Proč nejdou DDoS útoky zastavit a dá se jim jen bránit

DDoS útoky jsou velkým problémem současnosti. S dostatečně velkým počtem útočníků, teoreticky neexistuje web, který by dokázal odolat. Ačkoliv existuje velké množství způsobů jak se aktivně či pasivně bránit, tak zastavit je úplně nelze. Dnes si řekneme proč.

Nelze blokovat každého

Jednoduchý DoS útok, který směřuje z jednoho zdroje se dá zastavit například přes firewall. Prostě začnete zahazovat všechna příchozí spojení a nebudete odpovídat. Na druhou stranu se musíte smířit s tím, že útočící IP adresa se pak k vám nedostane.

Zatímco u jednoho útočníka se to dá oželet v případě tisíců či desítek tisíc IP adres může nastat problém. Zablokování všech bude mít dopad na omezenou dostupnost vašich stránek. Navíc při velkém útoku je nutné provést takovýto zákaz nad úrovní vašeho webu či serveru. Váš poskytovatel hostingu z toho nemusí být zrovna dvakrát nadšený. Jednak filtrovat tak velký provoz je výpočetně náročné a také nemusí mít zájem odříznout další své zákazníky, kterým z těchto IP adres chodí regulérní návštěvníci.

Většina útočících IP adres přitom ani nemusí mít ponětí, že útočí. Existují k tomu dva důvody. Nejčastěji útočí napadené stroje, které jsou součástí sítě botnet. To mohou být například napadené počítače, mobilní telefony, redakční systémy, routery anebo VPS. Zvláště u počítačů jich může být za jednou IP adresou několik. V reálu například celý panelák anebo škola. Odříznout je nemůžete.

Druhým důvodem je neaktualizovaný software. Toho využívají některé amplification útoky (UDP). V podstatě se jedná o druh útoku, kdy se útočník představí jako server A (cíl útoku) a pošle nenáročný dotaz na server B, který mu vrátí náročnější odpověď na zpracování. Samozřejmě skutečný server A, pak musí vynaložit určité prostředky na zpracování odpovědi. Pokud by však serve B měl aktualizovaný software, tak by například po útočníkovi, který se představil jako serve A požadoval nějakou autorizaci. Nemusí se však jednat jen o aktualizaci software, ale také nastavení serverů, které je často podceňováno a umožňuje takového amplification útoky.

S tímto samozřejmě nic neuděláte. Maximálně, když na vás budou opakovaně chodit útoky, můžete napsat administrátorovi sítě ať si to aktualizuje anebo s tím něco udělá.

Omezení výkonu

Když vám přijdou pakety musíte je nejdříve vyhodnotit než se rozhodnete co s nimi uděláte. Pokud máte tedy DDoS ochranu, která zvládne zpracovat stovky tisíc paketů za vteřinu, tak v momentě když jich přijde milion, tak nebude stíhat. Postupně sice zavede nějaká pravidla filtrování a zmenší objem paketů pro analýzu, ale než se tak stane, tak jste odříznutí. Dokonce může nastat situace, kdy filtrování nebude kvůli objemu dat možné. Pokud máte 100 Mbps linku, tak při 1 Gbps dat nemůžete nic dělat.

Zde se většinou využívají služby třetí strany, která má dostatečnou kapacitu, aby se o vše postarala. Samozřejmě dostatečná kapacita neznamená neomezená. Ve světě se občas vyskytují útoky o objemech dat přesahující 100 Gbps a ty už znamenají velice nákladný problém.

Share Button

Tento článek byl byl přečten 1096 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *