לא כולל שירות: כל מה שצריך לדעת על מתקפות DDoS

מתקפות DDoS הופכות נפוצות יותר ויותר. החדשות הרעות: אין הגנה מלאה מפניהן. החדשות הטובות: עם הכנה נכונה, ניטור וארכיטקטורה מתאימה תוכלו להקל את המכה

צילום/ תמונה: Pixabay

מאת דני מן

כמות התקפות מניעת השירות המבוזרות (Distributed Denial of Service), התקפות שנועדו לפגוע בזמינות של אתר או שירות אינטרנט, הולכת ועולה מדי יום. בנוסף, המתקפות גדלות בהיקפן ומשכן מתארך. הקלות בה ניתן להזמין מתקפה כזו וזמינות רשתות זומבים (בוטנטים) גורמות לנו להיתקל בתופעה על בסיס יומי. לאחרונה נפוץ השימוש במכשירים חכמים למתקפות, כגון מצלמות, נורות וטלוויזיות. למכשירים אלה יש גישה לאינטרנט, תמיכה מוגבלת ועדכונים מוגבלים, ולכן הם מטרה קלה לגיוס לבוטנט.

סוגי מתקפות

חלוקה נפוצה של סוגי מתקפות היא לפי מודל ה-OSI, מודל המחלק את הפעולות במערכת תקשורת לשכבות, כאשר ההתקפות מתרכזות בשכבות התשתית 3 ו-4 (תעבורה ורשת Transport and Network Layers) ובשכבה הגבוהה ביותר, שכבה 7, היא שכבת היישום (Application Layer).

המתקפה הנפוצה ביותר כיום היא SYN flood, זוהי מתקפה על שכבה 4 (תעבורה). בפרוטוקול ה-TCP בקשות מתחילות בלחיצת יד משולשת, צד א’ שולח בקשת סנכרון (SYN), צד ב’ עונה עם אישור ובקשת סנכרון מצידו (SYN-ACK) ואז צד א’ מסיים עם אישור (ACK). במתקפה התוקף מתחיל בלחיצת יד, אבל לא מחזיר את האישורים וכך משאיר חיבורים ממתינים אצל המגנים. המתקפה מחזיקה את כל החיבורים הפנויים בשרת וגורמת לבקשות חדשות להידחות או להאט.

מתקפה נפוצה אחרת בשכבות התשתית היא UDP flood, כאשר שרתים מקבלים חבילות מידע מסוג UDP בפורט מסוים הם בודקים אם תוכנה כלשהי מאזינה לפורט ואם לא, שולחים חזרה חבילת ICMP. שיטה זו יקרה במשאבים ולכן כשהתוקף מציף את המטרה בבקשות כאלה הוא מכלה את משאביו.

מאחר ושירותי הענן מספקים פתרונות טובים למתקפות תשתית בשכבות הנמוכות (ראו פירוט למטה), בשנים האחרונות מתקפות על שכבת היישום (7) נמצאות בעליה. הנפוצה בהן היא HTTP flood attack, הצפה של אתר בבקשות המתחזות לבקשות ממשתמשים רגילים. התקפות כאלה קשות לחסימה בגלל החשש מחסימת משתמשים אנושיים או בוטים טובים (המהווים חלק נכבד מהתעבורה באינטרנט).

שיטת מדידת עוצמת המתקפה נקבעת לפי סוגה, בין אם מספר ביטים לשניה (bit per second) ומספר חבילות מידע לשניה (packets per second) במתקפות תשתית, או מספר בקשות לשניה (requests per second) במתקפות אפליקציה.

צילום/ תמונה: Pixabay

אין הגנה, יש שיכוך

אין הגנה מלאה מפני מתקפות. המושג הנהוג הוא ״שיכוך״ (mitigation), שכן מתקפה גדולה מספיק תפיל כל שירות. גם השרתים שמטפלים בהתקפה בעלי משאבים מוגבלים וקצב גדילה מוגבל. כמו כן, לשרתים עצמם קיימת עלות, כך שלהתמודדות עם מתקפה גדולה יכולה להיות עלות לא מבוטלת.

בשירותי ענן נכון לנצל את התשתית הנרחבת והעולמית העומדת לרשות הענן, ושירותים רבים בענן נותנים הגנות מפני מתקפות באופן מובנה. מה אפשר לעשות?

דבר ראשון, הקטינו את שטח המגע – רק שרתים ושירותים שחייבים להיות חשופים לעולם אכן חשופים, רק פורטים שצריכים להיות פתוחים לעולם אכן פתוחים ורק פרוטוקולים נחוצים עובדים. לדוגמא, External load balancer כמו AWS ALB, הוא היחיד שחשוף לעולם והוא מאזין רק לפרוטוקולים HTTP/HTTPS בפורטים 80/443. הוא כבר יסנן את כל המתקפות על שכבות התשתית. מומלץ גם להשתמש ב-CDN, ניתן להתקין אותו מעל תוכן סטטי ומעל תוכן דינאמי, הוא יסנן מתקפות תשתית, יענה להן ממקומות רבים בעולם וגם ישרת מידע מהמטמון (Cache).

הקפידו על סקליביליות, אלסטיות ושרידות. החלקים החשופים שצריכים להתמודד עם המתקפות צריכים לדעת לא ליפול, ולדעת לגדול אוטומטית. בדוגמה הקודמת, ה-ALB וה-CDN גדלים מעצמם. דוגמה נוספות היא שימוש בשירות Autoscale, כך שהשרתים מתחת ל-load balancers יוכלו להתמודד עם עלייה בתעבורה. יש לציין שלעיתים להתקפות עלולות להיות השפעות עומק על המערכת.

השתמשו בחומת אש (WAF – Web application firewall), במקרה של מתקפה על שכבה 7 יש צורך לסנן את התעבורה הטובה והרעה בעזרת WAF. ה-WAF מכיל סוגי כללים, למשל רשימות שחורות של IPs, הגבלות קצב, סריקת מחרוזות וכדומה. כמו כן, במהלך המתקפה ניתן לנסות לזהות מאפיין ולחסום רק אותו בעזרת כללים ספציפיים ב WAF (או כלים אחרים), למשל User Agent או מדינת מקור.

בנוסף, חשוב לנטר את התעבורה והשירותים כדי להבין מתי יש מתקפה, ולאפיין אותה כאשר היא מתרחשת.

מספר שירותים מציעים הגנה מפני מתקפות מניעת שירות, בספקים אלה כל התעבורה לאתר מופנית דרך שרתי הספק (Reverse Proxy) ואז מועברת פנימה אל שרתי הלקוח לאחר סינון. כמו בענן, גם פה, בדרך כלל מתקפות תשתית מטופלות במלואן על ידי השירות ומתקפות שכבה 7 ישוככו באמצעות WAF, לעתים עם כלים מתקדמים לזיהוי בוטים.

מה קורה אצלנו?

המתקפות שונות מאוד בקצבים שלהן ובזמן שהן נמשכות. בזכות תשתיות הענן, הדאגה העיקרית שלנו היא מתקפת על שכבת היישום (7). לדוגמה, לאחרונה ראינו מתקפת flood HTTP גדולה על אתר של מנעולן מטקסס שהוזמנה כנראה על ידי מתחרה שלו. המתקפה ארכה מספר ימים, בשיאה הגיעה לקצב של 150 אלף בקשות לשניה והשתתפו בה עשרות אלפי שרתים. אך רוב ההתקפות קטנות יותר, למשל התקפה על אתר להשכרת רכבים שארכה חצי שעה, בשיאה הגיעה ל-20 אלף בקשות לשניה והשתתפו בה מאות שרתים.

המתקפות נעשות ממגוון סיבות ועלולות לקרות לכל אתר ולכל שירות. לרוע המזל, בימינו אדם יכול לתקוף את מתחריו העסקיים ללא כל ידע טכני בעזרת שירותים הנקראים DDoS for hire, בהם ניתן לשכור מתקפה על אתר תמורת תשלום המתחיל בכמה עשרות דולרים. שירותים אלה אינם חוקיים, כמובן, ומדי פעם אנחנו שומעים על מעצרים של מפעילי שירותים כאלה ברחבי העולם, בין היתר בארצות הברית, בסין ולצערנו גם בישראל.

המתקפות מגיעות גם לפוליטיקה המקומית. באחת ממערכות הבחירות האחרונות צייץ פוליטיקאי: “בשעות אלו אתר המפלגה עובר מתקפת סייבר משמעותית כאשר זוהו למעלה מ-500 ניסיונות תקיפה משרתים שונים מחו”ל. עלותה המשוערת של המתקפה (מצד התוקפים) נאמדת בעשרות אלפי שקלים”.

כאמור, מתקפות מניעת שירות קורות מדי יום במספרים הולכים וגדלים, הן מתחזקות ואף מתארכות. הן יכולות לקרות לכל אחד, גם לכם. במקום להילחץ כדאי להתכונן מראש עם ארכיטקטורה מתאימה וניטור, שיעזרו לכם להתמודד עם המתקפה בשעת הצורך.

הכותב הינו ארכיטקט תשתיות בחברת Duda

הכתבה בחסות Duda

Duda היא פלטפורמת ה-SaaS המובילה עבור חברות המציעות שירותי בניית אתרים. היא משרתת מעל ל-23,000 חברות ברחבי העולם - החל מפרילנסרים וסוכנויות דיגיטל, ועד לחברות ענק. יותר מ-14 מיליון אתרים נבנו עם Duda.
הפלטפורמה מאפשרת לייצר אתרים רספונסיביים, עשירים בפיצ'רים מתקדמים ואינטגרציות. בנוסף, היא מספקת white labeling, כלים לעבודה צוותית ולניהול לקוחות. השחקנים הגדולים בתעשייה עובדים עם Duda, ביניהם Solocal, ItaliaOnline, Thryv, AppFolio ו- IONOS. לחברה מטה בפאלו אלטו ומשרדים בקולורדו, בברזיל ובמרכז תל-אביב. עד היום החברה גייסה $50MM, מתוכם $25MM ב-2019.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על "לא כולל שירות: כל מה שצריך לדעת על מתקפות DDoS"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Truth
Guest

דני מן דני מן, דאז וואטאבר א דני מן דאז, קן הי רייט אן ארטיקל??
יס הי קן היא איז דני מן

guest
Guest

כתבה מפורטת איכותית ומוסברת.
ישר כוח

guest
Guest

אולי אפשר היה להסביר יותר טוב את המתקפה UDP flood מה תפקידו של UDP…
וכן להסביר קצת יותר על CDN ואיך ההגנה שלו עובדת.
אבל באופן כללי כתבה מעולה.

יהונתן שחק
Guest

“המתקפה הנפוצה ביותר כיום היא SYN flood, זוהי מתקפה על שכבה 4 (תעבורה).”
זוהי מתקפה ישנה מאוד וכיום רוב מערכות ההפעלה מונעות אותה באופן דיפולטי.

קיימות מתקפות מתקדמות יותר בעיקר על שירותי Web, שימושים בכתובות IP מרובות וכו׳..

סה״כ כתבה טובה, חות מאי דיוקים פה ושם.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל