Gyurkity Péter

Túlterhelik a szolgáltatókat a DDoS-támadások

Friss felmérés szerint az elosztott szolgálat-megtagadási támadások méretükben a duplájára nőttek a tavalyi évhez képest - jövőre ilyen ütemű növekedés nem egy szolgáltatót térdre kényszeríthet majd.

Az Arbor Networks a napokban tette közzé sorrendben negyedik jelentését, amelyben ezúttal is a globális biztonsági helyzetet, valamint az infrastruktúrával kapcsolatos szempontokat emelték ki. A hetven, nagy internet- és tartalomszolgáltatóknál dolgozó biztonsági szakember válaszai alapján kirajzolódik az általános helyzet, ami egyáltalán nem szívderítő. Kiderült ugyanis, hogy jövőre komoly gondokkal kell szembenézniük az illetékeseknek, és ha ugyanilyen ütemben folytatódik a támadások erejének és számának növekedése, néhány szolgáltató kidőlhet a sorból.



Az egyik legfontosabb problémát az jelenti, hogy a tavalyi évhez képest megduplázódott a legnagyobb támadások "sávszélessége", az egyes akcióknál ugyanis akár 40 Gbps-os forgalmat is mértek, ami óriási változásnak számít az induláskor, 2000 környékén tapasztalt néhány megabites szinthez képest. Tavaly még 24 Gbps-nál húzták meg a határt a felmérés készítői, ami az jelzi, hogy 2009-ben bőven 60-70 Gbps feletti támadásokra is sor kerülhet. Ezt már nem mindegyik szolgáltató tudja majd kivédeni, vagyis néhány DDoS-akció sikerrel járhat is kiütheti a kiszemelt célpontot.

A megkérdezett szolgáltatók elárulták, hogy idén többnyire sikerrel vették az akadályokat, ám a támadások mérete miatt már közelítenek ahhoz a határhoz, amelyet a biztonsági, megelőzési és elhárítási feladatokra fordított anyagi keretek szabnak meg számukra. Jó hírnek számít, hogy 15 százalék perceken belül megoldotta a védelmet és a helyreállítást, 30 százaléknak azonban ez még mindig legalább egy órát vesz igénybe. Ami a támadókat illeti, továbbra is nagyon népszerűek a SYN-flood és UDP-flood módszerek, ezzel egy időben viszont növekszik az alkalmazásprotokollok elleni közvetlen akciók aránya, például az olyan legitimnek tűnő adatbázis-lekérdezések formájában, amelyeket a tűzfalak és egyéb védelmi megoldások általában simán átengednek. Utóbbiak normál esetben nem okoznak gondot, azonban a botok által megfertőzött számítógépek egyidejű lekérdezései már nagyon is sok galibát eredményezhetnek.

Érdekes, hogy az akciók elkövetőinek felkutatása nem számít elsődleges feladatnak. A legtöbb szolgáltatónak nagyon kevés ideje marad erre, még akkor is, ha mindössze a hatóságokkal való kapcsolatfelvételről van szó. Mivel ők elsősorban a forgalom biztosítása, nem pedig az utólagos elemzések után tesznek szert bevételre, kevés figyelmet fordítanak ez utóbbira. Ez még akkor is igaz, ha a legtöbb válaszadó 30-nál is több esetben értesítette az illetékes szerveket egy-egy akció után.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Csaba42 #29
    Én bírom, amit beír (jókat szoktam röhögni rajtuk, bár néha van okosság is az irományaiban), még ha nagyon néha fel is húztam magam rajta. :) Bár nem hiszem, hogy néhány hír ezentúl azzal fog kezdődni, hogy "Ehhez a hírhez vajon kiki nem szólhat hozzá". XD

    Garrett27:
    ááá, tényleg nincs rasszizmus MO-n, csak mindenhol az lehet olvasni/hallani, hogy dögöljenek meg a dakoták, az öregek össze-vissza zsidónak (élvezet őket a buszon hallgatni), illetve magyar bántja a cigány (figyelem: fordítva már nem az!). Ez így jó, akinek meg nem, az egy demagóg idióta??? Na ez a BULLSHIT!

    Sanyix:
    "a tömegmédia bullshitjeinek feltétel nélküli beszopása nem utal gondolkodásra."
    És a neten olvasható faszságok és hazugságok szajkózása gondolkozásra utal? Vagy még mindig nem hiszed el (hiába támasztottam alá képekkel), hogy a hosts fájl csak admin jogokkal szerkeszthető, illetve a rendszerfájlok még admin joggal sem törölhetőek le a Windowsban, illetve admin jog nélkül egy bit sem írható a Windows rendszermappáiba?
  • [email protected] #28
    "Még mindig nem értem min vitatkozol"
    Mert más a véleményem? Ha nem kívánsz vitatkozni, ne írd le a saját véleményed, amennyiben különbözik másokétól... azért vitatkozom, mert egyesek(épp nem te) orbitális faszságokat képesek összehordani egy olyan témában, amiről lövésük sincs. Ültessünk oda a kávézó rendszergazdát a szerver elé, hogy nézze a monitort amikor jön a támadás...ahha. El sem tudja képzelni, hogy mekkora hit/sec terheléssel jár egy ilyen támadás, és hogy ez milyen brutális adatmennyiség...másodpercente. Annek a hardware-es feldolgozásához is komoly teljesítmény szükséges. majd pont a kávézgató rendszergazda fogja kielemezni a másodperc töredéke alatt, és pár kattintással megoldja a dolgot...

    "...de lehet egyéni támadás is..."
    Amely esetben nem DDoS hanem DoS támadásról beszélünk, ami egy laza mozdulattal szűrhető.(Akár automatán is, a pár milliós cisco eszközökben gyönyörűen ott is van az IDS/IPS, ami megoldja ezt)

    "Miért kéne kötelezni bárkit is? Előbb olvasd el rendesen, mit írok - az ő saját érdekük, hogy tegyenek valamit, hiszen az ő bőrükre (is) megy a játék."
    Az ISP-knek nem érdekük hogy egy ügyfélnek jót tegyenek úgy, hogy nekik abból hasznuk nem származik. Ez nem a máltai szeretet szolgálat. Ráadásul elfelejted azt, hogy a világon nem mindenhol megy ez a fajta örömködés, mint nálunk itton; értsd hogy havi 10-30k HUF ért beraksz egy szervert egy hosting céghez, és mehet a csövön, ami kifér. Külfödön a forgalom alapú számlázás a menő, amely esetén a szolgáltatónak az a jó, ha nagy az ügyfél forgalma, mert akkor veheti elő hó végén a vastagon fogó filcet a fiókból.(Nyilván nem érdeke a szolgáltatónak sem, hogy be DoSolják a nála lévő összes gépet, mert az már neki is problémákat okozhat, de itt még jóval nagyobb sávszélesség adott, mint hogy ez bekövetkezzen, jellemzően 1-2 node halasztható le, nem az egész ISP hálózat.)
    Összességében, amíg nem jelent működésbeni fennakadást egyéb gépeken a támadás(tehát az egy támadott gép melletti többi gép tökéletesen üzemképes), addig ez nem jelent az ISp-nek akkora gondot, hogy megérje vele olyan komolyan foglalkozni, mint ahogy te azt most elvárnád.

    Nem véletlen, hogy ezen szolgáltatóknál külön FIZETŐS szolgáltatás a DoS támadások elleni védelem.
  • Garrett27 #27
    "nonme úgy van az. technológiailag a két botnet nem különbözik"

    Még mindig nem értem min vitatkozol, sztem TÖBBET kéne ebben tenni, nem csak védekezni, és várni ki támad! És igenis a spamet külön kell választani a DDoS-os támadásoktól, mint már írtam, és köztudott, hogy a támadások jöhetnek botnetes rendszerből, vagyis több számítógépről, ha úgy tetszik, de lehet egyéni támadás is...

    "Hogyan kötelezed az ISP-ket, hogy vállaljanak ebben szerepet?"
    Miért kéne kötelezni bárkit is? Előbb olvasd el rendesen, mit írok - az ő saját érdekük, hogy tegyenek valamit, hiszen az ő bőrükre (is) megy a játék.

    "És ez csak a spam, ami behatárolható. Egy DDoS támadás gyönyörűen maszkolható."
    Hát éppen EZ AZ amiért sztem csak a tisztaság még mindig fél egészség. Tehát több felderítést!

    "tt a megoldás az lehetne,"
    Igen, a megoldáson kéne már elgondolkodni, de nem nekünk, laikus fórumozóknak, hanem akik ezért fizetve vannak. Ez a dolguk.
  • [email protected] #26
    Ezzel pedig ugyanaz a gond, mint a terrorizmus elleni harccal. Ki határozza meg hogy mi a biztonságos, és mi a garancia rá, hogy nincsenek visszaélések, túlreagálások.
  • [email protected] #25
    "A spam meg egy másik dolog - a botnethez ugyan köze van, de nem közvetlen a DDoS-hez, ezt jó lenne külön választani és nem egy zsákba dobálni mindent."

    nonme úgy van az. technológiailag a két botnet nem különbözik egymástól semmiben, attól függ hogy mit csinál egy botnet, hogy a "tulajdonosa" mire kívánja felhasználni.

    A spam esetében az eredeti származási hely ugyan visszakövethető a mail header adatokból, DE ehhez annak aki megkapta a spam-et kellene továbbítania(mondjuk pl egy erre felkészített levelező klienssel a megadott helyre) a levélből azon adatokat, amelyek lehetővé teszik a forrás behatárolását. Namost ki lesz ez a szervezet aki ezt fogadja? Egész biztos nem kell nagy infrastruktúra a világ összes ISP-jének összefogására, ami ehhez szükséges... :)
    Hogyan kötelezed az ISP-ket, hogy vállaljanak ebben szerepet? Ahány ország annyiféle jogrendszer, amíg van egy ai nem csatlakozik semmit sem ér az egész.

    És ez csak a spam, ami behatárolható. Egy DDoS támadás gyönyörűen maszkolható. Semmiből nem tart úgy megírni a klienst, hogy látszólag teljesen értelmes HTTP lekédezéseket csináljon, a lényeg, az hogy egyszerre sok kliens tegye ezt egyidőben, és már attól behal a célgép. És nincs aki megmondaná neked, hogy az x kliens közül melyik volt valódi, melyik támadó. Hasraütésszerűen kibanolsz tűzfalból mindenkit? Az sem megoldás, elvesztedaz ügyfeleidet is.

    tt a megoldás az lehetne, ha mindne DDoS támadásról készülne egy jegyzőkönyv(_utólag_), és az egyes jegyzőkönyveket kiszűrve lehetne a támadó gépek után kutatva egyezést keresni. Apró szépséghibája a dolognak, hogy bezavarnak a dinamikus ip címek, melyek miatt rövid idő után beazonosíthatatlanok az ügyfeleid(komplett subneteket meg pár balfasz miatt nem illene kizárni...). Itt idővel megoldást hozhatna az ipv6, amennyiben a szolgáltatók nem dinamikus poolból osztják majd a címeket véletlenszerűen, hanem kihasználhatjuk annak igazi előnyét. Más kérdés, hogy ettől még ez a megoldás is tüneti kezelés utólag, megelőzendő a további támadásokat, de attól még ahhoz, hogy pontosan eredményeket kapj kell egy megfelelően nagy minta - ez esetben xdb jegyzőkönyvezett támadás - ammi alapján biztonságosan kopogtathatsz az ügyfelek ajtaján.

    Persze akkor megintcsak ott van, hogy ki lesz az a szervezet, aki ezt a feladatot ellátja, és mi a garancia, hogy mindenki csatlakozik hozzá.
  • gkalcso #24
    Itt az a gond, hogy átmegy egy másik szolgáltatóhoz. Igazi megoldás egy lyukmentes rendszer lenne. Mondjuk nem lehetne csak ellenőrzött helyről telepíteni, programot/scriptet futtatni. + jól szét kéne válogatni egymástól az adatokat a végrehajtható kódtól. Meg nem 7 év elteltével kijavítani egy közismert hibát azért, mert rontaná az üzletet. lásd KB957097. Simán odadobja az adott felhasználó hitelesítő adatait, amit visszaküldve be lehetett jutni annak rendszerébe.
  • Garrett27 #23
    Ezek nehéz filozófiai és társadalmi kérdéseket vetnek fel, pl. nem lehet mindenkit arra kérni, hogy gondolkozzon má és ne higyjen el mindent,.. te is tudod, hogy ez nem így műxik.
  • Garrett27 #22
    De hiszen te is ugyanarról beszélsz! A felderítést itt esetleg az is jelentheti, hogy valamilyen módon tudassák a gép tulajdonosával, hogy egy zombi hálózat tagja (az ISP-t elég figyelmeztetni, neki is érdeke, hogy ne kerüljön annyira sokba a sávszélessége lefoglalása ezen botnetes hálózatok által). És ez csak egy ötlet, igenis van minek utána járni.
    Ami meg a DDoS-t illeti, vannak egyéni támadások is, nem feltétlenül jönnek a kérdések sok gépről egyszerre, és azoknak könnyebb utána járniuk! Csak, mint már leírtam, jobban oda kéne figyelni és több időt fordítani erre.

    A spam meg egy másik dolog - a botnethez ugyan köze van, de nem közvetlen a DDoS-hez, ezt jó lenne külön választani és nem egy zsákba dobálni mindent.
  • Gerygrey #21
    [i]Ezt azonban direktbe egy szolgáltató sem teheti meg(szerintem legtöbb esetben jogi háttér sincs hozzá)[i]

    A közutakról is kitilthatnakják az autómat ha olyan a műszaki állapota, amely veszélyt okozhat. A netről miért ne lehetne lelőni ugyanígy a selejt gépeket?
  • Sanyix #20
    Persze ez a céljuk. De aki egy kicsit gondolkozik, át tud látni ezen a sok hülyeségen, és legalább a fórumokon van valamekkora szólásszabadság (mert azért itt is tűnnek el sunyiban hozzászólások), és fel lehet hívni a figyelmet a sok tömegmédia bullshitre.