{"id":1789,"date":"2026-06-29T09:46:16","date_gmt":"2026-06-29T07:46:16","guid":{"rendered":"https:\/\/misot.pl\/?p=1789"},"modified":"2026-06-29T09:48:32","modified_gmt":"2026-06-29T07:48:32","slug":"ddos-ktory-zywi-sie-cisza-czyli-dlaczego-nie-musisz-placic-okupu-w-bonach-z-zabki","status":"publish","type":"post","link":"https:\/\/misot.pl\/en\/2026\/06\/29\/ddos-ktory-zywi-sie-cisza-czyli-dlaczego-nie-musisz-placic-okupu-w-bonach-z-zabki\/","title":{"rendered":"DDoS, kt\u00f3ry \u017cywi si\u0119 cisz\u0105.\u2026czyli dlaczego nie musisz p\u0142aci\u0107 okupu w\u00a0bonach z\u00a0\u017babki"},"content":{"rendered":"

Dostajesz maila z\u00a0pogr\u00f3\u017ckami: Wykryli\u015bmy problem w\u00a0Twojej sieci. Je\u015bli zap\u0142acisz xxxx z\u0142 w\u00a0bonach z\u00a0\u017babki, dodamy Twoj\u0105 sie\u0107 do\u00a0natychmiastowej obrony anty-DDoS.<\/em> Tak zaczyna si\u0119 historia problem\u00f3w wielu ISP. Niby niewielkie wymuszenie, ale coraz wi\u0119cej operator\u00f3w boryka si\u0119 z\u00a0tego typu sytuacjami. Tego typu atak ma ju\u017c swoj\u0105 nazw\u0119 Atak dywanowy<\/em> i\u00a0jest kierowany w\u00a0kolejnych polskich ISP. <\/strong><\/p>\n\n\n\n

EPIX jako w\u0119ze\u0142 wymiany ruchu w\u00a0swoich za\u0142o\u017ceniach powinien skupia\u0107 si\u0119 na\u00a0pewnej i\u00a0szybkiej wymianie ruchu w\u00a0warstwie L2 – zapewni\u0107 przesy\u0142anie pakiet\u00f3w pomi\u0119dzy uczestnikami i\u00a0dostarczy\u0107 informacje o\u00a0routingu w\u00a0OpenPeering. Nie mo\u017cemy jednak pozosta\u0107 bierni wobec tego, co si\u0119 dzieje, dlatego systemowo podchodzimy do\u00a0rozwi\u0105zywania problem\u00f3w naszych uczestnik\u00f3w. Poza budow\u0105 scrubbing center staramy si\u0119 edukowa\u0107 spo\u0142eczno\u015b\u0107 – i\u00a0ten artyku\u0142 jest w\u0142a\u015bnie tego cz\u0119\u015bci\u0105: to kompilacja wiedzy o\u00a0tym, na\u00a0czym polega atak, zach\u0119ta do\u00a0podj\u0119cia dzia\u0142ania oraz przyk\u0142adowe propozycje rozwi\u0105za\u0144. A\u00a0w\u0142a\u015bciwie: propozycje dzia\u0142a\u0144, kt\u00f3re utrudni\u0105 \u017cycie atakuj\u0105cym.<\/p>\n\n\n\n

Opis ataku<\/strong><\/h2>\n\n\n\n

Mamy do\u00a0czynienia z\u00a0atakiem z\u00a0rodziny reflection\/amplification<\/em>, opartym w\u00a0ca\u0142o\u015bci na\u00a0samym zachowaniu protoko\u0142u TCP – bez wykorzystania jakiejkolwiek luki czy b\u0142\u0119du w\u00a0oprogramowaniu. Atakuj\u0105cy nie kieruje ruchu wprost na\u00a0ofiar\u0119; zamiast tego pos\u0142uguje si\u0119 setkami czy tysi\u0105cami legalnie dzia\u0142aj\u0105cych serwer\u00f3w WWW jako nie\u015bwiadomymi odbijaczami<\/em> (reflektorami), kt\u00f3re przy okazji pe\u0142ni\u0105 rol\u0119 multiplikator\u00f3w nat\u0119\u017cenia ruchu.<\/p>\n\n\n\n

Punktem wyj\u015bcia jest spoofing adresu \u017ar\u00f3d\u0142owego. Atakuj\u0105cy wysy\u0142a pakiety TCP\/SYN, w\u00a0kt\u00f3rych jako adres nadawcy podstawia adres IP ofiary, a\u00a0jako adres docelowy – adresy serwer\u00f3w obs\u0142uguj\u0105cych HTTP i\u00a0HTTPS (porty 80 i\u00a0443). Z\u00a0punktu widzenia takiego serwera wygl\u0105da to jak najzwyklejsza pr\u00f3ba nawi\u0105zania po\u0142\u0105czenia: zgodnie ze\u00a0specyfikacj\u0105 odsy\u0142a pakiet SYN\/ACK, rozpoczynaj\u0105c tr\u00f3jstronne uzgadnianie (handshake<\/em>),  tyle \u017ce\u00a0odpowied\u017a trafia nie do\u00a0atakuj\u0105cego, lecz do\u00a0ofiary, kt\u00f3rej adres widnieje w\u00a0nag\u0142\u00f3wku.<\/p>\n\n\n\n

