‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-1-‬‬ ‫מתקפות מניעת שירות מבוזרות (‪ – )Distributed Denial of Service‬פתרונות טכנולוגיים אפשריים‬ ‫מנגנוני ההגנה מפני מתקפות ‪ DDoS‬הינם מגוונים‪ ,‬תלויים בסוג המתקפה (‪)Volume/Application‬‬ ‫ומתמקדים בשיטות הגנה הכוללות זיהוי‪ ,‬ניתוח‪ ,‬סינון‪ ,‬ספיגה ושיתוף פעולה‪ .‬עצירה של המתקפה יכולה‬ ‫להיעשות בכל אחד משלבי מעבר התקשורת‪ ,‬החל מהכניסה לשירות עצמו ועד לענן רחוק מאוד מהיעד‪,‬‬ ‫כמתואר בתרשים הבא‪:‬‬ ‫בכל שלב ניתן ליישם שיטות טכנולוגיות שונות‪ ,‬אשר נבדלות זו מזו ברמת מורכבות היישום‪ ,‬רמת‬ ‫הביצועים‪ ,‬העלות וההצלחה למול סוגי המתקפות השונות‪:‬‬ ‫‪ .1‬הגדלת רוחב הפס (בספקית או בכניסה לשירות הנתקף)‬ ‫א‪ .‬אחד המאפיינים של ישראל הינו במגבלת נפחי התעבורה בכניסה למדינה‪ .‬נפחי התקיפה שנצפו‬ ‫בשנים האחרונות מתחילים להתקרב לסדרי הגודל של התעבורה פנימה והחוצה מהמדינה‪ .‬פתרון‬ ‫אפשרי ראשון בהתמודדות עם מתקפות ‪ DDoS‬הינו הגדלת רוחב הפס בכניסה לישראל או‬ ‫בכניסה לשירותים השונים‪.‬‬ ‫ב‪ .‬עם זאת‪ ,‬פתרון המתבסס אך ורק על הגדלת רוחב הפס יישא בעלויות גבוהות מאוד‪ .‬נפחי‬ ‫המתקפות ההולכים וגדלים‪ ,‬עלול לגרור דרישות אשר אינן סבירות בהיבטי השקעת המשאבים וכן‬ ‫לעודד "מרוץ חימוש" בין מגן לתוקף‪ .‬בנוסף‪ ,‬הגדלת רוחב הפס אינה פותרת את כלל סוגי‬ ‫המתקפות – למשל‪ ,‬הגדלת רוחב הפס בכניסה למדינה אינה מונעת או מייתרת את ההתמודדות‬ ‫עם מתקפות המגיעות על בסיס רשתות ‪ Botnet‬הנמצאות בתוך המדינה‪.‬‬ ‫‪ .2‬פתרונות חסימה‬ ‫א‪ .‬הדרך הבסיסית ביותר להבדיל בין תעבורת תוקף לתעבורה לגיטימית היא על ידי הכרה‪ ,‬זיהוי‬ ‫ואפיון כתובות ‪ IP‬זדוניות‪ .‬סינון התעבורה מכתובות אלו יכול להתרחש קרוב אל היעד‪ ,‬בליבת‬ ‫הרשת או קרוב למקור המתקפה‪.‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-2-‬‬ ‫ב‪ .‬הפתרון הסטנדרטי אשר מיושם במרבית ספקיות האינטרנט הוא "חור שחור" (‪.)Black-holing‬‬ ‫מנגנון זה משתמש בטבלאות ניתוב שעיבודן נעשה ברמת החומרה‪ ,‬וכך במקרה שמזוהה תקיפה‪,‬‬ ‫בין אם על ידי ניטור של הספקית ובין על ידי דיווח של הלקוח‪ ,‬מתבצעת התקשרות של הספקית‬ ‫מול הספקית בחו"ל וזו מעבירה את כל התקשורת ל"חור שחור" ובפועל חוסמת את כל התנועה‬ ‫לנתקף‪ .‬חסימת ה"חור השחור" מתבצעת באזור ‪ Upstream‬מחוץ לגבולות המדינה‪ ,‬כך נמנע עומס‬ ‫על רוחב הפס של הספקית‪ ,‬מאידך נחסמת כל התקשורת‪ ,‬גם זו הלגיטימית‪ .‬כתוצאה מכך בעצם‬ ‫מתממשת בפועל מטרתו של התוקף למנוע גישה לאתר‪.‬‬ ‫ג‪ .‬פתרון נוסף הוא חסימה מניעתית לפני או בזמן מתקפה‪ .‬לדוגמה‪ ,‬חסימת כל התקשורת לישראל‬ ‫על בסיס מאפיינים טכנולוגיים או טווחי ‪ IP‬המוכרים כבעייתיים‪ ,‬מדינות עוינות וכו' על ידי‬ ‫מימוש בטבלאות בקרת גישה ‪ (Access Control List( ACL‬בספקית או בשרות עצמו‪ .‬פתרון זה‬ ‫הינו נקודתי בהשוואה ל"חור השחור" העובד באופן גורף‪ .‬הפתרון דורש עדכון וצורך משאבי עיבוד‬ ‫מרובים מהנתב‪ ,‬לכן הספקיות אינן ששות ליישמו‪.‬‬ ‫‪ .3‬פתרונות "קופסאות סינון"‬ ‫א‪ .‬בניגוד לפתרונות החסימה החוסמים גם תעבורה תקינה‪ ,‬מיושם פתרון בתצורת קופסא המוצבת‬ ‫בכניסה לשרות ותפקידה לבצע סינון באמצעות זיהוי מבוסס התנהגות‪ .‬הפתרון מתאים לארגונים‬ ‫ולספקיות אינטרנט ומסוגל לזהות איומי ‪ ,DDoS‬כולל התקפות מתוחכמות בנפח נמוך בשכבת‬ ‫היישום‪ .‬הקופסא מבוססת חומרה מעבדת את נתוני התעבורה ופועלת על פי חישובים לוגיים‪,‬‬ ‫כדוגמת ניקוד כתובות ‪ IP‬על בסיס מוניטין והערכה של מתקפות מתמשכות‪ .‬יתרונותיה הן‬ ‫האפשרות לחסום רק תנועה מאיימת תוך הפחתת הסיכון לזיהוי חיובי כוזב (‪,)false positive‬‬ ‫זיהוי התחזות (‪ ,)Spoofing‬גילוי של תולעים‪ ,‬ניהול מקומי ועוד‪.‬‬ ‫ב‪ .‬קופסאות סינון יכולות להיפרס במקומות שונים ברשת‪ :‬בקרבת היעד‪ ,‬בנתבים בדרך בין המקור‬ ‫ליעד או מחוץ למדינה בחיבור בין הספקיות לספקיות בחו"ל (‪ .)POP‬לכל אחת מהאפשרויות‬ ‫יתרונות וחסרונות משלהן‪ .‬קיימים שני סוגים של קופסאות סינון‪:‬‬ ‫‪.i‬‬ ‫קופסאות ‪ – In Line/Go Threw‬בקופסאות אלו כל התעבורה (בקשות לגיטימיות ובקשות‬ ‫זדוניות) עוברות דרך הקופסא‪ .‬הקופסא לומדת את נפח התעבורה ויודעת לזהות אנומליה‪.‬‬ ‫‪.ii‬‬ ‫קופסאות זיהוי והפניה ‪ – Netflow‬בפתרונות אלו התעבורה אינה עוברת דרך הקופסא‬ ‫בשגרה‪ .‬הקופסא מנטרת את התקשורת באופן קבוע ורק כאשר מזוהה תקיפה‪ ,‬התעבורה‬ ‫מנותבת דרך הקופסא לסינון‪.‬‬ ‫ג‪ .‬קופסאות סינון הממוקמות מחוץ למדינת ישראל‪ ,‬ניתן ליישם בשני אופנים ‪:‬‬ ‫‪.i‬‬ ‫קופסאות סינון הממוקמות בכל חיבור ‪ POP‬לכל ספקית‪ ,‬מאפשרות חסימה של התקיפה עוד‬ ‫בחו"ל מבלי להעמיס את קווי הרשת של הספקיות בתוך המדינה ובכך להגן עליהן ולמנוע את‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-3-‬‬ ‫חסימתן‪ .‬כל קופסא מטפלת במתקפות המגיעות מהמדינות אליהן היא מקושרת וניתן לנתב‬ ‫את התקשורת בזמן אמת לקופסאות שונות לפי מאפייני התקיפה‪ .‬החיסרון בפתרון זה הוא‬ ‫שדרושה קופסת סינון בכל ‪ POP‬לכל ספקית על מנת לסנן את כל התקשורת הנכנסת‪ .‬גם‬ ‫מיקומן המרוחק של הקופסאות מקשה על הטיפול במתקפות אפליקטיביות ומקטין במעט את‬ ‫יעילות הפתרון הכולל‪.‬‬ ‫‪.ii‬‬ ‫קופסת סינון אחת בכל ‪ ,POP‬משותפת לכל הספקיות‪ ,‬עוד לפני חלוקת התקשורת ביניהן‪.‬‬ ‫לשיטה זו יתרונות כמו חסכון במשאבים ואחידות לכל הספקיות אולם בעייתית למימוש‬ ‫מאחר ודרושה הסכמה רחבה לגבי מדיניות הפעלתה‪ ,‬כמו כן‪ ,‬נוצרות נקודות כשל מרכזיות‬ ‫ואף תיתכן פגיעה בפרטיות‪.‬‬ ‫ד‪ .‬ניתן גם למקם קופסאות סינון בתוך מדינת ישראל ברשת הספקית‪ .‬לפתרון זה יתרונות של‬ ‫נגישות‪ ,‬ניהול ותחזוקה קלים יותר‪ ,‬יכולת התמודדות עם מתקפות נפח גדולות‪ ,‬מתקפות על שרתי‬ ‫‪ DNS‬פנימיים ומתקפות אפליקציה פשוטות יחסית‪ .‬כמו כן לא נדרשות קופסאות רבות‪ .‬עם זאת‬ ‫מכיוון שנדרש להתמודד עם עומסי תקיפה רבים מכל העולם‪ ,‬הן חייבות להיות קופסאות חזקות‬ ‫עם יכולת סינון נפח רב ולרוב לא יוכלו להיות ממומשות כקופסאות ‪ .Inline‬חסרונם הוא בין היתר‬ ‫הקושי בהתמודדות עם התקפות אפליקטיביות מתוחכמות‪.‬‬ ‫ה‪ .‬חלופה נוספת היא קופסאות סינון בכניסה לשירותים נתקפים‪ ,‬מטרתם של קופסאות סינון אלה‬ ‫הוא לסנן את התקשורת בהגיעה לאתר או השרת המותקף‪ .‬יתרונם בכך שהן מסננות רק את‬ ‫המידע המגיע לשירות‪ ,‬לכן יכולות להיות יחסית קטנות ו‪ ,Inline -‬ויכולתן לטפל בתקשורת‬ ‫מוצפנת ולהתמודד עם מתקפות אפליקטיביות חכמות‪ .‬מנגד הן לעתים רבות אינן יכולות‬ ‫להתמודד בהצלחה גדולה עם נפחים ועומסים גדולים בעת מתקפת נפח ללא קופסא נוספת ברשת‬ ‫הספקית‪.‬‬ ‫‪ .4‬פתרונות ניקוי בענן (‪)Scrubbing‬‬ ‫קופסאות הסינון מתמודדות עם התקיפה בכניסה למדינה או בתוך המדינה או הארגון עצמו‪ .‬פתרונות‬ ‫הענן מציעים להתמודד ולסנן מתקפות רחוק מהארגון ומהמדינה‪ ,‬לעתים אף קרוב למקור התוקף‪.‬‬ ‫חלק גדול מאוד מהתקשרות העולמית זורם היום בשירותי ענן גדולים‪ ,‬וזאת משיקולי ביצועים‪ ,‬שיפור‬ ‫איכות ומהירות הגלישה‪ .‬ניתן לנצל את העובדה שאחוזים משמעותיים מהתעבורה עוברים בכל מקרה‬ ‫בשירותי הענן (וישנם ספקי שירות ענן שאכן עושים זאת)‪ ,‬על מנת לתת פתרון אבטחתי ומענה‬ ‫למתקפות ‪ .DDoS‬פתרונות ניקוי בענן הינם למעשה מעין שדרוג לפתרונות הקופסא בכניסה לשירות‪,‬‬ ‫ועשויות להיות מיושמות למשל כאשר המתקפות הינן גדולות מדי עבור קופסאות הסינון בכניסה‬ ‫לשירות‪ .‬הרעיון בפתרון זה הינו ניטור התעבורה בכניסה לשירות (בדומה לקופסאות הסינון)‪ ,‬אך עם‬ ‫גילוי וזיהוי של מתקפה‪ ,‬התעבורה מועברת לסינון בשירות ענן אשר מסנן את התעבורה ומחזיר אותה‬ ‫נקייה‪.‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-4-‬‬ ‫ניתוב התעבורה עשוי להתבצע אוטומטית‪ ,‬אך יכול גם להתבצע בהחלטה משותפת של הלקוח ושל‬ ‫מוצר ההגנה באמצעות ניתוב התעבורה‪ .‬שינויי התעבורה עשויים להיות משמעותיים מבחינת זמן‬ ‫התגובה של שירות הלקוח ועל כן מקובל לבצעם רק כאשר קיימת ודאות או חשש גבוה לתקיפה‬ ‫משמעותית‪ .‬ישנם ניסיונות למצוא פתרונות מתקדמים יותר אשר ישפיעו פחות על האלמנטים‬ ‫הבסיסיים ומדדי הביצוע של שירותי הלקוחות‪.‬‬ ‫‪ .5‬פתרונות נוספים‬ ‫החלופות הטכנולוגיות השונות נותנות מענה ישיר לעצירת המתקפות‪ .‬השכבה המשלימה אותן היא‬ ‫שכבת פעולות המתבססת על אלמנטים ארגוניים ומדינתיים כגון שיתופי פעולה‪ ,‬אכיפת חוק‪ ,‬תרגול‬ ‫ועוד‪ .‬פעולות אלו עשויות לייצר לפתרונות הטכנולוגיים תשתית נוחה יותר לעבודה ולהגביר את‬ ‫יעילותן‪ .‬בין פעולות אלו ניתן למנות‪:‬‬ ‫א‪ .‬התמודדות מראש וניקוי ככל הניתן של רשתות ‪ Bot‬פנים מדינתיות – על מנת להתמודד עם‬ ‫מתקפות אשר מגיעות בעיקר מחו"ל וניתן לסננן לעתים ביתר קלות‪.‬‬ ‫ב‪ .‬יצירת הרתעה ע"י אכיפה וענישה – כלפי תוקפים אשר מארגנים מתקפות‪.‬‬ ‫ג‪ .‬קידום שיתופי פעולה בין ארגונים וספקיות – לשיפור ההיערכות ויכולת התגובה המהירה‪.‬‬ ‫ד‪ .‬תרגול מתמשך – של כלל הגופים להתמודדות עם מתקפות ‪.DDoS‬‬ ‫קישורים ומידע נוסף‬ ‫‪http://cerebro.xu.edu/~muller/csci390/p39-mirkovic.pdf‬‬ ‫_‪http://security.radware.com/uploadedFiles/Resources_and_Content/DDoS_Handbook/DDoS‬‬ ‫‪Handbook.pdf‬‬ ‫‪http://government-ict.co.uk/wp‬‬‫‪content/blogs.dir/24/files/2013/12/idc_ddos_security_0613_wp.pdf‬‬ ‫‪http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_14_09_DDoS_final.pdf‬‬ ‫‪http://www.ecsl.cs.sunysb.edu/tr/TR201.pdf‬‬ ‫‪http://www.cs.berkeley.edu/~dawnsong/papers/siff.pdf‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-5-‬‬ ‫‪http://www.asd.gov.au/publications/csocprotect/preparing-for-responding-to-ddos‬‬‫‪activities.htm‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