπως οι χρηματοοικονομικές ηλεκτρονικές συναλλαγές, η διαχείριση της εφοδιαστικής αλυσίδας, οι υπηρεσίες VoIP, E-commerce, E-mail κ.α. Αν οι υπηρεσίες-κλειδιά δε μπορούν να λειτουργήσουν, ολόκληρη η επιχείρηση οδηγείται σε διακοπή των δραστηριοτήτων της. Οι hackers που είναι υπεύθυνοι για επιθέσεις DDoS είναι εξοπλισμένοι με νέα καινοτόμα εργαλεία και στοχεύουν τα κέντρα μηχανογράφησης (data center) οργανισμών και επιχειρήσεων με σκοπό να διακόψουν την επιχειρηματική δραστηριότητα.
2004–2009
Τα Botnets δίνουν τη δυνατότητα “ογκομετρικών” επιθέσεων με στόχο την εξάντληση του εύρους ζώνης ενός δικτύου ή ενός κόμβου (routers, DNS, name server). Η προστασία “in-cloud” από επιθέσεις DDoS γίνεται πλέον απολύτως απαραίτητη.
2010 και μετά
Μετά το 2010 οι επιθέσεις DDoS εξελίσσονται σημαντικά. Νέοι τύποι επιθέσεων DDoS (application layer attacks) στοχεύουν με προηγμένα εργαλεία στη διακοπή της διαθεσιμότητας εταιρικών δικτύων, Internet Data Centers καθώς επίσης και διαδικτυακών υπηρεσιών. Αυτές οι αργές και μικρής έντασης επιθέσεις (low-and-slow) εξαντλούν τους διαθέσιμους πόρους της “υποδομής–στόχου” και προκαλούν υπερφόρτωση των servers. Τα κίνητρα τέτοιων επιθέσεων DDoS έχουν αλλάξει και αυτά. Κι ενώ το κατέβασμα ενός site είναι βασικό συστατικό σε πολλές επιθέσεις, οι επιθέσεις DDoS αποτελούν τμήμα μιας στοχευμένης και πολυδιάστατης απειλής που έχει στόχο τη δημιουργία χάους στη λειτουργία του οργανισμού. Το να σταματήσουμε τις επιθέσεις και να διασφαλίσουμε τη διαθεσιμότητα των συστημάτων μας αποτελεί ζήτημα επιτακτικής ανάγκης. Οι μηχανισμοί τοπικής (On-premise) προστασίας έναντι των επιθέσεων DDoS είναι πλέον απαραίτητοι.
Οι αλλαγές από το σημείο αυτό και μετά γίνονται track.
Η αναζήτηση της κατάλληλης λύσης
Καθώς τα εργαλεία που χρησιμοποιούνται στις επιθέσεις DDoS γίνονται πιο εξελιγμένα και πιο εύχρηστα, οι hackers βάζουν πλέον στο στόχαστρο συγκεκριμένες εφαρμογές, οδηγώντας στη διακοπή κρίσιμων υπηρεσιών για τη λειτουργία ενός οργανισμού. Οι επιθέσεις αυτές είναι απρόβλεπτες και η αντιμετώπισή τους τη στιγμή που θα εκδηλωθούν, πραγματοποιείται κάτω από εξαιρετική πίεση για την αποκατάσταση της κανονικής λειτουργίας. Η έλλειψη εργαλείων από την πλευρά των οργανισμών για την αντιμετώπιση τέτοιων επιθέσεων, είναι ένας σημαντικός παράγοντας που καθυστερεί την αποκατάσταση της διαθεσιμότητας των υπηρεσιών του οργανισμού.
Ivan Staniero, Territory Manager, Italy & SE Europe at Arbor Networks