Útok byl sice naštěstí jen simulovaný, respektive reálný ale dopředu s plným vědomým Alzy objednaný, jeho síla ale předčila většinu obchodem zatím reálně prožitých. Jak si s ním poradila IPS sonda Network Security Platform od McAfee?
Útoky, které mají za následek nedostupnost služeb, mohou mít pro společnosti za následek velké ztráty. To platí zejména u služeb poskytovaných koncovým zákazníkům a v případě elektronického obchodu znamená nedostupnost webového portálu nemožnost prodávat zboží, tedy přímou ztrátu. Alza.cz byla v minulosti několikrát cílem podobných útoků. Vznikl tedy požadavek na trvalé řešení tohoto problému do budoucna takovým způsobem, aby řešení bylo co nejméně náročné na nasazení, obsluhu a údržbu. Zároveň řešení nesmělo nijak kolidovat s poskytovanými službami – např. zvyšovat odezvu načítání nebo v případě výpadku služby dokonce omezit. Pán byl následující:
- Specifikace a analýza problému
- Nasazení zapůjčené sondy do produkčního prostředí
- Ladění anti-DDoS politik
- Objednání reálného útoku
- Vyhodnocení a nasazení do produkčního prostředí
Test v produkčním prostředí
Všechny požadované vlastnosti měly být otestovány v produkčním prostředí a pro tento Proof-of-Concept (PoC) bylo vybráno několik konkurenčních řešení. Jedním z řešení bylo McAfee Network Security Platform (NSP), dlouhodobě nejoceňovanější IPS sonda v analýzách společností Gartner a NSS Labs.
Testování řešení proběhlo v několika fázích – od počátečního ladění politik až po reálný test útoku na webový portál. V první fázi byly po nasazení zapůjčené IPS sondy provedeny první konfigurační kroky mířené proti D/DoS útokům, ale celá sonda byla aktivní pouze v IDS módu (pouze detekce útoků, žádné blokování). Za první dva dny po nasazení si sonda vytvořila statistický profil síťového provozu na webovém portálu a podle jeho odchylek byla následně schopna odhalit DDoS útoky vedené pomocí nejrůznějších protokolů na různých síťových vrstvách (TCP, UDP, ICMP, HTTP).
|
Nasazené |
Během přípravy na ostré testy byly také vytvořeny politiky pro krizovou situaci, kdy by se blokace statistickým profilem neukázala jako dostatečná. Tyto politiky byly založeny na identifikaci geolokace zdrojové IP adresy s možností úplné blokace, omezování počtu spojení nebo vynucování Quality of Service. Všechny možnosti IPS sonda nabízí a umožňuje je podle potřeb kombinovat. Dále bylo také součástí testování přebírání TCP handshaků sondou namísto cílového serveru a předání spojení až po ustanovení celého spojení (SYN cookies -obrana proti SYN flood útokům).
3, 2, 1…
Umělé testování DDoS útoků je problematické a nemusí postihnout všechny aspekty útoku (geolokaci, sílu botnetu, rychlost nástupu útoku, atd.) Proto byl nakonec objednán reálný útok skrz kontakty na ruských fórech a stránkách nabízejících zpoplatněné DDoS služby.
Domluva proběhla pomocí instant messengeru ICQ a platba skrz relativně anonymizovanou elektronickou měnu Webmoney (osmihodinový útok po cca 10$ za hodinu). První pokus o objednávku DDoS útoku nedopadla úspěšně, „poskytovatel“ přestal komunikovat, na podruhé se ale již zadařilo. Objednávka tedy proběhla podobným způsobem, jakým by ji prováděla konkurence při pokusu o útok na webový portál Alza.cz.
Osm hodin reálného útoku
Útok botnetu probíhal celkem 8 hodin z náhodných strojů po celém světě. Někteří boti bez problému překračovaly 1000 HTTP GET požadavků na webovou aplikaci za minutu, pravděpodobně v závislosti na jejich výkonu a možnostech připojení. Nástup útoku byl velmi rychlý a koordinovaný z celého botnetu, což mělo za následek výrazně zvýšenou zátěž na webových a databázových serverech elektronického obchodu. IPS sonda totiž nezačíná blokovat ihned při okamžité detekci překročení statistického profilu síťového provozu, aby neomezila krátké špičky provozu (např. prodejní akce stanovené na konkrétní čas).
Jakmile sonda vyhodnotila provoz jako DDoS, začala dle politiky blokovat požadavky zasílané ze strojů botnetu, ale dále propouštěla validní uživatelský provoz. Po celou dobu útoku se zdál elektronický obchod dostupný a plně funkční a McAfee sonda nepřekročila ani čtvrtinu ze svého dostupného výkonu. Funkčnost prověřila i pokusně zrealizovaná objednávka.
Alza.cz nakonec ocenila při výběru anti-DDoS řešení kombinaci několika vlastností: jednoduchost nasazení (žádné nároky na změnu infrastruktury, pouze byla do provozu vřazena IPS sonda), snadnou definici politik (mnoho z požadovaných funkcionalit se sonda naučila sama) a rychlost zpracování síťového provozu a zajištění plné průchodnosti i při případném hardwarovém selhání a minimální požadavky na správu.
Tento článek vznikl za spolupráce společnosti COMGUARD a.s., dodavatele testování a objednávky reálného útoku.