Anti-DDoS ochrana aneb Proč jen firewall nestačí

Anti-DDoS ochranaNepodceňujte DDoS útoky.
Investujte do ochrany

Nebezpečí přicházející po síti se stále mění a diverzifikuje a chránit se jen firewallem už dnes dávno nestačí. Zvlášť nebezpečné DDoS útoky, které mohou během okamžiku vyřadit z provozu všechny servery na dlouhé hodiny, vyžadují specializovanou ochranu.

DDoS útoky není radno podceňovat

DDoS útoky mají za cíl přehltit server obrovským množstvím požadavků a vyřadit ho z provozu. To může vést ke ztrátě výdělku, poškození reputace firmy a odchodu zákazníků ke konkurenci. Podle Bulletproof's Annual Cybersecurity Report může menší firmy útok stát až 120 tisíc dolarů (cca 2,7 mil. Kč), velké společnosti někdy zaplatí dokonce až 2 miliony dolarů (cca 44,9 mil. Kč).

Říkáte si – jsme jen malá firma, proč by na nás někdo útočil? Raději neriskujte – útok si totiž může za pár tisíc objednat třeba váš konkurent v předvánoční špičce, aby vám přetáhl klientelu. Na černém trhu stojí hodina asistovaného DDoS útoku zhruba jen 1000-1800 Kč. (Více o tom, jak připravit váš e-shop na Vánoce si můžete přečíst v našem předchozím článku).

Pokud chcete být před DDoS útoky v bezpečí, investujte do anti-DDoS opatření. Proč na ochranu před nimi nestačí základní bezpečnostní opatření - firewall? Zjednodušeně řečeno – nebyl na to navržený. Firewall se zaměřuje na prevenci nepovoleného vniknutí jedné entity v jednu chvíli a ne na prevenci legitimních požadavků poslaných milionkrát v jednu chvíli.

Pojďme si nejprve více přiblížit podstatu DDoS útoků a fungování firewallu.

Cílem DDoS útoku je zahlcení serveru

DDoS útoky (neboli distributed denial-of-service ) mají za cíl zahltit server (službu nebo síť) enormním množstvím zaslaných požadavků a přerušit tak jeho provoz. Strůjci DDoS útoků ke svým činům většinou zneužívají rozsáhlé sítě nakažených počítačů, které požadavky provádí (tzv. botnety). Zasílané požadavky jsou často legitimní, a je proto velmi těžké je oddělit od normálního toku dat.

Útok si jednoduše můžete představit jako dálnici, na kterou najednou začne vjíždět obrovské množství dalších vozidel. Tok aut houstne, řidiči nemohou v cestě pokračovat, dálnice nápor nezvládá a nakonec doprava kolabuje.

Ilustrace DDoS útoku
DDoS útok si můžete představit jako ucpávající se dálnici. Zdroj: Cloudflare

Pokud se chcete o DDoS útocích dozvědět více, přečtete si náš předchozí článek DDoS útoky přibývají a sílí. Firmy to stojí i miliony dolarů. Přiblíží vám aktuální trendy v oblasti DDoS útoků, motivace hackerů i následky pro zasažené firmy.

Chcete být před DDoS útoky v bezpečí?

V Master Internet vám nabízíme specializovanou anti-DDoS ochranu, která odrazí útoky o síle až 20 Gbps. Zařízení Radware DefensePro útoky odfiltruje v reálném čase a vy si jich ani nevšimnete.

Chci anti-DDoS od 120 Kč

Firewall je na DDoS krátký

Firewall naopak chrání síť před jednotlivými pokusy škodlivých dat o proniknutí do sítě. V praxi se jedná o zařízení či software oddělující provoz mezi dvěma sítěmi, který propouští data podle určitých předem definovaných pravidel. Firewall v podstatě zastává roli síťového policisty - umožňuje legitimním paketům (data sdružená v bloku) pokračovat bez omezení a špatné pakety blokuje, aby nezískaly přístup k vaší síti.

Proč ale samotný firewall k ochraně před DDoS útoky nestačí?

1. DDoS útok firewall snadno přehltí

Firewall je stavové zařízení - to znamená, že ukládá stav každého spojení - a má jen omezenou kapacitu stavových tabulek. Zároveň má nízký PPS výkon (tj. počet zpracovaných paketů za sekundu). Při DDoS útoku proto dojde k přetečení stavových tabulek a útoky pomocí malých paketů s vysokým PPS způsobí přetížení CPU na serveru, který musí pakety zpracovávat. To firewall zahltí a ten nedovede server dále chránit.

2. DDoS útok může vypadat jako legitimní tok dat

Pravidla umožňují firewallům zabraňovat škodlivým tokům dat. DDoS útoky ale mohou vypadat jako legitimní tok dat a firewall je nezastaví– např. SYN flood útoky. Ochrana před DDoS útoky vyžaduje hloubkovou inspekci paketů společně s protiopatřeními zabraňujícími útoku.

3. DDoS útok může probíhat skrze otevřené porty

Firewall může být nastavený tak, aby blokoval nežádoucí porty, jiné však nechal otevřené – např. port 80 (HTTP/ web), 25 (STMP/ mail), 443 (SSL/ web) apod. DDoS útoky však mohou probíhat i právě na těchto otevřených portech a firewall je tak nedokáže zastavit.

4. DDoS může mířit na cíle mimo působnost firewallu

Firewall dovede chránit interní cíle, ale webové stránky na obvodu sítě nebo aplikace, které mohou být sdíleny s třetími stranami, ochránit nemusí. Podobně DNS služby nemohou být firewallem chráněny.

5. Firewall cílem útoku

Firewall sám se navíc může stát cílem DDoS útoku – stává se tomu tak v případě protokolových DDoS útoků. Jejich cílem je zahltit firewall natolik, aby nebyl schopný propouštět ani legitimní data.

Typy DDoS útoků

Hackeři vymýšlejí stále nové způsoby, jak znemožnit provoz serveru. Obecně dnes můžeme DDoS útoky rozdělit do několika kategorií:

Volume Based Attacks

Nejčastější typ DDoS útoků. Zahrnují UDP floods útoky, ICMP floods a další spoof-packet floods. Cílem takových útoků je konzumovat veškerou dostupnou šířku přenosového pásma mezi cílem a vnějším internetem.

Protocol Attacks

Zahrnují SYN floods, fragmented packet attacks, Ping of Death, SMurf DDoS a mnohé další. Cílem tohoto typu útoku je narušení služby spotřebováním veškeré dostupné kapacity stavových tabulek serverů nebo zprostředkujících zdrojů jakými jsou např. firewall a load balancer.

Application Layer Attacks

Zahrnuje GET/POST floods, útoky cílící na Apache, Windows a podobně. Takové útoky sestávají ze zdánlivě legitimních a nevinných požadavků a jejich cílem je zhroucení serveru. Tyto útoky je nejtěžší odrazit.

Jak se tedy proti DDoS útokům účinně bránit?

V zásadě existují jen dva přístupy, jak se lze s DDoS útoky vypořádat. Buď můžeme při podezření na útok zastavit tok veškerých dat či dat např. jen ze zahraničí (ale tím zamezíme i přístupu legitimních požadavků), nebo odlišíme škodlivá data, která mají za cíl server zahltit, a odfiltrujeme je tak, aby legitimní požadavky mohly dále pronikat do sítě. Právě to je cílem anti-DDoS ochrany.

Vzhledem k velkému množství různých druhů útoků, které se navíc dále vyvíjí a mění, se i konkrétní ochranná opatření jednotlivých výrobců liší. Postupy jsou značně komplikované, pro ilustraci uveďme některé z těch základních, na kterých je DDoS ochrana založena:

  • Systémy ochrany sledují množství toku dat do sítě a porovnávají ho s historickým průměrem toku dat.
  • Systémy měří i objem toku dat ze zdrojové IP adresy. Některé z nich porovnávají příchozí/odchozí tok dat u zdrojové IP adresy a pokud je zde velká převaha odchozího toku dat, IP adresa se zdá podezřelou.
  • Systémy sledují typy paketů – např. kontrolují, zdali jsou v porovnání s minulými zkušenostmi použité neobvyklé protokoly (ICMP nebo UDP).
  • Systémy využívají různých algoritmů, které určují, zda bude tok dat zablokován. Od jednodušších ve stylu „pokud je úroveň SYN paketů z jedné adresy větší než X, tak dojde k zablokování adresy“ až po ty opravdu sofistikované.
  •  Atd.

Dnešní DDoS útoky jsou ale natolik sofistikované a komplikované, že i samotná anti-DDoS ochrana se stala velmi komplexní. Hackeři s oblibou využívají tzv. multivektorové útoky. Takový útok cílí na více protokolových vrstev najednou, příkladem může být DNS amplifikace zároveň s HTTP flood. Čím komplexnější je útok, tím složitější je oddělit nežádoucí tok dat od běžného toku. Proto je nutné využívat kvalitní vícevrstvou ochranu.

Kde anti-DDoS ochranu získat?

Ochranu před DDoS útoky ve formě softwaru i hardwaru nabízí celá řada společností. Liší se především tím, jaké typy útoků a s jak velkou intenzitou dokážou odrazit. Ta nejúčinnější – hardwarová – řešení jsou velmi nákladná a velká část firem si je nemůže dovolit pořídit. Naštěstí kvalitní ochranu dnes poskytují někteří hostingoví poskytovatelé.

I my v Master Internet nabízíme zákazníkům možnost se před DDoS útoky účinně chránit. V datacentru máme hardwarové zařízení Radware DefensePro, které odfiltruje nežádoucí provoz, aniž by uživatelé zaznamenali jakékoli narušení. Chrání před útoky o síle až 20 Gbps a odráží aplikační i síťové útoky. Díky patentované behaviorální analýze umožňuje ochranu i před sofistikovanými útoky, které jiné IPS/IDS systémy nedetekují. 

Nabízíme dvě varianty ochrany:

  • Ochrana před DDoS útoky + Intrusion Prevention System (IPS) dostupná ke službám s volitelnou konektivitou v konfigurátoru za cenu 120 Kč/ měsíc.
  • Individuálně navrhujeme také aplikační ochranu před HTTP a DNS flood.

Chci anti-DDoS ochranu

Správné místo pro vaše data

NAŠE DATACENTRA NALEZNETE V PRAZE I V BRNĚ