Vrste napadov
Volumetrični napadi poplavijo žrtev z veliko količino podatkov. Običajno se uporabi veliko število ogromnih UDP paketov iz različnih virov. Takrat govorimo o porazdeljenem napadu (DDoS, Distributed Denial-of-Service), ki je običajna praksa zadnjih deset let. Porazdeljeni napadi si pomagajo z botnetom okuženih tujih računalnikov, ki so nevede zlorabljeni za sinhrono izvedbo napada.
Napadi z ojačitvijo (napadi z odbojem) izkoriščajo prosto dostopne tuje strežnike, ki na majhno poizvedbo pošljejo velik odgovor. Vprašanje se pošlje s potvorjenim naslovom (tistim od žrtve) in ojačani odgovor se usmeri tja.
Protokolni napadi izkoriščajo lastnosti v zasnovah komunikacijskih protokolov, ki lahko v določenih primerih privedejo do izčrpanja resursov sistema. Primer takšnega napada je TCP SYN poplava.
Aplikacijski napadi ciljajo na delovanje aplikacije ali strežnika in s posebej skonstruiranimi zahtevami povzročijo izpad ali upočasnitev delovanja. Najbolj znan napad te vrste je slowloris.
Motivi napadalcev
Motivi za različne napade onemogočanja storitev segajo od vandalizma, protesta in aktivizma do oviranja konkurence in neposredne finančne koristi, recimo z izsiljevanjem.
Ukrepi
Priporočeni preventivni ukrepi za operaterje in ponudnike dostopa
- Izdelajte interni načrt ukrepanja ob napadih onemogočanja.
- Preučite možnosti preventivne omejitve prometa na mejah omrežja do lastne infrastrukture (recimo omejevanje NTP prometa, ki izvira izven lastnega omrežja in je namenjeno k vašim strankam).
- Pregled možnosti filtriranja prometa ob napadu glede na njegove lastnosti (po komunikacijskih vratih, po velikosti paketa, po protokolu, po naslovnem prostoru in lokaciji).
- Če ste operater z lastno mednarodno povezljivostjo, preverite pri »upstream« ponudniku, ali nudi zaščito ob napadih onemogočanja (DDoS mitigation).
Priporočeni preventivni ukrepi za ponudnike storitev
- Izdelajte interni načrt ukrepanja ob napadih onemogočanja.
- Posvetujte se s ponudnikom internet povezljivosti in/ali ponudnikom gostovanja o možnih ukrepih na njegovi infrastrukturi v primeru napadov na vaše omrežje ali storitve. Pozanimajte se, ali ponudnik nudi možnosti filtriranja, omejevanja ali čiščenja prometa, ki sestavlja napad.
- Preučite, ali je smiselno za čas napada na meji omrežja vašega ponudnika dovoliti promet le uporabnikom v slovenskih internet omrežjih. Tovrstno omejitev naj implementira vaš ponudnik (ali ustrezen operater) na meji svojega omrežja.
- Razmislite o najemu storitve za »čiščenje« prometa pri ponudniku ali zunanjem izvajalcu in o najemu posredniških storitev za dostavo prometa (CDN, Content Delivery Network ali reverzni posredniki v oblaku).
- Razmislite o možnostih ukrepanja pri pojavitvi napadov na aplikacijskem nivoju, npr. slowloris, xml-rpc, ipd., prek ustrezne nastavitve na požarni pregradi in SIEM sistemu (npr. rate-limit povezav iz enega IP naslova).
- Skupaj z oddelkom za stike z javnostmi pripravite okvirni načrt komuniciranja z javnostmi in mediji ob eventualnem napadu. Za uskladitev komunikacije se obrnite tudi na naslov info@cert.si.
Ukrepanje ob napadu
- Spremljajte in beležite promet, ki je del napada.
- Glede na značilnosti konkrentega napada (skupaj s ponudnikom) preverite, ali lahko naredite bolj učinkovite filtre prometa, ki bodo zmanjšala učinek napada.
- Zaščitite javno dostopne strežnike, preko katerih boste obveščali javnost. Premaknite jih na drugo, neprizadeto omrežje, ali za njih (začasno) najemite CDN storitev.
- Nemudoma obvestite SI-CERT in pošljite kopije morebitnih izsiljevalskih sporočil (ali druge povezane korespondence) in podatke o značilnostih napada na naslov cert@cert.si.
- V primeru izsiljevanja z izsiljevalci ne komunicirajte in predvsem ne plačajte odkupnine. Če jo boste, je dokaj verjetno, da bodo napadalci to smatrali kot vzpodbudo, da od vas dobijo še več denarja.