I\u00a0tu pojawia si\u0119 sedno problemu. Ofiara nigdy nie inicjowa\u0142a tego po\u0142\u0105czenia, wi\u0119c nawet je\u015bli SYN\/ACK dotrze do\u00a0dzia\u0142aj\u0105cego hosta, jego stos TCP nie znajdzie w\u00a0tablicy pasuj\u0105cego wpisu. Warto jednak zaznaczy\u0107, \u017ce\u00a0go\u0142y<\/em> stos TCP (Linux, Windows) w\u00a0takiej sytuacji domy\u015blnie odpowiada<\/em> pakietem RST i\u00a0to w\u0142a\u015bnie ten RST przerwa\u0142by ca\u0142y mechanizm. Dlaczego wi\u0119c atak dzia\u0142a?<\/p>\n\n\n\n

Odpowied\u017a tkwi w\u00a0realiach sieci operatorskich, do\u00a0kt\u00f3rych ten atak jest skrojony. Po\u00a0pierwsze, ofiar\u0105 rzadko bywa pojedynczy host; celem s\u0105 zwykle ca\u0142e, du\u017ce klasy adresowe, w\u00a0tym zakresy nieu\u017cywane lub przydzielone, ale nieobsadzone \u017cadnym aktywnym urz\u0105dzeniem. Pakiety SYN\/ACK trafiaj\u0105 wtedy w\u00a0czarne dziury<\/em>: nie ma komu ich odrzuci\u0107, nie ma kto odpowiedzie\u0107 RST-em. Z\u00a0perspektywy serwera-reflektora wygl\u0105da to identycznie jak pakiet zagubiony w\u00a0sieci, wi\u0119c, dok\u0142adnie tak jak ka\u017ce protok\u00f3\u0142, ponawia transmisj\u0119. I\u00a0jeszcze raz. I\u00a0jeszcze raz.<\/p>\n\n\n\n

Po\u00a0drugie, nawet tam gdzie pod adresem ofiary kryj\u0105 si\u0119 realne hosty, w\u00a0sieciach operatorskich powszechny jest NAT oraz urz\u0105dzenia brzegowe, kt\u00f3re nieoczekiwany, niepasuj\u0105cy do\u00a0\u017cadnej sesji ruch po\u00a0prostu po\u00a0cichu dropuj\u0105, zamiast odsy\u0142a\u0107 RST. Efekt jest ten sam co przy czarnej dziurze: brak jakiejkolwiek odpowiedzi, kt\u00f3r\u0105 reflektor m\u00f3g\u0142by zinterpretowa\u0107 jako koniec po\u0142\u0105czenia, a\u00a0zatem retransmisja za\u00a0retransmisj\u0105.<\/p>\n\n\n\n

Ka\u017cda taka retransmisja to kolejny pakiet l\u0105duj\u0105cy w\u00a0sieci ofiary. W\u00a0zale\u017cno\u015bci od\u00a0konfiguracji stosu TCP po\u00a0stronie serwer\u00f3w-multiplikator\u00f3w cykl powtarza si\u0119 zwykle od\u00a06 do\u00a012 razy, zanim po\u0142\u0105czenie zostanie ostatecznie porzucone. Pojedynczy spreparowany pakiet wys\u0142any przez atakuj\u0105cego zamienia si\u0119 wi\u0119c w\u00a0kilkana\u015bcie pakiet\u00f3w uderzaj\u0105cych w\u00a0ofiar\u0119 i\u00a0to wys\u0142anych nie przez samego atakuj\u0105cego, lecz przez wiarygodne serwisy WWW rozsiane po\u00a0ca\u0142ej Polsce. Efektem s\u0105 miliony pakiet\u00f3w zalewaj\u0105cych \u0142\u0105cze ofiary, pochodz\u0105cych z\u00a0adres\u00f3w, kt\u00f3re same w\u00a0sobie s\u0105 ca\u0142kowicie legalne.<\/p>\n\n\n\n

Na\u00a0tym w\u0142a\u015bnie polega perfidia tego ataku: nie istnieje przed nim prosta metoda obrony. Ruchu nie da si\u0119 ot tak odfiltrowa\u0107 po\u00a0adresie \u017ar\u00f3d\u0142owym, bo\u00a0p\u0142ynie on z\u00a0prawdziwych serwer\u00f3w HTTP(S) – blokuj\u0105c go, ofiara odci\u0119\u0142aby przy okazji w\u0142asny, legalny ruch webowy. Nie pomo\u017ce te\u017c blokada po\u00a0porcie, bo\u00a0to ten sam port, na\u00a0kt\u00f3rym odbywa si\u0119 normalna komunikacja ze\u00a0stronami.<\/p>\n\n\n\n

Realnym rozwi\u0105zaniem pozostaje stanowy firewall (stateful firewall<\/em>) ustawiony na\u00a0brzegu sieci ofiary. \u015aledzi on stan po\u0142\u0105cze\u0144 i\u00a0wie, kt\u00f3re z\u00a0nich faktycznie zosta\u0142y zainicjowane od\u00a0wewn\u0105trz. Gdy dociera do\u00a0niego SYN\/ACK niepasuj\u0105cy do\u00a0\u017cadnego wpisu w\u00a0tablicy po\u0142\u0105cze\u0144, zamiast po\u00a0cichu go odrzuci\u0107, odsy\u0142a pakiet TCP\/RST. Ten RST jest dla serwera-reflektora jednoznacznym sygna\u0142em, \u017ce\u00a0po\u0142\u0105czenia nie ma i\u00a0nie b\u0119dzie – co natychmiast przerywa \u0142a\u0144cuch retransmisji i\u00a0likwiduje efekt multiplikacji u\u00a0samego \u017ar\u00f3d\u0142a.<\/p>\n\n\n\n

Jak si\u0119 mo\u017cemy broni\u0107?<\/strong><\/h2>\n\n\n\n

Tak naprawd\u0119 jedyn\u0105 prawdziw\u0105 obron\u0105 jest higiena w\u0142asnej sieci. I\u00a0tak, to, \u017ce\u00a0Twoja sie\u0107 nie jest w\u00a0tej chwili atakowana, wcale nie znaczy, \u017ce\u00a0komputery-zombie z\u00a0Twojego zakresu, b\u0119d\u0105ce cz\u0119\u015bci\u0105 botnetu, nie atakuj\u0105 w\u0142a\u015bnie teraz innych operator\u00f3w. Ten typ ataku da si\u0119 wyci\u0105\u0107 wy\u0142\u0105cznie u\u00a0\u017ar\u00f3d\u0142a: blokuj\u0105c wysy\u0142anie spoofowanych pakiet\u00f3w. A\u00a0to Wy, operatorzy, macie zar\u00f3wno narz\u0119dzia, jak i\u00a0wiedz\u0119 o\u00a0tym, co powinno wychodzi\u0107 z\u00a0Waszych sieci, a\u00a0co nie.<\/p>\n\n\n\n

Fakt, \u017ce\u00a0nie jeste\u015b w\u00a0tej chwili atakowany – a\u00a0atakowanie innych Ci nie przeszkadza – nie oznacza wcale, \u017ce\u00a0jutro to Twoja sie\u0107 nie stanie si\u0119 celem i\u00a0to Ty b\u0119dziesz mia\u0142 problem. Najsmutniejsze jest to, \u017ce\u00a0odpowiedni dokument istnieje od\u00a0\u0107wier\u0107wiecza. W\u00a0maju 2000 roku – 26 lat temu – powsta\u0142 RFC 2827 (znany te\u017c jako BCP 38), kt\u00f3ry wprost opisuje, jak konfigurowa\u0107 sieci operatorskie, by zapobiega\u0107 podszywaniu si\u0119 pod cudze adresy \u017ar\u00f3d\u0142owe. W\u00a0praktyce sprowadza si\u0119 to do\u00a0filtrowania ruchu wychodz\u0105cego (ingress filtering na\u00a0brzegu klienta) – cz\u0119sto realizowanego mechanizmem uRPF – tak by z\u00a0danego zakresu mog\u0142y wychodzi\u0107 wy\u0142\u0105cznie pakiety o\u00a0adresach \u017ar\u00f3d\u0142owych faktycznie do\u00a0niego nale\u017c\u0105cych. To troch\u0119 analogia do\u00a0szczepie\u0144, implementuj\u0105c rozwi\u0105zania z\u00a0BCP 38 u\u00a0siebie wzmacniamy odporno\u015b\u0107 ca\u0142ej polskiej cyberprzestrzeni. <\/p>\n\n\n\n

Przy niewielkich sieciach, maj\u0105cych po\u00a0kilkana\u015bcie czy kilkadziesi\u0105t prefiks\u00f3w, ca\u0142a operacja zajmuje kilkana\u015bcie minut i\u00a0nie wp\u0142ywa zauwa\u017calnie na\u00a0obci\u0105\u017cenie wsp\u00f3\u0142czesnych router\u00f3w. I\u00a0to jest nasza wsp\u00f3lna, spo\u0142eczno\u015bciowa metoda obrony – dzia\u0142aj\u0105ca jeszcze zanim ktokolwiek zostanie zaatakowany. Im wi\u0119cej sieci j\u0105 wdra\u017ca, tym mniej miejsc, z\u00a0kt\u00f3rych spoofing w\u00a0og\u00f3le mo\u017ce wyj\u015b\u0107. <\/p>\n\n\n\n

Trwa atak?<\/strong><\/h3>\n\n\n\n

Tu ju\u017c nie jest tak r\u00f3\u017cowo. Jak wspomnia\u0142em wcze\u015bniej, prawid\u0142owo skonfigurowany firewall czy stos TCP – taki, kt\u00f3ry na\u00a0out-of-state SYN\/ACK odsy\u0142a RST zamiast go po\u00a0cichu dropowa\u0107 – powinien sobie z\u00a0atakiem poradzi\u0107. Z\u00a0do\u015bwiadczenia wiem jednak, \u017ce\u00a0teoria rozje\u017cd\u017ca si\u0119 z\u00a0praktyk\u0105. Wi\u0119kszo\u015b\u0107 konsumenckich ONT-\u00f3w i\u00a0router\u00f3w robi NAT do\u00a0sieci u\u017cytkownika i\u00a0zazwyczaj jest na\u00a0ten atak podatna: po\u00a0cichu dropuje pakiety niezwi\u0105zane z\u00a0\u017cadn\u0105 znan\u0105 im sesj\u0105, zamiast odpowiedzie\u0107 resetem. To realny problem, na\u00a0kt\u00f3ry operator ma ograniczony wp\u0142yw.<\/p>\n\n\n\n

Co wi\u0119c zostaje w\u00a0trakcie ataku? Po\u00a0pierwsze – je\u015bli masz sporo nieu\u017cywanych prefiks\u00f3w, po\u00a0prostu ich nie rozg\u0142aszaj; to, czego nie ma w\u00a0tablicach routingu, nie \u015bci\u0105gnie na\u00a0siebie odbitego ruchu. Po\u00a0drugie – zakresy adresacji, kt\u00f3rych nie u\u017cywasz, skieruj do\u00a0regu\u0142 firewalla odsy\u0142aj\u0105cych TCP\/RST, dok\u0142adnie tak, jak opisano w\u00a0sekcjach poni\u017cej. Tu jednak ostro\u017cnie: urz\u0105dzenie masowo generuj\u0105ce RST samo mo\u017ce sta\u0107 si\u0119 reflektorem dla innego ataku, wi\u0119c tak\u0105 regu\u0142\u0119 trzeba ograniczy\u0107 do\u00a0w\u0142asnych, nieobsadzonych zakres\u00f3w i\u00a0nie odpowiada\u0107 na\u00a0ruch spoza nich.<\/p>\n\n\n\n

No i\u00a0wreszcie NAT na\u00a0Twoich urz\u0105dzeniach – tu r\u00f3wnie\u017c nie jeste\u015b do\u00a0ko\u0144ca bezbronny.<\/p>\n\n\n\n

Ochrona nieaktywnych zakres\u00f3w w\u00a0sieci BNG (BRAS) \/PPPoE<\/strong><\/h2>\n\n\n\n

Skoro atak \u017cywi si\u0119 cisz\u0105 – brakiem RST-a\u00a0tam, gdzie pakiet trafia w\u00a0nieobsadzony adres – to najskuteczniejsz\u0105 obron\u0105 jest zamieni\u0107 ka\u017cd\u0105 tak\u0105 czarn\u0105 dziur\u0119<\/em> w\u00a0urz\u0105dzenie, kt\u00f3re na\u00a0nieoczekiwany SYN\/ACK \u015bwiadomie odpowiada resetem. W\u00a0sieci operatorskiej z\u00a0terminacj\u0105 PPPoE na\u00a0BNG\/BRAS daje si\u0119 to zrobi\u0107 wyj\u0105tkowo elegancko, bo\u00a0sama infrastruktura dostarcza gotowy sygna\u0142 ten adres jest aktywny<\/em>: obecno\u015b\u0107 trasy hostowej \/32.<\/p>\n\n\n\n

Mechanizm opiera si\u0119 na\u00a0regule longest-prefix match. Gdy sesja PPPoE klienta wstaje, BNG instaluje dla jego adresu tras\u0119 \/32 wskazuj\u0105c\u0105 na\u00a0interfejs subskrybenta (framed route<\/em>). Gdy sesja pada – ta trasa \/32 znika. Dla ca\u0142ej puli adresowej subskrybent\u00f3w (np. \/20) utrzymujemy natomiast tras\u0119 pokrywaj\u0105c\u0105<\/strong> – mniej szczeg\u00f3\u0142ow\u0105 – kieruj\u0105c\u0105 ruch na\u00a0firewall lub dedykowany serwer odsy\u0142aj\u0105cy RST. Rozdzia\u0142 ruchu dzieje si\u0119 wtedy automatycznie, bez \u017cadnej dodatkowej logiki:<\/p>\n\n\n\n

    \n
  • adres aktywny – wygrywa bardziej szczeg\u00f3\u0142owa trasa \/32 z\u00a0BNG, ruch trafia do\u00a0klienta;<\/li>\n\n\n\n
  • adres nieaktywny – brak \/32, wi\u0119c wygrywa trasa pokrywaj\u0105ca, a\u00a0ruch l\u0105duje na\u00a0urz\u0105dzeniu odsy\u0142aj\u0105cym reset.<\/li>\n<\/ul>\n\n\n\n

    Zamiast wi\u0119c kierowa\u0107 nieu\u017cywan\u0105 przestrze\u0144 adresow\u0105 w\u00a0null-route (klasyczna czarna dziura, kt\u00f3ra milczy i\u00a0tym samym nap\u0119dza retransmisje reflektora), kierujemy j\u0105 tam, gdzie ka\u017cdy out-of-state SYN\/ACK spotka si\u0119 z\u00a0RST-em. A\u00a0poniewa\u017c ataki tego typu celuj\u0105 w\u0142a\u015bnie w\u00a0du\u017ce, rzadko obsadzone zakresy, trafiamy dok\u0142adnie w\u00a0sam \u015brodek wektora.<\/p>\n\n\n\n

    Dedykowany serwer-responder<\/strong><\/h3>\n\n\n\n

    Rol\u0119 RST-respondera<\/em> mo\u017ce pe\u0142ni\u0107 sam firewall brzegowy, ale r\u00f3wnie dobrze mo\u017cna obok niego postawi\u0107 maszyn\u0119 dedykowan\u0105 do\u00a0tego zadania – rodzaj kontrolowanej ofiary do\u00a0atakowania<\/em>, kt\u00f3ra przejmuje na\u00a0siebie ca\u0142y ruch do\u00a0martwych adres\u00f3w. W\u00a0obu wariantach kluczowa jest maska<\/strong>, a\u00a0nie metryka: to mniej szczeg\u00f3\u0142owy prefiks (np. \/20 wobec \/32 aktywnego klienta) sprawia, \u017ce\u00a0responder z\u00a0definicji dostaje wy\u0142\u0105cznie ruch do\u00a0adres\u00f3w nieobsadzonych. Metryka rozstrzyga co innego – rywalizacj\u0119 mi\u0119dzy trasami tej samej d\u0142ugo\u015bci – wi\u0119c przydaje si\u0119 dopiero do\u00a0redundancji (firewall jako trasa podstawowa, serwer jako zapasowa og\u0142aszaj\u0105ca ten sam prefiks z\u00a0gorsz\u0105 metryk\u0105), a\u00a0nie do\u00a0samej selekcji aktywny kontra nieaktywny.<\/em><\/p>\n\n\n\n

    Tu jednak czai si\u0119 pu\u0142apka, kt\u00f3ra potrafi zniweczy\u0107 ca\u0142y pomys\u0142. Go\u0142y<\/em> stos systemowy odpowiada RST-em na\u00a0nieoczekiwany SYN\/ACK tylko wtedy, gdy pakiet jest zaadresowany na\u00a0jego w\u0142asny, lokalny adres IP<\/strong>. W\u00a0tym scenariuszu SYN\/ACK leci na\u00a0adres klienta z\u00a0puli \/20 – adres, kt\u00f3rego serwer nie posiada. Je\u015bli trasa po\u00a0prostu wskazuje serwer jako next-hop, maszyna zobaczy obcy adres docelowy i\u00a0albo spr\u00f3buje pakiet forwardowa\u0107 dalej, albo odrzuci go jako martian<\/em> – w\u00a0\u017cadnym wypadku nie wygeneruje resetu. Innymi s\u0142owy: postawiony na\u00a0go\u0142o<\/em> serwer b\u0119dzie po\u00a0prostu kolejn\u0105 czarn\u0105 dziur\u0105.<\/p>\n\n\n\n

    \u017beby responder faktycznie resetowa\u0142, musi przygarn\u0105\u0107<\/em> ca\u0142\u0105 pul\u0119 jako swoj\u0105. W\u00a0praktyce oznacza to skonfigurowanie ca\u0142ego zakresu jako lokalnego na\u00a0tej maszynie i\u00a0polityk\u0119 default-deny z\u00a0jawnym resetem – na\u00a0Linuksie REJECT –reject-with tcp-reset (iptables\/nftables) – albo u\u017cycie dedykowanego respondera czy tarpita nas\u0142uchuj\u0105cego na\u00a0ca\u0142ym prefiksie i\u00a0generuj\u0105cego RST. To \u015bwiadoma konfiguracja, a\u00a0nie efekt uboczny <\/em>go\u0142ego stosu, i\u00a0w\u0142a\u015bnie to rozr\u00f3\u017cnienie decyduje o\u00a0tym, czy rozwi\u0105zanie dzia\u0142a, czy tylko sprawia takie wra\u017cenie.<\/p>\n\n\n\n

    Wymiarowanie i\u00a0zakres ochrony<\/strong><\/h3>\n\n\n\n

    Dwie rzeczy warto mie\u0107 z\u00a0ty\u0142u g\u0142owy, zanim taka konstrukcja trafi do\u00a0produkcji. Po\u00a0pierwsze, responder staje si\u0119 uj\u015bciem ataku<\/strong>: ca\u0142y odbity ruch do\u00a0nieaktywnych adres\u00f3w koncentruje si\u0119 na\u00a0jednym w\u0119\u017ale. Same RST-y s\u0105 malutkie i\u00a0bezstanowe, wi\u0119c ich generowanie jest tanie – ale odbi\u00f3r milion\u00f3w pakiet\u00f3w na\u00a0sekund\u0119 to ju\u017c kwestia wydajno\u015bci PPS, obs\u0142ugi przerwa\u0144 i\u00a0karty sieciowej, a\u00a0nie pasma. Zwyk\u0142y serwer ma tu sw\u00f3j sufit; przy powa\u017cnym ataku trzeba albo si\u0119gn\u0105\u0107 po\u00a0generowanie RST w\u00a0j\u0105drze (XDP\/eBPF, przed ca\u0142ym stosem sieciowym), albo liczy\u0107 si\u0119 z\u00a0tym, \u017ce\u00a0pod obci\u0105\u017ceniem responder r\u00f3wnie\u017c padnie – i\u00a0wtedy zn\u00f3w zapadnie cisza zamiast resetu. T\u0119 ofiar\u0119 do\u00a0atakowania trzeba wi\u0119c wymiarowa\u0107 pod realny wolumen, a\u00a0nie stawia\u0107 na\u00a0zapas.<\/em><\/p>\n\n\n\n

    Po\u00a0drugie, technika ta domyka konkretnie luk\u0119 blackhole na\u00a0nieobsadzonych zakresach<\/em>, a\u00a0nie ca\u0142y problem. Subskrybent z\u00a0aktywn\u0105 sesj\u0105 ma swoj\u0105 tras\u0119 \/32, wi\u0119c odbity SYN\/ACK zostanie mu normalnie dostarczony przez BNG – a\u00a0z\u00a0multiplikacj\u0105 musi sobie poradzi\u0107 jego CPE, kt\u00f3re, jak ustalili\u015bmy wcze\u015bniej, zwykle po\u00a0cichu dropuje ruch za\u00a0NAT-em. Ochrona nieaktywnych zakres\u00f3w i\u00a0obrona aktywnych klient\u00f3w to zatem dwa uzupe\u0142niaj\u0105ce si\u0119 elementy, nie zamienniki.<\/p>\n\n\n\n

