Tievolu Tievolu TievoluGRE Flood to specyficzna forma ataku Denial-of-Service (DoS) lub Distributed Denial-of-Service (DDoS), w której duże wolumeny pakietów GRE (Generic Routing Encapsulation) są wysyłane do systemu docelowego lub sieci. Celem ataku jest przeciążenie przepustowości oraz pojemności routingu i przetwarzania ofiary. GRE to protokół tunelowania, który jest właściwie używany do budowania VPN lub łączenia oddzielnych sieci. Jednak atakujący nadużywają GRE do generowania masowego ruchu poza klasycznymi przepływami TCP/UDP, który nie jest domyślnie sprawdzany przez wiele zapór sieciowych i filtrów. Pozwala to im omijać mechanizmy ochrony i konkretnie wyczerpywać zasoby na poziomie sieci i aplikacji.
W GRE Flood atakujący wysyła dużą liczbę manipulowanych pakietów GRE z wysoką przepustowością do celu. Ponieważ ruch GRE jest często używany do legalnych aplikacji, trudno jest wielu systemom odróżnić złośliwe pakiety GRE od legalnych. W przeciwieństwie do klasycznych ataków, które używają określonych portów (jak w przypadku TCP lub UDP), GRE Flood omija wiele mechanizmów filtrowania, używając protokołu GRE (protokół IP 47) na poziomie IP. Atakujący używają głównie botnetów lub otwartych serwerów i dodatkowo maskują pochodzenie poprzez IP spoofing.
Ukierunkowane przeciążenie ruchem GRE może powodować znaczne degradacje wydajności, a nawet awarie komponentów infrastruktury, takich jak routery lub zapory sieciowe, zwłaszcza jeśli urządzenia te nie są przygotowane do inspekcji lub filtrowania GRE. To sprawia, że GRE Floods są dla atakujących szczególnie skuteczną metodą omijania mechanizmów ochrony i zakłócania krytycznych sieci lub usług.
W Rozproszonym GRE Flood atakujący łączą zasoby licznych skompromitowanych systemów lub botnetów, aby kierować ogromne wolumeny pakietów GRE jednocześnie przeciwko celowi. Śledzenie źródeł ataku jest przez to prawie niemożliwe, a potencjał ataku jest ekstremalnie wysoki, ponieważ wielu dostawców internetu domyślnie nie blokuje ani nie monitoruje ruchu GRE.
Tutaj pojedynczy atakujący lub mała sieć celowo wysyła wiele pakietów GRE do celu. Jeśli źródłowy adres IP nie jest sfałszowany, taki atak może zostać wykryty stosunkowo łatwo, ale często pozostaje skuteczny, gdy infrastruktura ofiary pozwala na ruch GRE i nie są ustawione żadne konkretne filtry.
IP spoofing oznacza, że atakujący manipuluje źródłowymi adresami IP pakietów GRE. Utrudnia to ustalenie źródła ataku i komplikuje środki obrony. Często używane są tysiące adresów spoofingowych, tak że strategie blacklistingu nie działają.
GRE Floods mogą mieć ogromny wpływ przy stosunkowo niewielkich nakładach zasobów po stronie atakującego, zwłaszcza dlatego, że stos sieciowy wielu systemów nie jest zaprojektowany do obsługi dużego ruchu GRE, a rozwiązania ochronne nie zawsze obejmują ten protokół. W rezultacie nawet duże infrastruktury IT mogą być tymczasowo sparaliżowane przez ukierunkowane ataki GRE Flood.
Aby chronić się przed atakami DDoS GRE Flood, zalecane są różne środki:
Aktywuj w zaporach sieciowych i routerach wyraźne reguły, aby zezwalać na ruch GRE tylko między autoryzowanymi punktami końcowymi. Niepotrzebny ruch GRE powinien być blokowany na peryferiach sieci.
Wdrażaj systemy, które sprawdzają pakiety GRE poprzez DPI i wykrywają niezwykłe wzorce (np. wysoka częstotliwość pakietów lub głębokie zagnieżdżenia). Pozwala to wcześnie wykrywać i blokować wzorce DDoS nawet w tunelach GRE.
Ogranicz dozwoloną liczbę przychodzących pakietów GRE na interwał czasowy na granicach sieci. Wiele profesjonalnych urządzeń sieciowych oferuje specjalne mechanizmy ograniczania szybkości dla protokołu 47 (GRE).
Ciągłe monitorowanie sieci pomaga natychmiast wykrywać niezwykłe ilości ruchu GRE i automatycznie inicjować środki zaradcze.
Z ochroną DDoS „Tievolu PYRUS" nasz system wykrywa i blokuje również ataki na poziomie protokołu, w szczególności GRE Floods. Przejścia i pakiety na wszystkich ważnych poziomach protokołu, incl. IP 47, są stale analizowane i filtrowane w czasie rzeczywistym w przypadku ataku. Nasze systemy wspierane przez AI wcześnie wykrywają niezwykłe wzorce ruchu (takie jak nagłe częstotliwości GRE) i automatycznie instalują reguły blokowania lub ograniczania. Dzięki temu niezawodnie bronią przed niestandardowymi atakami, takimi jak GRE Floods, bez wpływu na legalne aplikacje.
Z Tievolu Cloud Firewall możesz tworzyć wyraźne filtry GRE, konfigurować określone limity ruchu i zapewnić, że możliwe są tylko autoryzowane peering GRE. Połącz to z dalszymi mechanizmami, takimi jak geo-blocking lub filtrowanie ASN, aby jeszcze bardziej zmniejszyć możliwy wektor ataku.
