MTE legt uit: hoe DDoS-bescherming werkt
In de loop der jaren was gedistribueerde denial of service (DDoS) een zeer betrouwbare manier om ervoor te zorgen dat een gehoste service (zoals een website of een dienst zoals het PlayStation Network) het daglicht in ieder geval voor een tijdje niet ziet.
De kracht die deze aanvallen hebben, maakt mensen nieuwsgierig naar de mechanismen achter hen, en daarom hebben we de tijd genomen om uit te leggen hoe ze werken en gingen zelfs zover dat ze grondig aantoonden hoe enorm sommige van deze aanvallen kunnen zijn, tot het punt dat een van hen kan zelfs hele sectoren van internet voor miljoenen mensen afsluiten. Er is echter een kleine hoeveelheid openbare discussie over hoe de tegenmaatregel (bijv. DDoS-bescherming) werkt.
Het probleem met het bespreken van DDoS-bescherming
Het internet is een enorm scala aan netwerken die verbonden zijn over een gigantische, rommelige leegte. Er zijn triljoenen kleine pakketjes die overal ter wereld met bijna de snelheid van het licht reizen. Om de desoriënterende en mysterieuze innerlijke werking te begrijpen, wordt het internet opgesplitst in groepen. Deze groepen worden vaak opgesplitst in subgroepen, enzovoort.
Dit maakt de discussie over DDoS-bescherming een beetje ingewikkeld. De manier waarop een thuiscomputer zichzelf beschermt tegen DDoS is vergelijkbaar met en enigszins verschillend van de manier waarop het datacenter van een miljoenenbedrijf dat doet. En we hebben nog geen internet service providers (ISP's) bereikt. Er zijn net zo veel manieren om DDoS-bescherming te classificeren als het classificeren van de verschillende onderdelen waaruit het internet bestaat met zijn miljarden verbindingen, zijn clusters, zijn continentale uitwisselingen en zijn subnetten.
Met dat gezegd zijnde, laten we een chirurgische benadering proberen die alle relevante en belangrijke details van de zaak raakt.
Het principe achter DDoS-bescherming
Als je dit leest zonder een duidelijke kennis van hoe DDoS werkt, stel ik voor dat je de uitleg leest die ik eerder heb gekoppeld, anders wordt het misschien een beetje overweldigend. Er zijn twee dingen die u kunt doen met een inkomend pakket: u kunt het negeren of doorverwijzen . Je kunt het niet zomaar laten stoppen omdat je geen controle hebt over de bron van het pakket. Het is er al en uw software wil weten wat ermee te doen.
Dit is een universele waarheid waar we ons allemaal aan houden, en het omvat ook de ISP's die ons met internet verbinden. Dat is de reden waarom zoveel aanvallen succesvol zijn: omdat je het gedrag van de bron niet kunt regelen, kan de bron je genoeg pakketten sturen om je verbinding te overbelasten.
Hoe het met software en routers (thuissystemen) werkt
Als je een firewall uitvoert op je computer of je router heeft er een, dan zit je meestal vast aan één basisprincipe: als er DDoS-verkeer binnenkomt, maakt de software een lijst met IP's die binnenkomen met onwettig verkeer.
Het doet dit door op te merken wanneer iets je een hoop afvalgegevens of verbindingsverzoeken op een onnatuurlijke frequentie stuurt, zoals meer dan vijftig keer per seconde. Vervolgens worden alle transacties geblokkeerd die afkomstig zijn van die bron. Door ze te blokkeren, hoeft uw computer geen extra bronnen te besteden aan het interpreteren van de gegevens in de computer. Het bericht komt niet op zijn bestemming. Als u wordt geblokkeerd door de firewall van een computer en hiermee verbinding probeert te maken, krijgt u een time-out voor de verbinding, omdat alles wat u verzendt, gewoon wordt genegeerd.
Dit is een geweldige manier om te beschermen tegen single-IP Denial of Service-aanvallen (DoS-aanvallen), omdat de aanvaller telkens wanneer hij incheckt een time-out voor de verbinding ziet om te zien of er vooruitgang wordt geboekt. Met een gedistribueerde denial of service werkt dit omdat alle gegevens afkomstig van de aanvallende IP's worden genegeerd.
Er is een probleem met dit schema.
In de wereld van internet bestaat er niet zoiets als 'passief blokkeren'. U hebt middelen nodig, zelfs als u een pakket negeert dat op u afkomt. Als je software gebruikt, stopt het aanvalspunt op je computer maar gaat het nog steeds door je router als een kogel door papier. Dat betekent dat uw router onvermoeibaar werkt om alle onwettige pakketten in uw richting te sturen.
Als u de firewall van de router gebruikt, stopt alles daar. Maar dat betekent nog steeds dat uw router de bron van elk pakket scant en vervolgens de lijst met geblokkeerde IP's herhaalt om te zien of deze moet worden genegeerd of toegestaan.
Stel je voor dat je router miljoenen keren per seconde moet doen wat ik zojuist heb genoemd. Uw router heeft een eindige hoeveelheid verwerkingskracht. Zodra het die limiet bereikt, heeft het problemen met het prioriteren van legitiem verkeer, ongeacht de geavanceerde methoden die het gebruikt.
Laten we dit allemaal apart houden om een ander probleem te bespreken. Ervan uitgaande dat je een magische router hebt met een oneindige hoeveelheid verwerkingskracht, geeft je ISP je nog steeds een eindige hoeveelheid bandbreedte. Zodra die bandbreedtecap is bereikt, zult u moeite hebben om zelfs de eenvoudigste taken op het web uit te voeren.
De ultieme oplossing voor DDoS is dus een oneindige hoeveelheid verwerkingskracht en een oneindige hoeveelheid bandbreedte. Als iemand erachter komt hoe dat te bereiken, zijn we gouden!
Hoe grote bedrijven omgaan met hun lading
Het mooie van hoe bedrijven met DDoS omgaan, ligt in de elegantie: ze gebruiken hun bestaande infrastructuur om elke bedreiging tegen te gaan die op hun weg komt. Meestal gebeurt dit ofwel via een load-balancer, een contentdistributienetwerk (CDN) of een combinatie van beide. Kleinere websites en services kunnen dit uitbesteden aan een derde partij als zij niet over het kapitaal beschikken om zo'n uitgebreide reeks servers te onderhouden.
Met een CDN wordt de inhoud van een website gekopieerd naar een groot netwerk van servers verspreid over vele geografische gebieden. Hierdoor wordt de website snel geladen, ongeacht waar u zich in de wereld bevindt wanneer u verbinding maakt.
Load balancers vullen dit aan door gegevens opnieuw te verdelen en te catalogiseren op verschillende servers, waarbij voorrang wordt verleend aan het verkeer naar het type server dat het best geschikt is voor de taak. Lagere bandbreedteservers met grote harde schijven kunnen grote hoeveelheden kleine bestanden aan. Servers met enorme bandbreedteverbindingen kunnen het streamen van grotere bestanden aan. (Denk aan "YouTube.")
En hier is hoe het werkt
Zie je waar ik naartoe ga? Als een aanval op één server valt, kan de load balancer de DDoS bijhouden en doorgaan met het raken van die server terwijl alle legitieme verkeer elders in het netwerk wordt omgeleid. Het idee hier is om een gedecentraliseerd netwerk in uw voordeel te gebruiken, middelen toe te wijzen waar nodig, zodat de website of service kan blijven draaien terwijl de aanval op een "lokker" is gericht. Behoorlijk slim, toch?
Omdat het netwerk gedecentraliseerd is, krijgt het een aanzienlijk voordeel ten opzichte van eenvoudige firewalls en welke bescherming de meeste routers kunnen bieden. Het probleem hier is dat je veel geld nodig hebt om je eigen operatie opgestart te krijgen. Terwijl ze groeien, kunnen bedrijven vertrouwen op grotere gespecialiseerde providers om hen de bescherming te bieden die ze nodig hebben.
Hoe de Behemoths het doen
We hebben kleine huisnetwerken rondgereisd en zijn zelfs in het rijk van mega-bedrijven geweest. Het is nu tijd om de laatste fase van deze zoektocht in te lopen: we gaan kijken naar hoe de bedrijven die je een internetverbinding geven, zichzelf beschermen tegen het vallen in een donkere afgrond. Dit staat op het punt een beetje ingewikkeld te worden, maar ik zal proberen zo beknopt mogelijk te zijn zonder een drool-inducerende stelling over verschillende DDoS-beschermingsmethoden.
ISP's hebben hun eigen unieke manieren om verkeersfluctuaties af te handelen. De meeste DDoS-aanvallen registreren zich nauwelijks op hun radars omdat ze toegang hebben tot een vrijwel onbeperkte hoeveelheid bandbreedte. Hun dagelijks verkeer om 7-11 PM (ook bekend als het "Internet Rush Hour") bereikt niveaus die de bandbreedte overschrijden die je zou krijgen van een gemiddelde DDoS-stream.
Natuurlijk, omdat dit het internet is waar we het over hebben, zijn er (en zijn het vaak geweest) gelegenheden waarbij het verkeer iets meer is dan een tik op de radar.
Deze aanvallen komen binnen met stormachtige wind en proberen de infrastructuur van kleinere ISP's te overweldigen. Wanneer uw provider zijn wenkbrauwen oprekt, bereikt het snel een arsenaal aan hulpmiddelen om deze dreiging te bestrijden. Vergeet niet dat deze jongens enorme infrastructuren tot hun beschikking hebben, dus er zijn veel manieren waarop dit kan mislukken. Dit zijn de meest voorkomende:
- Op afstand getriggerd zwart gat - Het klinkt heel erg als iets uit een sci-fi film, maar RTBH is een echt iets gedocumenteerd door Cisco. Er zijn veel manieren om dit te doen, maar ik zal je de "quick and dirty" versie geven: een ISP zal communiceren met het netwerk waar de aanval vandaan komt en vertel het om al het uitgaande verkeer dat in zijn richting wordt geslingerd te blokkeren. Het is gemakkelijker om verkeer dat weggaat te blokkeren dan om inkomende pakketten te blokkeren. Natuurlijk, alles van de doel-ISP zal nu verschijnen alsof het offline is naar de mensen die contact maken met de bron van de aanval, maar het klaart de klus en kost niet veel moeite. Het overige verkeer in de wereld blijft onaangetast.
- Scrubbers - Sommige zeer grote ISP's hebben datacenters vol met verwerkingsapparatuur die verkeerspatronen kunnen analyseren om legitiem verkeer uit DDoS-verkeer te scheiden. Omdat het veel rekenkracht en een gevestigde infrastructuur vereist, zullen kleinere ISP's vaak hun toevlucht nemen tot het uitbesteden van deze taak aan een ander bedrijf. Het verkeer in de getroffen sector passeert een filter en de meeste DDoS-pakketten worden geblokkeerd terwijl legitiem verkeer wordt toegestaan. Dit zorgt voor de normale werking van de ISP ten koste van enorme hoeveelheden rekenkracht.
- Sommige verkeersvoodoo - Met behulp van een methode die bekend staat als 'traffic shaping', rampt de ISP alles wat de DDoS-aanval met zich meebrengt naar zijn bestemmings-IP terwijl alle andere knooppunten met rust worden gelaten. Dit zal in principe het slachtoffer onder de bus gooien om de rest van het netwerk te redden. Het is een zeer lelijke oplossing en vaak de laatste die een ISP zal gebruiken als het netwerk in een ernstige crisis verkeert en snelle, beslissende actie nodig heeft om het voortbestaan van het geheel te waarborgen. Zie het als een "de behoeften van de velen opwegen tegen de behoeften van de weinige" scenario.
Het probleem met DDoS is dat de effectiviteit hand in hand gaat met verbeteringen in computervermogen en beschikbaarheid van bandbreedte. Om deze dreiging echt te bestrijden, moeten we geavanceerde netwerkwijzigingsmethoden gebruiken die de mogelijkheden van de gemiddelde thuisgebruiker ver overtreffen. Het is waarschijnlijk een goede zaak dat huishoudens niet vaak directe doelen van DDoS zijn!
Trouwens, als je wilt zien waar deze aanvallen zich in realtime voordoen, bekijk dan de Digital Attack Map.
Ben je ooit het slachtoffer geworden van dit soort aanvallen bij jou thuis of op je werk? Vertel ons je verhaal in een reactie!