DDoS-атаки — новая проблема онлайн-казино

Лучшие онлайн казино 2020 года с офф. лицензией:
  • Сол Казино
    Сол Казино

    1 место по бонусам и Джекпотам! Моментальные выплаты.

  • Фрэш Казино
    Фрэш Казино

    Весенний дизайн и огромные бонусы! Быстрые выплаты!

Внимание, перегрузка! Как защитить сайт от DDoS-атак

Время чтения: 18 минут Нет времени читать? Нет времени?

По данным «Лаборатории Касперского», 42,9 % компьютеров, принадлежащих коммерческим организациям, в 2020 году подвергались кибератакам.

Из этой статьи вы узнаете, что такое DDoS-атаки, стоит ли их опасаться, как подготовиться к обороне и как себя правильно вести, если в вашу сторону уже направили артиллерию.

Что такое DDoS-атака

DDoS — это любые действия, цель которых «положить» сайт полностью или нагрузить его посторонними задачами так, чтобы он стал напоминать ленивца из «Зверополиса». Но сам термин больше для юзеров, чем технарей. Последние оперируют только им понятными выражениями вроде «DNS амплификация», «TCP Null атака», «SlowLoris» и другими вариациями на тему. Разновидностей DDoS-атак много, поэтому вводным должен послужить тезис:

Универсальной защиты от всех видов DDoS-атак не существует.

Если бы она существовала, «монстры» вроде Google или Amazon не тратили бы миллиарды долларов на киберзащиту и не объявляли периодически конкурсы на поиск уязвимостей с миллионными призовыми.

Главная опасность DDoS-атаки — в процессе киберпреступники могут найти уязвимость и запустить на сайт вирус. Самое печальное последствие — кража личных данных пользователей и увод клиентской базы. Потом ее могут продать вашим конкурентам.

Если поисковые системы находят вирусы, они их не лечат. Просто выбрасывают сайт из поиска или показывают пользователем окно с предупреждением. Репутация и завоеванные позиции в выдаче отправятся в нокаут надолго, как после левого крюка Шугара Рэя Робинсона.

Почему атакуют

Просто так коммерческие сайты ддосят редко. Есть некоторая вероятность, что на вас решил потренироваться школьник, насмотревшийся видео вроде этих:

Таких атак редко хватает больше, чем на пару часов. Но по умолчанию рассчитывать на новичка не стоит. Чаще всего причины связаны с коммерческой деятельностью.

  • DDoS на заказ. Если атака прилетает после запуска активной рекламной кампании или проведения маркетинговых мероприятий, возможно, вы перешли дорогу конкурентам. Иногда DDoS становится ответной реакцией на конкретные действия: например, завуалированную отсылку к конкуренту в рекламе или продвижение по имени чужого бренда в контексте.
  • Вымогательство. Вариант № 1. На электронную почту приходит сообщение от доброжелателя, который предлагает перевести ему некоторую сумму в биткоинах или сайт ляжет. Чаще всего угрозу в исполнение не приведут, но можно нарваться и на реальных взломщиков. Вариант № 2. Сайт уже положен, и от мошенников поступает предложение заплатить за прекращение атаки.
  • Сайт попал под раздачу. DDoS-атака может парализовать работу серверов вашего хостера, из-за чего прекращается работа всех его сайтов. Маловероятно, но тоже возможно.

Павел Арбузов, технический директор хостинга REG.RU

Надежные онлайн казино полностью на русском языке:
  • Сол Казино
    Сол Казино

    1 место по бонусам и Джекпотам! Моментальные выплаты.

  • Фрэш Казино
    Фрэш Казино

    Весенний дизайн и огромные бонусы! Быстрые выплаты!

Условно можем разделить атаки на спланированные и непреднамеренные. Например, 18 марта 2020 года хост-провайдер CyberBunker организовал DDoS-атаку на компанию Spamhaus из-за попадания в черный список за рассылку спама. Это самая мощная DDoS-атака в истории — по оценке CloudFlare, около 300 Гб/с.

Иногда владельцы сайтов принимают за DDoS-атаку так называемый «слэшдот-эффект» (в рунете встречается термин «хабраэффект»). Это происходит, если на ресурс приходит гораздо больше пользователей, чем может пропустить хостинг. Это и есть непреднамеренная DDoS-атака. Например, перед новогодними праздниками люди массово делают покупки, трафик на интернет-магазины возрастает. Слабый хостинг не выдерживает и падает. Если это происходит, нужно менять хостера или переходить на тариф с более широким каналом.

В этом году я писал материал о маленьком, но гордом агрегаторе коммерческой недвижимости в Москве для одного известного бизнес-издания. А через 3 дня после публикации на его сайт обрушилась мощная DDoS-атака. Узнать источник не удалось, но связь событий не исключена. Возможно, «проверка на прочность» от конкурентов.

Что делать во время атаки

Если никаких анти-DDoS мер заранее не принято, об атаке можно даже не узнать. Иногда хостеры улавливают подозрительную активность и отправляют пользователю письмо. Чаще — нет. Бывает, заглядываем на сайт и видим что-то вроде:

Или находим в «Метрике» провалы по трафику. Это еще не DDoS, но что-то на него похожее.

Проверка по командной строке

Открываем командную строку и вводим ping <доменное имя>.

Сначала мы «пинганули» свой сайт и убедились, что он работает – все 4 тестовых пакета прошли обмен. Потом провели операцию на заблокированном ресурсе. Пакеты сервером не приняты.

Если сайт не работает, но пингуется – проблема с браузером. Если не пингуется – возможен DDoS.

Более подробную информацию может дать трассировка. Используем команду tracert <доменное имя>:

На второй проверке видим трассировку ресурса, заблокированного Роскомнадзором (сторонний IP-адрес). Если обмена пакетами нет на последнем этапе (свой IP-адрес), это может указывать на DDoS.

Проверка сторонними сервисами

Seogadget. Самый простой инструмент для быстрой проверки во время DDoS, умеет одновременно проверять несколько сайтов и находить причины недоступности.

Код HTTP 200 указывает на то, что проблем с доступом не обнаружено. Если в этой строке будет код HTTP 4**, есть ошибки на своей стороне. Код HTTP 5** говорит о проблемах на стороне сервера.

Ошибка HTTP 502 (bad gateway) свидетельствует о том, что сайт не справляется с нагрузкой. Это может быть вызвано DDoS-атакой.

Инструмент от Ping-Admin.ru. В настройках можно выбрать проверку только для своего региона, по России или из других стран. Дает подробную информацию по 9 параметрам, поэтому полезен не только во время атак.

Сервис Who Is. Проверяет работоспособность сайта и показывает технические характеристики домена.

Подключение через FTP

Установите любой удобный FTP-клиент. Например, Total Commander:

Чтобы добавить сервер, нужно заполнить карточку:

Узнать свой IP адрес можно, например, через сервис Who Is по ссылке выше. А логин и пароль доступа к FTP приходили вам в информационном письме от хостера после регистрации. Если это было давно, найдите их в архивных сообщениях.

Если FTP работает, а сайт нет, это может указывать на DDoS-атаку или проблемы с веб-сервером.

Важно! Приостановите показы баннеров и объявлений контекстной рекламы, чтобы не терять бюджет.

Блокировка по IP

Этот метод помогает только при слабой атаке типа HTTP-флуд. Но бесполезен для атак типа UDP- или SYN-флуд. У них каждый новый паразитный пакет приходит с новым IP, поэтому отфильтровать подключения не получится.

HTTP-флуд – это направление паразитных запросов на порт, который отвечает за назначение и распределение пакетов данных, передаваемых на хост.

UDP-флуд – отсылка UDP-пакетов с большим объемом данных на разные порты с целью перегрузки сервера и/или переполнения канала связи.

SYN-флуд – переполнение ресурсов сервера безответными паразитными запросами на синхронизацию с сервером.

IP-адреса отображаются в лог-файлах HTTP-сервера. Как их получить, зависит от вашего хостера. Самый простой вариант — через быструю ссылку в аккаунте на сайте хостера. Конечно, если она есть.

Если нет, перейдите в системные папки. Например, на веб-сервере apache лог находится по адресу:

Если хостер не дает туда доступ, можно написать в техподдержку с просьбой предоставить такие данные. В лог-файле ищите IP-адреса, которые повторяются многократно. Затем в корневой папке сайта создаем файл с названием .htaccess без расширения. В файл вписываем строки кода:

deny from 111.111.11.11

Вместо 111.111.11.11 вносите найденные IP-адреса. Каждый следующий адрес должен быть в новой строке.

К сожалению, времена, когда фильтрация IP была эффективна, прошли. Сегодня это равносильно попытке отремонтировать Tesla X в гаражном кооперативе ключами на 17 и 19. Если хостер не дает доступа к логам, в логах нет повторяющихся IP-адресов или, наоборот, их там слишком много, переходите на более жесткие меры.

История одной атаки

Олег Шестаков, основатель Rush Analytics.

16 ноября 2020 года серверы компании Rush Analytics подверглись DDoS атаке с множества различных IP-адресов. В первые 20 минут наш технический отдел пытался самостоятельно отфильтровать паразитный трафик, но его было настолько много, что большая часть проходила фильтры. Ещё через 10 минут хостер нас отключил. Просто отключил сервер, заблокировал доступ к нему на 48 часов и затер все логи. В следующие 2 часа мы развернули новый фронт-сервер на другой площадке и ушли за DNS-серверы Cloudflare.

С моей точки зрения, хостер повел себя странно и даже не пытался нам помочь. В будущем будем держать резервную копию фронт-сервера на другой площадке и использовать систему очистки трафика Cloudflare или Incapsula. Всем, кто работает на высококонкурентных рынках, рекомендую сделать так же.

Что не делать во время атаки

Не нужно соглашаться на условия мошенников. На сообщения с предложением прекратить атаку за некоторую сумму лучше всего не отвечать вообще. Иначе вас будут атаковать снова и снова. Поддерживать бесперспективный DDoS на коммерческий сайт дольше 1–2 суток не выгодно. Рано или поздно преступники отступят. Потерянные за время атаки клиенты — это цена недостаточного внимания к защищенности ресурса.

Не планируйте зеркальный ответ. Если требования от мошенников не поступили, атака наверняка заказная. И вполне возможно, у вас есть круг подозреваемых: прямые конкуренты, компании, с которыми не сложились деловые отношения. Иногда причина — чья-то личная неприязнь. Но бросаться искать хакеров, чтобы отомстить, не стоит.

Во-первых, если конкуренты опустились до DDoS, значит, ваш бизнес развивается в правильном направлении. Скажите спасибо за признание заслуг. Во-вторых, в большинстве случаев DDoS не наносит серьезного урона — это деньги на ветер. И в-третьих, это уголовно наказуемое деяние. Да, вероятность поимки киберпреступников и их заказчиков в современных реалиях очень мала, но существует.

Вспомним историю с владельцем платежного агрегатора Chronopay Павлом Врублевским, который был обвинен в организации DDoS-атаки, на 9 дней положившей серверы его конкурентов Assist.

Главным пострадавшим признан клиент Assist Аэрофлот. Потери составили 146 миллионов рублей. Более 9 тыс. человек во время атаки не смогли купить билеты авиаперевозчика онлайн.

Заказчики и исполнители DDos-атаки могут быть осуждены по ст. 272 УК РФ. В зависимости от последствий, преступление карается штрафом от 100 до 500 тыс. рублей, ограничением или лишением свободы на срок от 1 до 7 лет.

Чем полезна DDoS-атака

Павел Арбузов, технический директор хостинга REG.RU:

Какие проблемы хостинга выявляет DDoS-атака?

Если хостинг-провайдер заявляет или продает клиенту защиту от DDoS-атак, и его ресурсы под атакой замедляются или работают нестабильно, то это свидетельствует о некачественной услуге.

Если хостер не заявляет или не продает клиенту анти-DDoS, его основная задача спасти свою инфраструктуру. Даже ценой отключения клиента, которого атакуют. В этом случае замедление сайта клиента из-за DDoS не является проблемой хостера.

Как должен вести себя хостинг-провайдер, если обнаруживается атака на сайт клиента?

В идеале хостинг-провайдер должен иметь свою систему очистки трафика или быть подключенным к сторонней системе, чтобы отфильтровывать «паразитный» трафик. Если это так, ресурсы клиента не должны страдать от DDoS-атак. Мы работаем с DDos Guard и Stormwall PRO. Они защищают от UDP/TCP-флудов, которые встречаются чаще всего. Если защита от DDoS хостером не предусмотрена, ему проще всего полностью отключить сайт, чтобы DDoS-атака не повлияла на других клиентов.

По каким признакам можно судить, что хостинг-провайдер отработал при атаке плохо и его стоит сменить?

Если хостер стал полностью недоступен из-за DDoS-атаки на одного клиента более чем на 10 минут, то у него большие проблемы с защищенностью. От его услуг лучше отказаться. Проверить легко — зайдите на основной сайт хостинг-провайдера и проверьте, работает он или нет.

Готовимся к атаке: нужные сервисы

Проверка доступности

О проблемах с доступом на сайт вы должны узнать сразу же. Используйте сервисы, которые с заданной периодичностью проверяют сайт и автоматически информируют владельца о недоступности.

Вы сможете быстро сделать проверки, отключить рекламу, уведомить о проблемах хостера и/или компанию, которая занимается техническим сопровождением сайта, проконтролировать работу штатных сотрудников или самостоятельно попытаться очистить трафик.

  • Мониторинг доступности отRU-Center. Сервис от крупнейшего российского хостинг-провайдера. В линейке три тарифа. Самый простой — 150 рублей в месяц, самый дорогой — 1 тыс. рублей. Различаются количеством мониторов и типами проверки. Проверки по HTTP, DNS, PING. Информирует, если сайт попадает под фильтры поисковиков как носитель вирусов. Автоматическое сообщение о недоступности сайта по почте. Есть 14-дневный тестовый режим.
  • Ping-Admin.ru. Самый популярный сервис мониторинга сайтов в рунете. Отличается гибкой ценовой политикой. Абонентской платы и других видов стандартной тарификации нет. Можно выбрать из всех способов проверки нужные и платить только за них. Много способов автоматического уведомления: почта, SMS, Telegram, RSS и многое другое. Тестового режима нет, но каждый новый пользователь получает на счет 1 $, которого хватит на срок от 2 недель до 1,5 месяцев (зависит от количества подключенных услуг).
  • Мониторинг сайтов отREG.Ru. Есть постоянная бесплатная версия с ограниченным функционалом. Сайт проверяется одним монитором с периодичностью 1 час. Уведомление о недоступности приходит только на электронную почту. Платный тариф начинается с 99 рублей в месяц. На нем есть SMS-информирование, проверка с любой периодичностью. Заодно можно отслеживать изменение позиций ключевых слов в поисковиках.

Файрвол

Файрвол — это готовая система фильтров, которая помогает защитить сайт от мусорного трафика еще до того, как он доберется до сайта. Основная функция файрвола — борьба с вирусами. От DDoS он защищает постольку поскольку, но для слабых атак его достаточно. Тем более, обойдется он дешевле полноценного Anti-DDoS.

  • Virusdie. Стоимость — 1490 рублей в год и 149 рублей в год для каждого последующего сайта. Автоматически удаляет вирусы, защищает от грабинга, вредоносного кода, ведет статистику отраженных угроз и формирует черный список по IP. Есть редактор кода, через который можно вносить, редактировать и удалять скрипты. Встроена функция подсветки подозрительного кода. Можно настроить периодичность бэкапа и автоматически восстанавливать серьезно поврежденный сайт по последней успешной сохраненке.
  • Превентивная защита от Revisium. Стоимость — 4000 рублей единоразово, гарантия — 6 месяцев. В услугу входит диагностика и сканирование сайта, установка прав и доступов на безопасные, отключение «опасных» функций, ограничение доступа к админке. Сайт подключается к системе защиты, которая отслеживает подозрительные подключения к сайту и формирует по ним отчеты.
  • Virus Detect. Стоимость — 2000–3000 рублей единоразово. Гарантия — 1 год. Система защищает от прямого доступа к PHP, доступа к административной панели, блокирует подозрительные запросы. Настраиваются права на доступ к файлам и папкам, устанавливается защита от SQL-инъекций, XSS-атак, RFI/LFI уязвимостей.

Anti-DDoS защита

Anti-DDoS более гибок и интеллектуален, чем обычный файрвол. Система автоматически выстраивает фильтры в зависимости от типа и мощности атаки, умеет проводить дополнительные манипуляции с трафиком.

  • Cloudflare. Крупнейший в мире сервис Anti-DDoS. Весомое преимущество — есть бесплатный режим, хотя и ограниченный по функционалу. Платные тарифы начинаются с 20 $ в месяц. За эти деньги вы получаете автоматическую оптимизацию скорости сайта (кэширование изображений, CSS, Javascript и прочее), файрвол, систему фильтрации трафика. У Cloudflare есть аварийный режим I’m Under Attack, при активации которого для входа на сайт будет требоваться капча. Режим позволяет быстро отрезать мусорный трафик, восстановить работу сайта и сохранить хотя бы часть клиентов. Обратите внимание, что у Cloudflare нет российского офиса, поэтому общаться с техподдержкой придется на английском. Если ваш сайт уже висит, можно воспользоваться бесплатной услугой проверки от Cloudflare. Если DDoS подтвердится, вам предложат зарегистрироваться и включить защиту.
  • Anti DDoS от REG.RU. Есть бесплатный режим, который распространяется на защиту по технологиям Layer 3-4 (IP malformed, ICMP flood, TCP SYN flood, TCP-malformed, ICMP smurf). Можно активировать платный режим, который защищает от Layer-7 (HTTP Flood и HTTPS Flood). Стоимость — от 6 тыс. рублей в неделю. Платишь, когда идет атака и сохраняется риск ее возобновления.
  • Anti-DDoS.PRO. Стоимость — от 1500 рублей в месяц. Есть файрвол для защиты от SQL-инъекций и XSS атак. Изменение провайдера и переход на свой хостинг не требуется. Работает с технологиями Layer 3-4 и Layer-7.

Системное противодействие DDoS-атакам

И еще раз основной тезис:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты — комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или «хабраэффекта» точно защитит. От «хабраэффекта» также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Серьезные технические решения потребуют денег, но в случае интернет-магазина или другого коммерческого сайта простой может выйти еще дороже.
  3. Настройте ПО на вашем сервере. Используйте распределение трафика между двумя веб-серверами. Например: Apache и прокси-сервер Nginx. Обратитесь за этим к своему хостинг-провайдеру. Обычно есть готовые решения.
  4. Займитесь оптимизацией запросов. Постарайтесь избегать тяжелых запросов, сделав рефакторинг кода, добавив недостающие индексы в базы данных и прочее. Когда их слишком много, велика вероятность отказа сервера даже без DDoS-атаки.
  5. Оптимизируйте скорость работы сайта. Чем «тяжелее» ваш сайт, тем проще злоумышленникам его «повалить». Вы уверены, что вам нужны все «красивости», потребляющие много ресурсов? Но и перебарщивать не стоит — аскетичный сайт родом из 90-х будет работать быстро, но вот хорошо конвертировать в 2020 году — вряд ли.

И в качестве ложки дегтя: безопасность безопасностью, но не стоит устанавливать злостную капчу на входе для каждого пользователя на постоянной основе. Это самый эффективный способ отвадить половину клиентов. Начинайте с малого и совершенствуйте систему защиты ресурса по мере роста бизнеса.

В копилку любителям интересных ссылок:

  • Norse Attacking Map. Красивая, но не слишком информативная интерактивная карта кибератак в режиме онлайн. Показывает преимущественно виртуальные войны США с остальным миром.
  • Карта киберугроз «Лаборатории Касперского». Отслеживает отлов компьютерных вирусов. Есть статистика количества заражений и типов вирусов по всему миру и отдельным странам. Можно установить виджет на сайт или скачать заставку «хранителя экрана».
  • Digital Attack Map. Совместная разработка Google и Arbor Networks. По уверению создателей, самая большая система в мире, охватывает около трети общемирового интернет-трафика. Есть лента DDoS-атак с 2020 года, можно посмотреть статистику за любой день.

vnimanie-peregruzka-kak-zashchitit-sayt-ot-ddos-atak

Защита от DDoS-атак — актуальная бизнес-услуга для операторов связи

Рис.1. Структура DDoS-атаки
Рис. 2. Обычный день в сети крупного российского оператора
Рис. 3. Пример DoS-атаки на истощение канала (ICMP flood)
Рис. 4. Пример DoS-атаки на истощение ресурсов (SYN flood на сервис HTTPS) — по вертикали объем трафика (биты в секунду, bps)
Рис. 5. Та же атака на истощение ресурсов (SYN flood на сервис HTTPS), но график отражает количество запросов (число пакетов, переданных в секунду, pps)
Рис. 6. Обнаружение DDoS-атаки аналитической системой
Рис. 7. Перенаправление трафика атаки на системы фильтрации
Рис. 8. Доставка очищенного трафика до точки назначения

Ежедневно в Интернете совершаются сотни и тысячи DDoS-атак, направленных против различных сетевых ресурсов. Но если раньше это был больше удел хакеров-одиночек, то сегодня это поставленный на поток бизнес киберпреступности с многомиллионным оборотом. В статье дается анализ причин возникновения DDoS-атак и методов борьбы с ними. Насколько надо защищать свою сеть от таких атак, будет решать каждый оператор индивидуально. Но кроме сохранения репутации развертывание систем по обнаружению и пресечению DDoS-атак может стать основой для оказания новой очень востребованной бизнес-услуги, о чем тоже пойдет речь.

Все начинается с вируса

Сегодня Интернет предоставляет большие возможности для бизнеса, оборот в сети исчисляется многими миллиардами долларов. Но в вопросах правого обеспечения деятельности Интернет продолжает оставаться неким аналогом “дикого Запада”. Нечестная конкуренция, спам-реклама и информационные войны стали нормой, в то время как стандартов обеспечения их выполнения нет или они неэффективны.

К сожалению, многие компании не брезгуют применять различные незаконные и сомнительные методы удешевления своей рекламной деятельности, используя спам или всячески блокируя работу интернет-ресурсов своих конкурентов. Надо осознать, что бизнес киберпреступников давно вышел за рамки домашнего вирусописательства и представляет собой угрозу для всего интернет-сообщества.

Если рассмотреть цепочку возникновения практически любой массовой киберугрозы, то отправной точкой является распространение вируса. Как это ни банально, но беззаботность многих пользователей в плане защиты своих компьютеров от вируса и спама дает в руки киберпреступникам отличные козыри.

Вирус пытаются распространить любым из доступных способов — и вместе со спамовой рассылкой, и с предложением зайти на интересную страницу, которая на самом деле содержит вирус, и скачать крайне полезную программу, и с помощью социальных сетей, и благодаря мессенджерам. Любой разработанный человечеством канал электронных коммуникаций становится потенциальным источником угрозы, если не держать его под контролем.

Давно ушли в прошлое времена, когда вирус что-либо портил на компьютере, тем самым обнаруживая свое присутствие, определялся пользователем и уничтожался. Cегодня вирусы представляют собой промышленную платформу, в которой прописан весь алгоритм действий по заражению с соблюдением главного условия — секретности с тем, чтобы пользователь как можно дольше не обратил внимания на то, что у него что-то не так.

Первым делом после попадания в компьютер вирус крадет серьезную коммерческую информацию: пин-коды кредитов, пароли к банковским ресурсам и пр. Эти данные продаются уже реальным преступникам, которые пытаются обналичить деньги, заказывают товары по Интернету и т. д.

Параллельно воруются серийные номера программного обеспечения, так как сегодня значительная часть из продаваемых пиратских версий добыта именно таким путем: если раньше пираты взламывали лицензионный софт, то сейчас многие предпочитают перепродавать украденные ключи, о факте кражи которых производитель еще не осведомлен. Также большой интерес представляют логины и пароли с доступом для администрирования различных ресурсов. Это делается для того, чтобы главную страницу ресурса подменить зараженной. Такие истории случаются периодически, что зачастую означает именно то, что администратор ресурса допустил халатность и “подхватил” вирус.

Очистив компьютер от всего, что могло заинтересовать преступников, на него устанавливают специальное ПО (агент), которое может управлять компьютером извне. Этот агент подключается к центру управления, который может командовать большим количеством компьютеров (таких центров тоже могут быть сотни и тысячи). Причем вирус будет предпринимать усилия, чтобы не создавать пользователю помех: он не будет полностью загружать интернет-канал, отправлять спамовские письма через известные почтовые программы и т. д.

Так рождаются зомби-сети, известные также как bot-сети, т. е. группы компьютеров, подключенных к Интернету и зараженных специальным кодом (ботом), позволяющим одному человеку управлять ими всеми одновременно. Такие сети как раз и используются для спамовых рассылок и DDoS-атак, которые на уровне сессий неотличимы от запросов легальных пользователей. Сегодня крупные бот-сети насчитывают десятки и сотни тысяч зараженных компьютеров.

Главная проблема оператора и его зараженных пользователей состоит в том, что они не видят, что они заражены и стали составляющими бот-сети. И пока пользователь не начнет нести ощутимый финансовый ущерб, он и не заметит проблемы. Для оператора появление больших бот-сетей на его сети с порождением серьезного объема паразитного трафика в соседние сети грозит потерей репутации и отключением от других операторов, как это недавно случилось с одним оператором в Испании.

Становится очевидно одно: нужно обязательно защищаться — но от кого и как?

DoS — отказ в обслуживании

Термин DoS в переводе с английского языка (Denial of Service) означает “отказ в обслуживании”, т. е. состояние, когда сетевой ресурс не может оказать запрашиваемую у него услугу. Причины, вызывающие DoS, могут быть различными — это и аппаратные проблемы на сервере, и проблемы с пропускной способностью канала, и программные уязвимости системы, и всплеск популярности ресурса, обусловленный рекламной активностью. Но часто недоступность является следствием злонамеренных действий, вызванных осуществлением DDoS-атаки (Distributed Denial of Service — “распределённый отказ в обслуживании”). То есть понятие DoS значительно шире, чем атака, но для простоты изложения будем использовать именно этот термин, так как сегодня под причиной, вызывающей “отказ в обслуживании”, понимают именно преднамеренную атаку с целью истощения ресурсов.

Обычно пытаются перегрузить или канал подключения ресурса к Интернету, чтобы пользователи не дождались загрузки нужной им страницы, или ресурсы сервера, что ведет к недостатку возможностей процессора и операционной памяти для обработки всех запросов, что опять же не дает атакуемому серверу возможности оказывать услуги. Конечная цель любой DDoS-атаки — сделать атакуемый ресурс недоступным. За это преступники и получают деньги. Отключение ресурса, обладающего средней защитой, на один день стоит несколько тысяч долларов. Деньги вполне доступные даже для физических лиц, что и обуславливает большой интерес к этим услугам.

DDoS-атаки имеют несколько разновидностей, специалисты по информационной безопасности делят их в зависимости от метода осуществления: ·

спланированная отправка на Web-сервер большого количества запросов с бот-сети, что особенно дорого обходится для ресурсов атакуемого интернет-сервера и наиболее сложно в обеспечении противодействия (например, создание множества полноценных Web-запросов); ·

отправка большого количества запросов на инициализацию TCP-соединений с узлом-“мишенью”, которому в результате приходится расходовать все свои ресурсы на обработку этих частично открытых соединений (TCP SYN flood); ·

отправка на адрес атакуемой системы множества пакетов большого размера (обычно это UDP или ICMP flood) — этим, как правило, достигается исчерпание полосы пропускания каналов передачи, ведущих к атакуемой системе; ·

атака на прочие ресурсы, необходимые для доступности и работоспособности основной цели, — например, атака на DNS-сервер, такая как передача большого числа DNS-запросов, в результате чего сервер службы доменных имен становится недоступным для пользователей, так как его ресурсы заняты обработкой этих запросов (DNS flood).

В большинстве случаев применяются одновременно или поочередно все описанные варианты DDoS-атаки. Обычно DDoS-атака не создается мгновенно — она может нарастать стремительно, но не резким скачком, поэтому в запасе всегда остается время для оценки и принятия решения.

Как правило, организация сети, из которой проводится атака, является трехуровневой, ее также называют “кластером DoS” (рис. 1). Схематически ее можно представить следующим образом.

Структурно она состоит из одной или нескольких управляющих консолей, подключенных к центрам управления, количество которых может исчисляться сотнями и тысячами. С центрами управления как раз и связываются зараженные компьютеры — боты. Сигнал о начале атаки спускается сверху от управляющей консоли. Преимуществом такой модели является то, что крайне сложно проследить, с какого компьютера дана команда на атаку. Максимум, что можно найти, — это местонахождение центров управления. Как и во время борьбы с распространением вирусов, такие центры находят и блокируют, но сразу же начинают работать другие. Ввиду того, что бот переключается мгновенно, а поиск центра занимает определенное время, такой подход становится бесперспективной “игрой в догонялки”, осложненной тем, что Интернет — это сообщество сетей, и центры управления бот-сетью зачастую оказываются вне зоны контроля оператора атакуемого ресурса.

Потенциальные жертвы и причины

В основном от DDoS-атак страдают коммерческие организации, ведущие финансовую деятельность в сети: интернет-банки, электронная коммерция, онлайн-казино и т. д. Более изощренными являются атаки на специализированные ресурсы, например, недавно была осуществлена атака на платежный шлюз Assist карточной системы, в результате многие карточные платежи не проходили, пострадало огромное количество организаций, в том числе крупный российский авиаперевозчик публиковал информацию, что у него имеются проблемы с оплатой билетов по карточке. Во время политических баталий жертвами становятся сетевые ресурсы конкурирующих партий: выборы на Украине наглядно это показали. На некоторые ресурсы атаки идут постоянно. Например, ресурсы компаний, разрабатывающих антивирусные программы, находятся под постоянным прицелом, что логично: сокращение возможностей по установке антивирусов будет способствовать возникновению более масштабных бот-сетей. Но большинство жертв не афишируют своих проблем.

Фактически крупные DDoS-атаки по всему миру идут одна за другой или даже одновременно. В результате страдают как сами операторы связи, так и их клиенты. Простой арифметический расчет показывает, что при современных скоростях подключения домашних компьютеров свыше 1 Мбит/с, обладая бот-сетью из 10 тыс. компьютеров, можно создать гигантскую DDoS-атаку в 10 Гбит/с — не каждая транспортная сеть оператора выдержит такой объем!

Обычные DDoS-атаки, вызванные хулиганскими действиями или недовольными клиентами, не представляют особой опасности, и мощностей сервера, как правило, хватает. На рынке много предложений “легко и просто защитить вас от DDoS-атак”, но это лукавство — классические средства защиты (межсетевые экраны, системы обнаружения вторжений и пр.) способны распознать и блокировать только простейшие DDoS-атаки, которыми реальные преступники не занимаются.

Главная проблема (о чем говорилось выше) в том, что атака идет с реальных IP-адресов, из-за чего на защищаемом ресурсе не понятно, кто к нам пришел — реальный пользователь или бот с этого же компьютера. Поэтому классические методы бессильны. Сессии с точки зрения оператора будут выглядеть совсем одинаково.

Такое положение дел обусловлено проблемами IP-протокола. Дело в том, что стек TCP/IP был изначально разработан десятки лет назад не для построения глобальной сети Интернет, а для обеспечения работы небольшой сети Пентагона, в которой о таких проблемах даже не предполагали. Поэтому в протокол не заложены возможности авторизации на сетевом уровне, что не позволяет нам точно идентифицировать пользователя. Различные попытки изменить или заменить IP-протокол ни к чему не привели: все альтернативные протоколы быстро умирали, а многие миллиарды сетевых устройств, выпущенных и работающих под этим протоколом по всем миру, говорят о том, что такое вряд ли осуществимо в принципе. Тем более последующие версии, тот же IPv6, также не показали высокую защищенность.

Искусство защиты

Хорошо известно, что безопасность — это процесс непрерывного поиска угроз и подготовки способов защиты. Вначале необходимо определиться, с чем мы хотим бороться и как это будет выполнено Борьбу с DDoS-атаками лучше всего осуществлять ближе к источнику ее возникновения, т. е. на стороне оператора. На стороне клиента с ней бороться гораздо сложнее, а зачастую и вообще невозможно.

В первую очередь надо осознать факт, что DDoS-атака — это обязательная реальность в бизнесе оператора, рано или поздно она придет, и нужно быть готовым принять ее без ущерба для работоспособности основных сервисов. Для этого необходимо обеспечить каналы связи с хорошей пропускной способностью и несколько вариантов движения трафика по сети. После приема атаки нужно оценить, какого она может быть объема, определить ожидаемые типы, откуда она придет, и по результатам анализа подготовить сеть для очистки трафика.

Чем раньше обнаружена DDoS-атака, тем больше будет времени на реакцию и меньше нанесенный ущерб. Можно, конечно, сидеть и ждать, когда клиент позвонит и скажет, что у него не работает сервер, но до этого момента дело лучше не доводить. Бывают ситуации, когда каждый из клиентов по отдельности не испытывает серьезных трудностей, а паразитная нагрузка идет на всю сеть оператора, и тогда оператору надо защищать самого себя. Возможна и обратная постановка задачи — оператор может и не заметить DDoS-атаку в 10 Мбит/с, тогда как для многих интернет-ресурсов она может стать фатальной.

Вовремя обнаружить DDoS-атаку — в этом и заключается главная проблема, если мы не хотим бороться с ней по факту падения сети или ресурсов наших клиентов.

Наиболее эффективный способ обнаружить DDoS-атаку основан на накоплении статистических данных о прохождении трафика в сети. Составив картину нормального состояния сети, всегда можно отследить возникновение какой-либо аномалии в сетевом трафике.

В качестве источника данных для статистики можно использовать сам трафик или некоторую статистическую информацию о нем. Для этого используются либо дополнительные сенсоры, устанавливаемые на сеть, либо информация, которую могут предоставить существующие сетевые элементы. В случае снятия такой информации непосредственно с маршрутизаторов обычно используется протокол Netflow. Этот протокол был в свое время разработан для оптимизации работы маршрутизаторов, его задача заключалась в том, чтобы не обрабатывать каждый пакет, а перенаправлять его как можно быстрее, если он соответствовал требованиям потока. Протокол оказался неэффективным для решения основной задачи, но очень пригодился для борьбы с DDoS-атаками и шире — для анализа работы сети в целом. Такие способности протоколу дает заложенная в него возможность формировать таблицу, в которой в динамическом режиме прописываются все статистические данные по пришедшим потокам и пакетам: откуда пришел пакет, куда он направляется, какой у него протокол, порт, какое количество данных передано. Причем имеется возможность экспорта статистических данных во внешние системы для последующего анализа.

В общем случае система в отсутствие DDoS-атак на защищаемый ресурс/сеть проходит этап тестирования или обучения. Система определяет и запоминает, какой трафик для защищаемого ресурса является нормальным. Ситуация, при которой текущий трафик на защищаемый ресурс резко отличается от нормального, считается DDoS-атакой. Стоит подчеркнуть, что система распознает только отклонение от трафика, а чем он вызван — всплеском легитимных обращений к ресурсам (выложили новый патч, прошла рекламная кампания) или DDoS-атакой — можно определить только на основе беседы с клиентом, ожидал ли он такой объем обращений или нет.

После обнаружения факта аномалии происходит ее классификация и определяется, насколько она серьезна. Если DDoS-атака не грозит возникновением проблем в сети, то лучше наблюдать и ничего не предпринимать, так как возникает вероятность не пустить на ресурс законного пользователя.

Существуют два основных термина для определения надежности работы таких систем: false positive — ложное срабатывание по блокировке легитимного пользователя и false negative — ложный пропуск нелегитимного обращения. Если защищаемый ресурс справляется с нагрузкой, то лучше, чтобы все пользователи получили доступ. Здесь ситуация противоположна борьбе с вирусами: там требуется уменьшать false negative, т. е. блокировать все подозрительное, даже если оно не является вредоносным. В случае DDoS-атаки нужно предпринимать действия до тех пор, пока ресурс не станет доступен, и на этом останавливаться. Дальнейшая попытка давить атаку техническими средствами рискованна, так как будет возрастать параметр false positive.

В качестве систем обнаружения DDoS-атак и сетевых аномалий можно использовать как существующие системы (например, системы мониторинга и статистического анализа), так и специализированные, рассчитанные на быстрое и эффективное обнаружение DDoS-атак различных типов. Основными производителями таких систем являются компании Cisco Systems, Arbor Networks и Narus.

Способов блокировки трафика существует не меньше, чем его передачи. Практически каждый сетевой элемент оснащен простейшим листом доступа, который позволяет блокировать любой трафик и IP-адрес. Блокировка нежелательного трафика становится первым простейшим способом борьбы с DDoS-атакой. Достаточно просто заблокировать трафик по региональному признаку. Допустим, мы защищаем ресурс интернет-магазина, работающего по России, и видим, что резко возрос трафик из Китая; тогда логично будет, если у сайта возникли проблемы, целиком отрезать паразитный трафик из Китая. Тогда нагрузка ослабнет, и система перейдет в штатный режим, в котором будет открыт доступ для всех желающих.

Но одной блокировкой в этом вопросе не справиться, этот инструмент имеет и обратный эффект. Чем больше мы блокируем, тем больше возникает вероятность того, что легитимный пользователь не получит доступа. В итоге может сложиться парадоксальная ситуация: задача для оператора будет решена, сеть не страдает, ресурс не перегружен, только доступа к нему нет и тем самым DoS обеспечен. Чтобы этого не случилось, необходимо переходить от простых способов к более сложным.

Существуют специализированные системы для борьбы с DDoS-атаками, для их установки и работы с ними требуются глубокие технические знания. Действия этих систем основаны на серьезных эвристических алгоритмах, позволяющих проанализировать каждый пакет трафика и с определенной вероятностью отфильтровать паразитный. Эти алгоритмы постоянно обновляются, так как разработчики DDoS-атак также постоянно оттачивают свое мастерство.

На рынке существуют два основных вендора, предлагающих специализированные системы для борьбы с DDoS-атаками операторского класса (Arbor Networks и Cisco Systems), а также ряд продуктов, пригодных для решения данной задачи в меньших объемах или ориентированных на частные случаи.

Принципы обнаружения и нейтрализации

В обычном состоянии сети система фиксирует проходящий трафик и накапливает статистику. На рис. 2 показан пример обычного дня крупного интернет-оператора. Хорошо видно, что несколько одновременных серьезных атак является обычным явлением, а количество значимых атак, не представляющих угрозу самой сети оператора, но выделяющихся на фоне нормального трафика, просто огромно. А ведь почти каждая из этих атак — это какой-то недоступный ресурс или сервер.

Рассмотрим примеры некоторых атак более подробно.

На рис. 3 показан пример DDoS-атаки на истощение канала (конкретно — ICMP flood). Хорошо виден всплеск ICMP-трафика, совершенно не характерный для нормального трафика (отмечен синим цветом).

Рис. 4 и 5 показывают пример DDoS-атаки другого типа, направленной на истощение ресурсов (в данном случае это SYN flood на сервис HTTPS, то есть защищенного Web-доступа). На обоих рисунках в одном и том же временном периоде показана одна и та же атака — но на рис. 4 приведен график объема трафика (в битах в секунду, bps), а на рис. 5 — количества запросов (пакеты в секунду, pps).

Видно, что HTTPS-трафик (тоже синий на обоих графиках) обычно очень невелик, но в период атаки заметен нехарактерный всплеск. Если посмотреть на объем трафика, то не так уж сильно он и подрос — всплеск виден, но не кажется серьезной угрозой, особенно по сравнению с обычным Web-трафиком (красного цвета). То есть скорее всего угрозы каналу он не создает. Но если посмотреть на количество запросов, то всплеск очень и очень значителен, то есть нагрузка на Web-сервер возросла в несколько раз, и скорее всего DDoS-атака оказалась успешной.

Система по фильтрации обычно активируется по команде оператора или автоматически аналитической системой, которая заметила угрожающий всплеск трафика. Момент, когда система уже обнаружила атаку, но оператор еще не принял решение о борьбе с ней, показан на рис. 6.

Если атака признана серьезной и оператор дает команду на борьбу с ней, то подозрительный трафик перенаправляется через интеллектуальные системы фильтрации трафика (рис. 7), причем данная операция не влияет на прохождение прочего трафика по сети оператора, что является большим преимуществом.

Очищенный от атаки трафик доставляется до точки назначения (рис. 8), то есть ресурс остается доступным для обычных пользователей, в то время как сама DDoS-атака подавляется.

Решение по динамическому перенаправлению трафика сложнее, но гораздо эффективнее установки таких систем перед каждым защищаемым ресурсом. Очевидно, что не имеет смысла закладываться на одновременную атаку на все ресурсы операторской сети сразу: у атакующих нет возможности создать такую крупную бот-сеть, да и сеть оператора просто не сможет обеспечить доставку таких объемов трафика. Как правило, атака идет на один-два ресурса. Поэтому бывает достаточно небольшого числа крупных центров очистки — надо только грамотно их расположить и обеспечить эффективные способы направления на них трафика атаки. Сами же алгоритмы очистки зависят от типа атаки, протокола и сервисов, а также могут подстраиваться с учетом предпочтений пользователей.

Актуальная услуга

Организация защиты от DoS-атак — дело сложное и дорогостоящее. Отдельно сетевому ресурсу ставить такие системы экономически невыгодно. Только очень крупные компании могут себе позволить установку оборудования, организацию необходимых каналов связи к нескольким операторам и прием на работу достаточного количества высококвалифицированных специалистов. Поэтому представляется логичным, что портфель услуг оператора связи пополнится новой услугой — защиты пользователей от DDoS-атак. В случае, если оператор развернул у себя промышленную систему для анализа и противодействия, то введение платной подписки на услуги защиты становится логичным способом получить новую статью дохода, ведь дополнительно уже не требуется разворачивать системы.

Возможности систем по защите от DDoS-атак зависят от настроек и уровня предоставления оператором данной услуги. Для некоторых клиентов те или иные методы очистки могут быть неприемлемы, что оговаривается при заключении контракта на услугу. В любом случае оператор системы в процессе обеспечения противодействия находится в непрерывном контакте с клиентом, и они вместе определяют, когда остановить или продолжить защиту. Ведь если злоумышленник видит, что атакуемый им ресурс доступен, то он может усилить мощность атаки, применить другие методы; поэтому атаки могут как стихать, так и нарастать — расслабляться после успешного отражения первой атаки не стоит. В среднем атаки длятся часами и днями, реже — многими месяцами.

Для бизнес-ресурсов зачастую атака длится столько, сколько идет рекламная акция. Это делается, чтобы нивелировать ее результаты, поэтому при планировании рекламных кампаний желательно отдельной строкой закладывать средства на противодействие DDoS-атакам. В этом случае полезной представляется модель временного подключения у оператора услуги по противодействию DDoS-атакам.

