Varovanie pred rozsiahlymi DDoS útokmi

Národný bezpečnostný úrad varuje pred bezprostrednou hrozbou rozsiahlych DDoS útokov v kybernetickom priestore Slovenskej republiky, ktoré môžu prebiehať intenzívne v nasledujúcich dňoch.

DDoS útoky sú jednou z najbežnejších foriem útoku, ktorými sa aktéri hrozieb snažia obmedzovať alebo úplne zastaviť prevádzku najmä webových služieb rôznych organizácií, napríklad štátnych inštitúcií, kritickej infraštruktúry, politických strán ale aj komerčných služieb, ako sú napríklad banky.

Národný bezpečnostný úrad adresne varoval inštitúcie, ktoré hackerské skupiny označili za svoje potenciálne ciele. Keďže disponujeme informáciami, že útoky na niektoré zverejnené ciele boli úspešne naplnené, vydávame varovanie podľa §27 ods. 1 písm. a) zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti pred potenciálnymi DDoS útokmi v kybernetickom priestore Slovenskej republiky.

Objemové DDoS útoky

Objemové DDoS útoky majú za cieľ zahltiť internetovú linku obete paketmi. Existuje viacero typov týchto útokov. Niektoré využívajú tzv. internetové reflektory (amplifikátory), ktoré umožňujú útočníkovi znásobiť silu útoku využitím chybne nakonfigurovaných zariadení, ktoré jeden paket “odrazia” ako viac paketov do siete obete. Iné využívajú kompromitované siete zariadení – botnety. Ďalšie zasielajú falšované pakety s náhodne generovanými zdrojovými adresami.

V každom prípade sa jedná o veľký počet paketov, ktoré nie je možné blokovať na základe zdrojovej IP adresy.

Detekcia takéhoto útoku je možná viacerými spôsobmi – monitoringom internetových liniek (kapacitné vyťaženie, vyššia latencia až úplná nedostupnosť všetkých služieb na IP adresnom rozsahu), ale aj sledovaním dostupnosti stránok z Internetu.

Je veľmi vhodné mať pripravenú záložnú internetovú koneketivitu aspoň na odchádzajúce sieťové spojenia pre prípad, že je hlavná linka vyťažená.

L7 DDoS útoky

Typické redakčné systémy sú náročné na výpočtový výkon. Pre zobrazenie jednej stránky vykonajú jednotky až desiatky databázových pripojení. Preto sú zraniteľné aj na jednoduché útoky, pri ktorých útočník vytvára spojenia na stránky, ktoré vyčerpajú serverový výkon (typicky napr. vyhľadávanie na webovej stránke).

Takéto útoky nemusia zahltiť kapacitu celej linky a môže byť ťažké rozoznať ich na sieťovom grafe. Najlepší spôsob detekcie je monitoring logov webového servera a sledovanie jeho latencie. Pomôcť vám pri tom môžu aj online služby na testovanie dostupnosti webov, z ktorých mnohé sú zadarmo.

Odporúčania na odrazenie útoku

  • je potrebné mať schopnosť vykonať blokovanie útoku
    • pre prípad objemových útokov, ktoré nezahltia kapacitu celej linky organizácie, je možné využiť zariadenie na perimetri vlastnej siete organizácie, ktoré podporuje blokovanie podľa access listov a blokovanie podľa geolokácie.
    • pre prípad objemových útokov nad rozsah kapacity linky organizácie je potrebné mať možnosť vykonať blokovanie využitím služieb na strane poskytovateľa internetu. Toto blokovanie môže mať viacero foriem
      • GeoIP blokácia prostriedkami u ISP
      • odpublikovanie celého IPv4 a IPv6 rozsahu zo zahraničia z BGP protokolu (ponechanie v národnom peeringovom centre)
      • zmena IP adresného rozsahu pre služby
      • pri multi-home ISP: zmena linky, cez ktorú sa vybrané rozsahy publikujú do Internetu
  • niektoré aj na Slovensku zaznamenané útoky však môžu presiahnuť aj schopnosti blokovania lokálnych internetových poskytovateľov. Preto je potrebné mať schopnosť smerovať komunikáciu na webové služby cez “práčky trafficu” – služby, ktoré vedia prijať spojenia vo svojich dátových centrách po celom svete, oddeliť útok od legitímnych spojení a iba vybrané spojenia zaslať na pôvodné servery

Odporúčania na zvýšenie viditeľnosti a schopnosti reakcie

  • ak ešte nie je, odporúčame okamžite zaviesť monitoring dostupnosti služieb z verejného internetu (existuje viacero monitorovacích služieb, dostupných aj zadarmo)
  • pre schopnosť reagovať a efektívne spravovať sieť aj v čase útoku odporúčame zabezpečiť záložnú internetovú konektivitu pre systémových administrátorov, aspoň na odchádzajúce spojenia
  • pre zvýšenie viditeľnosti implementovať WAF (webový aplikačný firewall) pred webové služby
  • odporúčame sa spojiť so zmluvným poskytovateľom Internetu a informovať sa o možnostiach DDoS ochrany, ktoré ponúka

Odporúčania na zvýšenie odolnosti voči útoku

  • všetkým inštitúciám dôrazne odporúčame zmeniť spôsob poskytovania webových stránok a do Internetu publikovať iba statické webové stránky. Takéto riešenie dlhodobo využíva napríklad Národný bezpečnostný úrad ako na stránkach www.nbu.gov.sk, tak aj www.sk-cert.sk. V tomto režime je redakčný systém umiestnený  vo vnútornej sieti organizácie a nie je prístupný z Internetu. Systém vytvára statický “obraz” stránky a nahráva ju na verejne dostupný server. Verzia stránky vystavená na Internete teda nevyužíva žiadne databázy ani dynamicky generovaný obsah. Výsledkom je, že
    • dodanie stránky klientovi je neporovnateľne rýchlejšie a menej náročné na výpočtový výkon,
    • rovnaký server dokáže obslúžiť o niekoľko rádov viac klientov,
    • obsah sa ľahko “kešuje”, t.j. ukladá vo vyrovnávacej pamäti, preto ho predsadená služba DDoS ochrany vie dodávať aj úplne bez kontaktu so statickým webovým serverom,
    • riešenie je odolné aj voči útokom, zneužívajúcim zraniteľnosti redakčných systémov,
    • statický server je možné vystaviť mimo vlastnej infraštruktúry organizácie, prípadne na CDN (Content Delivery Network) – sieti priamo navrhnutej na celosvetové poskytovanie statického obsahu v maximálnej rýchlosti. 
  • striktne oddeliť citlivé údaje a prevádzkovo kritické aktíva od verejných webových stránok,
  • odporúčame tiež mať vytvorené záložné lokality systémov a služieb

Ak máte akékoľvek problémy v oblasti kybernetickej bezpečnosti alebo sa u Vás vyskytne kybernetický bezpečnostný incident, bezodkladne nás o tom informujte na [email protected].


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy