Jak neodhalený DDoS odpojil město od internetu

Správce sítě byl upozorněn na to, že jeden konkrétní rádiový uplink se uprostřed dne začal saturovat. Tento síťový segment pokrýval odlehlé město. V důsledku toho všechny domácnosti i instituce v této oblasti zažívaly vážné problémy s připojením.

Data ze SNMP ukazovala pravidelné přetížení uplinku, ale navenek nebylo zřejmé, co se děje. ISP za tímto uplinkem neměl detailní informace o jednotlivých zákaznících, takže správce sítě nemohl zjistit, zda je za nadměrný upload zodpovědný jeden konkrétní koncový bod.

Co delat?

Správce sítě provedl analýzu anomálie pomocí netflow dat – telemetrie síťového provozu.

• ISP měl export netflow dat na perimetru.
• Netflow byla ukládána do centrálního kolektoru se softwarem FLOWCUTTER.
• FLOWCUTTER umožňuje každému správci rychlou analýzu netflow i dalších datových zdrojů.
• Navíc FLOWCUTTER umožňuje „out-of-the-box“ detekci různých objemových DDoS útoků.

To pomohlo odhalit charakter útoku a získat informace potřebné k jeho efektivnímu potlačení.

Analýza provozu ve FLOWCUTTERu ukázala povahu anomálie. Zobrazením Top N zdrojových portů podle počtu toků správce správně identifikoval, že na přetížení uplinku se nejvíce podílely odpovědi na DNS dotazy. Příchozí DNS pakety byly v celkovém provozu skryté, ale odchozí DNS odpovědi byly jasně viditelné.

Zaměření se pouze na DNS odpovědi (filtrování src.port=53) umožnilo jednoduchou operaci, která trvala jen 2 sekundy. Právě v tom FLOWCUTTER výrazně převyšuje konkurenci.

Dalším krokem bylo porovnání provozu před anomálií a během ní. Ukázalo se, že obvykle bylo aktivních kolem 1 000 komunikujících IP párů, ale najednou jich bylo 23 000 – odpovídající distribuované povaze útoku.

I když správce nemohl určit konkrétního koncového zákazníka (protože za každou veřejnou IPv4 adresou bylo více uživatelů), rozpoznal reflexivní DDoS útok využívající DNS.

Analýza navíc odhalila informace (kombinace zdrojového/cílového portu = 53/24335), které mohl využít k mitigaci útoku pomocí BGP FlowSpec (RFC 5575). FlowSpec funguje podobně jako BGP Remotely Triggered Black Hole, ale poskytuje jemnější kontrolu (porty, délka paketů, TCP příznaky, ICMP kódy, …) a umožňuje řízení těchto toků.

• Analýza netflow v Grafaně

• Skenování otevřených portů

• SNMP vs. toková telemetrie

ISP detekoval saturaci uplinku.

1. V netflow datech správce identifikoval příčinu – odchozí reflexivní DDoS útok přes DNS.
2. Útok úspěšně mitigoval pomocí BGP FlowSpec.

Do budoucna ISP využije schopnosti FLOWCUTTERu pro monitorování a upozornění na provozní anomálie – správce může snadno nastavit detekci různých DDoS útoků a být příště varován ještě rychleji.

Co pomohlo poskytovateli internetu splnit zákonnou povinnost uchovávání dat s nízkými náklady v rámci složité sítě o více než 130 lokalitách s NAT překladem.

Většina zemí ukládá poskytovatelům internetového připojení povinnost shromažďovat forenzní data o tom, kdo s kým komunikuje. V praxi to obvykle znamená ukládání netflow dat. Povinná doba uchovávání dat se podle země pohybuje od 6 měsíců až po 5 let.

Jaké výzvy musí operátor překonat, aby splnil národní požadavky?

Existuje několik problémů, se kterými se potýkal i tento operátor:

• Aby bylo možné určit konkrétního zákazníka, který danou komunikaci inicioval, musí operátor zohlednit NAT překlad – za jednou veřejnou IP adresou může být mnoho lokálních.
• Architektura sítě se u operátorů velmi liší – někteří mají rozsáhlé a různorodé sítě. V tomto případě šlo o více než 130 samostatných lokalit, z nichž každá měla vlastní NAT router.
• Používané routery pocházely od různých výrobců a měly různé verze firmwaru.
• Objem provozu: u menších ISP se jedná přibližně o 10 000 IP párů za sekundu, u větších až o 1 milion toků za sekundu.
• Ukládání takového množství netflow dat je velmi náročné.

Aby ISP splnil povinnost uchovávání dat, zavedl následující řešení:

• Operátor nastavil export netflow (z interního provozu) ze 130+ routerů.
• Navíc byly na perimetru nasazeny sondy FLOWCUTTER pro monitorování veřejného provozu.
• Netflow data byly průběžně odesílány do centrálního sběrače s nainstalovaným softwarem FLOWCUTTER.
• FLOWCUTTER podporuje všechny příchozí formáty provozních toků: NF5/8/IPFIX.

Projekt byl úspěšně dokončen a splnil všechna očekávání. Díky správnému dimenzování má ISP zajištěné kapacity pro uchovávání dat na období dalších 3 až 5 let.

Ve srovnání s konkurenčními řešeními vedlo nasazení FLOWCUTTERu ke snížení celkových nákladů o 75 %, a to díky jeho flexibilitě a široké kompatibilitě – operátor mohl využít vlastní infrastrukturu a nemusel pořizovat nové kompletní řešení od základu.

• Síťové sondy

• Formáty toků a kompatibilita

• Hardwarové zařízení

• Kompresní poměr toků

Projekt byl úspěšně dokončen, očekávání byla splněna.

Navíc se podařilo snížit celkovou cenu o 75 %.