Case study: Alza.cz pod DDoS útokem

ITbiz.cz, 11. říjen 2013 10:00 11 komentářů
Case study: Alza.cz pod DDoS útokem

Útok byl sice naštěstí jen simulovaný, respektive reálný ale dopředu s plným vědomým Alzy objednaný, jeho síla ale předčila většinu obchodem zatím reálně prožitých. Jak si s ním poradila IPS sonda Network Security Platform od McAfee?

Útoky, které mají za následek nedostupnost služeb, mohou mít pro společnosti za následek velké ztráty. To platí zejména u služeb poskytovaných koncovým zákazníkům a v případě elektronického obchodu znamená nedostupnost webového portálu nemožnost prodávat zboží, tedy přímou ztrátu. Alza.cz byla v minulosti několikrát cílem podobných útoků. Vznikl tedy požadavek na trvalé řešení tohoto problému do budoucna takovým způsobem, aby řešení bylo co nejméně náročné na nasazení, obsluhu a údržbu. Zároveň řešení nesmělo nijak kolidovat s poskytovanými službami – např. zvyšovat odezvu načítání nebo v případě výpadku služby dokonce omezit. Pán byl následující:

  1. Specifikace a analýza problému
  2. Nasazení zapůjčené sondy do produkčního prostředí
  3. Ladění anti-DDoS politik
  4. Objednání reálného útoku
  5. Vyhodnocení a nasazení do produkčního prostředí

Test v produkčním prostředí

Všechny požadované vlastnosti měly být otestovány v produkčním prostředí a pro tento Proof-of-Concept (PoC) bylo vybráno několik konkurenčních řešení. Jedním z řešení bylo McAfee Network Security Platform (NSP), dlouhodobě nejoceňovanější IPS sonda v analýzách společností Gartner a NSS Labs.

Testování řešení proběhlo v několika fázích – od počátečního ladění politik až po reálný test útoku na webový portál. V první fázi byly po nasazení zapůjčené IPS sondy provedeny první konfigurační kroky mířené proti D/DoS útokům, ale celá sonda byla aktivní pouze v IDS módu (pouze detekce útoků, žádné blokování). Za první dva dny po nasazení si sonda vytvořila statistický profil síťového provozu na webovém portálu a podle jeho odchylek byla následně schopna odhalit DDoS útoky vedené pomocí nejrůznějších protokolů na různých síťových vrstvách (TCP, UDP, ICMP, HTTP).

Nasazené technologie a implementace
 

Celková doba testování onsite (IPS sondy McAfee Network Security Platform) byla krátce přes 1 měsíc (pět člověkodnů dodavatele). Během testování byly odladěny politiky a zjištěny veškeré požadavky na nasazení v produkčním prostředí. Následná implementace využila politik z testování a zahrnovala již pouze fyzickou instalaci produkční sondy v datacentru (půl dne). Součástí řešení je i zařízení fail-open kit, které zajišťuje plnou průchodnost provozu i v případě hardwarového selhání sondy.

Během přípravy na ostré testy byly také vytvořeny politiky pro krizovou situaci, kdy by se blokace statistickým profilem neukázala jako dostatečná. Tyto politiky byly založeny na identifikaci geolokace zdrojové IP adresy s možností úplné blokace, omezování počtu spojení nebo vynucování Quality of Service. Všechny možnosti IPS sonda nabízí a umožňuje je podle potřeb kombinovat. Dále bylo také součástí testování přebírání TCP handshaků sondou namísto cílového serveru a předání spojení až po ustanovení celého spojení (SYN cookies -obrana proti SYN flood útokům).

3, 2, 1…

Umělé testování DDoS útoků je problematické a nemusí postihnout všechny aspekty útoku (geolokaci, sílu botnetu, rychlost nástupu útoku, atd.) Proto byl nakonec objednán reálný útok skrz kontakty na ruských fórech a stránkách nabízejících zpoplatněné DDoS služby.

Domluva proběhla pomocí instant messengeru ICQ a platba skrz relativně anonymizovanou elektronickou měnu Webmoney (osmihodinový útok po cca 10$ za hodinu). První pokus o objednávku DDoS útoku nedopadla úspěšně, „poskytovatel“ přestal komunikovat, na podruhé se ale již zadařilo. Objednávka tedy proběhla podobným způsobem, jakým by ji prováděla konkurence při pokusu o útok na webový portál Alza.cz.

Osm hodin reálného útoku

Útok botnetu probíhal celkem 8 hodin z náhodných strojů po celém světě. Někteří boti bez problému překračovaly 1000 HTTP GET požadavků na webovou aplikaci za minutu, pravděpodobně v závislosti na jejich výkonu a možnostech připojení. Nástup útoku byl velmi rychlý a koordinovaný z celého botnetu, což mělo za následek výrazně zvýšenou zátěž na webových a databázových serverech elektronického obchodu. IPS sonda totiž nezačíná blokovat ihned při okamžité detekci překročení statistického profilu síťového provozu, aby neomezila krátké špičky provozu (např. prodejní akce stanovené na konkrétní čas).

Jakmile sonda vyhodnotila provoz jako DDoS, začala dle politiky blokovat požadavky zasílané ze strojů botnetu, ale dále propouštěla validní uživatelský provoz. Po celou dobu útoku se zdál elektronický obchod dostupný a plně funkční a McAfee sonda nepřekročila ani čtvrtinu ze svého dostupného výkonu. Funkčnost prověřila i pokusně zrealizovaná objednávka.

Alza.cz nakonec ocenila při výběru anti-DDoS řešení kombinaci několika vlastností: jednoduchost nasazení (žádné nároky na změnu infrastruktury, pouze byla do provozu vřazena IPS sonda), snadnou definici politik (mnoho z požadovaných funkcionalit se sonda naučila sama) a rychlost zpracování síťového provozu a zajištění plné průchodnosti i při případném hardwarovém selhání a minimální požadavky na správu.

Tento článek vznikl za spolupráce společnosti COMGUARD a.s., dodavatele testování a objednávky reálného útoku.


Komentáře

ET #1
ET 11. říjen 2013 11:58

klasicky PR zvasty... kolik ta sonda stala? :)

pupik #2
pupik 11. říjen 2013 14:06

Pocitejte tak s milonem a vic, ale to je v tomto segmentu normalni.

AbsD #3
AbsD 11. říjen 2013 18:44

Ha, skoda, jen simulace. Uz sem myslel, ze se nekdo poradne nas..l za ty stupidni spamy s ufounem.

AW #4
AW 11. říjen 2013 23:06

+1 :-D

PaO #5
PaO 12. říjen 2013 14:51

tolik k navstevnosti webu Alza.cz, ktery previsuje vsechny ostatni o 100k. Alza si plati fingovane DDoS utoky, zahlti web pozadavky (nerealnymi pristupy), zvedne si prubezne klesajici navstevnost o 100k pristupu a pote argumentuje u vyrobcu opravnenou cenou za reklamu vs navstevnosti webu. chytre vymyslene to maji.

PaO #6
PaO 12. říjen 2013 14:51

tolik k navstevnosti webu Alza.cz, ktery previsuje vsechny ostatni o 100k. Alza si plati fingovane DDoS utoky, zahlti web pozadavky (nerealnymi pristupy), zvedne si prubezne klesajici navstevnost o 100k pristupu a pote argumentuje u vyrobcu opravnenou cenou za reklamu vs navstevnosti webu. chytre vymyslene to maji.

Michal Taneček #7
Michal Taneček 12. říjen 2013 14:59

Opravdu bezcenný PR žvást. HTTP GET a SYN flood patří mezi nejsociálnější a nejjednodušší útoky, které fungují na společnosti, kde ve vedení sedí "diplomovaní BDU/BFU", což je bohužel většina "profesionálů" v naší kotlině.

Když už sociální flood, tak spíš takto:

Po světě je tolik nezabezpečeným SOHO zařízení, že by nebylo těžké si postavit botnet pomalu zadarmo a z nich nebude problém udělat flood, který bude odpovídat reálnému návštěvníkovi. A kdyby ne, tak pořád pude ufloodovat hraniční firewall, nebo linku.

jirkaehm12321 #8
jirkaehm12321 13. říjen 2013 11:53

Smutne je, ze pisou o DDoS utoku, ale nenapisou kolik stanic tento "DDoS"| utok provadelo :)
Dle toho popisu uzasne specifickeho popisu (z jedne stanice az 1000 HTTP/GET za minutu = slabych 16 dotazu za vterinu), odhaduji ze techto DDoS stanic bylo max v radu stovek. Takovy provoz zvlada i jeden obycejny webovy server...
Zde by se hodilo prirovnani - neverim statistice, kterou si sam nezfalsuju :)

xurfa #9
xurfa 13. říjen 2013 22:02

Škoda, ty kurvvy spammerský by si pořádnej DDoS jenom zasloužily...

Josef_sjp #10
Josef_sjp 14. říjen 2013 11:47

ochrana proti DDoS nastraně zákazníka ??

Bez ochrany na úrovni operátora jde o vyhozené peníze.
pokud máš linku 100Mbit a DDoS bude 110 Mbit žádná podobná sonda ti nepomůže i kdyby byla sebe chytřejší ...

Josef

Martin #11
Martin 14. říjen 2013 14:10

1) je málo lidí, kteří někomu stojí za takový útok (tyhle pakety jsou maličké, takže aby daly 110 Mbit, stálo by vás to pořádné peníze)
2) IPS, který by to pustil by musel být šílený
3) takový útok by byl zcela jistě velice průhledný, protože by došlo k těžké palbě z několika desítek botů, čili stačí velice rychle zablokovat těch pár desítek zdrojů


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů