DDos útoky na skvely.net

Během posledního čtvrtroku jsme zaznamenali narůstající pokusy o DDoS útoky na naši síť. Tyto útoky mohly zejména v nočních hodinách způsobit kratičké výpadky některých jednotlivých routerů. Síť však jako celek útokům odolávala. Dnes jsme dosáhli takové konfigurace sítě, že by měla sama - i díky znalosti způsobu předchozích útoků - detekovat i útoky budoucí a rovnou zamezit takovýto nežádoucí provoz. Omlouváme se za chvilkové výpadky připojení.

O co se vlastně jedná?

DDoS útok je z anglického distributed denial of service attack . Zjednodušeně řečeno, hodně počítačů a zařízení v internetu si řekne, že bude posílat provoz do naší sítě. Ten internetem proudí spoji na páteřní zařízení. Zde je provoz následně doručován až na routery. Útočník se nesnaží získat přístup do sítě, hesla apod. Jeho snahou je jen způsobit přetížení cíle útoku.

Vzhledem k tomu, že jde o velké množství v provozu, řádově gigabity, tento provoz způsobí ve většině případů ucpání přívodních spojů pro síť a tím nedostupnost internetu z dané sítě. Naše spoje jsou však dimenzovány s velkou rezervou a tak tyto útoky byly přenášeny dál prostřednictvím sítě až na koncové routery. Bohužel, každý router v každé obci nedisponuje tak kapacitním připojením, a docházelo tedy k chvilkovému přetížení routerů zejména pro část Smečna a Zlonic.

Jak jsme situaci řešili?

Proti cizímu provozu (z internetu) neexistuje ochrana. Provoz prostě jde k vám a nemůžete jej ovlivnit dokud není u Vás. Je to, jako by se na vás valila povodeň odněkud kde nemůžete nic stavět. Musíte být na tu vodu připraveni. I my jsme postupovali obdobně jako na přípravu proti povodni. Ujistili jsme se, že všechny tři naše přívodní spojení do internetu mají dostatečnou kapacitu. Následně jsme naprogramovali na páteřních prvcích detektor útoků s rychlou reakcí. Detektor jen sleduje provoz a v případě, že dojde k anomálii, začne nám tuto informaci hlásit pomocí našeho monitoringu. To nám umožní rychlejší reakci. Je to jako mít hlásič na povodeň na hranicích, prostě víte, že se valí velká voda.

Následně jsme připravili sadu filtrů, které jsou nastaveny tak, aby běžný provoz pustily. V okamžiku útoku by se snažily na páteřní sítí při vstupu odstranit nežádoucí pakety. Toto je velmi choulostivá věc. Mohli bychom totiž snadno omezit i Váš přístup do internetu. Pro správnou detekci jsme využili dat z historie útoků. Filtrování má ještě jeden aspekt. Když pakety-data chcete filtrovat, musíte na to mít dostatečný výkon. Pokud byste každý paket porovnávali s tisícovkou pravidel, tak než jej porovnáte, data by se hromadila ve frontě čímž by se provoz do internetu výrazně zpomalil.

Závěr

Předpokládáme, že současná sada filtrů pro ochranu před DDoS je efektivní, nezpůsobí přetížení vnitřních spojů a umožní tak bezproblémové fungování uživatelů i když bude naše síť pod masivním útokem. Je možné, že na základě budoucích útoků pravidla lehce upravíme. Naše detektory jsou aktivní a my jsme připraveni DDoS i jiným hrozbám čelit.