Jak walczyć z atakami DDoS? Wywiad z Octavem Klabą, dyrektorem generalnym OVH
Technologie i Firma

Jak walczyć z atakami DDoS? Wywiad z Octavem Klabą, dyrektorem generalnym OVH

Przemysław Jankowski | Redaktor serwisu benchmark.pl
Dyskutuj z nami

Octave Klaba, założyciel i dyrektor generalny OVH opowiada o zagadnieniach związanych z atakami DDoS i zabezpieczeniach Anty-DDoS.

Ataki DDoS to jedno z największych zagrożeń czyhających na nas w sieci. Stanowią one duże zagrożenie dla bezpieczeństwa w firmie, gdyż mogą poważnie sparaliżować ich funkcjonowanie, dlatego też przeciwdziałanie tego typu atakom jest szczególnie ważne dla dużych przedsiębiorstw, aktywnych w internecie.

Na rynku dostępnych jest wiele rozwiązań przeciwdziałających atakom typu DDoS, a jednym z ich dostawców jest firma OVH. O samych atakach, jak i o systemie ochrony przed nimi, oferowanym przez OVH Anty-DDoS, rozmawiamy z założycielem i dyrektorem generalnym, Octavem Klabą.

Jakie są powody wprowadzenia udoskonaleń w ochronie przed atakami DDoS w OVH?

Po aferze Wikileaks, grupa Anonymous uwypukliła słabe strony internetu. Demokratyzując ataki DDoS grupa ta wykazała, że bardzo łatwo jest zablokować działanie danej strony internetowej. Niektórzy młodzi ludzie traktują to jako nowy rodzaj gry video, w której bronią jest LOIC (Low Orbit Ion Cannon), a celem - prestiżowa strona internetowa.

Anty-DDoS

Czy jest to działalność przestępcza?

Ataki DDoS w internecie były i zawsze będą powiązane z cyberprzestępczością - są wykonywane przez ludzi, którzy otrzymują za nie konkretne pieniądze. Podobnie, jak w prawdziwym życiu prawa obywateli chronią instytucje, tak samo w internecie działają firmy i osoby, które chronią internautów.

W jaki sposób rozwijały się systemy bezpieczeństwa w ostatnich latach?

Do 2011 roku ochrona Anty-DDoS, bazując na ograniczeniu pewnego typu ruchu na IP źródłowym lub/i IP docelowym, pozwalała zablokować 99 ataków na 100. Systemy ochronne były dostępne dla wszystkich, a klienci nie ponosili za nie żadnych opłat. Po 2011 roku nastąpiła demokratyzacja ataków i liczba atakowanych serwisów zdecydowanie się zwiększyła. Stworzono i wdrożono do Internetu nowe formy ataków. Łącząc te rozwiązania z wirtualnymi płatnościami można było łatwo i szybko przeprowadzić atak na dowolny serwis. Z naszego poziomu zaobserwowaliśmy, że od końca 2012 roku nasze systemy ochronne nie były już wystarczająco skuteczne, żeby blokować nowe typy ataków.

Jakie były główne cele OVH towarzyszące usprawnianiu systemu Anty-DDoS?

Od zawsze postrzegamy ochronę Anty-DDoS jako standardową usługę, a nie płatną opcję. Obrona przed wszelkimi rodzajami ataków nie powinna być luksusem, na który stać tylko część użytkowników, zwłaszcza, że wraz z wprowadzeniem skutecznej ochrony Anty-DDoS nasi klienci stali się celem różnorodnych i rozciągniętych w czasie ataków. Dlatego potrzebowaliśmy nowy system ciągłej ochrony.

Ile kosztują rozwiązania chroniące przed atakami DDoS?

Gotowe rozwiązania na rynku pozwalają na zapewnienie ochrony dla łącz o przepustowości 100 Gbps/100 Mbps, a koszt takiego rozwiązania to 2 miliony euro. Taka ochrona z góry była niewystarczająca dla wszystkich naszych centrów danych zlokalizowanych na terenie Francji (Paryż, Roubaix, Strasburg, Gravelines) oraz w Ameryce Północnej (Montreal).

centrum danych OVH

Nowoczesne centrum danych OVH w Roubaix. Serwerownia oferuje przepustowość dochodzącą do 10 Gbps na serwer.

Należałoby zatem poczynić spore inwestycje, aby wszystkie centra danych były chronione?

Istotnie, trzeba by było zainwestować około 10 milionów euro, by dysponować całkowitą pojemnością 500 Gbps/500 Mpps, będącą w stanie ochronić wszystkie nasze centra danych. Jeśli do tego dodać grupę wparcia 24h/7 przełożyłoby się to na podwyżkę cen usług. Naszym zdaniem taki koszt byłby nieuzasadniony.

Dlaczego wprowadziliście ochronę Anty-DDoS do standardowych usług OVH? Przecież można założyć, że nie wszyscy ją potrzebują.

Ochrona Anty-DDoS dotyczy wszystkich klientów. Jeśli dany klient staje się celem ataku, skutki uboczne widoczne są na podsieciach, routerze oraz w końcu w całej infrastrukturze. Można by nawet sobie wyobrazić ataki, jako skutki uboczne: żeby osiągnąć cel atakuje się jego otoczenie. Krótko mówiąc, prawdopodobieństwo ataku, uzasadnionego lub powstałego jako skutek uboczny, jest rzeczywiste. Stworzenie jednolitej formuły dla wszystkich dostępnych usług wydawało się najlepszym rozwiązaniem współdzielenia ryzyka i kosztów.

Jak wobec tego OVH rozwiązał kwestię ochrony Anty-DDoS?

Od 2011 roku rozwijaliśmy rozwiązania sprzętowe oparte na procesorach Tilera - o 48 lub 64 programowalnych rdzeniach, które pozwalają osiągnąć taki sam poziom wydajności, jak algorytmy pisane w ASIC* (Application Specific Integrated Circuit). Zamiast 2 milionów euro za 100 Gbps/100 Mpps, koszt skutecznej ochrony wyniósł 75000 euro. Jest to kolosalna różnica i oszczędność! Z drugiej strony Tilera jest rozwiązaniem sprzętowym, które pozwala na bardzo dynamiczne dostosowanie oprogramowania do konkretnej sieci. Jest to konkretna inwestycja w czasie, wymagająca pracy wyspecjalizowanych w tej dziedzinie programistów.

Application Specific Integrated Circuit: typ elektronicznego układu scalonego integrujący na pojedynczym procesorze wszystkie aktywne elementy potrzebne do wykonania danej funkcji lub cały zestaw elektroniczny. ASIC pozwala na integrację wielu funkcji na jednym chipie, a nawet może go zastąpić i zintegrować nowe funkcje w mniejszej obudowie.

Napisanie systemu od nowa, specjalnie dla rozwiązania Tilera zajęło nam dwa lata. To dużo, a nasi klienci nie mieli czasu, by aż tyle czekać na skorzystanie z naszej ochrony. Skoncentrowaliśmy się więc na ochronie Anty-DDoS, która pozwalała blokować ataki wysycające w największym stopniu przepustowość przypisaną do usług klienckich w OVH. Skróciliśmy w ten sposób czas rozwoju systemu do 2 miesięcy.

A co w przypadku innych typów ataków?

Co do reszty, która nie potrzebuje dużej przepustowości stosujemy standardowe rozwiązania dostępne na rynku. Naszą wartością dodaną było wyobrażenie i wcielenie w życie takiej kombinacji technologii, która pozwala na zredukowanie inwestycji oraz czyni ochronę Anty-DDoS dostępną dla wszystkich. W istocie stworzyliśmy mieszankę wielu technologii w celu osiągnięcia ochrony rzędu około 500 Gbps/500 Mpps dostępnej dla wszystkich naszych klientów. Postanowiliśmy również wdrożyć trzy niezależne infrastruktury Anty-DDoS, zlokalizowane w trzech strefach, w których są umieszczone nasze datacenter. Ochronę 160 Gbps stworzyliśmy w Strasburgu (SBG), Roubaix (RBX) i Montrealu (BHS). A więc w sumie 480 Gbps. W razie ataku na IP w Paryżu lub Gravelines, ale też w kierunku jakiegoś IP w Roubaix, Strasburgu lub Beauharnois, przepływ danych jest filtrowany w trzech infrastrukturach jednocześnie.