Falsch, Falsch, FALSCH! Methoden der DDoS-Minderung

    Habr, dies ist eine Transkription einer CTO Qrator Labs Performance von Tyoma Ximaera Gavrichenkov auf der RIPE77 in Amsterdam. Wir konnten seinen Namen nicht unter Beibehaltung der Bedeutung ins Russische übersetzen, und deshalb beschlossen wir, Habra beim Einstieg in den englischsprachigen Markt zu helfen, und ließen alles so, wie es ist


    Dies ist ein Zitat aus einer meiner Lieblingsbands. Dave Gahan von Depeche Mode ist ein lebender Beweis dafür, dass Sie 65 mal in 5 Minuten das Wort „falsch“ sagen können und trotzdem ein Rockstar sind. Mal sehen, ob ich es schaffen kann.



    Wissen Sie, dass die Menschen einfach Geografie lieben?



    Sie alle kennen trendige Karten und architektonische Pläne.

    Vielleicht ist dies der Hauptgrund, warum ich beim Lesen des StackExchange- Sicherheitsbereichs ständig auf die gleiche Vorgehensweise stoße, um Cyber-Angriffe zu verhindern.



    Angenommen, wir als Unternehmen erwarten nicht die spanische Inquisition, ugh chinesische Benutzer. Warum beschränken wir uns nicht einfach auf den Zugriff ihrer IP-Adressen? Wir sind ja nicht Facebook, und unsere Dienste sind nur in einer begrenzten Anzahl von Regionen verfügbar. In der Tat ist Facebook auch in China nicht verfügbar. Warum sollten wir uns Sorgen machen?



    Außerhalb der Welt der Informationstechnologie wird diese Technik manchmal Redlining genannt. Das Wesen dieses Phänomens ist wie folgt.

    Angenommen, Sie sind der Direktor eines Taxis oder einer Pizzeria. Sie haben einige Statistiken gesammelt, die in einigen Bereichen der Stadt Ihren Kurier ausrauben können, oder es besteht eine hohe Wahrscheinlichkeit, dass Ihr Auto verkratzt wird. Nun, Sie sammeln alle Mitarbeiter, zeichnen eine dicke rote Linie auf der Stadtkarte und geben bekannt, dass Sie keine Dienstleistungen außerhalb der roten Grenze erbringen. (Aufgrund der Art der Struktur der meisten amerikanischen Städte ist dies übrigens fast eine Ablehnung von Diensten auf ethnischer Basis und gilt als großes Problem.)

    Wir können dasselbe mit IP-Adressen tun, oder? Jede IP-Adresse gehört zu einem bestimmten Land, daher gibt es eine offizielle Datenbank, die von IETF und RIPE verwaltet wird und die Zuweisung jeder IP-Adresse bestätigt.

    Falsch!



    Wenn wir uns nur auf technische Aspekte beschränken, ist zunächst die Tatsache zu erwähnen, dass Geodatenbanken kommerzielle Produkte von kommerziellen Unternehmen sind, von denen jede einzelne Daten auf eigene, oft nicht ganz klare Weise sammelt. Solche Produkte können für statistische oder andere Forschungen verwendet werden, aber die Bereitstellung eines breiten Publikums für einen Produktionsdienst, der auf einem solchen Produkt basiert, ist aus unzähligen Gründen eine absolute Idiotie.

    Das Konzept der "Zugehörigkeit" zu einer IP-Adresse existiert überhaupt nicht. Die IP-Adresse ist keine Telefonnummer. Der regionale Registrar überträgt sie nicht in die Eigenschaft, die ausdrücklich in den Richtlinien vermerkt ist. Wenn es auf der Welt eine Entität gibt, zu der IP-Adressen "gehören", dann ist dies IANAund nicht ein Land oder eine Firma.

    Als Randbemerkung ist der Prozess zum Schutz von (Ihrem) Urheberrecht manchmal komplizierter geworden.



    Natürlich können einige davon (wenn auch nicht alle) mit dem Aufkommen von IPv6 besser werden. Wir sprechen jedoch jetzt über DDoS-Angriffe. Die Ära des echten IPv6-DDoS ist noch nicht gekommen, und während wir Erfahrungen sammeln, können völlig andere Situationen auftreten. Im Allgemeinen ist es noch zu früh, um darüber nachzudenken.

    Aber zurück zu DDoS: Was ist, wenn wir sicher sind, dass die entfernte Seite etwas Bösartiges tut?



    Unser Setup: 40G-Verkehr, höchstwahrscheinlich DNS-Verkehr, da er von Port 53 kommt.

    Wie wir wissen, ist dieses Verhalten typisch für Angriffe wie DNS-Verstärkung (DDoS). Amplifikationsangriffe verwenden einen verwundbaren Server, um den Datenverkehr zu erhöhen, und die Quell-IP-Adresse in diesem Server ist derselbe verwundbare Server.



    Was ist, wenn wir eine der Technologien einsetzen , die wir benötigen , um den Zugriff auf diese anfälligen Server zu beschränken? Lassen Sie all diese DNS-Reflektoren endlich gepatcht werden, um nicht länger eine Bedrohung zu sein, oder?

    Nein, nicht so!



    Dies ist eine wahre Geschichte. Die beschriebenen Ereignisse fanden 1987 im Bundesstaat Minnesota statt . Auf Wunsch der Überlebenden wurden alle Namen geändert. Aus Respekt vor den Toten wurden die restlichen Ereignisse genau so angezeigt, wie sie stattgefunden haben.

    Das Unternehmen empfing den DNS-Datenverkehr in Gigabyte im Gesicht und entschied sich dafür, schwarze Listen mit IP-Adressen zu verwenden.

    Nach zwei Stunden bemerkten die Angreifer dies irgendwie und änderten sofort das Angriffsmuster. Ihre Fähigkeit, Amplifikationsangriffe durchzuführen, beruhte zuvor auf ihrer Fähigkeit, Pakete mit falschen IP-Quelladressen zu generieren. Daher machten sie dies weiter, jedoch auf eine etwas andere Weise.



    Sie begannen, das Opfer direkt zu überfluten, mit UDP-Datenverkehr vom Quellport 53 und gefälschten IP-Adressen aus dem gesamten IPv4-Adresspool. Das von der Firma verwendete NetFlow-Skript entschied, dass der Verstärkungsangriff fortgesetzt wurde, und begann, Quellen zu verbieten.



    Da Sie den gesamten IPv4-Adressraum innerhalb weniger Stunden ausfindig machen können, haben Sie geraten, dass es ziemlich lange dauerte, bis die Netzwerkgeräte keinen Speicher mehr hatten und vollständig ausschalten konnten.

    Um die Situation zu verschärfen, begannen die Angreifer damit, die Präfixe der Endbenutzer der beliebtesten und größten Breitbandanbieter in diesem Land auszusortieren, so dass die Website den Besuchern lange vor dem vollständigen Dienstverweigerungszugang nicht zur Verfügung stand.



    Daraus folgt eine Lektion: Erstellen Sie keine schwarzen Listen, wenn Sie die IP-Adresse der Angriffsquelle nicht überprüft haben. Besonders bei Angriffen vom Typ Verstärkung / Reflexion. Sie scheinen nicht das zu sein, was sie wirklich sind.

    Danach bleibt die Frage.



    Was ist, wenn wir zumindest die Tatsache bestätigen, dass sich in der entfernten Ressource tatsächlich ein schädlicher Verstärker befindet? Lassen Sie uns das Internet durchsuchen und IP-Adressen mit allen potenziellen Verstärkern sammeln. Wenn wir dann einen von ihnen im Quellfeld des Pakets sehen, werden wir sie einfach blockieren - sie sind immer noch Verstärker, oder?

    Weißt du was? Nicht so!



    Es gibt eine Reihe von Gründen, von denen jeder sagt, dass Sie dies niemals tun sollten. Es gibt Millionen von potenziellen Verstärkern im gesamten Internet, und es wird sehr leicht sein, Sie zu täuschen, indem Sie erneut eine übermäßige Anzahl von IP-Adressen blockieren. IPv6-Internet ist im Allgemeinen nicht einfach zu scannen.

    Was aber wirklich witzig ist, ist, dass in einer solchen Situation nicht nur falsch positive, sondern auch negative Ergebnisse möglich sind. Dank wofür?



    Redlining in anderen Netzwerken!

    Die Leute hassen Netzwerkscanner. Sie blockieren sie, denn ihre glamourösen IDS- Geräte kennzeichnen Scanner als direkte Bedrohung. Sie blockieren Scanner auf eine Million verschiedene Arten und ein Angreifer kann Zugriff auf Verstärker haben, mit denen Sie nichts tun können. Niemand wird vorab fragen, wie weich und flauschig Ihr Scanner ist. IDS hat kein solches Konzept wie einen "guten externen Scanner".



    Hier sind die wichtigsten Erkenntnisse:
    • Versuchen Sie nicht, Blacklists zu verwenden, ohne sich zu vergewissern, dass die Gegenseite nicht gefälscht ist.
    • Verwenden Sie keine Blacklists, wenn Sie dies nicht können oder wenn es eine bessere Lösung gibt.
    • Schluss mit dem Brechen des Internets in einer Weise, für die es nicht vorgesehen ist!

    Und denken Sie daran: Eine komplexe Entscheidung ist normalerweise besser als eine einfache, da einfache Lösungen in der Regel komplexe Konsequenzen haben.

    Jetzt auch beliebt: