Monitorování DDoS: jak zjistit, že jste pod útokem

Před časem jsme psali o tom, jak můžete zkontrolovat protokoly služby Windows IIS a Loggly, abyste zjistili zdroj útoku DDoS, ale jak zjistíte, že je vaše síť pod útokem? Není efektivní, aby lidé monitorovali protokoly každý den a každou hodinu, takže se musíte spolehnout na automatizované prostředky. Automatizované monitorování DDoS dává vašemu bezpečnostnímu týmu větší šířku pásma, aby se mohl soustředit na jiné důležité úkoly a stále dostával upozornění, pokud dojde k anomáliím v důsledku události DDoS.

Co je útok DDoS?

V krátkosti lze říci, že útok DDoS je záplava provozu na vašem webovém hostiteli nebo serveru. Při dostatečném provozu může útočník spotřebovávat šířku pásma a zdroje serveru, dokud jeden z nich (nebo oba) nejsou tak zaplaveny, že již nemohou fungovat. Server se zhroutí nebo prostě není dostatečná šířka pásma, aby skuteční zákazníci mohli přistupovat k vašim webovým službám. Jak asi tušíte, znamená to výpadek vašich služeb a ztrátu příjmů po dobu, kdy útok trvá.

Útoky DDoS mohou být pro internetovou firmu zničující, a proto je důležité pochopit, jak fungují a jak je rychle zmírnit. Během útoku neexistuje jeden zdroj, takže k jeho zastavení nestačí filtrovat jednu IP adresu. Útočníci DDoS infikují uživatelské systémy (to může znamenat počítače, ale také vestavěné systémy nebo zařízení IoT) softwarem, který jim umožňuje ovládat je po celém světě. Útočník používá centralizovaný systém, který pak těmto počítačům infikovaným malwarem říká, aby odesílaly provoz na web. Počet strojů, které má útočník k dispozici, závisí na počtu infikovaných strojů, ale může jít o desítky tisíc. Aby toho nebylo málo, malware DDoS je obvykle velmi sofistikovaný a používá techniky k co nejefektivnějšímu přetížení vašeho serveru, například odesíláním neúplných požadavků na připojení, které způsobují čekací stavy ve vašem systému, během nichž může útočící systém odesílat nové požadavky.

Obvykle můžete určit, jak velkému útoku můžete odolat. Pokud je váš běžný provoz 100 připojení najednou během dne a váš server běží normálně, pak vás 100 strojů bojujících o připojení pravděpodobně neovlivní. Při útoku DDoS to však budou tisíce připojení z mnoha různých IP adres najednou. Pokud váš server nezvládne 10 000 připojení najednou, pak můžete být zranitelní vůči útoku DDoS.

Bez varování máte stovky nebo tisíce strojů (serverů, stolních počítačů a dokonce i mobilních zařízení), které posílají provoz na váš web najednou. Během několika minut jsou výkon a zdroje vašeho webu značně vyčerpány a běžní uživatelé nemají přístup k vašemu webu.

Jak poznáte, že dochází k útoku DDoS?

Nejtěžší na útoku DDoS je, že neexistují žádná varování. Některé velké hackerské skupiny odešlou hrozby, ale většinou útočník odešle příkaz k útoku na vaše stránky bez jakéhokoli varování.

Protože své stránky běžně neprohlížíte, teprve když si zákazníci stěžují, konečně si uvědomíte, že je něco špatně. Zpočátku vás pravděpodobně nenapadne, že jde o útok DDoS, ale myslíte si, že váš server nebo hosting je mimo provoz. Zkontrolujete svůj server a provedete základní testy, ale uvidíte pouze vysoký síťový provoz s maximálně vytíženými zdroji. Možná zkontrolujete, zda na pozadí neběží nějaké programy, ale nezjistíte žádné znatelné problémy.

Mezi dobou, kdy si uvědomíte, že jde o útok DDoS, a dobou potřebnou ke zmírnění škod může uplynout několik hodin. To znamená několik hodin zmeškaných služeb a příjmů, což v podstatě znamená výrazné snížení vašich příjmů.

Znaky útoku DDoS

Nejúčinnějším způsobem, jak zmírnit útok DDoS, je zjistit, kdy k němu dochází, okamžitě po zahájení útoku. Existuje několik indicií, které naznačují, že probíhá útok DDoS:

• Adresa IP provede x požadavků během y sekund
• Váš server odpoví hlášením 503 z důvodu výpadku služby
• Výpadek TTL (time to live) u požadavku ping
• Používáte-li stejné připojení pro interní software, zaměstnanci si všimnou problémů se zpomalením
• Řešení pro analýzu logů ukazují obrovský nárůst provozu

Většinu těchto příznaků lze využít k automatizaci systému upozornění, který odešle e-mail nebo textovou zprávu správcům.

Loggly umí taková upozornění odesílat na základě událostí protokolu a definovaných prahových hodnot, a dokonce tato upozornění odesílat do nástrojů, jako je Slack, Hipchat nebo PagerDuty.

Příliš mnoho požadavků na jednu IP

Můžete dočasně nastavit směrovač tak, aby odesílal provoz na NUTNÉ trasy z určitých IP. Tím v podstatě pošlete útočící IP adresy do prázdna nebo do slepé uličky, aby nemohly ovlivnit vaše servery. Je to poněkud obtížné, protože při pokusu o zastavení útoku můžete snadno zablokovat legitimní IP adresu. Dalším problémem je, že zdrojová IP adresa je obvykle podvržená, takže spojení mezi vaším serverem a zdrojovým počítačem není nikdy dokončeno.

Nastavení výstrah ze strany brány firewall nebo systému prevence či detekce narušení může být složité, protože opět budou některé legitimní boty zachyceny jako útok. Konfigurace a nastavení závisí také na systému, který máte.

Převážně chcete nastavit výstrahu, která se spustí, pokud rozsah IP adres odešle příliš mnoho požadavků na připojení během malého časového okna. Pravděpodobně budete muset některé IP adresy zařadit na bílou listinu, protože takové adresy, jako je Googlebot, budou váš web procházet velmi rychle a často. Než toto upozornění správně zprovozníte, bude to chtít nějaký čas a doladění, protože budete oprávněně chtít, aby se spustili někteří boti a skripty, které by mohly do vašeho systému upozornění poslat falešný poplach.

Server reaguje hlášením 503

V systému Windows můžete v Prohlížeči událostí naplánovat upozornění, když dojde k určité události. K události můžete připojit libovolnou úlohu včetně chyb, varování nebo jakékoli jiné události, která by vám mohla pomoci zmírnit problém dříve, než se stane kritickou situací.

Chcete-li připojit úlohu k události 503, musíte nejprve tuto událost najít v Prohlížeči událostí. Otevřete Prohlížeč událostí a klikněte na událost pravým tlačítkem myši.

Otevře se konfigurační obrazovka, kde můžete událost nakonfigurovat tak, aby odeslala e-mail správci nebo týmu lidí.

Pokud máte více serverů, je efektivní nastavit podobné upozornění pomocí Loggly:

TTL Times Out

Můžete ručně pingnout servery, abyste otestovali šířku pásma a připojení, ale to nepomůže, když chcete automatizovat upozornění dříve, než bude kritické. Pokud pingáte na server, pak už víte, že je něco špatně.

K automatizaci upozornění pingem vám pomůže několik služeb na webu, které nabízejí možnost pingovat vaše stránky z celého světa. Služba pinguje váš web z různých oblastí světa s frekvencí, kterou nakonfigurujete. Pokud máte cloudový hosting, můžete mít problém v jednom regionu, ale ne v jiném, takže tyto pingové služby vám pomohou identifikovat problémy v určitých lokalitách.

Jen několik pingových služeb je uvedeno zde. Díky těmto službám jsou vaše stránky nepřetržitě monitorovány z hlediska provozuschopnosti, takže váš tým IT může v případě problémů se serverem reagovat. Protože útok DDoS spotřebovává šířku pásma, bude doba pingu příliš dlouhá nebo dojde k jejímu vypršení. Služba odešle vašemu týmu upozornění, aby mohl zahájit techniky zmírnění a vyřešit problém.

Systémy pro správu logů a monitorování útoků DDoS

Řešení, jako je Loggly, zobrazují statistiky provozu v celém zásobníku a pomáhají identifikovat případné anomálie 24 hodin denně, 7 dní v týdnu. Pomocí Loggly můžete identifikovat probíhající útok a odeslat upozornění správcům. Výhodou používání těchto protokolů je, že můžete nejen identifikovat prudké nárůsty provozu, ale můžete také určit zasažené servery, chyby vrácené uživatelům a přesné datum a čas, kdy k nárůstu provozu došlo. Analytické nástroje dělají mnohem víc než jen to, že vás informují o problému. Řeknou vám také, kterých serverů se to týká, a ušetří vám tak čas při řešení problémů.

Se systémy pro správu protokolů máte oproti jiným řešením několik dalších výhod. Můžete nastavit upozornění na jakýkoli typ události, což činí tento typ systému mnohem flexibilnějším než nastavení upozornění pouze na provoz.

Upozornění můžete také nastavit mnohem podrobněji. Například u výstrahy založené na IP adrese na bráně firewall budete mít několik falešně pozitivních výsledků, dokud neupravíte konfiguraci výstrah tak, aby zahrnovala pouze podezřelé IP adresy. V aplikaci Loggly můžete nastavit výstrahy založené na kombinaci událostí a špiček provozu, takže budete dostávat pouze ty anomálie, které by měly vyrušit pracovníky IT, a ti budou muset rychle reagovat.

Poznámka k výstrahám: jejich přílišné množství může mít na týmy IT opačný účinek. Předpokládejme například, že máte systém nastaven tak, aby odesílal upozornění na několik anomálií, které jsou obvykle neškodné. Váš tým na základě těchto konfigurací dostává stovky výstrah denně. Při zahlcení neškodnými událostmi mají pracovníci IT tendenci ignorovat všechny, včetně těch důležitých. Není to úmyslné, ale při přijímání stovek výstrah denně mohou být ty důležité pohřbeny a výsledkem je, že IT oddělení má během kritického výpadku přehlédnutí.

Zbrojte se proti DDoS

Události DDoS jsou pro správce obtížné, ale v podstatě představují hlavní problém zabezpečení. Pomocí určité automatizace a výstrah však můžete spustit správná proaktivní oznámení, která omezí čas potřebný k identifikaci a zastavení útoku DDoS.

Teď, když jste se naučili monitorovat ddos a zjistit, zda jste pod útokem, zaregistrujte se do zkušební verze Loggly ZDARMA bez nutnosti kreditní karty a zobrazte si výkon aplikací, chování systému a neobvyklou aktivitu v celém zásobníku. Sledujte své klíčové zdroje a metriky a odstraňte problémy dříve, než ovlivní váš server a uživatele.
>> Zaregistrujte se nyní k bezplatné zkušební verzi Loggly

Ochranné známky, značky služeb a loga Loggly a SolarWinds jsou výhradním vlastnictvím společnosti SolarWinds Worldwide, LLC nebo jejích poboček. Všechny ostatní ochranné známky jsou majetkem příslušných vlastníků.