DDoS útoky a jejich amplifikace: Jak fungují a na co si dát pozor?

Podle reportu společnosti Radware, který vychází z dat jejích zákazníků, vzrostl počet DDoS útoků za první tři čtvrtletí letošního roku meziročně o 44 %. Ve třetím kvartále zaznamenal Radware rovněž nárůst oproti třetímu kvartálu roku 2020, a to o 20 %. Naopak klesla průměrná síla útoku, stejně jako síla největšího útoku – 228 Gbps, což je zhruba o třetinu méně než útok o síle 348 Gbps z druhého čtvrtletí.

Nutno však zdůraznit, že 3. čtvrtletí bývá z pohledu DDoS útoků pravidelně nejmírnější, protože v letních měsících je online aktivita lidí i firem oproti zbytku roku utlumena. Rovněž se jedná pouze o data společnosti Radware, není v nich proto zahrnutý třeba druhý největší DDoS útok v historii, který mířil na cloudovou platformu Microsoft Azure v srpnu 2021 s ohromující sílou 2,4 Tbps.

Vůbec největší útok zaznamenal Google, když v roce 2017 čelil nežádoucímu provozu o objemu 2,54 Tbps. Pomyslné třetí místo patří Amazon Web Services (AWS), který se musel v únoru 2020 vypořád s DDoS útokem o síle 2,3 Tbps.

Jedná se však o extrémní případy. Pro přetížení běžného serveru stačí mnohem menší datový tok, obvykle o síle jednotek či desítek Gbps. K vytvoření objemného provozu velmi dobře slouží například kombinace botnetů a reflektovaného zesilujícího (amplifikovaného) útoku. Jejich princip si proto podrobněji rozebereme.

Botneti jako základ škodlivého provozu

Podstatou DDoS útoku je zahlcení serveru požadavky. Hackeři pro tyto účely často využívají botnety, což je síť napadených koncových zařízení, která lze centrálně ovládat. Čím robustnější takový botnet je, tím je snazší poslat na server dostatečné množství požadavků, aby došlo k jeho výpadku. Kromě DDoS útoků se botnet využívá i pro rozesílání spamu či k dalším škodlivým praktikám.

Jedním z nejznámějších botnetů je Mirai botnet zaměřující se na IoT zařízení. V roce 2016 byl přes něj proveden DDoS útok proti společnosti Dyn (poskytovatel DNS). Bylo při něm zneužito kolem stovky tisíc IoT zařízení a dosahoval síly téměř 1 Tbps. Tento incident narušil mimo jiné provoz Twitteru, GitHubu či Spotify.

Na ochranu proti infikování koncového zařízení a jeho zařazení do botnetu je nutné dodržovat základní bezpečnostní poučky: používat silná strojově generovaná hesla do všech svých účtů, mít kvalitní antivirovou ochranu a pravidelně aktualizovat operační systém a další software.

Reflexe a amplifikace

Oblíbenou taktikou pro objemné DDoS útoky je kombinace reflexe a amplifikace. Reflektované útoky jsou založené na možnosti podvržení zdrojových IP paketů. Útočník tak zatají svou identitu a skrývá se za IP oběti. Tím se otevře cesta pro zasílání zahlcujících požadavků. Reflektované/amplifikační útoky nejčastěji využívají protokol UDP (transportní vrstva), který podvržení IP adres umožňuje.

Mechanismus amplifikace pak využívá zranitelností v různých internetových protokolech (velmi často v aplikačních vrstvách), aby došlo k zesílení útoku, respektive aby jedním požadavkem bylo vyvoláno co nejvíce odpovědí. Díky tomu stačí na přehlcení serveru mnohem méně zdrojů.

Poměru mezi objemem požadavků a objemem odezvy se říká zesilující faktor. U jednotlivých protokolů je zesilující faktor různý, například pro NTP (Network Time Protokol) je faktor zesílení až 557 krát, pro DNS (Domain Name System) 28 až 51 krát, CLDAP (Connection-less Lightweight Directory Access Protocol) 56 až 70 krát a pro SSDP (Simple Service Discovery Protocol) přibližně 31 krát.

Jaké zranitelnosti protokoly obsahují?

Podle reportu společnosti Radware se pro zesilující DDoS útoky ve 3. čtvrtletí 2021 nejhojněji využívalo protokolů NTP, SSDP, CLDP a DNS. To je rozdíl oproti roku 2020, kdy statistice amplifikačních útoků vévodil ARMS (Apple Remote Managment Service) a protokol SSDP.

Vůbec nejčastěji hrál při amplifikačních útocích roli NTP protokol (dle reprotu od Radware v 32,4 % případů). Hlavní funkcí tohoto protokolu je synchronizace hodin přes internetovou síť, tedy zajištění jednotného zobrazení času na všech zařízeních v síti.

K jeho zneužití pro účely DDoS útoků se používá monitorovací funkce. Ta je u starších verzí protokolu ve výchozí konfiguraci aktivována a umožňuje dotázat se NTP serveru na posledních 600 hostitelů (monlist), kteří se k serveru připojili. S podvrženou IP adresou tak stačí opakovaně zasílat na server jednoduchý požadavek „get monlist” a donutit server odesílat stonásobky odpovědí. Právě proto je faktor zesílení u NTP protokolu tak vysoký.

Skoro stejně často jako NTP byl pro účely DDoS útoků zneužit i protokol SSDP (v 32,2 % případů), jenž slouží k propojování zařízení v síti a je součástí architektury UPnP (Universal Plug and Play). Využívá se například při komunikaci počítače s tiskárnami, chytrými telefony, reproduktory apod. Přes protokol si zařízení mezi sebou vyměňují informace, například o své existenci a funkcích.

Kamenem úrazu je zneužitelnost otevřeně dostupného příkazu „search”, který když zařízení obdrží, odpoví výčtem všech svých funkcionalit a možností. Stačí tak s podvrženou IP adresou posílat požadavky zařízením, přičemž server oběti bude přijímat odpovědi v podobě těchto výčtů, jež objemem výrazně přesahují velikost požadavků. Tím se útok amplifikuje.

Protokol CLDAP od společnosti Microsoft je alternativou k LDAPLDAPLDAP (Lightweight Directory Access Protocol) je protokol, který slouží k práci s daty na adresářovém serveru.více. Slouží pro zprostředkování přístupu ke sdíleným internetovým adresářům. Je-li CLDAP špatně nakonfigurován, může útočník, podobně jako v předchozích případech, z podvržené IP adresy zahltit server požadavky na informace z adresářů.

Velmi podobně funguje i zneužití memcashed serverů, které mají pomoci od zatížení ukládáním často používaných dat do dynamické paměti. Špatným nastavením lze docílit faktoru zesílení až na 51.200 krát. Díky tomu stačí i velmi malé zdroje pro skutečně masivní útok. Právě špatná konfigurace memcashed byla důvodem pro úspěšně zrealizovaný DDoS útok na GitHub o síle 1,35 Gbps v únoru 2018.

Jak DDoS útokům předcházet?

Počet zneužitelných zařízení v internetu stále roste a s postupným nástupem IoT jich bude přibývat ještě větším tempem. To dává spousty nových příležitostí, aby hackeři tato zařízení infikovali a zařadili do svých botnetů. Moderní technologie a protokoly zase přinášejí nové zranitelnosti. Nezbývá než se DDoS útokům postavit.

S omezenými prostředky nelze nikdy zaručit, že se ubráníte i těm největším útokům, přesto existuje několik základních kroků, jak snížit hrozbu reflektovaných/amplifikovaných útoků a odfiltrovat nežádoucí provoz:

1. Minimalizujte používání transportního protokolu UDP, který útočníkům usnadňuje podvrhování IP adres. V UDP protokolu totiž není zakomponován ověřovací mechanismus (tzv. three way handshake) a end-to-end připojení. Ačkoliv oproti první polovině roku klesl podíl útoků spojených se zranitelností UDP, stále se z 88,4 % jedná o nejčastější typy útoků (zejména UDP fragmentation a UDP flood). Pokud UDP protokol přeci jen používáte, uvádějte tuto informaci u čísla portu.
2. Konfigurujte správně a s maximální přesností. Ať už se jedná o nejrůznější internetové protokoly či technologie, vždy se snažte mít aktivované jen ty funkce, které skutečně potřebujete, eliminujete tak riziko, že by některá z nich mohla být zneužita pro zesilující útok.
3. Používejte bezpečná hesla a aktualizujte svůj operační systém i další software. To sice k obraně vůči DDoS útokům zas tolik nepřispěje, nicméně snížíte riziko, že se váš počítač či jiná zařízení infikují a stanou se součástí botnetu.
4. Monitorujte aktivitu na svém serveru a používejte hardwarovou ochranu. Kombinace zkušeností a chytrého monitorovacího software vám pomůže nejen útoky zachytit, ale i předvídat. Hardwarová ochrana zase umí odfiltrovat nežádoucí provoz. Například v MasterDC používáme Radware DefensePro, s nímž si poradíme i s útoky o síle v řádu několika desítek Gbps.