Ataki DDoS, czyli ataki „odmowy dostępu do usługi”, to jedne z najprostszych i najbardziej popularnych ataków na sieć lub system komputerowy, a zarazem jedne z bardziej niebezpiecznych i groźnych w skutkach. W okresie korzystania ze zdalnej edukacji, pracy oraz wobec wzrostu znaczenia wirtualnej rozrywki, ataki DDoS mogą w znacznym stopniu utrudnić codzienne funkcjonowanie. W tej sytuacji jednym z priorytetowych zadań operatora telekomunikacyjnego jest odpowiednie zabezpieczenie przed nimi sieci. Jakie są możliwości?
Ataki DDoS (ang. distributed denial of service) są krótsze, za to ich moc jest coraz większa – wynika z danych CERT Orange Polska. Najsilniejszy atak zarejestrowany w sieci Orange Polska w 2020 roku miał moc 303 Gb/s. Ten rekord został już pobity w marcu tego roku dwoma atakami o sile powyżej 400 Gb/s. Na przestrzeni ostatnich lat częstość występowania ataków DDoS utrzymuje się na zbliżonym poziomie, choć z tendencją wzrostową.
W minionym roku wzrost liczby ataków był ściśle powiązany z wprowadzaniem pandemicznych obostrzeń, zwłaszcza dotyczących zamknięcia szkół oraz pracy zdalnej. Sytuację poprawiło stopniowe luzowanie ograniczeń w połowie 2020 roku. Ponowny pik ataków obserwowany był od połowy października, tj. od wprowadzenia przez rząd kolejnych obostrzeń.
Przebieg zjawiska ilustruje poniższy wykres:
Ataki mogą być skierowane zarówno na użytkowników indywidualnych, jak i biznesowych. W przypadku tych pierwszych, jednym z celów są gracze on-line. Atak ma wyeliminować ich z gry lub spowodować takie opóźnienie w transferze, by nie mogli zrealizować rozgrywki. Ataki na firmy są ukierunkowane na określone cele (usługi i serwisy firmowe) oraz obliczone na osiągnięcie konkretnych rezultatów – zablokowanie usług.
Wiedza, jak chronić użytkownika końcowego pozwala kreować rozwiązania również dla operatorów korzystających z usług hurtowych Orange. Obecnie mają oni do wyboru kilka rozwiązań, które skutecznie zabezpieczają przed atakami DDoS.
Najbardziej zaawansowane to DDoS Protection basic oraz DDoS Protection premium. Obie usługi są oparte na systemie ARBOR i umożliwiają automatyczną reakcję podczas ataku. Opcja basic polega na analizie próbek ruchu do sieci operatora. Po wykryciu anomalii, w sieci Orange implementowane są filtry dostosowane do specyfiki ataku. Ograniczają one wolumen ruchu DDoS, a działanie innych usług w sieci atakowanego operatora nie jest zakłócone. Bardziej zaawansowany wariant premium przejmuje ruch po stronie operatora na dodatkowy system TMS (ang. Threat Management System), który usuwa również bardziej zaawansowane ataki niż DDoS (np. ataki na aplikacje). Z powyższych rozwiązań korzystają przeważnie firmy – banki, sklepy internetowe, których sieci charakteryzują się znacznie mniejszą ilością ruchu niż sieć operatorska.
Wśród dostawców internetu popularne są ekonomiczne rozwiązania wspierające administratorów w samodzielnej walce z atakami. Mogą oni próbować ręcznie unieszkodliwiać ataki, przy pomocy własnego firewalla, jednak nie rozwiązuje to głównego problemu. W takim modelu obrony atak jest powstrzymywany dopiero po przejściu przez łącze od dostawcy do atakowanej sieci. Bez wykorzystania mechanizmów udostępnianych przez dostawcę tranzytu internetowego taka obrona nie jest w pełni skuteczna.
