Az utóbbi időkben egyre többet hallani DDoS támadásokról, annak elterjedéséről, hogy egy adott szervezet számára, akit egy ilyen incidens ért milyen szintű, mértékű károkat is okozott. Van ahol pénzben és van ahol inkább csak presztízs-ben kifejezhető a támadás hatása. Ami viszont tény, hogy foglalkozni kell vele, mert egy ilyen támadás vagy akár támadások sorozata miatt szolgáltatásaink folytonossága kerül veszélybe és amennyiben bizonytalanná válik a szolgáltatás, úgy az ügyfelek kiszolgálása is.

Tapasztalatok azt mutatják, hogy a DDoS támadás elleni védekezés sem egyszerű. A meglévő határvédelmi eszközök – mint Tűzfal, IPS – már nem elegek a védelemre, mivel az ilyen típusú támadásoknál az egy másodpercben történő kapcsolatnyitások száma is meghaladja sok esetben a Tűzfalak, IPS-ek kapacitásából adódó feldolgozás képességét, aminek hatására szükséges célzott, erre a fenyegetettségre szolgáló megoldás.

Mivel a technológia folyamatosan változik, ebben a szegmensben is szükséges a fejlődés. Gondolhatjuk úgy, hogy elég lehet, ha az internet vonalunk védelme biztosítva van a szolgáltató által, de a DDoS támadási technikák is folyamatosan fejlődnek és nem elég már csak az elárasztásos támadás ellen védekezni, célzottan a szolgáltatásaink védelmére kell összpontosítani, ezt pedig kizárólag lokális DDoS protector tudja megvalósítani, mely az eddig közismert támadáson felül az inteligensebb DDoS -ra is védelmet nyújt.

Ezt bizonyítva létrehoztunk egy saját BOTnet hálózatot egy arra szakosodott felhőszolgáltatás által, melyben a virtuális környezet létrehozása után, teljes BOTnet hálózat került kialakításra. A BOTnet hálózatot kizárólag egy speciális Command and Control szerver képes irányítani.

A BOT-ok képességét saját fejlesztésű támadási típusok, minták alkotják. Végzett ügyfél- és saját vizsgálati tapasztalatok alapján elmondható, hogy míg a hamisított és nem hamisított ip-vel rendelkező internet vonal elárasztásos DDoS támadásokat a szolgáltató vagy adott esetben egy lokális (on-premise) DDoS Protector képes detektálni, esetleg megakadályozni, az intelligens low and slow típusú DDoS támadásokat már kizárólag lokális védelmi eszköz volt képes. Ennél a támadási mintánál nem kell, hogy nagy sávszélességgel rendelkezzen a támadó, ahogy mi sem tettük, elég néhány megabites, mi esetünkben átlagosan 1-2Mbit-es forgalmat indítani körülbelül 30 megfertőzött hosztról és az adott szolgáltatás megbénult, illetve megállt. Ez a hatás mindaddig fenntartható volt míg a támadás aktív volt. A low and slow lényege hogy folyamatosan, „csepegtetve” juttasa be a kártékonynak számító információt a rendszerbe, melyben a kommunikációt folyamatosan fenntartja. Ezt a gondolatmenetet átültetve a „valóságba” mintha egy WebBank-ba vagy bármely Web-es portálra belépne egyszerre, egy adott időpontban 5-6 millió felhasználó és mindenki fenntartja a kapcsolatot szolgáltatásban elérhető funkciók használatával.

A vizsgálat rávilágított a publikus szolgáltatások főleg webes kiszolgálók portálok, webshop-ok sebezhetőségeire, arra, hogy nem elég a jelenkor IT Biztonsági megoldásaiban megtalálható DDoS elleni védekezés, erre speciális, dedikált védelmi megoldás szükséges.