Именно по этой причине у большинства крупных операторов связи по всему миру появляются и расширяются пакеты услуг по борьбе с DoS, при этом клиентами данной услуги становятся не только корпорации, но и региональные операторы связи. Очевидно, что по мере развертывания систем обнаружения и противодействия DDoS-атакам появляется возможность системно бороться с этим явлением и не допускать их распространения, что позволяет обеспечить надежную работу коммерческих интернет-сервисов. А это значит, что объемы и интернет-коммерции, и рынка услуг информационной безопасности, предлагаемых данным сервисам, будут продолжать расти.

Дополнительные выгоды

Развернутое решение по анализу трафика позволяет оператору получить ряд дополнительных преимуществ. У него появляется возможность не только обнаруживать DDоS-атаки, но также получать ценные сведения для анализа загруженности сети и распределения трафика по ней. На основе этой информации можно строить прогнозы по росту загруженности, превентивно бороться с “узкими” местами, оперативно реагировать на потребности клиентов, расширяя каналы и предлагая новые сервисы, обоснованно вкладывать инвестиции в модернизацию сетевой инфраструктуры.

В заключение надо отметить, что сегодня защита от DDoS-атак — дело рук защищаемых. В настоящее время пока не разработаны эффективные средства для борьбы с причинами DDoS-атак. Пока существует спрос, будут и предложения. А территориальная распределенность Интернета и законодательные пробелы многих государств только подстегивают безнаказанность.

Единственный на сегодня способ защиты носит скорее административный характер воздействия на тех операторов, которые недостаточно следят за чистотой своих сетей. Собирая информацию об очагах DDoS-атак, организуя информационный обмен с соседними операторами, можно наладить оперативное реагирование и коллективную защиту. Накопленная статистика о степени зараженности сети того или иного оператора бот-сетями становится весомым аргументов в этом вопросе.

Другая сторона проблемы — повышение самосознания пользователей компьютеров с целью более ответственного отношения к обеспечению безопасности с точки зрения вирусов. Сейчас на государственном уровне появляются инициативы, по которым оператор получает право отключать недобросовестных клиентов, чьи компьютеры заражены и регулярно поставляют в сеть вредоносный трафик. Комплексный подход к уменьшению количества зараженных компьютеров, безусловно, необходим и будет давать значительный эффект, но услуга защиты от DDoS-атак еще долго будет востребована.

Дмитрий Ржавин — начальник отдела защиты сетей операторов связи, департамент информационной безопасности, “Энвижн Груп”

DDoS-атаки и как от них защищаться. Систематизация мирового и российского опыта 23

Автор: Илья Яблонко, CISSP,ведущий инженер отдела систем и методов обеспечения информационной безопасности департамента системной интеграции компании Микротест.

Cтатья опубликована в рамках конкурса «Формула связи».

Введение

Сразу оговорюсь, что когда я писал данный обзор, я прежде всего ориентировался на аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных. В данной статье излагаются основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.

Что такое DDoS?

Наверное, о том, что такое DDoS-атаки, сегодня знает если не каждый «пользователь», то уж во всяком случае – каждый «АйТишник». Но пару слов всё же необходимо сказать.

DDoS-атаки (Distributed Denial of Service – распределённые атаки класса «отказ в обслуживании») – это атаки на вычислительные системы (сетевые ресурсы или каналы связи), имеющие целью сделать их недоступными для легитимных пользователей. DDoS-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов с одного или многих компьютеров, расположенных в сети Интернет. Если тысячи, десятки тысяч или миллионы компьютеров одновременно начнут посылать запросы в адрес определенного сервера (или сетевого сервиса), то либо не выдержит сервер, либо не хватит полосы пропускания канала связи к этому серверу. В обоих случаях, пользователи сети Интернет не смогут получить доступ к атакуемому серверу, или даже ко всем серверам и другим ресурсам, подключенным через заблокированный канал связи.

Некоторые особенности DDoS-атак

Против кого и с какой целью запускаются DDoS-атаки?

DDoS-атаки могут быть запущены против любого ресурса, представленного в сети Интернет. Наибольший ущерб от DDoS-атак получают организации, чей бизнес непосредственно связан с присутствием в Интернет – банки (предоставляющие услуги Интернет-банкинга), интернет-магазины, торговые площадки, аукционы, а также другие виды деятельности, активность и эффективность которых существенно зависит от представительства в Интернет (турфирмы, авиакомпании, производители оборудования и программного обеспечения, и т.д.) DDoS-атаки регулярно запускаются против ресурсов таких гигантов мировой IT-индустрии, как IBM, Cisco Systems, Microsoft и других. Наблюдались массированные DDoS-атаки против eBay.com, Amazon.com, многих известных банков и организаций.

Очень часто DDoS-атаки запускаются против web-представительств политических организаций, институтов или отдельных известных личностей. Многим известно про массированные и длительные DDoS-атаки, которые запускались против web-сайта президента Грузии во время грузино-осетинской войны 2008 года (web-сайт был недоступен в течение нескольких месяцев, начиная с августа 2008 года), против серверов правительства Эстонии (весной 2007 года, во время беспорядков, связанных с переносом Бронзового солдата), про периодические атаки со стороны северокорейского сегмента сети Интернет против американских сайтов.

Основными целями DDoS-атак являются либо извлечение выгоды (прямой или косвенной) путём шантажа и вымогательства, либо преследование политических интересов, нагнетание ситуации, месть.

Каковы механизмы запуска DDoS-атак?

Наиболее популярным и опасным способом запуска DDoS-атак является использование ботнетов (BotNets). Ботнет – это множество компьютеров, на которых установлены специальные программные закладки (боты), в переводе с английского ботнет – это сеть ботов. Боты как правило разрабатываются хакерами индивидуально для каждого ботнета, и имеют основной целью отправку запросов в сторону определенного ресурса в Интернет по команде, получаемой с сервера управления ботнетом – Botnet Command and Control Server. Сервером управления ботнетом управляет хакер, либо лицо, купившее у хакера данный ботнет и возможность запускать DDoS-атаку. Боты распространяются в сети Интернет различными способами, как правило – путем атак на компьютеры, имеющие уязвимые сервисы, и установки на них программных закладок, либо путем обмана пользователей и принуждения их к установке ботов под видом предоставления других услуг или программного обеспечения, выполняющего вполне безобидную или даже полезную функцию. Способов распространения ботов много, новые способы изобретаются регулярно.

Если ботнет достаточно большой – десятки или сотни тысяч компьютеров – то одновременная отправка со всех этих компьютеров даже вполне легитимных запросов в сторону определённого сетевого сервиса (например, web-сервиса на конкретном сайте) приведет к исчерпанию ресурсов либо самого сервиса или сервера, либо к исчерпанию возможностей канала связи. В любом случае, сервис будет недоступен пользователям, и владелец сервиса понесет прямые, косвенные и репутационные убытки. А если каждый из компьютеров отправляет не один запрос, а десятки, сотни или тысячи запросов в секунду, то ударная сила атаки увеличивается многократно, что позволяет вывести из строя даже самые производительные ресурсы или каналы связи.

Некоторые атаки запускаются более «безобидными» способами. Например, флэш-моб пользователей определенных форумов, которые по договоренности запускают в определенное время «пинги» или другие запросы со своих компьютеров в сторону конкретного сервера. Другой пример – размещение ссылки на web-сайт на популярных Интернет-ресурсах, что вызывает наплыв пользователей на целевой сервер. Если «фейковая» ссылка (внешне выглядит как ссылка на один ресурс, а на самом деле ссылается на совершенно другой сервер) ссылается на web-сайт небольшой организации, но размещена на популярных серверах или форумах, такая атака может вызвать нежелательный для данного сайта наплыв посетителей. Атаки последних двух типов редко приводят к прекращению доступности серверов на правильно организованных хостинг-площадках, однако такие примеры были, и даже в России в 2009 году.

Помогут ли традиционные технические средства защиты от DDoS-атак?

Особенностью DDoS-атак является то, что они состоят из множества одновременных запросов, из которых каждый в отдельности вполне «легален», более того – эти запросы посылают компьютеры (зараженные ботами), которые вполне себе могут принадлежать самым обычным реальным или потенциальным пользователям атакуемого сервиса или ресурса. Поэтому правильно идентифицировать и отфильтровать именно те запросы, которые составляют DDoS-атаку, стандартными средствами очень сложно. Стандартные системы класса IDS/IPS (Intrusion Detection / Prevention System – система обнаружения / предотвращения сетевых атак) не найдут в этих запросах «состава преступления», не поймут, что они являются частью атаки, если только они не выполняют качественный анализ аномалий трафика. А если даже и найдут, то отфильтровать ненужные запросы тоже не так просто – стандартные межсетевые экраны и маршрутизаторы фильтруют трафик на основании четко определяемых списков доступа (правил контроля), и не умеют «динамически» подстраиваться под профиль конкретной атаки. Межсетевые экраны могут регулировать потоки трафика, основываясь на таких критериях, как адреса отправителя, используемые сетевые сервисы, порты и протоколы. Но в DDoS-атаке принимают участие обычные пользователи Интернет, которые отправляют запросы по наиболее распространенным протоколам – не будет же оператор связи запрещать всем и всё подряд? Тогда он просто прекратит оказывать услуги связи своим абонентам, и прекратит обеспечивать доступ к обслуживаемым им сетевым ресурсам, чего, собственно, и добивается инициатор атаки.

Многим специалистам, наверное, известно о существовании специальных решений для защиты от DDoS-атак, которые заключаются в обнаружении аномалий в трафике, построении профиля трафика и профиля атаки, и последующем процессе динамической многостадийной фильтрации трафика. И об этих решениях я тоже расскажу в этой статье, но несколько попозже. А сначала будет рассказано о некоторых менее известных, но иногда достаточно эффективных мерах, которые могут приниматься для подавления DDoS-атак существующими средствами сети передачи данных и её администраторов.

Защита от DDoS-атак имеющимися средствами

Существует довольно много механизмов и «хитростей», позволяющих в некоторых частных случаях подавлять DDoS-атаки. Некоторые могут использоваться, только если сеть передачи данных построена на оборудовании какого то конкретного производителя, другие более или менее универсальные.

Начнем с рекомендаций Cisco Systems. Специалисты этой компании рекомендуют обеспечить защиту фундамента сети (Network Foundation Protection), которая включает защиту уровня администрирования сетью (Control Plane), уровня управления сетью (Management Plane), и защиту уровня данных в сети (Data Plane).

Защита уровня администрирования (Management Plane)

Термин «уровень администрирования» охватывает весь трафик, который обеспечивает управление или мониторинг маршрутизаторов и другого сетевого оборудования. Этот трафик направляется в сторону маршрутизатора, или исходит от маршрутизатора. Примерами такого трафика являются Telnet, SSH и http(s) сессии, syslog-сообщения, SNMP-трапы. Общие best practices включают:

— обеспечение максимальной защищенности протоколов управления и мониторинга, использование шифрования и аутентификации:

  • протокол SNMP v3 предусматривает средства защиты, в то время как SNMP v1 практически не предусматривает, а SNMP v2 предусматривает лишь частично—установленные по умолчанию значения Community всегда нужно менять;
  • должны использоваться различные значения для public и private community;
  • протокол telnet передает все данные, в том числе логин и пароль, в открытом виде (если трафик перехватывается, эта информация легко может быть извлечена и использована), вместо него рекомендуется всегда использовать протокол ssh v2;
  • аналогично, вместо http используйте https для доступа к оборудованию;строгий контроль доступа к оборудованию, включая адекватную парольную политику, централизованные аутентификацию, авторизацию и аккаунтинг (модель AAA) и локальной аутентификации с целью резервирования;

— реализацию ролевой модели доступа;

— контроль разрешенных подключений по адресу источника с помощью списков контроля доступа;

— отключение неиспользуемых сервисов, многие из которых включены по-умолчанию (либо их забыли отключить после диагностики или настройки системы);

— мониторинг использования ресурсов оборудования.

На последних двух пунктах стоит остановиться более подробно.
Некоторые сервисы, которые включены по умолчанию или которые забыли выключить после настройки или диагностики оборудования, могут быть использованы злоумышленниками для обхода существующих правил безопасности. Список этих сервисов ниже:

Естественно, перед тем как отключать данные сервисы, нужно тщательно проанализировать отсутствие их необходимости в вашей сети.

Желательно осуществлять мониторинг использования ресурсов оборудования. Это позволит, во первых, вовремя заметить перегруженность отдельных элементов сети и принять меры по предотвращению аварии, и во вторых, обнаружить DDoS-атаки и аномалии, если их обнаружение не предусмотрено специальными средствами. Как минимум, рекомендуется осуществлять мониторинг:

  • загрузки процессора
  • использования памяти
  • загруженности интерфейсов маршрутизаторов.

Мониторинг можно осуществлять «вручную» (периодически отслеживая состояние оборудования), но лучше конечно это делать специальными системами мониторинга сети или мониторинга информационной безопасности (к последним относится Cisco MARS).

Защита уровня управления (Control Plane)

Уровень управления сетью включает весь служебный трафик, который обеспечивает функционирование и связность сети в соответствии с заданной топологией и параметрами. Примерами трафика уровня управления являются: весь трафик, генерируемый или предназначенный для процессора маршрутизации (route processor – RR), в том числе все протоколы маршрутизации, в некоторых случаях – протоколы SSH и SNMP, а также ICMP. Любая атака на функционирование процессора маршрутизации, а особенно – DDoS-атаки, могут повлечь существенные проблемы и перерывы в функционировании сети. Ниже описаны best practices для защиты уровня управления.

Control Plane Policing

Заключается в использовании механизмов QoS (Quality of Service — качество обслуживания) для предоставления более высокого приоритета трафику уровня управления, чем пользовательскому трафику (частью которого являются и атаки). Это позволит обеспечить работу служебных протоколов и процессора маршрутизации, то есть сохранить топологию и связность сети, а также собственно маршрутизацию и коммутацию пакетов.

IP Receive ACL

Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.

  • применяются уже непосредственно на маршрутизирующем оборудовании перед тем, как трафик достигает процессора маршрутизации, обеспечивая «персональную» защиту оборудования;
  • применяются уже после того, как трафик прошел обычные списки контроля доступа – являются последним уровнем защиты на пути к процессору маршрутизации;
  • применяются ко всему трафику (и внутреннему, и внешнему, и транзитному по отношению к сети оператора связи).

Infrastructure ACL

Обычно, доступ к собственным адресам маршрутизирующего оборудования необходим только для хостов собственной сети оператора связи, однако бывают и исключения (например, eBGP, GRE, туннели IPv6 over IPv4, и ICMP). Инфраструктурные списки контроля доступа:

  • обычно устанавливаются на границе сети оператора связи («на входе в сеть»);
  • имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
  • обеспечивают беспрепятственный транзит трафика через границу операторской сети;
  • обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).

Neighbour Authentication

Основная цель аутентификации соседних маршрутизаторов – предотвращение атак, заключающихся в отсылке поддельных сообщений протоколов маршрутизации с целью изменить маршрутизацию в сети. Такие атаки могут привести к несанкционированному проникновению в сеть, несанкционированному использованию сетевых ресурсов, а также к тому, что злоумышленник перехватит трафик с целью анализа и получения необходимой информации.

Рекомендуется всегда, когда это возможно, обеспечивать аутентификацию хостов, с которыми производится обмен служебными данными либо трафиком управления.

Настройка BGP

При работе с протоколом BGP рекомендуется использовать следующие механизмы защиты:

  • фильтрация префиксов BGP (BGP prefix filters) – используется для того, чтобы информация о маршрутах внутренней сети оператора связи не распространялась в Интернет (иногда эта информация может оказаться очень полезной для злоумышленника);
  • ограничение количества префиксов, которые могут быть приняты от другого маршрутизатора (prefix limiting) – используется для защиты от DDoS атак, аномалий и сбоев в сетях пиринг-партнеров;
  • использование параметров BGP Community и фильтрация по ним также могут использоваться для ограничения распространения маршрутной информации;
  • мониторинг BGP и сопоставление данных BGP с наблюдаемым трафиком является одним из механизмов раннего обнаружения DDoS-атак и аномалий;
  • фильтрация по параметру TTL (Time-to-Live) – используется для проверки BGP-партнёров.

Если атака по протоколу BGP запускается не из сети пиринг-партнера, а из более удаленной сети, то параметр TTL у BGP-пакетов будет меньшим, чем 255. Можно сконфигурировать граничные маршрутизаторы оператора связи так, чтобы они отбрасывали все BGP пакеты со значением TTL

Cisco DDoS

Protection Solution

Detection

Идентифицировать и классифицировать атаки на основании характеристик трафика

Diversion / Injection

Перенаправить весь трафик, предназначенный определенной цели; вернуть очищенный трафик обратно в сеть чтобы он достиг цели

Mitigation

Анализ трафика и удаление пакетов DDoS-атаки

Network Foundation Protection

Защита фундамента сети

Н есколько особенностей.
В качестве детекторов могут использоваться два типа устройств:

  • Детекторы производства Cisco Systems – сервисные модули Cisco Traffic Anomaly Detector Services Module, предназначенные для установки в шасси Cisco 6500/7600.
  • Детекторы производства Arbor Networks – устройства Arbor Peakflow SP CP.

Ниже приведена таблица сравнения детекторов Cisco и Arbor.

Параметр

Cisco Traffic Anomaly Detector

Arbor Peakflow SP CP

Получение информации о трафике для анализа

Используется копия трафика, выделяемая на шасси Cisco 6500/7600

Используется Netflow-данные о трафике, получаемые с маршрутизаторов, допускается регулировать выборку (1 : 1, 1 : 1 000, 1 : 10 000 и т.д.)

Используемые принципы выявления

Сигнатурный анализ (misuse detection) и выявление аномалий ( dynamic profiling )

Преимущественно выявление аномалий; сигнатурный анализ используется, но сигнатуры имеют общий характер

сервисные модули в шасси Cisco 6500/7600

отдельные устройства (сервера)

Анализируется трафик до 2 Гбит/с

Практически неограниченна (можно уменьшать частоту выборки)

Установка до 4 модулей Cisco Detector SM в одно шасси (однако модули действуют независимо друг от друга)

Возможность использования нескольких устройств в рамках единой системы анализа, одному из которых присваивается статус Leader

Мониторинг трафика и маршрутизации в сети

Функционал практически отсутствует

Функционал очень развит. Многие операторы связи покупают Arbor Peakflow SP из-за глубокого и проработанного функционала по мониторингу трафика и маршрутизации в сети

Предоставление портала (индивидуального интерфейса для абонента, позволяющего мониторить только относящуюся непосредственно к нему часть сети)

Предусмотрено. Является серьезным преимуществом данного решения, так как оператор связи может продавать индивидуальные сервисы по защите от DDoS своим абонентам.

Совместимые устройства очистки трафика (подавления атак)

Cisco Guard Services Module

Arbor Peakflow SP TMS; Cisco Guard Services Module.

Рекомендуемые сценарии использования

Защита центров обработки данных (Data Centre) при их подключении к Интернет Мониторинг downstream-подключений абонентских сетей к сети оператора связи Обнаружение атак на upstream -подключениях сети оператора связи к сетям вышестоящих провайдеров Мониторинг магистрали оператора связи

В последней строке таблицы приведены сценарии использования детекторов от Cisco и от Arbor, которые рекомендовались Cisco Systems. Данные сценарии отражены на приведенной ниже схеме.

В качестве устройства очистки трафика Cisco рекомендует использовать сервисный модуль Cisco Guard, который устанавливается в шасси Cisco 6500/7600 и по команде, получаемой с детектора Cisco Detector либо с Arbor Peakflow SP CP осуществляется динамическое перенаправление, очистка и обратный ввод трафика в сеть. Механизмы перенаправления – это либо BGP апдейты в сторону вышестоящих маршрутизаторов, либо непосредственные управляющие команды в сторону супервизора с использованием проприетарного протокола. При использовании BGP-апдейтов, вышестоящему маршрутизатору указывается новое значение nex-hop для трафика, содержащего атаку – так, что этот трафик попадает на сервер очистки. При этом необходимо позаботиться о том, чтобы эта информация не повлекла организацию петли (чтобы нижестоящий маршрутизатор при вводе на него очищенного трафика не пробовал снова завернуть этот трафик на устройство очистки). Для этого могут использоваться механизмы контроля распространения BGP-апдейтов по параметру community, либо использование GRE-туннелей при вводе очищенного трафика.

Такое положение дел существовало до тех пор, пока Arbor Networks существенно не расширил линейку продуктов Peakflow SP и не стал выходить на рынок с полностью самостоятельным решением по защите от DDoS-атак.

Появление Arbor Peakflow SP TMS

Несколько лет назад, компания Arbor Networks решила развивать свою линейку продуктов по защите от DDoS-атак самостоятельно и вне зависимости от темпов и политики развития данного направления у Cisco. Решения Peakflow SP CP имели принципиальные преимущества перед Cisco Detector, так как они анализировали flow-информацию с возможностью регулирования частоты выборки, а значит не имели ограничений по использованию в сетях операторов связи и на магистральных каналах (в отличие от Cisco Detector, которые анализируют копию трафика). Кроме того, серьезным преимуществом Peakflow SP явилась возможность для операторов продавать абонентам индивидуальный сервис по мониторингу и защите их сегментов сети.

Ввиду этих или других соображений, Arbor существенно расширил линейку продуктов Peakflow SP. Появился целый ряд новых устройств:

Peakflow SP TMS (Threat Management System) – осуществляет подавление DDoS-атак путем многоступенчатой фильтрации на основе данных, полученных от Peakflow SP CP и от лаборатории ASERT, принадлежащей Arbor Networks и осуществляющей мониторинг и анализ DDoS-атак в Интернете;

Peakflow SP BI (Business Intelligence) – устройства, обеспечивающие масштабирование системы, увеличивая число подлежащих мониторингу логических объектов и обеспечивая резервирование собираемых и анализируемых данных;

Peakflow SP PI (Portal Interface) – устройства, обеспечивающие увеличение абонентов, которым предоставляется индивидуальный интерфейс для управления собственной безопасностью;

Peakflow SP FS (Flow Censor) – устройства, обеспечивающие мониторинг абонентских маршрутизаторов, подключений к нижестоящим сетям и центрам обработки данных.

Принципы работы системы Arbor Peakflow SP остались в основном такими же, как и Cisco Clean Pipes, однако Arbor регулярно производит развитие и улучшение своих систем, так что на данный момент функциональность продуктов Arbor по многим параметрам лучше, чем у Cisco, в том числе и по производительности.

На сегодняшний день, максимальная производительность Cisco Guard модет быть достигнута путем создания кластера из 4-х модулей Guard в одной шасси Cisco 6500/7600, при этом полноценная кластеризация этих устройств не реализована. В то же время, верхние модели Arbor Peakflow SP TMS имеют производительность до 10 Гбит/с, и в свою очередь могут кластеризоваться.

После того, как Arbor стал позиционировать себя в качестве самостоятельного игрока на рынке систем обнаружения и подавления DDoS-атак, Cisco стала искать партнера, который бы обеспечил ей так необходимый мониторинг flow-данных о сетевом трафике, но при этом не являлся бы прямым конкурентом. Такой компанией стала Narus, производящая системы мониторинга трафика на базе flow-данных (NarusInsight), и заключившая партнерство с Cisco Systems. Однако серьезного развития и присутствия на рынке это партнерство не получило. Более того, по некоторым сообщениям, Cisco не планирует инвестиции в свои решения Cisco Detector и Cisco Guard, фактически, оставляя данную нишу на откуп компании Arbor Networks.

Некоторые особенности решений Cisco и Arbor

Стоит отметить некоторые особенности решений Cisco и Arbor.

  1. Cisco Guard можно использовать как совместно с детектором, так и самостоятельно. В последнем случае он устанавливается в режим in-line и выполняет функции детектора анализируя трафик, а при необходимости включает фильтры и осуществляет очистку трафика. Минус этого режима заключается в том, что, во первых, добавляется дополнительная точка потенциально отказа, и во-вторых, дополнительная задержка трафика (хотя она и небольшая до тех пор, пока не включается механизм фильтрации). Рекомендуемый для Cisco Guard режим – ожидания команды на перенаправление трафика, содержащего атаку, его фильтрации и ввода обратно в сеть.
  2. Устройства Arbor Peakflow SP TMS также могут работать как в режиме off-ramp, так и в режиме in-line. В первом случае устройство пассивно ожидает команды на перенаправление содержащего атаку трафика с целью его очистки и ввода обратно в сеть. Во втором пропускает через себя весь трафик, вырабатывает на его основе данные в формате Arborflow и передает их на Peakflow SP CP для анализа и обнаружения атак. Arborflow – это формат, похожий на Netflow, но доработанный компанией Arbor для своих систем Peakflow SP. Мониторинг трафика и выявление атак осуществляет Peakflow SP CP на основании получаемых от TMS данных Arborflow. При обнаружении атаки, оператор Peakflow SP CP дает команду на её подавление, после чего TMS включает фильтры и очищает трафик от атаки. В отличие от Cisco, сервер Peakflow SP TMS не может работать самостоятельно, для его работы требуется наличие сервера Peakflow SP CP, который производит анализ трафика.
  3. Сегодня большинство специалистов сходятся во мнении, что задачи защиты локальных участков сети (например, подключение ЦОДов или подключение downstream-сетей) эффек

Самые большие бонусы дают эти казиношки:
  • Сол Казино
    Сол Казино

    1 место по бонусам и Джекпотам! Моментальные выплаты.

  • Фрэш Казино
    Фрэш Казино

    Весенний дизайн и огромные бонусы! Быстрые выплаты!

Добавить комментарий