Corero. Το Black Hole Routing δεν είναι λύση απέναντι στις επιθέσεις DDoS
Καθώς οι πάροχοι υπηρεσιών Internet (ISPs), οι πάροχοι χώρου φιλοξενίας (Hosting providers) και οι επιχειρήσεις online σε όλο τον κόσμο συνεχίζουν να υφίστανται τις επιπτώσεις των επιθέσεων DDoS, συχνά οι συζητήσεις που ακολουθούν είναι, “Ποιος είναι ο καλύτερος τρόπος για να υπερασπιστούμε τα δίκτυα και τους πελάτες μας απέναντι σε μια επίθεση του είδους;”
Οι παραδοσιακές τεχνικές άμυνας περιλαμβάνουν τα SYN-cookies, SYN-proxy, τις ανακατευθύνσεις, προκλήσεις, και φυσικά την τεχνική δρομολόγησης μαύρης τρύπας για να αναφέρουμε μερικές. Οι περισσότερες από αυτές τις τεχνικές εμφανίστηκαν γύρω στις αρχές του 2000, όταν και πρωτοεμφανίστηκαν οι επιθέσεις DDoS.
Για εκείνους που δεν γνωρίζουν πολλά για την δρομολόγηση μαύρης τρύπας (ονομάζεται επίσης και δρομολόγηση null), είναι μία τεχνική που περιλαμβάνει την δημιουργία μιας διαδρομής για την κίνηση IP που στην ουσία πηγαίνει στο… πουθενά. Τα πακέτα δεδομένων που προορίζονται για τη διαδρομή null καταλήγουν σε ένα κάδο από bits. Η δρομολόγηση null είναι ουσιαστικά διαθέσιμη σε κάθε εμπορικό router σήμερα και έχει ελάχιστες επιπτώσεις στην απόδοση για να οδηγήσει σιωπηλά όλη την κίνηση προς ένα συγκεκριμένο προορισμό.
Δεν είναι μυστικό στον κόσμο των επιθέσεων DDoS, ότι η χρήση δρομολόγησης null είναι ένα εργαλείο που επιλέγεται από τις εταιρείες και τους οργανισμούς όταν δεν έχουν στην διάθεση τους κάποιο άλλο μέσο που να εμποδίζει μια επίθεση. Για παράδειγμα, ένας επιτιθέμενος επιλέγει ένα θύμα και ξεκινάει μια επίθεση DDoS εναντίον του. Το θύμα ή αν θέλετε καλύτερα, ο στόχος, μπορεί να μην είναι η μοναδική οντότητα που θα επηρεαστεί από την επίθεση. Και άλλοι χρήστες που μοιράζονται την ίδια υποδομή με τον στόχο μπορεί επίσης να χρειαστεί να αντιμετωπίσουν τις συνέπειες της επίθεσης και να αναγκαστούν να δουν τις υπηρεσίες τους να υποβαθμίζονται ή να βρεθούν ξαφνικά εκτός σύνδεσης (offline) συνολικά καθώς οι υποδομές τους, οι διακομιστές και οι εφαρμογές επηρεάζονται σοβαρά από την επίθεση με την ψεύτικη κίνηση δεδομένων. Αυτά τα θύματα, αποτελούν τις παράπλευρες απώλειες της επίθεσης, η οποία μερικές φορές αναφέρεται ως DDoS από δεύτερο-χέρι (μεταχειρισμένη).
Χωρίς τις άμυνες DDoS να βρίσκονται στην θέση τους, τα θύματα συνήθως απευθύνονται στις εταιρείες παροχής υπηρεσιών Internet (ISP) και ζητούν βοήθεια ώστε να μπλοκαριστεί η επίθεση. Τότε ο πάροχος (ISP) “εγχέει” μία διαδρομή null με τη διεύθυνση IP του αρχικού θύματος στην υποδομή δρομολόγησης του και ξεκινάει τον αποκλεισμό όλης της κίνησης DDoS από το θύμα με την ελπίδα ότι θα καταφέρει να μειώσει τις επιπτώσεις της επίθεσης στους υπόλοιπους πελάτες, που λογικά βιώνουν παράπλευρες επιπτώσεις ως αποτέλεσμα της επίθεσης.
Μία λιγότερο επιθυμητή προσέγγιση
Ωστόσο, υπάρχει ένα πρόβλημα με αυτήν την προσέγγιση, δηλαδή την δρομολόγηση στο null. Πραγματικά τελειοποιεί την επίθεση DDoS εναντίον του αρχικού θύματος! Αυτή η μέθοδος δεν αποτελεί μόνο μία μέθοδο μπλοκαρίσματος όλης της κίνησης DDoS, αλλά αποκλείει επίσης και όλη την “καλή κίνηση”. Αυτή η τεχνική είναι ολέθρια για τις επιχειρήσεις που συνδέονται στο Internet, και που η βιωσιμότητα και τα κέρδη τους εξαρτώνται από την Διαδικτυακή τους διαθεσιμότητα.
Ουσιαστικά λοιπόν, αν ο πάροχος δρομολογήσει όλη την καλή κίνηση, μαζί με την κίνηση DDoS σε μία “μαύρη τρύπα” τότε ουσιαστικά θέτει το θύμα εκτός σύνδεσης. Αυτή η μέθοδος άμυνας, δεν είναι αποδεκτή για τους οργανισμούς και τις επιχειρήσεις που εξαρτώνται από το να βρίσκονται πάντα online. Επιπλέον, και με δεδομένο ότι οι περισσότερες επιθέσεις DDoS είναι spoofed (δεν φέρουν την σωστή διεύθυνση αποστολέα), κάθε προσπάθεια δρομολόγησης στο null των διευθύνσεων IP της πηγής είναι σχεδόν αδύνατη.
Περισσότερες παράπλευρες απώλειες
Πολλοί πάροχοι (ISPs) χρησιμοποιούν την τεχνική δρομολόγησης “μαύρης τρύπας” (black hole routing) σαν τον μοναδικό τρόπο άμυνας τους απέναντι στις επιθέσεις DDoS. Με την προσέγγιση αυτή, για παράδειγμα, όταν ένας ISP με διάφορους “residential” πελάτες δεχτεί επίθεση, θα πρέπει να δρομολογήσει στο null μέσα στην υποδομή του, για τον προορισμό (θύμα). Αυτό έχει ως αποτέλεσμα αρκετοί εκατοντάδες πελάτες τους να βρεθούν ξαφνικά χωρίς σύνδεση.
Όσον αφορά τους εμπορικούς πελάτες των ISPs, μπορεί να είναι απλοί εμπορικοί πελάτες έως high-end παρόχους φιλοξενίας, παρόχους υπηρεσιών τυχερών παιχνιδιών ή web-based επιχειρήσεις κάθε είδους.
Οι πελάτες αυτοί, με την συγκεκριμένη προσέγγιση που αναφέραμε είναι αναγκασμένοι να δεχτούν επίσης τις συνέπειες μίας επίθεσης DDoS – και μερικοί αρκετά συχνά. Λόγω του κοινόχρηστου περιβάλλοντος δικτύου σε δεύτερης κατηγορίας ή τρίτης κατηγορίας ISPs, ο κίνδυνος των παράπλευρων απωλειών είναι ένα σημαντικό θέμα, όταν πρόκειται για την αντιμετώπιση των επιθέσεων DDoS. Για εμπορικούς πελάτες που απαιτούν 100% uptime, η δρομολόγηση μαύρης τρύπας δεν είναι μία αποδεκτή λύση.
Υπάρχει καλύτερος τρόπος
Όπως έχουμε μάθει από την ενασχόληση μας με τις επιθέσεις DDoS, η δρομολόγηση μαύρης τρύπας είναι μια στοιχειώδης προσέγγιση μετριασμού των επιθέσεων του είδους, που σε πολλές περιπτώσεις κάνει περισσότερο κακό παρά καλό.
Υπάρχει σήμερα τεχνολογία που είναι απολύτως ικανή να μπλοκάρει όλες τις επιθέσεις DDoS σε πραγματικό χρόνο. Η “purpose built” τεχνολογία DDoS έχει ξεκινήσει να γίνεται το πρότυπο για την προστασία απέναντι σε επιθέσεις DDoS σε πραγματικό χρόνο. Όταν αναπτυχθεί στα κατάλληλα σημεία των ISPs, η συγκεκριμένη λύση άμυνας απέναντι σε επιθέσεις DDoS μπορεί να απομακρύνει αποτελεσματικά όλες την κίνηση της επίθεσης DDoS ακόμα και από το να εισέλθει στο δίκτυο του πάροχου υπηρεσιών Internet, και έτσι απομακρύνεται ο κίνδυνος δημιουργίας προβλημάτων στην υποδομή και χωρίς να υπάρχει ο κίνδυνος να επηρεαστούν οι πελάτες.
Με την κατάλληλη προστασία DDoS, τα προβλήματα και οι διακοπές αποτελούν παρελθόν. Αν είστε ISP, ήρθε η ώρα να παραδεχτείτε ότι είναι απαραίτητο να αναπτύξετε τις κατάλληλες τεχνολογίες άμυνας για να αντιμετωπίσετε τις επιθέσεις DDoS και η Corero μπορεί να σας βοηθήσει αποτελεσματικά.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.