kramselund jereminsen

Alternativ DDoS beskyttelse

DDoS er kommet for at blive, se eksempelvis dagens artikel It-chef: Forsvar mod DDoS-angreb bliver hverdag i folkeskolen

Emnet DDoS er også noget vi allesammen bør være opmærksomme på, uanset om vi betragter os som powerbrugere af internet eller leverer ydelser indenfor eksempelvis ISP eller hosting. Alle der læser version2 er formentlig i målgruppen, og ramt af DDoS i nogen grad.

Vi skal være opmærksomme på at vores resourcer ikke bruges til DDoS-angreb, som en del af botnet eller fordi vi tillader DNS eller NTP servere at blive brugt til reflektion og forstærkning af angreb.

Hvis man er interesseret i disse emner er der mange steder man kan læse, men prøv evt. at se i arkivet fra den nyligt overståede RIPE68 konference, https://ripe68.ripe.net/presentations/presentation-archive/

Der findes man eksempelvis

Specielt den sidste er interessant, fordi man med nytænkning ændrer forholdene for DDoS betragteligt.

DFZ - default free zone

Lad mig lige kort introducere DFZ begrebet, for det er relevant for diskussionen af disse nye tiltag, og mit eget forslag nedenfor. Normalt når man konfigurerer en enhed med IP protokollerne angiver man en adresse for enheden, et subnet/en netværksmaske og en default gateway (gateway of last resort).

Denne gateway bruges til at nå alle andre destinationer end dem som findes på det lokale subnet, angivet med netværksmasken. Så en enhed med IP-adresse 192.168.1.10/24 kan nå alle enheder fra 192.168.1.1-254 lokalt på LAN (typisk Ethernet eller wireless). Når den skal videre ud i verden vil det typisk være enten via 192.168.1.1 eller 192.168.1.254 som er defineret som default gateway.

For fuldstændighedens skyld er det samme sag med IPv6, du kan eksempelvis have en host med IPv6 adresse 2a03:a480:1:1::2/64 og en default gateway 2a03:a480:1:1::1. IPv6 bruger som standard 64-bit så det lokale netværk er 2a03:a480:1:1::/64. En internetudbyder har således i RIPE regionen mulighed for at uddele MANGE subnets til kunder.

Godt med en default gateway kan man nå andre destinationer ude i verden, aka internet. Det som mange dog ikke ved er at et stykke ude i din ISPs netværk er der en ISP router som er overgangen fra ISP til default free zone, altså den del af core-internet som IKKE har en default gateway?! Derude er det den globale routing tabel med ~500.000 IPv4 routes/prefixes og ~15.000 IPv6 routes/prefixes. Eksempelvis er der routes annonceret med 185.27.112.0/22 og 2a03:a480::/32 som jeg står for i Solido Networks.

Jeg angiver altså til mine internetudbydere - transit providers - og til internet exchanges (DIX og Netnod Comix pt.) hvilke netværk jeg har bagved min router, pt. annoncerer vi således ~35 prefixes og dermed ~20.000 IPv4 adresser - som så fordi vi betaler for det kan nås fra "hele internet". NB: en route peger på en router, next-hop men typisk tales om prefix som er det netværksprefix som det drejer sig om.

TL;DR default free zone har ikke en gateway of last resort så får en router en pakke til en destination som ikke findes i tabellen smides pakken væk!

Du kan læse mere om dette ved at søge på, CIDR report, BGP, default free zone

BGP blackhole for DDoS protection

Når vi som ISP befinder os på kanten af DFZ kan vi styre hvorledes vi annoncerer vores prefixes, og vore kunders prefixes og det kan i høj grad automatiseres med indstillingerne for BGP communities https://en.wikipedia.org/wiki/Border_Gateway_Protocol#Communities

Jeg kan eksempelvis vælge at min annoncering til Tier 1 ISP X skal være "længere" - path prepending eller at det pågældende prefix kun skal annonceres videre under bestemte forhold. Et mere eller mindre tilfældigt eksempel kan findes for Telia International Carrier AS1299 http://onesc.net/communities/as1299/

European peers
Community Action
--------- ------
1299:200x All peers Europe incl:
...
Asia peers
Community Action
--------- ------
1299:700x All peers Asia incl:
...
Where x is number of prepends (x=0,1,2,3) or do NOT announce (x=9)

Så ved at sætte BGP community 1299:7009 på en annoncering burde Telia ikke annoncere dette prefix videre i asien. Aha! Vi kan altså som kunde begynde at influere på hvordan vi annoncerer, og hvordan vores netværk ses længere ude på internet - i DFZ.

En anden feature som de store ISP'er tilbyder er blackholing, en service hvor man kan annoncere enkelte IP-adresser - /32 prefix, eksempelvis 192.0.2.10/32, hvorefter den pågældende udbyder smider alle pakker med denne destination væk! Det betyder at de kan droppe pakkerne hurtigt i deres netværk, og du betaler ikke for den trafik - men får heller ikke clean/valid trafik :-(

Et eksempel fra Cogent er deres formular http://cogentco.com/files/docs/customer_service/guide/bgpq.sample.txt:

  6.  Black Hole Server (Optional)
   ###################################################################################
   #                           NOTE                                                  #
   #  The Cogent Black Hole server will allow customers to announce a /32 route      #
   #  to Cogent and have all traffic to that network blocked at Cogents backbone.    #
   #  All peers on the Cogent black hole server require a password and IP address    #
   #  from your network for Cogent to peer with.                                     #
   ###################################################################################
 
       [   ]  Please set up a BGP peer on the Cogent Black Hole server
 
       Black Hole server password:  
       Black Hole server peer IP:  

Ulempen ved dette er at enten smider de trafikken væk, eller tillader den kommer igennem ... dette kaldes derfor BGP blackholing. Fordelen er at resten af dit netværk stadig modtager trafik.

DDoS Damage Control

Enter DDoS Damage Control, altså begrænsning af skaderne, fremfor totalt blackhole, og her er
Job Snijders præsentation fra RIPE68 helt central. Anbefalingen her er at man med BGP communities i en mere udstrakt grad kan bestemme hvad der smides væk - og hvor! Det betyder at man selektivt smider pakkerne væk bestemte steder.

Så vi er nu, med få store skridt, kommet frem til at:

  • Vi kan annoncere vores netværk - dermed kan de nås via diverse udbydere
  • Vi kan tilpasse vores annonceringer så de annonceres på bestemte måder, annoncering i asien, eller ej
  • Vi kan smide traffik væk med BGP blackholing, eksempelvis fortælle nogle af vores udbydere at de skal smide alt væk til IP 192.0.2.10
  • Vi kan med forslaget fra Job annoncere at i bestemte regioner skal trafikken til bestemte destinationer smides væk

Værktøjskassen for at begrænse skaderne fra DDoS er altså blevet lidt større end den gammeldags, on/off BGP blackhole. Postulatet er således at vi kan opnå næsten fuld tilgængelighed indenfor et geografisk område, med NL som eksempel i Jobs præsentation. I praksis vil der formentlig stadig være noget DDoS-angrebstrafik som rammer målet, men hvis det er begrænset nok kan det håndteres med "normalt udstyr" firewalls, routere og serverkapacitet.

Konklusionen er ihvertfald klar, man skal ikke blot kaste håndklædet i ringen med det samme, men begynde at analysere sin brugssituation, lave en baseline over hvor ens "kunder" (i bred forstand) kommer fra og derefter tænke over hvilke værktøjer som kan bruges.

Det er selvfølgelig heller ikke alle der kan lave den slags trick, og for nogle vil det være bedre at købe en service, eller software til at håndtere dette.

Skole IT og eksamener

Når nu ovenstående er præsenteret, så har jeg et forslag. Der bliver talt meget om skoler og eksamener, undervisningsministeriet osv.

Der er formentlig ikke nogen udenfor Danmark som skal tilgå bestemte hjemmesider og applikationer som benyttes til eksamen i Danmark - ellers er det relativt få steder og kan testes på forhånd. Det vil altså være muligt at lave en positivliste over ISP'er i Danmark, man kunne starte med listen fra RIPE https://www.ripe.net/membership/indices/DK.html.

