Jak walczyć z atakami DDoS? Wywiad z Octavem Klabą, dyrektorem generalnym OVH

Ataki DDoS to jedno z największych zagrożeń czyhających na nas w sieci. Stanowią one duże zagrożenie dla bezpieczeństwa w firmie, gdyż mogą poważnie sparaliżować ich funkcjonowanie, dlatego też przeciwdziałanie tego typu atakom jest szczególnie ważne dla dużych przedsiębiorstw, aktywnych w internecie.

Na rynku dostępnych jest wiele rozwiązań przeciwdziałających atakom typu DDoS, a jednym z ich dostawców jest firma OVH. O samych atakach, jak i o systemie ochrony przed nimi, oferowanym przez OVH Anty-DDoS, rozmawiamy z założycielem i dyrektorem generalnym, Octavem Klabą.

Po aferze Wikileaks, grupa Anonymous uwypukliła słabe strony internetu. Demokratyzując ataki DDoS grupa ta wykazała, że bardzo łatwo jest zablokować działanie danej strony internetowej. Niektórzy młodzi ludzie traktują to jako nowy rodzaj gry video, w której bronią jest LOIC (Low Orbit Ion Cannon), a celem - prestiżowa strona internetowa.

Ataki DDoS w internecie były i zawsze będą powiązane z cyberprzestępczością - są wykonywane przez ludzi, którzy otrzymują za nie konkretne pieniądze. Podobnie, jak w prawdziwym życiu prawa obywateli chronią instytucje, tak samo w internecie działają firmy i osoby, które chronią internautów.

Do 2011 roku ochrona Anty-DDoS, bazując na ograniczeniu pewnego typu ruchu na IP źródłowym lub/i IP docelowym, pozwalała zablokować 99 ataków na 100. Systemy ochronne były dostępne dla wszystkich, a klienci nie ponosili za nie żadnych opłat. Po 2011 roku nastąpiła demokratyzacja ataków i liczba atakowanych serwisów zdecydowanie się zwiększyła. Stworzono i wdrożono do Internetu nowe formy ataków. Łącząc te rozwiązania z wirtualnymi płatnościami można było łatwo i szybko przeprowadzić atak na dowolny serwis. Z naszego poziomu zaobserwowaliśmy, że od końca 2012 roku nasze systemy ochronne nie były już wystarczająco skuteczne, żeby blokować nowe typy ataków.

Od zawsze postrzegamy ochronę Anty-DDoS jako standardową usługę, a nie płatną opcję. Obrona przed wszelkimi rodzajami ataków nie powinna być luksusem, na który stać tylko część użytkowników, zwłaszcza, że wraz z wprowadzeniem skutecznej ochrony Anty-DDoS nasi klienci stali się celem różnorodnych i rozciągniętych w czasie ataków. Dlatego potrzebowaliśmy nowy system ciągłej ochrony.

Gotowe rozwiązania na rynku pozwalają na zapewnienie ochrony dla łącz o przepustowości 100 Gbps/100 Mbps, a koszt takiego rozwiązania to 2 miliony euro. Taka ochrona z góry była niewystarczająca dla wszystkich naszych centrów danych zlokalizowanych na terenie Francji (Paryż, Roubaix, Strasburg, Gravelines) oraz w Ameryce Północnej (Montreal).

Nowoczesne centrum danych OVH w Roubaix. Serwerownia oferuje przepustowość dochodzącą do 10 Gbps na serwer.

Istotnie, trzeba by było zainwestować około 10 milionów euro, by dysponować całkowitą pojemnością 500 Gbps/500 Mpps, będącą w stanie ochronić wszystkie nasze centra danych. Jeśli do tego dodać grupę wparcia 24h/7 przełożyłoby się to na podwyżkę cen usług. Naszym zdaniem taki koszt byłby nieuzasadniony.

Ochrona Anty-DDoS dotyczy wszystkich klientów. Jeśli dany klient staje się celem ataku, skutki uboczne widoczne są na podsieciach, routerze oraz w końcu w całej infrastrukturze. Można by nawet sobie wyobrazić ataki, jako skutki uboczne: żeby osiągnąć cel atakuje się jego otoczenie. Krótko mówiąc, prawdopodobieństwo ataku, uzasadnionego lub powstałego jako skutek uboczny, jest rzeczywiste. Stworzenie jednolitej formuły dla wszystkich dostępnych usług wydawało się najlepszym rozwiązaniem współdzielenia ryzyka i kosztów.

Od 2011 roku rozwijaliśmy rozwiązania sprzętowe oparte na procesorach Tilera - o 48 lub 64 programowalnych rdzeniach, które pozwalają osiągnąć taki sam poziom wydajności, jak algorytmy pisane w ASIC* (Application Specific Integrated Circuit). Zamiast 2 milionów euro za 100 Gbps/100 Mpps, koszt skutecznej ochrony wyniósł 75000 euro. Jest to kolosalna różnica i oszczędność! Z drugiej strony Tilera jest rozwiązaniem sprzętowym, które pozwala na bardzo dynamiczne dostosowanie oprogramowania do konkretnej sieci. Jest to konkretna inwestycja w czasie, wymagająca pracy wyspecjalizowanych w tej dziedzinie programistów.

Application Specific Integrated Circuit: typ elektronicznego układu scalonego integrujący na pojedynczym procesorze wszystkie aktywne elementy potrzebne do wykonania danej funkcji lub cały zestaw elektroniczny. ASIC pozwala na integrację wielu funkcji na jednym chipie, a nawet może go zastąpić i zintegrować nowe funkcje w mniejszej obudowie.

Napisanie systemu od nowa, specjalnie dla rozwiązania Tilera zajęło nam dwa lata. To dużo, a nasi klienci nie mieli czasu, by aż tyle czekać na skorzystanie z naszej ochrony. Skoncentrowaliśmy się więc na ochronie Anty-DDoS, która pozwalała blokować ataki wysycające w największym stopniu przepustowość przypisaną do usług klienckich w OVH. Skróciliśmy w ten sposób czas rozwoju systemu do 2 miesięcy.

Co do reszty, która nie potrzebuje dużej przepustowości stosujemy standardowe rozwiązania dostępne na rynku. Naszą wartością dodaną było wyobrażenie i wcielenie w życie takiej kombinacji technologii, która pozwala na zredukowanie inwestycji oraz czyni ochronę Anty-DDoS dostępną dla wszystkich. W istocie stworzyliśmy mieszankę wielu technologii w celu osiągnięcia ochrony rzędu około 500 Gbps/500 Mpps dostępnej dla wszystkich naszych klientów. Postanowiliśmy również wdrożyć trzy niezależne infrastruktury Anty-DDoS, zlokalizowane w trzech strefach, w których są umieszczone nasze datacenter. Ochronę 160 Gbps stworzyliśmy w Strasburgu (SBG), Roubaix (RBX) i Montrealu (BHS). A więc w sumie 480 Gbps. W razie ataku na IP w Paryżu lub Gravelines, ale też w kierunku jakiegoś IP w Roubaix, Strasburgu lub Beauharnois, przepływ danych jest filtrowany w trzech infrastrukturach jednocześnie.

Każda infrastruktura o rozmiarze 160 Gbps jest nazwana „VAC”. „VAC” pochodzi od „vacuum”, po angielsku - odkurzacz. Mamy VAC1, VAC2, VAC3 w trzech różnych miejscach: w Europie i Ameryce Północnej. Te trzy infrastruktury działają równolegle i zarządzają wszystkimi atakami skierowanymi na usługi naszych klientów. W sieci dysponujemy 2 Tbps nadmiarowej przepustowości. Posiadamy w produkcji 3 VAC, a więc możemy zarządzać do 480 Gbps/480 Mpps.

