Назад до блогу Carpet bombing: niewidzialne ataki DDoS

Carpet bombing: niewidzialne ataki DDoS

Klasyczny scenariusz ataku DDoS jest prosty do wykrycia: jeden adres docelowy, gwałtowny skok ruchu, przekroczony próg, alert. Większość systemów detekcji - i większość progów skonfigurowanych w sieciach operatorskich - powstała właśnie z myślą o takim scenariuszu. Atakujący doskonale o tym wiedzą. Dlatego coraz częściej rozkładają ten sam wolumen ataku na setki lub tysiące adresów jednocześnie.

Ta technika to carpet bombing (spotykane też nazwy: spread spectrum, subnet DDoS). Nie jest nowa, ale jej skala systematycznie rośnie - branżowe zespoły badawcze obserwują tysiące takich ataków dziennie, a znaczna większość z nich trwa około minuty. Krótko, ale wystarczająco, żeby wysycić łącze operatora i wygenerować falę zgłoszeń od klientów.


Matematyka ataku, który "nie istnieje"

Mechanika jest prosta. Załóżmy, że atakujący dysponuje wolumenem 20 Gbps, a progi detekcji w sieci ustawione są na 1 Gbps per adres IP. Atak na pojedynczy adres zostaje wykryty natychmiast. Ale ten sam wolumen rozłożony na 500 adresów w podsieci klienta to zaledwie 40 Mbps na adres - z perspektywy każdego pojedynczego IP ruch wygląda niewinnie i żaden próg nie zostaje przekroczony.

Tymczasem na styku z upstreamem te strumienie się sumują. Łącze tranzytowe jest wysycone, routery i urządzenia stanowe (firewalle, BRAS-y, tablice sesji) pracują pod obciążeniem, klienci zgłaszają problemy z internetem - a system detekcji per-IP raportuje, że wszystko jest w porządku. Zespół NOC szuka awarii łącza albo problemu u dostawcy, bo nic nie wskazuje na atak.

Cele ataku często zresztą nie są stałe - atakujący potrafią zmieniać zaatakowane adresy w trakcie incydentu, losując je z całego prefiksu. To dodatkowo utrudnia zarówno detekcję, jak i ręczną reakcję.


Dlaczego klasyczne mechanizmy obrony zawodzą podwójnie

Carpet bombing omija nie tylko detekcję, ale też standardową mitygację.

Po pierwsze, RTBH przestaje być sensowną opcją. Blackholing pojedynczego atakowanego adresu to akceptowalny koszt. Ale gdy zaatakowanych jest kilkaset adresów w podsieci, blackholing oznacza odcięcie całej podsieci - czyli dokładnie ten skutek, który atakujący chciał osiągnąć, tylko że wykonany rękami operatora.

Po drugie, systemy inicjujące mitygację per adres docelowy nie skalują się na taki scenariusz. Tysiąc zaatakowanych adresów to potencjalnie tysiąc osobnych detekcji, tysiąc reguł, tysiąc wpisów - co potrafi przeciążyć sam system ochrony albo tablice reguł na routerach. FlowSpec ma ograniczoną pojemność w TCAM i zalanie routera setkami reguł per-IP jest realnym ryzykiem operacyjnym.

Skuteczna obrona wymaga więc innego podejścia: patrzenia na ruch nie tylko per adres, ale per podsieć - i generowania reguł, które obejmują atak jako całość.

carpet bomb attack.png


Jak LiveShield wykrywa i wycina carpet bombing

LiveShield od początku projektowany był z myślą o środowiskach operatorskich, więc detekcja działa równolegle na dwóch poziomach: pojedynczych adresów IP oraz całych podsieci. Progi ruchu można definiować niezależnie dla obu poziomów. Dzięki temu atak rozproszony, w którym żaden pojedynczy adres nie przekracza progu, zostaje wykryty na poziomie podsieci - bo tam anomalia jest doskonale widoczna.

Na tym jednak nie koniec, bo samo wykrycie to połowa problemu. Kluczowe elementy mitygacji:

  • Dynamiczne dopasowanie maski. W trakcie ataku system automatycznie rozszerza lub zawęża maskę podsieci objętej ochroną, podążając za faktycznym zasięgiem ataku - również wtedy, gdy atakujący zmienia cele w trakcie incydentu.
  • Agregacja ataków w możliwie najwęższe reguły. Zamiast setek reguł per-IP system generuje reguły obejmujące zaatakowany zakres i wzorzec ruchu (protokół, porty, charakterystykę pakietów), minimalizując wpływ na ruch niezaatakowany i oszczędzając zasoby TCAM na routerach.
  • Ochrona przed przeciążeniem samego systemu. Mechanizm agregacji podsieci (anti-overload) łączy wiele równoległych ataków w jeden incydent, dzięki czemu detekcja i mitygacja pozostają stabilne nawet przy dużej liczbie jednoczesnych celów.
  • Analiza próbkowanych pakietów w czasie rzeczywistym. Dla ruchu TCP i UDP system uczy się wzorca ataku i doprecyzowuje filtrację w ciągu kilku sekund od wykrycia - pierwsza reakcja następuje praktycznie od pierwszej sekundy incydentu.
Reguły trafiają na routery brzegowe przez BGP FlowSpec, a przy wolumenach zagrażających wysyceniem łączy dostępny jest selektywny blackholing. Każdy incydent - wraz z flagą detekcji carpet bombing, statystykami i próbkami ruchu - jest dokumentowany i widoczny w raportach, co ma znaczenie także w kontekście obowiązków raportowych wynikających z KSC/NIS2.


Test, który warto zrobić we własnej sieci

Jeśli chcesz sprawdzić, czy Twoja obecna ochrona widzi ataki rozproszone, odpowiedz na jedno pytanie: czy system detekcji w Twojej sieci monitoruje progi wyłącznie per adres IP? Jeśli tak, to carpet bombing przejdzie przez niego niezauważony - a pierwszym "alertem" będą telefony od klientów.

LiveShield działa on-premise, w infrastrukturze operatora, a wykrywanie ataków rozproszonych typu carpet bomb jest częścią standardowej licencji - bez dodatkowych modułów. Działanie systemu, w tym widok incydentów oznaczonych jako carpet bombing, można zobaczyć na demo.liveshield.net.

Doświadczasz ataków typu carpet bomb? Napisz do nas: office@liveshield.net.