Dernæst kunne man placere de pågældende services indenfor samme netværksrange, den skal af tekniske årsager være en /24 - men det kan findes. Derved åbner man for alle ovenstående muligheder for at annoncere og påvirke datastrømmen - herunder eventuelle DDoS-angrebs datapakker - og forslaget er:

  • Eksamensnetværket annonceres kun i "Danmark", dvs til danske ISP'er og eventuelt via tunnel ud til relevante steder i verden.
  • Eksamensnetværket annonceres ikke til "internet" - dvs optræder slet ikke i DFZ, og pakkerne fra en angriber/computer med denne destionation vil således ikke komme ret langt hos ISP'erne før de smides væk - no route to destination

Altså en begrænset, men overlagt strategi, som gør at visse services kun kan nås fra Danmark, og eventuel angrebstraffik vil således også kun komme fra Danmark, hvilket letter sporing og oprydning betragteligt!

Til slut, ovenstående kræver viden, men det er ikke raketvidenskab. Der er mange netværksadministratorer i Danmark som ville kunne udføre og drive en sådan løsning med relativt lille budget. Det er samtidig ikke en ekstraydelse fra ISP'erne at bruge deres BGP communities og derved er omkostningerne generelt ret lave for denne type løsning.

TL;DR lær teknologierne at kende, hold din viden opdateret med RIPE konference, bekæmp DDoS mere intelligent

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Povl H. Pedersen

Men det jeg søger er lidt, at man kan få UDP fri linier / adresser. 90% af vores IP adresser eller mere har ikke noget at bruge UDP til. Det eneste UDP de ser er DNS / NTP amplification attacks med spoofede IP.

Det er UDP der er det store problem i dag.

  • 0
  • 0
#3 Poul-Henning Kamp Blogger

For mange år siden diskuterede den ikke-existerende bgp-konspiration faktisk om det var en god ide at kunne markere ip-ranges som "ikke ud over danmarks grænse".

Det strider godt nok imod en masse internet-filosofi, men det giver rigtig god mening for ting som netop eksamensnetværk og den slags.

Det kræver dog mere samarbejde imellem danske BGP-peers om "produktudvikling" end der ser ud til at existere nu om dage.

  • 0
  • 0
#4 Baldur Norddahl

Vi har brug for noget QOS på vores transitlinks. Hvis jeg har 10 Gbit/s så vil jeg gerne have mulighed for at reserve en del til dansk trafik. Og en del til TCP trafik.

En sådan helt simpel foranstaltning, som kan være aktiv permanent, vil gøre det meget sværere at lukke netværket helt ned.

  • 0
  • 0
#7 Mogens Bluhme

Jo man kan gøre noget selv. Men det afhænger af budgettet. Der er fire muligheder:

1) En ekstern DDOS-provider som Arbor eller Prolexic (mange er efterhånden hybrid af anti-DDOS og CDN)

2) Aftaler med sin ISP

3) On-premise-udstyr

4) Som Henrik foreslår

Det er ikke alle som har råd til både 1 og 3. Svagheden ved 1) er at man kan bypasse scrubbingcentrene ved at generere ssh-trafik (det er ikke alle som har lyst til at dele privatnøgle med dem)og randomiserede strenge i GET-og POST-requests. Svagheden ved 2) er at ISP'ere ikke gør noget ved application-layer attacks men kun på det volumetriske plan når båndbredden trues - webservere er forlængst gået i knæ.

Webscreen var et lille firma, hvis anti-DDOS teknologi blev købt af Juniper i starten af 2013. Deres løsning er en fysisk eller virtuel appliance, som måler heuristisk på både in-og udgående pakkers adfærd og lukker ned for the bad one's uden fejlpositiver. Når båndbredden trues kontakter den selv ISP'er og CDN/remote DDOS-provider. Men igen er det et spørgsmål om prioritet og budget.

  • 0
  • 1
#8 Tobias German Jørgensen

Det kræver dog mere samarbejde imellem danske BGP-peers om "produktudvikling" end der ser ud til at existere nu om dage."

Det er mit indtryk at de fleste danske sysads ved dvs. ISPs kender hinanden på den ene eller anden måde, og det burde derfor være et klassisk og nemt eksemplel på "sysads/netads unite!". Hvis initiativet til ændringen kommer fra gulvet, får man udfra min erfaring den bedst implementerede løsning.

Oplagt mulighed for at få implementeret en ny best practice ifbm. DDoS beskyttelse, måske endda være foregangsland?

@Kramshøj: Jeg stiller mig gerne til rådighed som tovholder på et sådant projekt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere