Nagyon sok opció van arra, hogy a szerverinket vagy a szervertermünket megvédjük a DDoS támadástól. Ahogy az minden területen előfordul, úgy itt is két féle megoldás lehetséges: tüneti kezelés és megelőzés.

Tüneti kezelés

Hipotézis: Tegyük fel, hogy DDoS támadás indul egy IP cím ellen és úgy szeretnénk kivédeni, hogy kizárjuk korlátozzuk az IP cím elérést.

Megoldás: Black holeba irányítjuk a forgalmat. Ez azt jelenti, hogy a route-mapon beállítunk egy IP-prefix-list-et, amelyben a megjelölt IP címet vagy címeket tiltjuk. Ehhez a megoldáshoz több BGP peerrel kell rendelkezni, hogy a támadás irányából tiltani tudjuk az IP címet. Pont emiatt tüneti kezelés, mert nem csak a támadó nem éri el, hanem a peer felől érkezők sem.

Probléma: ha csak egy peered van, akkor nem alkalmazható a black hole, mert így a támadó eléri azt, hogy elérhetetlen legyen az IP cím.

Konklúzió: két peer esetén (BIX és Telia) átmeneti megoldás jelent a black hole technika, de a probléma nincs megoldva, hiszen az egyik peer felől minden forgalom ki lesz zárva. Egy peer esetén nem alkalmazható, hiszen az IP elérhetetlen lesz a tiltás miatt.

Többféle DDoS támadás kivédésének problémája

Hipotézis: akkor kell bekapcsolni a black hole-ra épülő védelmet, ha már közel vagyunk a telített állapothoz.

Megoldás: szabály beállításával black hole-ba irányítani a forgalmat, ha „megtelik a cső”.

Probléma: nem Gbps alapú a támadás, hanem Pps, ami azt jelenti, hogy a hálózati kártya bufferjének túlterhelése a cél, azaz 4-5 millió csomaggal dobásra kényszerítjük azt.

Konklúzió: alapvetően black hole-ra épülő védelemmel átmenetileg orvosolható a DDoS támadás. Más megoldásokkal kombinálva viszont segíthet a védelem biztosításában.

Hogyan kellene működnie a DDos védelemnek?

Hipotézis: megfelelő eszközökkel, elegendő munkabefektetéssel és előre tervezéssel DDoS támadások kivédésére alkalmas rendszer alakítható ki.

Megoldás: megfelelő tűzfallal a DDoS támadások kivédhetők. Ehhez IPS-t (Image Packaging System) kell telepíteni, amin keresztül fel lehet építeni a szükséges szabályrendszert, ha van lehetőség rá, akkor úgy kell kialakítani, hogy saját szabályokat is létre tudjon hozni. Utóbbira azért van szükség, mert előfordulhat, hogy az eszköz nem rendelkezik a megfelelő parancskészlettel. Így ha eléri a kritikus szintet a támadás (10 Gbps sávszélességből 9,5 Gbps terhelés), akkor lehet használni a black hole technikát. De egy komplex rendszer nem csak ennyiből áll, hiszen lehet PPS alapú is a támadás.

Probléma: bővíteni kell az eszközparkot és megfelelően beállítani a tűzfalat és a többi szolgáltatást. Cisco Catalyst 4000/6000 széria vagy egy alap ASA 5585-X se képes ezt a feladatot ellátni. Utóbbit igaz egy méreg drága bővítő kártyával alkalmassá lehet tenni a feladatra, DE egy ház árát rá kell költeni.

Konklúzió: A magyar szolgáltatók jelentős része nem vesz Cisco Nexus vagy ASR eszközöket, mondván, hogy license kell hozz és még sorolhatnánk a kifogásokat. Pedig azok célirányosan szervertermekre vannak kialakítva és precízebb forgalomszűrést lehet megvalósítani. A komolyabb adatszűréshez a Cisco belerakta a 800-as szériás routerjükbe is - kiegészítés: ez az eszköz egy kisvállalati eszköz, nem szervertermi használatra van kialakítva. Ugyanúgy nem vesznek modern Juniper eszközöket, pl QFX szériát, mert ott is van license, pedig abban még IPS is van gyárilag. Összegezve céleszközök és megfelelő konfiguráció nélkül hosszútávon nem védhetők szervereink hatékonyan DDoS támadások ellen. Mielőtt szolgáltatót választasz érdemes utánajárnod, hogy milyen típusú DDoS védelmet ígér: tünetit vagy állandót.



 Wednesday, July 4, 2018



« Vissza