    Przyk\u0142ady konfiguracji<\/strong><\/h2>\n\n\n\n

    Wracamy tu do\u00a0zapowiedzianej obrony NAT na\u00a0Twoich urz\u0105dzeniach<\/em>. Poni\u017csze przyk\u0142ady dotycz\u0105 w\u0142a\u015bnie urz\u0105dzenia operatora wykonuj\u0105cego NAT<\/strong> (brzegowy BNG, CGNAT, router\/firewall transluj\u0105cy ruch subskrybent\u00f3w) – a\u00a0nie abstrakcyjnego firewalla gdzie\u015b z\u00a0boku. To istotne, bo\u00a0NAT i\u00a0tak opiera si\u0119 na\u00a0tablicy stan\u00f3w po\u0142\u0105cze\u0144 (conntrack \/ session table); skoro wi\u0119c urz\u0105dzenie ju\u017c \u015bledzi sesje na\u00a0potrzeby translacji, mo\u017cna je sk\u0142oni\u0107, by na\u00a0pakiet spoza tej tablicy odpowiada\u0142o resetem zamiast cichego dropu. Sam NAT RST-a\u00a0nie wysy\u0142a – robi to modu\u0142 stanowy na\u00a0tym samym urz\u0105dzeniu.<\/p>\n\n\n\n

    Ca\u0142a teza obronna sprowadza si\u0119 wi\u0119c do\u00a0jednego: urz\u0105dzenie robi\u0105ce NAT ma na\u00a0out-of-state SYN\/ACK odpowiedzie\u0107 RST-em<\/em>, a\u00a0nie po\u00a0cichu go zdropowa\u0107. Poni\u017cej konkretne realizacje na\u00a0trzech popularnych platformach plus wariant z\u00a0dedykowanym serwerem-responderem. Warto od\u00a0razu zaznaczy\u0107, \u017ce\u00a0platformy r\u00f3\u017cni\u0105 si\u0119 tu zasadniczo – od\u00a0mechanizmu wprost stworzonego do\u00a0tego zadania (Juniper) po\u00a0taki, kt\u00f3ry celuje w\u00a0co\u015b innego i\u00a0wymaga obej\u015bcia (Cisco).<\/p>\n\n\n\n

    Juniper SRX<\/strong><\/h3>\n\n\n\n

    Najczystszy przypadek – Junos ma dedykowan\u0105 opcj\u0119, kt\u00f3ra wysy\u0142a RST w\u00a0odpowiedzi na\u00a0segment TCP z\u00a0dowoln\u0105 flag\u0105 inn\u0105 ni\u017c czysty SYN, je\u015bli nie pasuje on do\u00a0\u017cadnej istniej\u0105cej sesji. Dok\u0142adnie scenariusz reflektora:<\/p>\n\n\n\n

    set security flow tcp-session tcp-rst<\/code><\/pre>\n\n\n\n
    Decyzja zapada na\u00a0\u015bcie\u017cce first path<\/em> obs\u0142ugi flow: przychodz\u0105cy SYN\/ACK nie tworzy sesji (bo\u00a0nie jest pakietem SYN), wi\u0119c zamiast cichego dropu urz\u0105dzenie odsy\u0142a RST do\u00a0nadawcy – czyli do\u00a0serwera-reflektora. Domy\u015blnie funkcja jest wy\u0142\u0105czona, trzeba j\u0105 w\u0142\u0105czy\u0107 jawnie.<\/p>\n\n\n\n
    MikroTik (RouterOS)<\/strong><\/h3>\n\n\n\n
    Tu realizacja opiera si\u0119 na\u00a0regule filtra odrzucaj\u0105cej ruch w\u00a0stanie invalid z\u00a0jawnym resetem. Haczyk dotyczy klasyfikacji stanu: przy domy\u015blnym loose-tcp-tracking=yes b\u0142\u0105kaj\u0105cy si\u0119 SYN\/ACK mo\u017ce zosta\u0107 oznaczony jako new zamiast invalid i\u00a0omin\u0105\u0107 regu\u0142\u0119. Dlatego najpierw zaostrzamy \u015bledzenie po\u0142\u0105cze\u0144:<\/p>\n\n\n\n
    \/ip firewall connection tracking set loose-tcp-tracking=no\n\/ip firewall filter add chain=forward protocol=tcp connection-state=invalid \\\n    action=reject reject-with=tcp-reset<\/code><\/pre>\n\n\n\n
    Po\u00a0tej zmianie pakiet TCP niepasuj\u0105cy do\u00a0\u017cadnego wpisu w\u00a0conntracku trafia w\u00a0stan invalid, a\u00a0regu\u0142a odsy\u0142a tcp-reset, daj\u0105c reflektorowi jednoznaczny sygna\u0142 ko\u0144ca po\u0142\u0105czenia.<\/p>\n\n\n\n
    Cisco ASR (IOS-XE \/ ZBFW)<\/strong><\/h3>\n\n\n\n
    To przypadek, w\u00a0kt\u00f3rym trzeba uwa\u017ca\u0107. Feature TCP Reset Segment Control <\/em>w\u00a0parameter-map type inspect nie<\/em> s\u0142u\u017cy do\u00a0resetowania pakiet\u00f3w spoza sesji – odsy\u0142a RST dopiero w\u00a0momencie usuwania (wyga\u015bni\u0119cia) sesji<\/strong> half-open, half-close lub idle, po\u00a0up\u0142ywie odpowiedniego timera:<\/p>\n\n\n\n
    parameter-map type inspect pmap-name\n tcp synwait-time 10\n tcp half-open reset on\n tcp idle reset on<\/code><\/pre>\n\n\n\n
    Domy\u015blne zachowanie ZBFW dla pakietu niepasuj\u0105cego do\u00a0\u017cadnej sesji to natomiast cichy policy drop<\/em> (class-default), bez RST. Innymi s\u0142owy: na\u00a0ASR powy\u017csza konfiguracja przyspieszy uprz\u0105tanie p\u00f3\u0142otwartych sesji i\u00a0wy\u015ble dla nich reset po\u00a0timerze, ale nie zareaguje resetem natychmiast<\/em> na\u00a0b\u0142\u0105kaj\u0105cy si\u0119 SYN\/ACK od\u00a0reflektora – a\u00a0o\u00a0to w\u0142a\u015bnie chodzi w\u00a0tym ataku. Na\u00a0tej platformie pewniejszym rozwi\u0105zaniem jest skierowanie nieobsadzonych zakres\u00f3w na\u00a0dedykowany serwer-responder (poni\u017cej), a\u00a0sam\u0105 konfiguracj\u0119 ZBFW pod k\u0105tem stray SYN\/ACK warto zweryfikowa\u0107 w\u00a0labie na\u00a0konkretnej wersji IOS-XE.<\/p>\n\n\n\n
    Dedykowany serwer-responder (Linux)<\/strong><\/h3>\n\n\n\n
    Najbardziej przewidywalny wariant, niezale\u017cny od\u00a0specyfiki vendora. Maszyna musi najpierw przygarn\u0105\u0107 <\/em>ca\u0142\u0105 pul\u0119 jako lokaln\u0105 – inaczej, jak om\u00f3wiono wy\u017cej, sama stanie si\u0119 czarn\u0105 dziur\u0105. Na\u00a0Linuksie s\u0142u\u017cy do\u00a0tego trasa typu local (AnyIP), kt\u00f3ra ka\u017ce j\u0105dru traktowa\u0107 ca\u0142y zakres jak w\u0142asne adresy:<\/p>\n\n\n\n
    ip route add local 198.51.100.0\/24 dev lo<\/pre>\n\n\n\n
    Nast\u0119pnie polityka default-deny z\u00a0jawnym resetem dla ruchu spoza istniej\u0105cych (zainicjowanych od\u00a0wewn\u0105trz) sesji. Poniewa\u017c ten host nigdy sam nie inicjuje po\u0142\u0105cze\u0144 do\u00a0tych adres\u00f3w, ka\u017cdy przychodz\u0105cy SYN\/ACK jest z\u00a0definicji nieoczekiwany i\u00a0zostaje zresetowany:<\/p>\n\n\n\n
    # nftables\ntable inet responder {\n    chain input {\n        type filter hook input priority 0; policy drop;\n        ct state established,related accept\n        ct state invalid tcp reset\n        tcp flags & (syn|ack) == syn|ack ct state new reject with tcp reset\n    }\n}<\/code><\/pre>\n\n\n\n
    Przy bardzo du\u017cym wolumenie nawet to ma sufit wydajno\u015bciowy stosu – wtedy generowanie RST przenosi si\u0119 do\u00a0j\u0105dra przed w\u0142a\u015bciwym stosem sieciowym (XDP\/eBPF), co pozwala odpowiada\u0107 przy znacznie wy\u017cszym PPS.<\/p>\n\n\n\n
    Firewall z\u00a0\u017babki – czy warto p\u0142aci\u0107 okup?<\/strong><\/h2>\n\n\n\n
    Wr\u00f3\u0107my na\u00a0chwil\u0119 do\u00a0maila z\u00a0pogr\u00f3\u017ckami, od\u00a0kt\u00f3rego zacz\u0119li\u015bmy. Jego autorzy licz\u0105 dok\u0142adnie na\u00a0to, \u017ce\u00a0zap\u0142acisz – bo\u00a0wydaje Ci si\u0119, \u017ce\u00a0nie masz wyboru i\u00a0\u017ce\u00a0obrona jest poza Twoim zasi\u0119giem. Tymczasem ca\u0142y ten atak \u017cywi si\u0119 jedn\u0105 rzecz\u0105: cisz\u0105. Cisz\u0105 serwera-reflektora, kt\u00f3ry nie dostaje RST-a\u00a0i\u00a0retransmituje. Cisz\u0105 czarnej dziury na\u00a0nieobsadzonym zakresie. Cisz\u0105 CPE, kt\u00f3re po\u00a0cichu dropuje za\u00a0NAT-em. I\u00a0– u\u00a0samego \u017ar\u00f3d\u0142a – cisz\u0105 sieci, kt\u00f3re pozwalaj\u0105 wychodzi\u0107 spoofowanym pakietom, bo\u00a0nikt nie skonfigurowa\u0142 filtrowania.<\/p>\n\n\n\n
    Ka\u017cd\u0105 z\u00a0tych cisz da si\u0119 przerwa\u0107, a\u00a0narz\u0119dzia istniej\u0105 od\u00a0lat: stanowy firewall odsy\u0142aj\u0105cy TCP\/RST, \u015bwiadome zarz\u0105dzanie nieu\u017cywanymi prefiksami, responder na\u00a0martwych zakresach, a\u00a0przede wszystkim – filtrowanie ruchu wychodz\u0105cego zgodnie z\u00a0RFC 2827. \u017badne z\u00a0tych rozwi\u0105za\u0144 nie wymaga p\u0142acenia okupu w\u00a0bonach. Wymaga za\u00a0to czego\u015b, czego przest\u0119pca Ci nie sprzeda: kilkunastu minut pracy i\u00a0odrobiny wsp\u00f3lnotowej odpowiedzialno\u015bci.<\/p>\n\n\n\n
    I\u00a0to jest sedno. Obrona przed tym atakiem nie jest gr\u0105 w\u00a0pojedynk\u0119. Twoja poprawnie skonfigurowana sie\u0107 chroni nie tylko Ciebie – chroni wszystkich pozosta\u0142ych, bo\u00a0o\u00a0jedno \u017ar\u00f3d\u0142o spoofingu mniej to mniej amunicji dla atakuj\u0105cych w\u00a0ca\u0142ej Polsce. Dzia\u0142a to te\u017c w\u00a0drug\u0105 stron\u0119: korzystasz z\u00a0higieny innych operator\u00f3w. Im wi\u0119cej nas, tym cia\u015bniej atakuj\u0105cym.<\/p>\n\n\n\n
    Co mo\u017cesz zrobi\u0107 ju\u017c dzi\u015b?<\/strong><\/h2>\n\n\n\n
      \n
    • Wdr\u00f3\u017c filtrowanie ruchu wychodz\u0105cego (RFC 2827 \/ BCP 38).<\/strong> Na\u00a0brzegu w\u0142asnej sieci zadbaj, by z\u00a0ka\u017cdego zakresu mog\u0142y wychodzi\u0107 wy\u0142\u0105cznie pakiety o\u00a0adresach \u017ar\u00f3d\u0142owych faktycznie do\u00a0ciebie nale\u017c\u0105cych – najpro\u015bciej mechanizmem uRPF. To najwa\u017cniejszy punkt na\u00a0tej li\u015bcie.<\/li>\n\n\n\n
    • Nie rozg\u0142aszaj prefiks\u00f3w, kt\u00f3rych nie u\u017cywasz.<\/strong> Czego nie ma w\u00a0tablicach routingu, to nie \u015bci\u0105gnie na\u00a0siebie odbitego ruchu. Bardziej wrednym rozwi\u0105zaniem prygotowanie sobie szybkiej \u015bcie\u017cki wy\u0142\u0105czenia rozg\u0142aszania nieu\u017cywanych prefiks\u00f3w w\u00a0przypadku wykrycia ataku – takie dzia\u0142anie spali cz\u0119\u015b\u0107 zasob\u00f3w atakuj\u0105cego. <\/li>\n\n\n\n
    • Skonfiguruj stanowy firewall\/NAT tak, by odsy\u0142a\u0142 TCP\/RST<\/strong> na\u00a0pakiety spoza tablicy sesji, zamiast po\u00a0cichu je dropowa\u0107 – zgodnie z\u00a0przyk\u0142adami dla Twojej platformy powy\u017cej.<\/li>\n\n\n\n
    • Skieruj nieobsadzone zakresy do\u00a0respondera odsy\u0142aj\u0105cego RST<\/strong>, pami\u0119taj\u0105c, by ograniczy\u0107 go wy\u0142\u0105cznie do\u00a0w\u0142asnych adres\u00f3w i\u00a0nie sta\u0107 si\u0119 przy okazji reflektorem dla kogo\u015b innego.<\/li>\n\n\n\n
    • Pozamykaj porty 80 i\u00a0443 na\u00a0dost\u0119pnych z\u00a0zewn\u0105trz ONTkach\/CPE abonent\u00f3w<\/strong> – Twoja sie\u0107 nie b\u0119dzie multiplikatorem ataku. <\/li>\n\n\n\n
    • Sprawd\u017a, czy sam nie jeste\u015b cz\u0119\u015bci\u0105 problemu.<\/strong> Zweryfikuj, czy z\u00a0Twojej sieci nie wychodzi ruch ze\u00a0sfa\u0142szowanymi adresami \u017ar\u00f3d\u0142owymi – nawet je\u015bli dzi\u015b nikt nie atakuje Ciebie.<\/li>\n<\/ul>\n\n\n\n
      Nie czekaj, a\u017c to Twoja sie\u0107 stanie si\u0119 celem. Najlepszy moment na\u00a0wdro\u017cenie tych zmian by\u0142 26 lat temu, gdy powsta\u0142 RFC 2827. Drugi najlepszy jest teraz. <\/em><\/strong><\/p>\n\n\n\n
      Masz pytania, potrzebujesz wsparcia przy konfiguracji albo chcesz porozmawia\u0107 o\u00a0ochronie swojej sieci? Odezwij si\u0119 do\u00a0nas<\/a> – jako spo\u0142eczno\u015b\u0107 EPIX jeste\u015bmy po\u00a0to, \u017ceby wsp\u00f3lnie utrudnia\u0107 \u017cycie atakuj\u0105cym.<\/p>\n\n\n\n
      Czytaj tak\u017ce: <\/p>\n\n\n\n
      \n
      My\u015bl\u0105c o\u00a0cyberbezpiecze\u0144stwie nie zapominaj o\u00a0tSEC<\/a><\/blockquote>