Specjaliści w walce z cyberprzestępcami wykorzystują analogiczne mechanizmy do ataków hakerskich. Rozproszony atak DDoS? Na to mamy równie rozproszony antyDDoS. Gaming jest podstawowym celem, ale nie jesteśmy wreszcie bezsilni.
Granie w sieci nadal zajmuje ważne miejsce w sercach hakerów. Choć na co dzień nie zagrywają się w Wiedźmina 3 lub CS-a, to również zdobywają swoiste fragi np. za każde złamane zabezpieczenie i spowolnienie działania serwerów. Ich ofiarą padają nie tylko gracze, ale też firmy zarządzające wielkimi serwerowniami.
By móc się obronić przed napaścią z zewnątrz, wymagana jest specjalistyczna infrastruktura wyposażona w zaawansowane algorytmy zabezpieczeń. Mowa tu o rozwiązaniach odpowiadającym skali zagrożenia, jaką reprezentują niebezpieczne ataki DDos.
O problemach w sieci i metodach zwalczających ataki DDos w świecie gamingu rozmawiamy z Jakubem Słocińskim specjalistą z dziedziny inżynierii sieci i administrowania systemami, który od 13 lat zajmuje się wymyślaniem trudnych słów w OVH.
Jeżeli chodzi o sam gaming, czyli infrastrukturę serwerów gier, jak zaopatrujecie się na bezpieczeństwo, i zapobieganie atakom DDoSowym wobec ogólnej optymalizacji ruchu sieciowego. Jak zapewniacie bezpieczeństwo serwerom gier, które mają bardzo niskie czasy dostępu?
Infrastruktura gamingowa kieruje się swoimi zasadami. Chodzi głównie o opóźnienia w sieci (latency), który jest jednym z kluczowych elementów dla wielu gier. Na przykład podczas ochrony danej infrastruktury nie możemy wpływać na zmiany parametrów jej sieci, bowiem tylko wzmocnilibyśmy ten atak. Jeżeli przeprowadzany jest atak, ew. przepięcie na system antyDDoSowy powodowałoby dodatkowy jitter (zachwianie stabilności, zwiększenie opóźnień). Pomagalibyśmy atakującemu częściowo w osiągnięciu celu.
Zacząłbym od tego, że jest kilka podstawowych parametrów sieciowych, które są bardzo ważne w kontekście gamingu. Latency czyli opóźnienia w sieci, przepustowość – potrzebna do załadowania coraz większej ilości danych, dostępność – bez niej często nawet nie uruchomimy gry (mimo że np. mamy ją na płycie) oraz stabilność, czyli brak wahań (jitter’a). Infrastruktura sieciowe musi ponadto gwarantować bezpieczeństwo – chodzi mi tutaj o poprawną architekturę. Musi być zaprojektowana tak, aby oddzielać ruch samej gry od pozostałego który ma inną charakterystykę a też towarzyszy graniu, m.in. kanału (mikro)płatności czy konfiguracji konta. Taka architektura uniemożliwia ew. przejęcie jednej części sieci przez zaatakowanie drugiej.
W momencie ataku, najczęściej zachwieje on wszystkie kluczowe dla rozgrywek online parametry sieci na raz. Mowa tutaj o stabilności łącza, zmniejszeniu przepustowości, opóźnieniach, a czasami kompletnym położeniu sieci. Gracze są grupą szczególnie wyczuloną na wahania stabilności, do tego stopnia, że wartości opóźnień powyżej średniej o ok 100ms zwiększają prawdopodobieństwo odejścia do konkurencji ponad dwukrotnie. Jeżeli będziemy mieć zachwiania o 100-200 ms, to gracze po prostu odejdą. Zauważmy że tego typu ataki nie muszą położyć docelowej infrastruktury, a tylko zachwiać jej stabilność, wpłynąć na te parametry, które dostawca chce utrzymać na określonym poziomie aby jakość rozgrywki była zgodna z oczekiwaniami graczy. Aby zapewnić ochronę na dobrym poziomie, infrastruktura gamingowa musi być chroniona w sposób zintegrowany, rozumiejący jej protokoły transmisji. Taka tarcza AntyDDoS musi rozumieć język którym rozmawiają gracze z serwerami gier.
Jako dostawca infrastruktury nie mamy wiedzy jakie serwery gier są instalowane przez naszych klientów. My nie dostarczamy jednego rozwiązania. Dostarczamy całą platformę. Musimy zapewnić rozwiązanie, które działa dla szerokiego spektrum serwerów gier. To są systemy, które rozumieją protokoły, rozumieją tą transmisję, że gracz połączył się z serwerem i to jest jego ruch legitymowany, czyli właściwy ruch. Nadto rozpoznaje inny ruch, ten niewłaściwy. I właśnie dlatego stworzyliśmy oddzielną platformę antyDDoS game dla serwerów z serii GAME. To jest oferta kierowana dla graczy, gdzie wszystkie serwery mają w standardzie zintegrowany zaawansowany system ochrony. System zaprojektowany z myślą o graczach i ich potrzebach. Rozwiązanie które z jednej strony jest rozproszone na brzegach sieci OVH i wykorzystuje te same argumenty które dają przewagę atakom DDoS – czyli fakt rozproszenia, z drugiej strony jest instalowane tuż przy serwerach gier – dzięki czemu nie wpływa na zwiększenie opóźnień transmisji. To są zaawansowane wieloprocesorowe systemy które już od pierwszego „złego” pakietu są w stanie go odfiltrować.
Załóżmy hipotetyczną sytuację. Mówimy o dostarczeniu platformy, która jest z centralizowana w jakiś serwerowniach. To może być np. Warszawa, gdzie mamy uruchomione swoje serwery gier działające na terenie Polski i Wschodniej Europy. Mamy świetne połączenie, świetne pingi. Działa to tak, jak powinno. Czy jesteście w stanie zapewnić dla graczy z drugiej części świata (USA, zachodnia Europa, Azja, Afryka) takie same warunki rozgrywki w danej serwerowni. W tym przypadku grają na naszych serwerach. Mamy rozgrywki, powiedzmy, że zorganizowaliśmy turniej lub firma z zewnątrz go organizuje i korzysta z naszych serwerów. Czy jesteśmy w stanie szybko infrastrukturę przenieść do innej serwerowni, gdzie każdy gracz będzie miał takie same warunki rozgrywki, czy Wy jesteście w stanie w danej serwerowni zapewnić takie możliwości?
Wszystko zależy od dostępności danej oferty, co wynika z naszego bardzo dynamicznego rozwoju na rynku na różnych kontynentach. W listopadzie miałem inne informacje, niż w tym momencie ponieważ cały czas nasza sieć ewoluuje. Cały czas rozbudowujemy ilość naszych centrów danych a co za tym idzie – dostępność usług w danym miejscu. Tam gdzie jest oferta gamingowa, tam jest również dostępny pełen system antyDDoS GAME, m.in. w naszym centrum danych pod Warszawą. To jest naprawdę mocny system. Nasi inżynierowie, którzy nad tym pracują, poświęcili dużo czasu na analizę protokołów gier. Dopracowali ten system żeby był jednym z najlepszych na rynku. O ile nie najlepszym, bo takie wrażenie można czasami odnieść czytając wątki na forach dot. sprzedaży ataków. Tam, powoli powstaje oferta DDoSaaS (czyli atak jako usługa) 🙂
Należy również pamiętać że OVH w ramach całej swojej sieci oferuje pełną gamę zabezpieczeń przed atakami. Wielostopniowy system tarczy AntyDDoS z obsługą wielu typów ataków i analiz działa dla wszystkich ofert. Jednak tylko ten wspominany wcześniej moduł jest wyspecjalizowany w kontekście serwerów gier i dla nich tylko dostępny. Czyli np. kupując serwer z innej gamy, nie będziemy mieć specjalistycznej ochrony GAME, ale będziemy mieć ochronę przed innymi, bardziej standardowymi atakami.
Jeżeli mówimy o protekcji antyDDoSowej, ochrony przeciwko atakom na serwery gier, macie wiedze na temat ilości takich ataków, nie licząc ataków na Wasze klasyczne serwery? Czy Polscy gracze i na świecie powinni bardzo się obawiać tego zjawiska?
Badania są zbieżne z kierunkiem, który jest prezentowany w raportach Akamai Technologies- jednych z najlepszych raportów odnośnie stanu internetu, czy targetowania konkretnych branż w kontekście ataków DDoS. Sfera gaming tutaj zdecydowanie przoduje. Ponad 80% ataków na serwery rozgrywek online w porównaniu do tych kilkunastu procent na pozostałe infrastruktury: web, service provider, telkom, etc. Robiliśmy w zeszłym roku badanie w ramach naszej sieci i też zdecydowanie przoduje gaming – wyniki są podobne – jakieś 80% do 20% innych ataków. Przy czym w naszym przypadku te wartości mogą być trochę zawyżone (na korzyść gamingu). Spowodowane jest to popularnością oferty dla graczy. To bardzo chodliwy rynek. Z jednej strony stoją potężne pieniądze za rozgrywkami online, z drugiej strony administratorzy, mam wrażenie, traktują go trochę po macoszemu. Nadal kojarzy się z rozrywką, a nie z pieniędzmi. To nie jest tzw. „banking”, więc i świadomość ludzi jest inna.
Do tego wszystkiego mam wrażenie że emocje z gier często towarzyszą również samym administratorom, którzy wypowiadają sobie wojny nawzajem. Żeby położyć konkurencję, i przejąć ich klientów. Dla satysfakcji. Dla rozgłosu. Co de facto nie jest trudne, bo 5 minutowy atak DDoS rzędu ponad 100 Gbs/s można kupić już za 5 dolarów na czarnym rynku.Czy klienci w Polsce zaczynają korzystać z tych usług antyDDoSowych? Ciekawi mnie, jak klienci postrzegają Waszą ofertę w świecie gamingu, który jak powiedziałeś jest rozrywką, ale tak bogatą, że niektóre tytuły gier potrafią budżetem przekroczyć koszty produkcji filmu.
Świadomość użytkowników wzrasta w kontekście zrozumienia problemu ataków DDoS, zrozumienia skutków jakie za sobą niesie. Chociaż to ciągle jest dosyć niski procent. Jeżeli klientom powiemy o DDoSie to nie dostrzegają problemu, ale jak powiemy o opóźnieniach lub innych parametrach, które mogą być rezultatem DDoSa to oni już rozumieją go jako realny problem, z którym często notabene wcześniej się spotkali. Tak więc nie zawsze gracz zdaje sobie sprawę z tego, że to jest atak. To nie jest coś takiego, że wyłącza serwis. Ten atak będzie trwał i narastał w czasie, to będzie ciąg zdarzeń, który pogorszy jakość usług danego providera. Przez wielu może być odebrany tylko jako kiepska jakość usługi..
Infrastruktura stricte pod gaming będzie dostarczana w chmurze, czy jako tzw. blaszaki?
Na razie są to tradycyjne blaszaki ze względu na sprzęt sieciowy, który za tym stoi. To są wysoko wyspecjalizowane układy równoległe do przetwarzania danych po to, żeby właśnie nie wprowadzać zauważalnych opóźnień. Żeby te opóźnienia zminimalizować do takich wartości, które nie są widoczne. Całość po to żeby oferta z systemem ochrony była konkurencyjna pod kątem parametrów sieciowych dla innych ofert, nie mających tego typu ochrony. Ten cały ekosystem nie jest tak łatwy do przeniesienia do chmury. Aczkolwiek pracujemy nad tym, żeby tak się stało w niedalekiej przyszłości. To wszystko musi być w zasadzie transparentne dla odbiorcy, czy to chmura czy blaszak. Rozwój usług idzie w kierunku jednolitego API do dowolnego rodzaju usługi, najlepiej jeszcze u dowolnego dostawcy.
Jak będzie wyglądało zarządzanie usługą w chmurze? W większości przypadków dostarcza się samą platformę, gdzie serwery dzielimy na gamingowe na kilka rodzajów. Niektóre wymagają zaledwie prostej konfiguracji i słabego sprzętu. Ale niektóre wymagają układu GPU do odpalenia. Czy system DDoS będzie dostarczany na takie platformy?
Kierunki, które widzę to wykorzystanie GPU wszędzie tam, gdzie potrzebna jest duża moc obliczeniowa. Są to zarówno multimedia i ich przetwarzanie (transkodowanie), renderowanie, deep learning, obliczenia medyczne czy symulacje finansowe. Tak, również cloud-gaming czyli rozgrywki w chmurze są na celowniku. Mamy to na uwadze i jeżeli tylko taka oferta się pojawi to dostarczymy ją wraz z odpowiednią ochroną.
Większość antyDDoSów działa na zasadzie rozproszenia ruchu przychodzącego. Jak działa wasz antyDDoS?
Ochrona DDoS składa się z rozproszenia, obecności w wielu punktach na świecie. Fakt że jesteśmy w ponad 30 w POPach na Świecie oraz przepustowość naszych łączy z internetem to ponad 13Tb/s w tej chwili daje nam ogromne możliwości w kontekście ochrony przed atakami. Jak już wspominałem, wykorzystanie logiki ataku DDoS do ochrony przed nim pozwala na rozproszenie takiego ataku i w każdym ze styków z internetem „rozprawienie” się już z dużo mniejszym incydentem. Dodatkowo nasza infrastruktura sieciowa zawsze wykorzystywana jest na poziomie poniżej 50% co daje gwarancje zapasu pasma na nieprzewidziane sytuacje. Na tą chwilę realne wykorzystanie naszych łącz w szczycie ruchu to maksymalnie 35%. Także mamy potężny zapas, żeby zarówno móc przyjąć taki atak i odfiltrować go już wewnątrz naszej infrastruktury, jak i na inne nieprzewidziane sytuacje. I to bez wpływu na jakości usług.
Nasz system antyDDoS składa się z wielu elementów poukładanych w następujące po sobie etapy. Im dalej tym dokładniejsza analiza ruchu ma miejsce. Pierwszym etapem jest wycięcie ruchu na routerach brzegowych. To są proste reguły, ale działają bardzo szybko. Jednak nie zawsze istnieje możliwość ich wykorzystania. Kolejnym elementem jest prefirewall, następnie Firewall-Network który użytkownicy mogą sobie konfigurować w ramach panelu zarządzania. Mogą tam dodawać cel, whitelistować i blacklistować poszczególne IP. Kolejny jest moduł odpowiedzialny za wykrywanie ataków zwielokrotnionych (amplified), czyli popularne ataki w oparciu o serwery DNS czy NTP. Takie ataki są zwielokrotnione i często odbite od strony trzeciej, która nie jest jednak źródłem ataku. Ten moduł jest odpowiedzialny za filtrowanie tego typu ataków. Na końcu moduł Armor, to wysoko wyspecjalizowany moduł w pozostałych typach ataków. Łańcuch tych wszystkich filtrów modułów naszej tarczy DDoSowej pozwala filtrować ruch od brzegu sieci (najszybciej, ale najogólniej), stopniowo przechodząc głębiej struktury sieci, gdzie jesteśmy w stanie odfiltrować używając bardziej zaawansowanej analizy oraz wyłapywać także te ataki, które odbywają się całkowicie wewnątrz naszej infrastruktury.
W jaki sposób działa system antyDDoS? Uaktywnia się w momencie ataku, czy w sposób nieprzerwany filtruje sieć?
Standardowy system dostępny dla wszystkich usług w OVH jest częściowo systemem aktywowanym w momencie ataku. Jednak w przypadku oferty gamingowej, jednym z kluczowych elementów, na których nam zależało, było wyeliminowanie jitter’a, który taki system wprowadzał w momencie ataku. Ten system jest always on, cały czas działa i monitoruje stan gier, które działają za nim. Co ciekawe, monitoruje on również ruch wychodzący od serwera do klienta, pozwalając mu dokładniej zrozumieć stan rozgrywki. Dzięki temu rozwiązanie to reaguje od pierwszego pakietu filtrując niewłaściwy ruch. Całkowicie niezauważalnie dla autoryzowanych graczy. W ramach naszego całego globalnego i rozproszonego systemu Tarczy AntyDDoS informacje o takim ataku mogą być synchronizowane, co wpływa na szybszy czas reakcji, zwiększając bezpieczeństwo użytkowników.
Nasza oferta GAME jest specjalistyczną ofertą, w której system zaprojektowany jest w taki sposób, aby rozumieć dokładnie stan rozgrywki, reagować natychmiast i być zawsze włączonym.
Źródło: