Mnoho psů – zajícova smrt, aneb o DDoSu trochu jinak

Během posledních několika dnů se v českých luzích a hájích rozmohly útoky typu DDoS, neboli Distributed Denial of Service, což jednoduše znamená odepření služby prostřednictvím extrémně vysokého množství požadavků z mnoha různých zdrojů. Cílem tohoto článku je přiblížit jejich fungování srozumitelnou formou nejširší veřejnosti.

Laik by si mohl dobře představit fungování tohoto typu útoku na příkladu knihkupectví, do kterého běžně chodí nakupovat, chvilku si v něm prochází regály, tu a tam prolistuje nějakou knížku a s nákupem počká pár minut u kasy, až na něj dojde řada. Až potud je vše jasné.

V okamžiku, kdy ale některý oblíbený autor vydá svou novou knihu a do knihkupectví začnou bez předchozího varování proudit všemi vchody davy lidí, aby si onen literární skvost mohly prohlédnout či dokonce zakoupit, v jistém okamžiku se zaběhaný systém dostane do stavu absolutního vyčerpání zdrojů. Vaše oblíbené místo u třetího regálu vpravo v přízemí okupuje dav fanoušků a když se konečně proderete až ke svým oblíbeným autorům, zjistíte, že se o tu samou knihu rvete s tuctem jiných zájemců a pranic nezáleží na tom, že vy si ji chcete opravdu koupit, zatímco ostatní mají v úmyslu ji jen roztrhat a zahodit.

Nakonec, pokud vůbec po desítkách minut bojů získáte vytoužené dílo, musíte se ještě prodrat davem k pokladně, kde ale zjistíte, že fronta lidí, kteří se narozdíl od vás k pokladně jdou jen zeptat, zda jim paní dá tu či onu slevu, je tak dlouhá, že se vám vyplatí hodit ho na zem a odejít do jiného obchodu (a tím k DDoSu přispějete).

Přestože se podobná situace může stát i v běžném životě, aniž by za ní stála něčí snaha uškodit (výše popsané knihkupectví znázorňuje vlastně spíš tzv. Slashdot Effect, tj. skutečný vysoký zájem o nějakou službu, než skutečný útok), zneužití hardwarových a softwarových limitů služeb na Internetu je mnohem častěji dílem útočníků, jejichž cílem může být cokoli od sebeukájení až po úmyslný pokus způsobit škodu nebo vydírat.

Obrana proti těmto typům útokům je obtížná. Přidržíme-li se výše popsaného příkladu s knihkupectvím, základní ochranu poskytuje tzv. Rate Limiting – omezení přístupu, neboli u vchodu do knihkupectví stojí velký silný chlap, který ví, že uvnitř může najednou být jen X zákazníků a před vpuštěním zákazníka X+1 musí jiný prodejnu opustit. Tímto jednoduchým způsobem sice spoustu zákazníků zdržíte nebo odradíte, zato však dokážete kvalitně obsloužit každého, kterého vpustíte dovnitř. Přesto bude spousta zákazníků ve frontě venku extrémně nespokojená, takže potřebujete něco lepšího. Ve druhé, lepší fázi, se velký silný chlap u dveří bude pokoušet zjistit, co který čekající uvnitř plánuje dělat. Bude zkoumat nejrůznější charakteristiky, jako například zda zákazník mluví česky, protože kdo jiný by mohl mít zájem o české knížky, nebo zda vypadá jako vzdělaný, sečtělý člověk, kterému by mohl dát přednost před podnapilým hulvátem, přihlédne k věrnostní kartě či naopak k nevhodnému, nestandardnímu chování a provede jakousi prioritizaci.

Problém ochrany internetových zdrojů tímto způsobem je, že je jednak nákladný, jednak není nekonečně účinný. I velkého silného chlapa může nakonec vysoký počet žadatelů o vstup zahltit, byť jich díky jeho specializaci a síle musí být mnohonásobně víc, než kolik stačí na zahlcení slaboučké paní pokladní. Ve srovnání s tím je provedení DDoS útoku laciné a účinné. Když se k tomu připočítá fakt, že ke skutečně velkým DDoS útokům dochází poměrně zřídka, musí být k investici do ochranných systémů významný důvod.

Pro úplnost je třeba zmínit ještě třetí, nejúčinnější metodu ochrany, u ní ovšem model knihkupectví poněkud pokulhává, ale s trochou fantazie ho lze použít. Třetí fáze ochrany spočívá v rychlém reagování na strmý růst počtu zákazníků tím, že knihkupectví dynamicky přidává další a další nové místnosti plné nových regálů, pracovníků prodeje i kas, a když se útok přenese na jiné knihkupectví, stejně rychle tyto zdroje odebere a přidá je tomu, kdo je právě potřebuje. Ve světě Internetu je ekvivalentem této metody využití služeb společností jako např. Akamai, které jsou schopné dynamicky navyšovat počty serverů obsluhujících požadavky útočníků dle aktuálních potřeb a přesouvat zdroje tak, aby byly vytíženy co nejlépe. Tento způsob je však možný pouze pro určité specifické typy služeb, např. poskytování informací nebo software, prakticky nemožné je využít ho pro bankovní služby nebo služby běžných internetových obchodů, ty se musejí spoléhat prakticky jen na více nebo méně chytrého velkého silného chlapa u vchodu.

Naše společnost se bezpečností informačních systémů a ochranou proti útokům na síťovou infrastrukturu zabývá dlouhodobě a jako jediná na trhu se v této oblasti plně specializuje. Pokud máte problém s útoky na vaše důležité síťové zdroje, nebo pokud se obáváte, že by vaší společnosti podobný typ útoků mohl způsobit významné škody, s důvěrou se obraťte na naše odborníky. Umíme vám doporučit, dodat, nakonfigurovat i provozovat ty nejvhodnější „velké silné chlapy,“ které vaše systémy ke své ochraně potřebují.