IP SERVERU: PUBLIC-TS3.CZ        VERZE SERVERU: 3.5.0        LIMIT SLOTŮ: 512

3. díl - Co je DDoS

V dnešním díle si řekneme něco o DDoS útocích. Povíme si o co se vlastně jedná, proč vznikají i jak se proti nim dá bojovat. Celý článek bude orientován na problematiku TeamSpeak 3 serverů, ale mnoho informací je obecných i pro jiné služby a aplikace.

 

Co to DDoS je

Hned z úvodu bychmom si měli říct o co se vlastně jedná. DDoS je zkratka anglického Denial of service, česky by se dalo říci odmítnutí služby. Jedná se o specifické typy útoků, které mají za cíl učinit službu nedostupnou, ale zároveň nedochází k prolomení zabezpečení serveru, ztrátě dat, či jiných podobných škod, DDoS je zároveň jednou z nejsnadnějších forem útoku.

 

Jak samotný útok probíhá

Celý útok funguje tak, že se větší množství počítačů snaží zahltit cílový server velkým množstvím nesmyslných požadavků, tyto požadavky mají za cíl zcela vytížit server, nebo jeho konektivitu a zabránit tak řádnému zpracování žádoucího provozu od skutečných uživatelů. Můžeme si to úplně jednoduše představit jako dveře, kterými běžne prochází jeden člověk za minutu, najednou k nim někdo nažene několik tisíc lidí, kteří se snaží projít všichni najednou a zabrání tak v průchodu všem ostatním.

Pokud je útok úspěšný, začne se služba jevit jako nedostupná a zpravidla dojde k úplnému vytížení konektivity, takže může být problém i pro samotné administrátory se k serveru dostat. Tyto útoky bývají vedeny velmi často z botnetů, což jsou zavirované počítače řízené nadálku bez vědomí jejich majitelů. Vzhledem ke stále větší dostupnosti botnetů a poklesu cen útoků je potřeba se připravit na to, že jich bude stále přibývat. Dnes lze DDoS útok koupit již za 10 dolarů!.

 

Jak útokům předcházet

Na to existuje více druhů pohledu, záleží vždy na našich konkrétních možnostech. Pokud provozujeme nějaký menší server, který je určen především pro předem určenou skupinu lidí, je nejlevnějším a nejefektivnějším řešením takový server nikde nevystavovat. Nepsat o něm zbytečně na internetu, nezveřejňovat jeho adresu, atd. Když není vidět, nebudete pravděpodobně ani cílem :).

Horší situace je u serverů, které nabízejí nějakou veřejnou službu, kterou zná větší množství lidí. Zde se již schovávat nemůžeme, protože by nás nenašli ani uživatelé o které stojíme. V tomto případě se musíme připravit na fakt, že se na nás pravděpodobně útočit bude, z mé vlastní zkušenosti mohu říct, že drtivá většina útoků je vedena nějakou konkurenční službou, která se tímto snaží získat nové uživatele, ale je faktem, že některé jsou vedeny čistě jen pro zábavu nějakého jedince.

Zde již musíme spojit správou konfiguraci serveru a Anti-DDoS ochranu od nějakého dodavatele. Ideální je mít buď přímo na serveru, nebo jako samostatné zařízení ještě před serverem nějaký firewall. Na tomto firewallu provedeme konfiguraci žádoucích služeb a portů tak, aby nezůstaly otevřeny žádné zbytečné porty, nejlépe zakážeme provoz na všechny porty s vyjimkou námi defnovaných, které pro správnou činnost služby skutečně potřebujeme. Druhým krokem je kvalitní Anti-DDoS ochrana, dodavatelů je na trhu více, takže je z čeho vybírat, nejlepší je volit takového, který má s provozem našich aplikací ve své síti již nějakou zkušenost a je případně schopen a ochoten konfiguraci s námi vyladit.

Při sprvné konfiguraci dokáže tato ochrana odfiltrovat velkou část útoků, musíme počítat s tím, že některé útoky však na náš server projdou, protože jejich typy se stále mění a žádná ochrana nefunguje na 100% a musí se napřed dané typy útoků naučit. Zde je důležité mít dostatečnou konektivitu i výkon hardware, abychom byli ustát některé útoky, které přes ochranu projdou, a nedošlo ihned k přetížení serveru, nebo naší přípojky. Doporučuji za ochranou minimálně 1 Gbps port, a dostatečně naddimenzovaný hardware. Na co nesmíme zapomínat je kontrola logů naší ochrany, může totiž také docházet k false positive  detekci a tím k blokaci našich uživatelů, v tomto případě je nutné zasáhnout a konfiguraci upravit.

 

Poznámka od autora

Konkrétně u TeamSpeak 3 serverů je častým zdrojem adres pro útoky služba GameTracker, kde útočníci vybírají servery, které jsou na vyšších stupních žebříčku. Pokud se tímto způsobem nepotřebujete prezentovat, doporučuji server do GameTrackeru nepřidávat. Pokud GameTracker potřebujete blokovat, nebo naopak whitelistovat, využává pro skenování tyto IP adresy:

208.167.241.190
208.167.241.179
208.167.241.180
108.61.78.147
108.61.78.148
108.61.78.149
108.61.78.150