Mit jelentett ez a támadás a gyakorlatban?
A 7,3 Tbps-os áradat 37,4 terabájt adatot zúdított a célpontra mindössze 45 másodperc alatt. Bár ekkora adatmennyiség ma már önmagában nem elképesztő, a rövid időtartam annál inkább. Ennyi adat megfelel például 9350 egész estés HD film letöltésének, vagy 7480 órányi HD videó folyamatos, szünet nélküli streamelésének – ami majdnem egy évnyi sorozatnézéssel ér fel. Zenéből ez 9,35 millió dalt jelent, amivel 57 éven át minden nap új számot hallgathatnál! Ha pedig mindez fényképekkel történne, 12,5 millió nagy felbontású képet készíthetnél okostelefonoddal; napi egy fotóval számolva ehhez 4000 év kellene – itt viszont mindez 45 másodperc alatt lezajlott.
Támadási technikák és módszerek
A támadás szó szerint „szőnyegbombázta” a célt: egyetlen IP-címet érintett, átlagosan 21 925 különböző portot támadva másodpercenként, csúcspontján pedig 34 517 portot elérve. Az akció forrásportjai szintén szélesen szóródtak. A forgalom 99,996%-át UDP flood, vagyis UDP csomagok áradata tette ki, a fennmaradó 0,004% speciális visszaverő és erősítő támadásokból állt, például QOTD (Quote of the Day) visszaverő támadásból, Echo, NTP és Mirai típusú floodból, valamint portmap- és RIPv1-alapú erősítésből.
Egyes támadási típusok röviden
Az UDP flood lényege, hogy nagy számban küldenek UDP csomagokat véletlenszerű vagy adott portokra, ezzel igyekezve telíteni az internetkapcsolatot vagy túlterhelni a hardveres eszközöket. A védekezés legjobb módja: internetes (felhőalapú) volumetrikus DDoS-védelem, okos sebességkorlátozás, szelektív UDP-szűrés – de ügyelni kell arra, hogy a szükséges szolgáltatásokat (pl. VoIP, játék) ne zavarjuk.
A QOTD és Echo támadások régi, szinte már nem használt hálózati protokollokat céloznak: elavult szervereken keresztül többszörözik meg a kimenő forgalmat, ezzel erősítve a támadást. Ezeket a protokollokat érdemes végleg letiltani. Az NTP (Network Time Protocol, hálózati időprotokoll) esetében régi szervereken egy hibás parancs nagy listákat küld vissza a támadónak, ez szoftverfrissítéssel és megfelelő szűréssel védhető.
A hírhedt Mirai botnet főként sebezhető IoT-eszközöket használ fel az áradathoz. Fontos a jelszavak cseréje, eszközeink rendszeres frissítése, és a hálózati forgalom folyamatos figyelése. A portmap-alapú támadások RPC-alkalmazásokat támadnak; ha nincs rá szükség, ezt a szolgáltatást érdemes leállítani.
A RIPv1-támadások elavult router-protokollt használva próbálnak zavart kelteni: ma már ritkán szükséges, ezért ajánlott letiltani vagy újabb, hitelesítést használó megoldásra cserélni.
Honnan jött a támadás?
Összesen 122 145 forrás IP-cím vett részt, 5433 független hálózati rendszerből, 161 különböző országból. A támadási forgalom majdnem fele Brazíliából és Vietnámból érkezett, mindkettő körülbelül 25–25 százalékkal járult hozzá. A maradék harmad Tajvanból, Kínából, Indonéziából, Ukrajnából, Ecuadorból, Thaiföldről, az Egyesült Államokból és Szaúd-Arábiából indult. A legnagyobb egyéni forgalmat a Telefonica Brazil hozta a támadók közül, őt követték a Viettel Group, a China Unicom és a Chunghwa Telecom. Ezekből a forrásokból minden másodpercben átlagosan 26 855 egyedi IP-cím kapcsolódott be, csúcspontján pedig 45 097.
Védekezés: amikor a rendszer önmagát védi
A Cloudflare globális „anycast” hálózatának köszönhetően a támadó csomagok automatikusan a legközelebbi adatközpont felé terelődtek – a blokkolás egyszerre zajlott 477 adatközpontban, világszerte 293 helyszínen. A DDoS elleni védelem minden adatközpontban fut, az összes szolgáltatással együtt. Ez lehetővé teszi, hogy teljesen autonóm módon, leállás, emberi beavatkozás vagy téves riasztás nélkül állítsák meg az ilyen akciókat.
A folyamat igazi trükkje az automatikus csomagminta-elemzés: a Linux kernel mélyéből, eBPF (extended Berkeley Packet Filter) segítségével veszi és szűri a forgalmat. Egy ekkora támadásnál a rendszer másodpercek alatt felismeri a támadási mintázatokat, és sebészi pontosságú szabályokat generál, amelyek kizárólag a támadó forgalmat blokkolják – a normális működés zavartalan marad.
Emellett a szerverek folyamatosan „pletykálják” egymásnak a támadási információkat, hogy a védelmi szabályok gyorsabban terjedjenek, és a világ bármely pontján hatékonyak legyenek.
Szabad hozzáférésű védelmi adatok
A Cloudflare fenntart egy díjmentes, botnet-forrásokat mutató adatcsatornát is, amelyhez már világszerte több mint 600 szervezet csatlakozott. Ebben minden szolgáltató megkapja a saját hálózatából induló támadó IP-címek listáját – ezzel segítik egymást a szolgáltatók a visszaélések felszámolásában.
A jövő hálózata mindig felkészült
Ez a mostani, önállóan visszavert támadás ismét bizonyítja, hogy a fejlett önvédelmi rendszerek képesek az internet legnagyobb fenyegetéseinek kivédésére úgy, hogy az igazi felhasználók ebből semmit sem érzékelnek – és anélkül, hogy akár egy gombot is meg kellene nyomni. Az internet tehát egyelőre túlélte a következő rohamot is.