Mamy swój scentralizowany system. Jeśli atak pochodzi z Europy Środkowej lub ze Wschodu (Rosja, Polska, Rumunia, Włochy, Szwajcaria, Niemcy), jest on „wchłaniany” przez VAC2, który znajduje się w Strasburgu. Jeżeli atak pochodzi w Europy Zachodniej lub z Północy (Francja, Belgia, Holandia, Wielka Brytania, Hiszpania), jest on zarządzany przez VAC1 usytuowany w Roubaix. Jeśli atak pochodzi z Ameryki Północnej lub Południowej, z Azji lub Australii - przechodzi on przez VAC3, znajdujący się w strefie Montreal (BHS), w Quebecu.

Kwestią zasadniczą nie jest rozmiar ataku, ale konieczność zapewnienia sieci o wystarczającej przepustowości do jego przyjęcia i skierowanie na odpowiedni VAC. Generalnie rzecz biorąc, jeśli atak jest bardzo silny infrastruktura Anty-DDoS zda się na nic, gdy sieć się zapełni, co znacznie obniży poziom usług dla wszystkich naszych klientów. Całe szczęście nie musimy się o nic martwić, dziś dysponujemy przepustowością rzędu 4 Tbps dla połączeń między naszą siecią a internetem, zaś pod koniec bieżącego roku będziemy dysponować przepustowością na poziomie 6,5 Tbps.

Nadwyżka przepustowości na poziomie 2 Tbps jest rozdzielana na 20 PoP (points of presence - punkty dostępowe) zlokalizowanych w Europie i Ameryce Północnej. Paryż, Frankfurt, Warszawa, Amsterdam, Madryt, Nowy York, Chicago, Los Angeles, Miami... wszędzie tam, gdzie nasza sieć jest fizycznie obecna. W tych punktach dostępowych mamy powiązania z różnymi operatorami. Atak DDoS pochodzący z tysięcy IP źródłowych dociera ze wszystkich stron świata. W przeciwieństwie do naszych konkurentów, nie koncentrujemy ataku na naszej sieci poprzez punkt dostępowy w jakimś mieście. U nas atak DDoS wkracza do naszej sieci najbliżej źródła ataku, to znaczy poprzez Miami, Los Angeles, Toronto, Pragę, Wiedeń, Madryt, Paryż etc. W ten sposób atak czerpie z całej przepustowości sieci rozpostartej na całym świecie, nie blokując ani sieci operatorów, ani naszej. Następnie atak jest wchłaniany i czyszczony przez najbliższy VAC.

VAC składa się z kilku rozwiązań sprzętowych, które filtrują każdy pakiet IP. Następnie, w zależności od zawartości pakietu, decydują czy jest on prawidłowy, czy jest powiązany z atakiem lub, czy też trzeba uruchomić algorytm uwierzytelnienia pakietu. W przypadku pakietu prawidłowego, jest on akceptowany i przesyłany do następnego sprzętu, później ostatni w kolejności element VAC kieruje go do serwera klienta. Jeśli pakiet wydaje się być częścią ataku, jest on kasowany. W trzecim przypadku chodzi o pakiety, które wymagają uwierzytelnienia, gdyż może się okazać, że pakiet jest legalny bądź też pochodzi z ataku. VAC uruchamia wtedy algorytm uwierzytelniania, by wiedzieć, jak ma działać.

Używamy na przykład algorytmu nazwanego „Syn Auth”, by blokować ataki typu Synflood, które polegają na wysyłaniu mnóstwa pakietów SYN ze sfałszowanymi źródłowymi adresami IP. Działanie jest następujące: kiedy VAC otrzymuje pakiet SYN usuwa go i wysyła do źródłowego IP pakiet RST, który rozpoczyna połączenie źródłowego IP. Ten standardowy mechanizm polegający na przejęciu połączenia jest interpretowany przez źródłowy adres IP i odpowiada nowym pakietem SYN zawierającym taki sam numer sekwencji SYN jak pierwszy pakiet. VAC przypomina sobie o pierwszym pakiecie i stwierdza, że drugi pakiet przesyła ten sam numer sekwencji. Skutek: źródłowy adres IP dodawany jest do białej listy („white list”) VAC w ciągu godziny. Wszystkie połączenia wychodzące ze źródłowego IP do docelowego IP są automatycznie akceptowane. Jeśli jednak źródłowe IP ponownie wyśle pakiety SYN, które nie ­mają żadnego związku z poprzednimi pakietami, VAC uruchamia dokładnie taki sam algorytm na wszystkie pakiety SYN, a więc wszystkie je usuwa. Atak w ten sposób jest blokowany, a legalne pakiety wciąż są przepuszczane.

Oprócz klienta „SSH”, który ponownie poprawnie odtwarza sekwencję, ale nie potrafi następnie wykonać automatycznego połączenia, wszyscy pozostali klienci TCP bez problemu radzą sobie z tym algorytmem. Wystarczy ponownie uruchomić klienta „SSH” i następuje połączenie. Jest to cena, którą klient ponosi za dokonany wybór aktywując opcję „nieustannej mitygacji”. W istocie, jeśli klient chce być chroniony 24h/7, mitygacja działa cały czas. Biorąc pod uwagę fakt, że SSH jest używany przez klienta jedynie do zarządzania serwerem, jest to rodzaj kompromisu.

Tak, w przypadku auto-mitygacji OVH wykrywa atak, a następnie aktywuje „czyszczenie” na infrastrukturach VAC. Po zakończeniu ataku OVH odtrzymuje mitygację na kolejne 15 minut. Klient może zmienić czas zakończenia mitygacji na „natychmiast” oraz na  1, 6 lub 26 godzin. W przypadku nieustannej mitygacji klient decyduje się na używanie VAC 24h/7.

Jeśli klient aktywował opcję nieustannej mitygacji oraz jeśli faktycznie dochodzi do ataku, wykrywamy go oraz włączamy dodatkowo po naszej stronie auto-mitygację. Nie ma żadnych zmian w działaniu, ale jeśli podczas ataku klient dezaktywuje opcję nieustannej mitygacji jest ona kontynuowana dzięki auto-mitygacji. OVH jako jedyny na rynku proponuje opcję nieustannej mitygacji obejmującą całość usług. Opcja ta jest bardzo droga, gdyż zużywa zasoby VAC w trybie 24h/7, nawet jeśli nie dochodzi w danym momencie do ataku. W przypadku auto-mitygacji, klient używa zasoby ochrony Anty-DDoS jedynie podczas ataku.

Aktualny system VAC jest ochroną jednokierunkową, to znaczy asymetryczną, a niektóre ataki wymagają ochrony dwukierunkowej, a więc symetrycznej. Pracujemy aktualnie nad wdrożeniem ochrony typu L7 WebB oraz DNS, które można by aktywować „w locie”, bez potrzeby rekonfiguracji na serwerze klienta oraz które umożliwiłyby blokowanie ataków aplikacyjnych: na przykład DDoS na URL strony lub slowloris, polegający na utworzeniu maksymalnej ilości połączeń na serwerze, a następnie bardzo powolnym pisaniu zapytania. Umiemy mitygować takie rodzaje ataków na naszej infrastrukturze i jednocześnie umożliwiając dotarcie do serwera tylko dozwolonym połączeniom.

Testy beta są w trakcie i myślimy, że usługa będzie stabilna pod koniec września oraz dostępna dla wszystkich sieci Web/SSL. Następnie będziemy pracować nad ochroną DNS oraz być może dla innych innych protokłów.

Zmieniamy zasady rynku czyniąc ochronę Anty-DDoS dostępną dla wszystkich klientów, podczas gdy zazwyczaj jest to usługa o mocno zawyżonej cenie. Raz jeszcze wspomnę, że stało się to dzięki podważeniu używanych do tej pory technologii oraz wdrożeniu innowacyjnego rozwiązania technicznego, całkowicie odmiennego i lepiej odpowiadającego na potrzeby naszych klientów w kategoriach ceny oraz możliwości mitygacji.

Jeśli podobał Ci się ten wywiad, zapoznaj się z innymi naszymi rozmowami z przedstawicielami firm:

• Stagnacja na rynku telefonii komórkowej? Komentarz Jacka Koby z KAZAM Mobile
• Innowacyjne rozwiązania w optymalizacji stron www. Rozmowa z Bartoszem Mozyrko