DDOS-атаки и методы борьбы с ними


Оглавление (нажмите, чтобы открыть):

DDOS-атаки и методы борьбы с ними

DDoS -атака (с англ. Distributed Denial of Service — «отказ от обслуживания») – распределенная атака типа отказ в обслуживании, которая являет собой одну из самых распространенных и опасных сетевых атак. В результате атаки нарушается или полностью блокируется обслуживание законных пользователей, сетей, систем и иных ресурсов. В результате DDoS-атаки сервера, обслуживающие сайт, вынуждены обрабатывать чрезмерный объём ложных запросов, и сайт становится недоступным для простого пользователя.

Кто может пострадать от DDoS-атаки?

Жертвами таких атак становятся коммерческие и информационные сайты. Хакеры в последнее время используют такой вид атак с целью вымогательства, требуя денег за прекращение атаки.

Как происходит DDoS-атака?

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть «зомби». Известно множество путей «зомбирования» компьютеров — от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

DDoS-атака изнутри

Сетевое нападение типа DDoS осуществляется с помощью ботнета (зомби-сети) — большого количества зараженных специальной вредоносной программой компьютеров, которые по команде из центра управления (от злоумышленника) начинают посылать на атакуемый компьютер множество особых запросов, блокирующих доступ к нему легальных пользователей. В схеме задействовано довольно много участников: те, кто пишет ПО для создания ботнета, те, кто его заказывает, администрирует и сдает в аренду зомби-сеть, заказчик атаки. К сожалению, на сегодняшний день борьба с ботнетами, как правило, ограничивается удалением с компьютеров вредоносного ПО. Владельцы ботнета и заказчики его «услуг» остаются «за кадром».

Специалисты по информационной безопасности выделяют следующие виды DDoS-атак:

· UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.

· TCP flood — отправка на адрес мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

· TCP SYN flood — посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

· Smurf-атака — пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.

· ICMP flood — атака, аналогичная Smurf, но без использования рассылки.

Наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.

Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами.

Однако спектр программ намного шире и постоянно дополняется. По этой же причине достаточно наивным было бы описание универсальных надежных методов защиты от DDoS-атак. Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса.

Как предотвратить DDoS-атаку?

Бороться с таким видом атак достаточно сложно ввиду того, что запросы поступают с различных сторон. Как правило, защита включает такие мероприятия, как фильтрация и блэкхолинг, устранение уязвимостей сервера, наращивание ресурсов, рассредоточение (построение распределённых и продублированных систем, которые продолжат обслуживать пользователей), уклонение (увод непосредственной цели атаки от других связанных ресурсов, маскировка IP-адреса).

Своевременное определение DDoS-атаки

Если у вас есть собственные сервера, вам необходимо иметь средства для определения совершаемой на вас атаки. Чем раньше вы определите, что проблемы с доступностью вашего сайта возникли из-за DDoS-атаки, тем раньше вы можете предпринять меры для ее отражения.

Определить DDoS можно с помощью реализации механизма профилей входящего трафика. Если вы знаете среднестатистический объем и динамику изменения трафика на вашем сервере, у вас повышается шанс быстрого определения не характерных изменений. Большинство DDoS атак характеризуются резким увеличением объема принимаемого трафика, и механизм профилей поможет определить, является ли данный скачок атакой или нет.

Действенным способом является подключение дополнительных каналов связи, даже если расчеты пропускной способности показывают, что они вам не нужны. В этом случае вы сможете без последствий преодолеть неожиданные скачки трафика, которые могут быть, например, результатом рекламной кампании, специальных предложений или упоминания вашей компании в СМИ.

Сложности обеспечения защиты от DDoS:

· Врожденные уязвимости сети. Отсутствие уязвимостей сети, которая используется злоумышленниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы — все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.

· Невозможность заблокировать толпу. DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.

· Поиск виновных. Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты «хорошие», а какие «плохие». Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

На что нацелена DDoS-атака

Чтобы эффективно защититься от DDoS-атак, необходимо разграничивать потенциальные опасности. В зависимости от объекта атаки:

· Ресурсоемкие пакеты с поддельными адресами «забивают» каналы связи, что усложняет или блокирует доступ на сайт легитимных пользователей. Широкая пропускная способность каналов связи поможет защититься от атак этого типа.

· Если атаке подвергаются ресурсы системы, то ее производительность снижается, в результате чего система работает медленно или зависает. Атакующим прекрасно известно, какие пакеты данных нужно отправить компьютеру-жертве для загрузки.

· Уязвимости ПО использует разрушающая атака, которая может изменить конфигурацию и параметры системы. Любые несанкционированные изменения должны отслеживаться и устраняться. Свой скрипт защиты от DDoS применятеся в каждом отдельном случае.

Уязвимыми элементами являются сервер, межсетевой экран и канал интернет

· Серверы являются уязвимыми по той простой причине, что злоумышленники часто организуют свои атаки таким образом, чтобы они потребляли больше ресурсов, чем те, которыми обладает сервер.

· Интернет-канал становится уязвимым для атак, которые нацелены на истощение пропускной способности, и называются «объемный флуд». К таким атакам относятся UDP-флуд или TCP-флуд, потребляющие много пропускной способности канала.

· Несмотря на то, что межсетевой экран является инструментом обеспечения безопасности и не должен служить уязвимым местом для DoS/DDoS-атаки, во время проведения таких атак, как SYN-флуд, UDP-флуд и переполнение соединения, злоумышленники могут генерировать многие состояния, что истощают ресурсы межсетевого экрана до тех пор, пока он сам не становится слабым местом инфраструктуры.

Список мер, которые необходимо предпринять, если вы подверглись DDoS-атаке:

· Убедитесь в том, что атака произошла. Исключите общие причины перебоя работы, включая неправильную конфигурацию DNS, проблемы с маршрутизацией и человеческий фактор.

· Обратитесь к техническим специалистам. С помощью технических специалистов определите, какие ресурсы подверглись атаке.

· Установите приоритеты важности приложений. Установите приоритеты важности для того, чтобы сохранить наиболее приоритетные приложения. В условиях интенсивной DDoS-атаки и ограниченных ресурсов необходимо сосредоточиться на приложениях, обеспечивающих основные источники прибыли.

· Защитите удаленных пользователей. Обеспечьте работу вашего бизнеса: занесите в белый список IP-адреса доверенных удаленных пользователей, которым необходим доступ, и сделайте этот список основным. Распространите это список в сети и отправьте его поставщикам услуг доступа.

· Определите класс атаки. C каким типом атаки вы столкнулись: Объемная? Маломощная и медленная? Ваш поставщик услуг сообщит вам, является ли атака исключительно объемной.

· Оцените варианты борьбы с адресами источников атак. В случае сложных атак ваш поставщик услуг не сможет преодолеть/определить количество источников. Заблокируйте небольшие списки атакующих IP-адресов в вашем межсетевом экране. Более крупные атаки можно блокировать на основе данных о геопозиционировании.

· Заблокируйте атаки на уровне приложения. Определите вредоносный трафик и проверьте, создается ли он известным инструментом. Определенные атаки на уровне приложения можно блокировать для каждого конкретного случая с помощью контрмер, которые могут быть предоставлены имеющимися у вас решениями.

· Усильте свой периметр защиты. Возможно, вы столкнулись с ассиметричной атакой DDoS 7 уровня. Сосредоточьтесь на защите на уровне приложений: используйте системы логинов, систему распознавания людей.

· Ограничьте сетевые ресурсы. Если предыдущие меры не помогли, то необходимо ограничить ресурсы – таким образом будет ограничен «плохой» и «хороший» трафик.

· Управляйте связями с общественностью. Если атака стала публичной, подготовьте официальное заявление и проинформируйте персонал. Если отраслевые политики предусматривают это, подтвердите факт атаки. Если нет, то сошлитесь на технические трудности и порекомендуйте персоналу перенаправлять все вопросы руководителю отдела по связям с общественностью.

При составлении материалов служба KZ-CERT использовала информацию из открытых источников.

Бортовой журнал

Полет нормальный. Без происшествий.

Шесть мифов о DDoS и один взгляд изнутри

Все чаще в официальных сообщениях хостинг-провайдеров то тут, то там мелькают упоминания об отраженных DDoS-атаках. Все чаще пользователи, обнаружив недоступность своего сайта, с ходу предполагают именно DDoS. И действительно, в начале марта Рунет пережил целую волну таких атак. При этом эксперты уверяют, что веселье только начинается. Обойти вниманием явление столь актуальное, грозное и интригующее просто не получается. Так что сегодня поговорим о мифах и фактах о DDoS. С точки зрения хостинг-провайдера, разумеется.

Памятный день

20 ноября 2013 года впервые за 8-летнюю историю нашей компании вся техническая площадка оказалась недоступна на несколько часов по причине беспрецедентной DDoS-атаки. Пострадали десятки тысяч наших клиентов по всей России и в СНГ, не говоря уже о нас самих и нашем интернете-провайдере. Последнее, что успел зафиксировать провайдер, прежде чем белый свет померк для всех — что его входные каналы забиты входящим трафиком наглухо. Чтобы представить это наглядно, вообразите себе вашу ванну с обычным сливом, в которую устремился Ниагарский водопад.

Даже вышестоящие в цепочке провайдеры ощутили отголоски этого цунами. Графики ниже наглядно иллюстрируют, что происходило в тот день с интернет-трафиком в Петербурге и в России. Обратите внимание на крутые пики в 15 и 18 часов, как раз в те моменты, когда мы фиксировали атаки. На эти внезапные плюс 500-700 Гб.

Несколько часов ушло на то, чтобы локализовать атаку. Был вычислен сервер, на который она велась. Затем была вычислена и цель интернет-террористов. Знаете, по кому била вся эта вражеская артиллерия? По одному весьма обычному, скромному клиентскому сайту.

Миф номер один: «Объект атаки — всегда хостинг-провайдер. Это происки его конкурентов. Не моих.» На самом деле, наиболее вероятная мишень интернет-террористов — обычный клиентский сайт. То есть сайт одного из ваших соседей по хостингу. А может быть, и ваш.

Не все то DDoS…

После событий на нашей техплощадке 20 ноября 2013 и их частичного повторения 9 января 2014 некоторые пользователи стали предполагать DDoS в любом частном сбое работы собственного сайта: «Это DDoS!» и «У вас опять DDoS?»

Важно помнить, что если нас постигает такой DDoS, что его ощущают даже клиенты, мы сразу сами сообщаем об этом.

Хотим успокоить тех, кто спешит поддаваться панике: если с вашим сайтом что-то не так, то вероятность того, что это именно DDoS, составляет меньше 1%. Просто в силу того, что с сайтом очень много чего может случиться и это «много что» случается гораздо чаще. О методах самостоятельной быстрой диагностики, что именно происходит с вашим сайтом, мы поговорим в одном из следующих постов.

А пока — ради точности словоупотребления — проясним термины.

О терминах

DoS-атака (от английского Denial of Service) это атака, призванная добиться отказа сервера в обслуживании по причине его перегрузки.

DoS-атаки не связаны с вредом для оборудования или хищением информации; их цель сделать так, чтобы сервер перестал отвечать на запросы. Принципиальное отличие DoS в том, что атака происходит с одной машины на другую. Участников ровно два.

Но в действительности мы практически не наблюдаем DoS-атак. Почему? Потому что объектами атак чаще всего выступают промышленные объекты (например, мощные производительные серверы хостинг-компаний). А чтобы причинить сколь-нибудь заметный вред работе такой машины, нужны гораздо бОльшие мощности, чем ее собственные. Это во-первых. А во-вторых, инициатора DoS-атаки достаточно легко вычислить.

DDoS по сути, то же самое, что и DoS, только атака носит распределенный характер. Не пять, не десять, не двадцать, а сотни и тысячи компьютеров обращаются к одному серверу одновременно из разных мест. Такая армия машин называется ботнетом. Вычислить заказчика и организатора практически невозможно.

Соучастники

Что за компьютеры включаются в ботнет?

Вы удивитесь, но зачастую это самые обычные домашние машины. Who knows. вполне возможно, ваш домашний компьютер увлечен на сторону зла.

Нужно для этого немного. Злоумышленник находит уязвимость в популярной операционной системе или приложении и с ее помощью заражает ваш компьютер трояном, который в определенный день и час дает вашему компьютеру команду начать совершать определенные действия. Например, отправлять запросы на определенный IP. Без вашего ведома и участия, конечно.

Миф номер два: « DDoS делается где-то вдалеке от меня, в специальном подземном бункере, где сидят бородатые хакеры с красными глазами.» На самом деле, сами того не ведая, вы, ваши друзья и соседи кто угодно может быть невольным соучастником.

Это действительно происходит. Даже если вы об этом не думаете. Даже если вы страшно далеки от ИТ (особенно если вы далеки от ИТ!).

Занимательное хакерство или механика DDoS

Явление DDoS неоднородно. Это понятие объединяет множество вариантов действий, которые приводят к одному результату (отказу в обслуживании). Рассмотрим варианты неприятностей, которые могут преподнести нам DDoS’еры.

Перерасход вычислительных ресурсов сервера

Делается это путем отправки на определенный IP пакетов, обработка которых требует большого количества ресурсов. Например, для загрузки какой-то страницы требуется выполнить большое число SQL-запросов. Все атакующие будут запрашивать именно эту страницу, что вызовет перегрузку сервера и отказ в обслуживании для обычных, легитимных посетителей сайта.
Это атака уровня школьника, посвятившего пару вечеров чтению журнала «Хакер». Она не является проблемой. Один и тот же запрашиваемый URL вычисляется моментально, после чего обращение к нему блокируется на уровне вебсервера. И это только один из вариантов решения.

Перегрузка каналов связи до сервера (на выход)

Уровень сложности этой атаки примерно такой же, что и у предыдущей. Злоумышленник вычисляет самую тяжелую страницу на сайте, и подконтрольный ему ботнет массово начинает запрашивать именно ее.

Представьте себе, что невидимая нам часть Винни-Пуха бесконечно велика
В этом случае также очень легко понять, чем именно забивается исходящий канал, и запретить обращение к этой странице. Однотипные запросы легко увидеть с помощью специальных утилит, которые позволяют посмотреть на сетевой интерфейс и проанализировать трафик. Затем пишется правило для Firewall, которое блокирует такие запросы. Все это делается регулярно, автоматически и так молниеносно, что большинство пользователей ни о какой атаке даже не подозревает.

Миф номер три: «А таки на мой хостинг просходят редко часто, и я их всегда замечаю.» На самом деле, 99,9% атак вы не видите и не ощущаете. Но ежедневная борьба с ними это будничная, рутинная работа хостинговой компании. Такова наша реальность, в которой атака стоит дешево, конкуренция зашкаливает, а разборчивость в методах борьбы за место под солнцем демонстрируют далеко не все.

Перегрузка каналов связи до сервера (на вход)

Это уже задачка для тех, кто читал журнал «Хакер» больше, чем один день.

Фото с сайта радио «Эхо Москвы». Не нашли ничего более наглядного, чтобы представить DDoS c перегрузкой каналов на вход.
Чтобы забить канал входящим трафиком до отказа, нужно иметь ботнет, мощность которого позволяет генерировать нужное количество трафика. Но может быть, есть способ отдать мало трафика, а получить много?

Есть, и не один. Вариантов усиления атаки много, но один из самых популярных прямо сейчас — атака через публичные DNS-серверы. Специалисты называют этот метод усиления DNS-амплификацией (на случай, если кому-то больше по душе экспертные термины). А если проще, то представьте себе лавину: чтобы сорвать ее, достаточно небольшого усилия, а чтобы остановить — нечеловеческие ресурсы.

Мы с вами знаем, что публичный DNS-сервер по запросу сообщает любому желающему данные о любом доменном имени. Например, мы спрашиваем такой сервер: расскажи мне о домене sprinthost.ru. И он, ничтоже сумняшеся, вываливает нам все, что знает.

Запрос к DNS-серверу — очень простая операция. Обратиться к нему почти ничего не стоит, запрос будет микроскопическим. Например, вот таким:

Остается только выбрать доменное имя, информация о котором будет составлять внушительный пакет данных. Так исходные 35 байт легким движением руки превращаются в почти 3700. Налицо усиление более чем в 10 раз.

Но как сделать так, чтобы ответ направлялся на нужный IP? Как подделать IP источника запроса, чтобы DNS-сервер выдавал свои ответы в направлении жертвы, которая никаких данных не запрашивала?

Дело в том, что DNS-серверы работают по протоколу обмена данными UDP, которому вовсе не требуется подтверждения источника запроса. Подделать исходящий IP в этом случае не составляет для досера большого труда. Вот почему такой тип атак сейчас так популярен.

Самое главное: для реализации такой атаки достаточно совсем небольшого ботнета. И нескольких разрозненных публичных DNS, которые не увидят ничего странного в том, что разные пользователи время от времени запрашивают данные в адрес одного хоста. И уже только потом весь этот трафик сольется в один поток и заколотит наглухо одну «трубу».

Чего досер не может знать, так это емкости каналов атакуемого. И если он не рассчитает мощность своей атаки верно и не забьет канал до сервера сразу на 100%, атака может быть достаточно быстро и несложно отбита. С помощью утилит типа TCPdump легко выяснить, что входящий трафик прилетает от DNS, и на уровне Firewall запретить его принимать. Этот вариант — отказ принимать трафик от DNS — сопряжен с определенным неудобством для всех, однако и серверы, и сайты на них при этом будут продолжать успешно работать.

Это лишь один вариант усиления атаки из множества возможных. Есть и масса других типов атак, о них мы сможем поговорить в другой раз. А пока хочется резюмировать, что все вышесказанное справедливо для атаки, чья мощность не превышает ширины канала до сервера.

Если атака мощная

В случае, если мощность атаки превосходит емкость канала до сервера, происходит следующее. Моментально забивается интернет-канал до сервера, затем до площадки хостинга, до ее интернет-провайдера, до вышестоящего провайдера, и так дальше и выше по нарастающей (в перспективе — до самых абсурдных пределов), насколько хватит мощности атаки.

И вот тогда это становится глобальной проблемой для всех. И если вкратце, это то, с чем нам пришлось иметь дело 20 ноября 2013 года. А когда происходят масштабные потрясения, время включать особую магию!

Примерно так выглядит особая магия С помощью этой магии удается вычислить сервер, на который нацелен трафик, и заблокировать его IP на уровне интернет-провайдера. Так, чтобы он перестал принимать по своим каналам связи с внешним миром (аплинкам) какие-либо обращения к этому IP. Любителям терминов: эту процедуру специалисты называют «заблэкхолить», от английского blackhole.

При этом атакованный сервер c 500-1500 аккаунтами остается без своего IP. Для него выделяется новая подсеть IP-адресов, по которым случайным образом равномерно распределяются клиентские аккаунты. Далее специалисты ждут повторения атаки. Она практически всегда повторяется.

А когда она повторяется, на атакуемом IP уже не 500-1000 аккаунтов, а какой-нибудь десяток-другой.

Круг подозреваемых сужается. Эти 10-20 аккаунтов снова разносятся по разным IP-адресам. И снова инженеры в засаде ждут повторения атаки. Снова и снова разносят оставшиеся под подозрением аккаунты по разным IP и так, постепенным приближением, вычисляют объект атаки. Все остальные аккаунты к этому моменту возвращаются к нормальной работе на прежнем IP.

Как понятно, это не моментальная процедура, она требует времени на реализацию.

Миф номер четыре: «Когда происходит масштабная атака, у моего хостера нет плана действий. Он просто ждет, закрыв глаза, когда же бомбардировка закончится, и отвечает на мои письма однотипными отписками». Это не так: в случае атаки хостинг-провайдер действует по плану, чтобы как можно скорее локализовать ее и устранить последствия. А однотипные письма позволяют донести суть происходящего и при этом экономят ресурсы, необходимые для максимально быстрой отработки внештатной ситуации .

Есть ли свет в конце тоннеля?

Сейчас мы видим, что DDoS-активность постоянно возрастает. Заказать атаку стало очень доступно и безобразно недорого. Дабы избежать обвинений в пропаганде, пруфлинков не будет. Но поверьте нам на слово, это так.

Миф номер пять: «DDoS-атака — очень дорогое мероприятие, и позволить себе заказать такую могут только воротилы бизнеса. В крайнем случае, это происки секретных служб!» На самом деле, подобные мероприятия стали крайне доступны.

Поэтому ожидать, что вредоносная активность сойдет на нет сама собой, не приходится. Скорее, она будет только усиливаться. Остается только ковать и точить оружие. Чем мы и занимаемся, совершенствуя сетевую инфраструктуру.

Правовая сторона вопроса

Это совсем непопулярный аспект обсуждения DDoS-атак, так как мы редко слышим о случаях поимки и наказания зачинщиков. Однако следует помнить: DDoS-атака — это уголовно наказуемое преступление. В большинстве стран мира, и в том числе в РФ.

Миф номер шесть: «Теперь я знаю про DDoS достаточно, закажу-ка праздник для конкурента и ничего мне за это не будет!» Не исключено, что будет. И если будет, то мало не покажется.

Кейс для интересующихся по ссылкам:

  • Завязка истории с DDoS платежной системы Assist
  • Волнующая развязка

В общем, заниматься порочной практикой DDoS никому не советуем, чтобы не навлечь гнев правосудия и не погнуть себе карму. А мы в силу специфики деятельности и живого исследовательского интереса продолжаем изучать проблему, стоять на страже и совершенствовать оборонительные сооружения.

PS: у нас не находится достаточно теплых слов, чтобы выразить всю нашу признательность, поэтому мы просто говорим «Спасибо!» нашим терпеливым клиентам, которые горячо поддержали нас в трудный день 20 ноября 2013 года. Вы сказали много ободряющих слов в нашу поддержку в Твиттере, Вконтакте, в Фейсбуке, по телефону, в чате и по почте. В разгар сражения эта поддержка была невероятно важна для нас. Спасибо вам за ваше доверие и терпение, и за то, что вы с нами!

DDoS-атака: что такое, как работает и можно ли защититься

Распределенные атаки типа «отказ в обслуживании» или сокращенно DDoS, стали распространенным явлением и серьезной головной болью для владельцев интернет-ресурсов по всему миру. Именно поэтому, защита от DDoS-атак на сайт является сегодня не дополнительной опцией, а обязательным условием для тех, кто хочет избежать простоя, огромных убытков и испорченной репутации.

Рассказываем подробнее, что это за недуг и как от него защититься.

Что такое DDoS

Distributed Denial of Service или «Распределенный отказ от обслуживания» — нападение на информационную систему для того, чтобы та не имела возможности обрабатывать пользовательские запросы. Простыми словами, DDoS заключается в подавлении веб-ресурса или сервера трафиком из огромного количества источников, что делает его недоступным. Часто такое нападение проводится, чтобы спровоцировать перебои в работе сетевых ресурсов в крупной фирме или государственной организации

DDoS-атака похожа на другую распространённую веб-угрозу — «Отказ в обслуживании» (Denial of Service, DoS). Единственное различие в том, что обычное распределенное нападение идет из одной точки, а DDos-атака более масштабна и идет из разных источников.

Основная цель DDoS-атаки — сделать веб-площадку недоступной для посетителей, заблокировав её работу. Но бывают случаи, когда подобные нападения производятся для того, чтобы отвлечь внимание от других вредных воздействий. DDoS-атака может, например, проводиться при взломе системы безопасности с целью завладеть базой данных организации.

DDoS-атаки появились в поле общественного внимания в 1999 году, когда произошла серия нападений на сайты крупных компаний (Yahoo, eBay, Amazon, CNN). С тех пор, этот вид кибер-преступности развился в угрозу глобального масштаба. По данным специалистов, за последние годы их частота возросла в 2,5 раза, а предельная мощность стала превышать 1 Тбит/сек. Жертвой DDoS-атаки хотя бы раз становилась каждая шестая российская компания. К 2020 году их общее число достигнет 17 миллионов.

Виртуальный хостинг от Eternalhost — хостинг-площадка с круглосуточной защитой от самых изощрённых DDoS-атак.

Причины DDoS-атак

  1. Личная неприязнь. Она нередко подталкивает злоумышленников на то, чтобы атаковать корпорации или правительственные компании. Например, в 1999 году было совершено нападение на веб-узлы ФБР, вследствие чего они вышли из строя на несколько недель. Случилось это из-за того, что ФБР начало масштабный рейд на хакеров.
  2. Политический протест. Обычно такие атаки проводят хактивисты — IT-специалисты с радикальными взглядами на гражданский протест. Известный пример — серия кибер-атак на эстонские государственные учреждения в 2007 году. Их вероятной причиной послужила возможность сноса Памятника Воину-освободителю в Таллине.
  3. Развлечение. Сегодня все большее количество людей увлекаются DDoS и желают попробовать свои силы. Новички-хакеры нередко устраивают нападения, чтобы развлечься.
  4. Вымогательство и шантаж. Перед тем, как запускать атаку, хакер связывается с владельцем ресурса и требует выкуп.
  5. Конкуренция. DDoS-атаки могут быть заказаны от недобросовестной компании с целью повлиять на своих конкурентов.

Кто потенциальные жертвы

DDoS могут разрушить сайты любого масштаба, начиная от обычных блогов и заканчивая крупнейшими корпорациями, банками и другими финансовыми учреждениями.

Согласно исследованиям, проведенным «Лабораторией Касперского», нападение может стоить фирме до 1,6 млн долларов. Это серьезный урон, ведь атакованный веб-ресурс на какое-то время не может обслуживании, из-за чего происходит простой.

Чаще всего от DDoS-атак страдают сайты и сервера:

  • крупных компаний и государственных учреждений;
  • финансовых учреждений (банков, управляющих компаний);
  • купонных сервисов;
  • медицинских учреждений;
  • платежных систем;
  • СМИ и информационных агрегаторов;
  • интернет-магазинов и предприятий электронной коммерции;
  • онлайн-игр и игровых сервисов;
  • бирж криптовалюты.

Не так давно к печальному списку частых жертв DDoS-атак добавилось и подключённое к интернету оборудование, получившее общее название «интернет вещей» (Internet of Things, IoT). Самую большую динамику роста на этом направлении показывают кибер-нападения с целью нарушить работу онлайн-касс больших магазинов или торговых центров.

Механизм работы

Все веб-серверы имеют свои ограничения по числу запросов, которые они могут обрабатывать одновременно. Кроме этого, предусмотрен предел для пропускной способности канала, соединяющего Сеть и сервер. Чтобы обойти эти ограничения, ззлоумышленники создают компьютерную сеть с вредоносным программным обеспечением, называемую «ботнет» или «зомби-сеть».

Для создания ботнета кибер-преступники распространяют троян через e-mail рассылки, социальные сети или сайты. Компьютеры, входящие в ботнет не имеют физической связи между собой. Их объединяет только «служение» целям хозяина-хакера.

В ходе DDoS-атаки хакер отправляет команды «зараженным» компьютерам-зомби, а те начинают наступление. Ботнеты генерируют огромный объем трафика, способный перегрузить любую систему. Основными «объектами» для DDoS обычно становится пропускной канал сервера, DNS-сервер, а также само интернет-соединение.

Признаки DDoS-атаки

Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещённого там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать ещё в самом её начале.

  • Серверное ПО и ОС начинают часто и явно сбоить — зависать, некорректно завершать работу и т. д.
  • Резко возросшая нагрузка нааппаратные мощности сервера, резко отличающаяся от среднедневных показателей.
  • Стремительное увеличение входящеготрафика в одном или ряде портов.
  • Многократно дублированные однотипные действия клиентов на одном ресурсе (переход на сайт, закачка файла).
  • При анализе логов (журналов действий пользователей) сервера, брандмауэра или сетевых устройств выявлено много запросов одного типа из разных источников к одному порту или сервису. Следует особо насторожиться, если аудитория запросов резко отличается от целевой для сайта или сервиса.


Классификация типов DDoS-атак

Протокольное наступление (транспортный уровень)

DDoS-атака направлена на сетевой уровень сервера или веб-ресурса, поэтому её часто называют атакой сетевого уровня или транспортного уровня. Её цель— привести к перегрузке табличного пространства на межсетевом экране со встроенным журналом безопасности (брандмауэре), в центральной сети или в системе, балансирующей нагрузку.

Самый распространённый метод DDoS на транспортном уровне — сетевой флуд, создание огромного потока запросов-пустышек на разных уровнях, с которыми физически не может справится принимающий узел.

Обычно сетевая служба применяет правило FIFO, согласно которому компьютер не переходит к обслуживанию второго запроса, пока не обработает первый. Но при атаке количество запросов настолько возрастает, что устройству недостает ресурсов для того, чтобы завершить работу с первым запросом. В итоге, флуд максимально насыщает полосу пропускания и наглухо забивает все каналы связи.

Мастер Йода рекомендует:  Motherboard Microsoft отдаёт на ревью подрядчикам записи разговоров из Skype

Распространённые виды сетевого флуда

  • HTTP-флуд — на атакуемый сервер отправляется масса обычных или шифрованных HTTP-сообщений, забивающих узлы связи.
  • ICMP-флуд — ботнет злоумышленника перегружает хост-машину жертвы служебными запросами, на которые она обязана давать эхо-ответы. Частный пример такого типа атак — Ping-флуд или Smurf-атака, когда каналы связи заполняются ping-запросами, использующимися для проверки доступности сетевого узла. Именно из-за угрозы ICMP-флуда системные администраторы зачастую целиком блокируют возможность делать ICMP-запросы с помощью фаервола.
  • SYN-флуд — атака воздействует на один из базовых механизмов действия протокола TCP, известного как принцип «тройного рукопожатия» (алгоритм «запрос-ответ»: SYN пакет – SYN-ACK пакет – ACK пакет). Жертву заваливают валом фальшивых SYN-запросов без ответа. Канал пользователя забивается очередью TCP-подключений от исходящих соединений, ожидающих ответного ACK пакета.
  • UDP-флуд — случайные порты хост-машины жертвы заваливаются пакетами по протоколу UDP, ответы на которые перегружает сетевые ресурсы. Разновидность UDP-флуда, направленная на DNS-сервер, называется DNS-флуд.
  • MAC-флуд — целью являются сетевое оборудование, порты которого забиваются потоками «пустых» пакетов с разными MAC-адресами. Для защиты от подобного вида DdoS-атак на сетевых коммутаторах настраивают проверку валидности и фильтрацию MAC-адресов.

Атаки прикладного уровня (уровень инфраструктуры)

Эта разновидность используется, когда необходимо захватить или вывести из строя аппаратные ресурсы. Целью «рейдеров» может быть, как физическая, так и оперативная память или процессорное время.

Перегружать пропускной канал не обязательно. Достаточно только привести процессор жертвы к перегрузке или, другими словами, занять весь объем процессного времени.

Виды DDoS-атак прикладного уровня

  • Отправка «тяжелых»пакетов, поступающие непосредственно к процессору. Устройство не может осилить сложные вычисления и начинает давать сбой, тем самым отключая посетителям доступ к сайту.
  • С помощью скрипта сервер наполняется «мусорным» содержимым — лог-файлами, «пользовательскими комментариями» и т.д. Если системный администратор не установил лимит на сервере, то хакер может создать огромные пакеты файлов, которые приведут к заполнению всего жесткого диска.
  • Проблемы с системой квотирования. Некоторые серверы используют для связи с внешними программами CGI-интерфейс (Common Gateway Interface, «общий интерфейс шлюза»). При получении доступа к CGI злоумышленник может написать свой скрипт, который станет использовать часть ресурсов, например — процессорное время, в его интересах.
  • Неполная проверка данных посетителя. Это также приводит к продолжительному или даже бесконечному использованию ресурсов процессора вплоть до их истощения.
  • Атака второго рода. Оно вызывает ложное срабатывание сигнала в системе защиты, что может автоматически закрыть ресурс от внешнего мира.

Атаки на уровне приложений

DDoS-атака уровня приложений использует упущения при создании программного кода, которая создаёт уязвимость ПО для внешнего воздействия. К данному виду можно отнести такую распространённую атаку, как «Пинг смерти» (Ping of death) — массовая отправка компьютеру жертвы ICMP-пакетов большей длины, вызывающих переполнение буфера.

Но профессиональные хакеры редко прибегают к такому простейшему методу, как перегрузка пропускных каналов. Для атаки сложных систем крупных компаний, они стараются полностью разобраться в системной структуре сервера и написать эксплойт — программу, цепочку команд или часть программного кода, учитывающие уязвимость ПО жертвы и применяющиеся для наступления на компьютер.

DNS-атаки

  1. Первая группа направлена на уязвимости вПО DNS-серверов. К ним относятся такие распространённые виды кибер-преступлений, как Zero–day attack («Атака нулевого дня») и Fast Flux DNS («Быстрый поток»).
    Один из самых распространённых типов DNS-атак называется DNS–Spoofing («DNS-спуфинг»). В ходе неё злоумышленники заменяют IP-адрес в кеше сервера, перенаправляя пользователя на подставную страничку. При переходе преступник получает доступ к персональным данным юзера и может использовать их в своих интересах. Например, в 2009 году из-за подмены DNS-записи пользователи не могли зайти в Twitter в течение часа. Такое нападение имело политический характер. Злоумышленники установили на главной странице социальной сети предостережения хакеров из Ирана, связанные с американской агрессией
  2. Вторая группа — это DdoS-атаки, которые приводят к неработоспособности DNS-серверов. В случае их выхода из строя пользователь не сможет зайти на нужную страницу, так как браузер не найдет IP-адрес, присущий конкретному сайту.

Предотвращение и защита от DDoS-атак

Согласно данным Corero Network Security, более ⅔ всех компаний в мире ежемесячно подвергаются атакам «отказа в доступе». Причём их число доходит до 50.

Владельцам сайтов, не предусмотревших защиту сервера от DDoS-атак, могут не только понести огромные убытками, но и снижением доверия клиентов, а также конкурентоспособности на рынке.

Самый эффективный способ защиты от DDoS-атак — фильтры, устанавливаемые провайдером на интернет-каналы с большой пропускной способностью. Они проводят последовательный анализ всего трафика и выявляют подозрительную сетевую активность или ошибки. Фильтры могут устанавливаться, как на уровне маршрутизаторов, так и с помощью специальных аппаратных устройств.

Способы защиты

  1. Еще на этапе написания программного обеспечения необходимо задуматься о безопасности сайта. Тщательно проверяйте ПО на наличие ошибок и уязвимостей.
  2. Регулярно обновляйте ПО, а также предусмотрите возможность вернуться к старой версии при возникновении проблем.
  3. Следите за ограничением доступа. Службы, связанные с администрированием, должны полностью закрываться от стороннего доступа. Защищайте администраторский аккаунт сложными паролями и почаще их меняйте. Своевременно удаляйте аккаунты сотрудников, которые уволились.
  4. Доступ к интерфейсу администратора должен проводиться исключительно из внутренней сети или посредством VPN.
  5. Сканируйте систему на наличие уязвимостей. Наиболее опасные варианты уязвимостей регулярно публикует авторитетный рейтинг OWASP Top 10.
  6. Применяйте брандмауэр для приложений — WAF (Web Application Firewall). Он просматривает переданный трафик и следит за легитимностью запросов.
  7. ИспользуйтеCDN (Content Delivery Network). Это сеть по доставке контента, функционирующая с помощью распределенной сети. Трафик сортируется по нескольким серверам, что снижает задержку при доступе посетителей.
  8. Контролируйте входящий трафик с помощью списков контроля доступа (ACL), где будут указан список лиц, имеющих доступ к объекту (программе, процессу или файлу), а также их роли.
  9. Можно блокировать трафик, которых исходит от атакующих устройств. Делается это двумя методами: применение межсетевых экранов или списков ACL. В первом случае блокируется конкретный поток, но при этом экраны не могут отделить «положительный» трафик от «отрицательного». А во втором — фильтруются второстепенные протоколы. Поэтому он не принесет пользы, если хакер применяет первостепенные запросы.
  10. Чтобы защититься от DNS-спуфинга, нужно периодически очищать кеш DNS.
  11. Использовать защиту от спам-ботов — капча (captcha), «человечные» временные рамки на заполнение форм, reCaptcha (галочка «Я не робот») и т. д.
  12. Обратная атака. Весь вредоносный трафик перенаправляется на злоумышленника. Он поможет не только отразить нападение, но и разрушить сервер атакующего.
  13. Размещение ресурсов на нескольких независимых серверах. При выходе одного сервера из строя, оставшиеся обеспечат работоспособность.
  14. Использование проверенных аппаратных средств защиты от DDoS-атак. Например, Impletec iCore или DefensePro.
  15. Выбирать хостинг-провайдера, сотрудничающего с надёжным поставщиком услуг кибербезопасности. Среди критериев надёжности специалисты выделяют: наличие гарантий качества, обеспечение защиты от максимально полного спектра угроз, круглосуточная техподдержка, транспарентность (доступ клиента к статистике и аналитике), а также отсутствие тарификации вредоносного трафика.

Заключение

В этой статье мы рассмотрели, что значит DDoS-атака и как защитить свой сайт от нападений. Важно помнить, что подобные вредоносные действия могут вывести из строя даже самые безопасные и крупнейшие веб-ресурсы. Это повлечет за собой серьезные последствия в виде огромных убытков и потери клиентов. Именно поэтому, обезопасить свой ресурс от DDoS-атак — актуальная задача для всех коммерческих структур и государственных учреждений.

Хотите профессиональный уровень защиты от DDoS-атак — выбирайте VDS от Eternalhost! Постоянный мониторинг и круглосуточная техподдержка.

DDoS–атаки. Причины возникновения, классификация и защита от DDoS-атак

Нужна помощь консультанта?

DoS-атака или атака типа «отказ в обслуживании» направлена на вычислительную систему с целью создать такие условия, при которых пользователи системы не могут получить данные к определенным ресурсам или сервисам.

Одновременная атака с большого числа компьютеров свидетельствует о DDoS-атаке – распределенной атаке типа «отказ в обслуживании». Такие атаки применяются, если необходимо вызвать отказ в обслуживании хорошо защищенной компании или правительственной организации. Такие атаки выполняются с помощью зараженных специальными троянскими программами компьютеров, которые часто называют «компьютерами-зомби».

Причины возникновения DDoS-атак

Конкуренция. На данный момент достаточно популярной является услуга проведения DDoS-атак на заказ. То есть, при возникновении конкуренции какая-нибудь фирма, которой не угоден конкурент, просто обращается к хакеру с задачей парализовать систему, с которой работают конкуренты, или парализовать работу внешних и внутренних ресурсов конкурирующей фирмы. В результате чего организовывается DDoS-атака на определенный срок и с определенной силой.

Мошенничество. Очень часто хакеры самостоятельно организовывают DDoS-атаки с целью получения доступа к компьютеру и блокировки системы. Если у пользователя не установлена защита от DDoS-атак, то хакер может полностью парализовать работу системы, а затем требовать некоторую сумму денег за разблокировку. Зачастую обычные пользователи соглашаются на условия хакеров, объясняя это тем, что простои в работе приводят к получению убытков, которые явно больше, чем сумма, указанная хакером.

Развлечение или забава. В связи с тем, что в последнее время все больше человек интересуются DDoS-атаками, многие начинающие злоумышленники осуществляют такие атаки ради развлечения или просто, чтобы попробовать свои силы.

Классификация DDoS-атак

Насыщение полосы пропускания. В связи с тем, что практически каждый компьютер подключен к сети интернет или к локальной сети, возможен такой тип атаки, как сетевой флуд – атака, которая заключается в отправке большого количества бессмысленных или неправильно сформированных запросов к компьютерной системе или сетевому оборудованию с целью отказа оборудования из-за исчерпания системных ресурсов (процессора, памяти или каналов связи).

Атака на исчерпание системных ресурсов. Атакующие прибегают к данному виду атаки для захвата таких ресурсов как оперативная и физическая память, процессорное время и т.д.

Недостаточная проверка данных пользователя. Недостаточная проверка данных пользователя может приводить к бесконечному или длительному циклу, что приводит к повышенному и продолжительному потреблению процессорных ресурсов либо выделению больших объемов памяти, вплоть до ее исчерпания.

Атаки второго рода. Это атаки, которые приводят к ложным срабатываниям систем защиты, тем самым приводят к недоступности определенных ресурсов.

HTTP-флуд. Атакующий отсылает небольшие http-пакеты, которые заставляют в свою очередь отвечать сервер пакетами, размеры которых значительно больше. Тем самым злоумышленник имеет большой шанс насытить полосу пропускания жертвы и вызвать отказ в работе сервисов. Для того, чтобы ответные пакеты не вызывали отказ в обслуживании у атакующего, он подменяет свой сетевой адрес на адреса узлов в сети.

ICMP-флуд (Smurf-атака). Данный тип атаки является одним из самых опасных. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP-пакет, в котором адрес атакующего меняется на адрес жертвы. Все узлы присылают ответ на данный ping-запрос. Для такого вида атаки обычно используют большую сеть, чтобы у компьютера-жертвы не было никаких шансов. Таким образом, запрос, отправленный через сеть в 1000 компьютеров будет усилен в 1000 раз.

UDP флуд (атака Fraggle). Данный тип атаки является аналогом ICMP флуда, но вместо ICMP пакетов используются UDP пакеты. На седьмой порт жертвы отправляются ECHO-команды по широковещательному запросу. После чего подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая получает множество ответных сообщений, что приводит к насыщению полосы пропускания и отказу в обслуживании жертвы.

SYN-флуд. Данный вид атаки основан на попытке запуска большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать в ответ ACK-пакет на недоступный адрес большинство операционных систем ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Поскольку поток ACK-пакетов очень большой, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение.

Отправка «тяжелых пакетов». Атакующий отсылает пакеты серверу, которые не насыщают полосу пропускания, а тратят все его процессорное время. Соответственно, в системе может пройти сбой и легальные пользователи не смогут получить доступ к необходимым ресурсам.

Переполнение сервера лог-файлами. При неправильной системе ротации лог-файлов и неправильно установленной системе квотирования злоумышленник может отправлять большие по объему пакеты, которые вскоре займут все свободное место на жестком диске сервера.

Ошибки программного кода. Опытные реализаторы DDoS-атак, полностью разобравшись в структуре жертвы, пишут программы-эксплоиты, которые позволяют атаковать сложные системы коммерческих предприятий и организаций. В основном это ошибки в программном коде, которые позволяют выполниться недопустимой инструкции или исключительной ситуации, которая может привести к аварийному завершению службы.

Недостатки в программном коде. Злоумышленники ищут ошибки в программном коде каких-либо программ либо операционных систем и заставляют их обрабатывать исключительные ситуации, которые они обрабатывать не умеют, что приводит к падению ядра или краху всей системы в целом.

Защита от DDoS-атак

Методы противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

1. Предотвращение

Необходимо проводить профилактики причин, которые приводят к необходимости тем или иным лицам предпринимать DDoS-атаки. Личная неприязнь, конкуренция, религиозные или иные разногласия, а также многие другие факторы могут стать причиной такой атаки. Если вовремя устранить причины таких атак и сделать соответствующие выводы, то в дальнейшем удастся избежать повторения ситуации. Данный метод нацелен на защиту от практически любых DDoS-атак, так как является управленческим, а не техническим решением.

2. Ответные меры

Необходимо проводить активные меры по воздействию на источники или организатора атак, используя как технические, так и организационно-правовые методы. Некоторые фирмы предоставляют сервис поиска организатора атак, который позволяет вычислить не только человека, проводящего атаку, но и заказчика данной атаки.

3. Специализированное программное и аппаратное обеспечение

Сейчас многие производители программного и аппаратного обеспечения предлагают готовые решения для защиты от DDoS-атак. Такое программное и аппаратное обеспечение может выглядеть как небольшой сервер, который позволяет защититься от слабых и средних DDoS-атак, нацеленных на малый и средний бизнес, так и целый комплекс, позволяющий защитить от серьезных атак крупные предприятия и госучреждения.

4. Фильтрация

Фильтрация и блокировка трафика, исходящего от атакующих машин позволяет снизить или вовсе загасить атаку. При использовании этого метода входящий трафик фильтруется в соответствии с теми или иными правилами, заданными при установке фильтров.

Можно выделить два способа фильтрации: маршрутизация по спискам ACL и использование межсетевых экранов.

Использование списков ACL позволяет фильтровать второстепенные протоколы, не затрагивая при этом протоколы TCP и не замедляя скорость работы пользователей с ресурсом. Однако, при использовании злоумышленниками первостепенных запросов или ботнета, данный способ фильтрации окажется неэффективным.

Межсетевые экраны являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей.

5. Обратный DDoS

Перенаправление трафика на атакующего при достаточных серверных мощностях позволяет не только успешно преодолеть атаку, но и вывести из строя оборудование атакующего. Данный тип защиты невозможно применить при ошибках в программном коде операционных систем, системных служб или веб-приложений.

6. Устранение уязвимостей

Данный тип защиты нацелен на устранение ошибок в тех или иных системах или службах (исправление эксплоитов, установка обновлений на операционную систему и т.п ). Соответственно, такой метод защиты не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.

Не дает абсолютной защиты, но позволяет использовать другие виды защиты от DDoS атак. Имея современное программное и аппаратное обеспечение, вы можете удачно справиться с DDoS-атакой, направленной на конечность системных ресурсов.

8. Построение распределенных систем

Построение распределенных и дублирующих систем позволяет обслуживать пользователей, даже если некоторые узлы становятся недоступны из-за DDoS-атак. Рекомендуется строить распределенные системы, используя не только различное сетевое или серверное оборудование, но и физически разносить сервисы по разным дата-центрам. Также возможна установка дублирующей системы (критических узлов, резервных копий) на территории других государств, что позволит сохранить важную информацию даже при пожаре в датацентре или стихийном бедствии. Распределенные системы позволяют справиться практически с любым типом атак при правильном архитектурном проектировании.

9. Уклонение

Вывод непосредственной цели атаки (ip-адрес или доменное имя) от других ресурсов, которые также могут подвергаться атаки вместе с целью. Иначе говоря, необходимо разделить атакуемые ресурсы и другие рабочие ресурсы, которые расположены на одной площадке. Оптимальным является решение по разделению на внешние и внутренние ресурсы и вывод внешних ресурсов на другое сетевое оборудование, другой датацентр или даже территорию другого государства. Это позволит сохранить внутреннюю ИТ-структуру даже при самой интенсивной DDoS-атаке на внешние ресурсы.

10. Мониторинг

Установка системы мониторинга и оповещения, которая позволит вычислить DDoS-атаку по определенным критериям. Мониторинг напрямую не может защитить атакуемую систему, но позволяет вовремя среагировать и принять соответствующие меры.

11. Приобретение сервиса по защите от DDoS-aтак

Сейчас многие крупные компании предлагают предоставление как постоянного, так и временного сервиса по защите от DDoS-атак. Данный метод позволяет защититься от многих типов DDoS-атак, используя целый комплекс механизмов фильтрации нежелательного трафика к атакующим серверам.

DDoS-атаки и как от них защищаться. Систематизация мирового и российского опыта 23

Автор: Илья Яблонко, CISSP,ведущий инженер отдела систем и методов обеспечения информационной безопасности департамента системной интеграции компании Микротест.

Cтатья опубликована в рамках конкурса «Формула связи».

Введение

Сразу оговорюсь, что когда я писал данный обзор, я прежде всего ориентировался на аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных. В данной статье излагаются основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.

Что такое DDoS?

Наверное, о том, что такое DDoS-атаки, сегодня знает если не каждый «пользователь», то уж во всяком случае – каждый «АйТишник». Но пару слов всё же необходимо сказать.

DDoS-атаки (Distributed Denial of Service – распределённые атаки класса «отказ в обслуживании») – это атаки на вычислительные системы (сетевые ресурсы или каналы связи), имеющие целью сделать их недоступными для легитимных пользователей. DDoS-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов с одного или многих компьютеров, расположенных в сети Интернет. Если тысячи, десятки тысяч или миллионы компьютеров одновременно начнут посылать запросы в адрес определенного сервера (или сетевого сервиса), то либо не выдержит сервер, либо не хватит полосы пропускания канала связи к этому серверу. В обоих случаях, пользователи сети Интернет не смогут получить доступ к атакуемому серверу, или даже ко всем серверам и другим ресурсам, подключенным через заблокированный канал связи.

Некоторые особенности DDoS-атак

Против кого и с какой целью запускаются DDoS-атаки?

DDoS-атаки могут быть запущены против любого ресурса, представленного в сети Интернет. Наибольший ущерб от DDoS-атак получают организации, чей бизнес непосредственно связан с присутствием в Интернет – банки (предоставляющие услуги Интернет-банкинга), интернет-магазины, торговые площадки, аукционы, а также другие виды деятельности, активность и эффективность которых существенно зависит от представительства в Интернет (турфирмы, авиакомпании, производители оборудования и программного обеспечения, и т.д.) DDoS-атаки регулярно запускаются против ресурсов таких гигантов мировой IT-индустрии, как IBM, Cisco Systems, Microsoft и других. Наблюдались массированные DDoS-атаки против eBay.com, Amazon.com, многих известных банков и организаций.

Очень часто DDoS-атаки запускаются против web-представительств политических организаций, институтов или отдельных известных личностей. Многим известно про массированные и длительные DDoS-атаки, которые запускались против web-сайта президента Грузии во время грузино-осетинской войны 2008 года (web-сайт был недоступен в течение нескольких месяцев, начиная с августа 2008 года), против серверов правительства Эстонии (весной 2007 года, во время беспорядков, связанных с переносом Бронзового солдата), про периодические атаки со стороны северокорейского сегмента сети Интернет против американских сайтов.

Основными целями DDoS-атак являются либо извлечение выгоды (прямой или косвенной) путём шантажа и вымогательства, либо преследование политических интересов, нагнетание ситуации, месть.

Каковы механизмы запуска DDoS-атак?

Наиболее популярным и опасным способом запуска DDoS-атак является использование ботнетов (BotNets). Ботнет – это множество компьютеров, на которых установлены специальные программные закладки (боты), в переводе с английского ботнет – это сеть ботов. Боты как правило разрабатываются хакерами индивидуально для каждого ботнета, и имеют основной целью отправку запросов в сторону определенного ресурса в Интернет по команде, получаемой с сервера управления ботнетом – Botnet Command and Control Server. Сервером управления ботнетом управляет хакер, либо лицо, купившее у хакера данный ботнет и возможность запускать DDoS-атаку. Боты распространяются в сети Интернет различными способами, как правило – путем атак на компьютеры, имеющие уязвимые сервисы, и установки на них программных закладок, либо путем обмана пользователей и принуждения их к установке ботов под видом предоставления других услуг или программного обеспечения, выполняющего вполне безобидную или даже полезную функцию. Способов распространения ботов много, новые способы изобретаются регулярно.

Если ботнет достаточно большой – десятки или сотни тысяч компьютеров – то одновременная отправка со всех этих компьютеров даже вполне легитимных запросов в сторону определённого сетевого сервиса (например, web-сервиса на конкретном сайте) приведет к исчерпанию ресурсов либо самого сервиса или сервера, либо к исчерпанию возможностей канала связи. В любом случае, сервис будет недоступен пользователям, и владелец сервиса понесет прямые, косвенные и репутационные убытки. А если каждый из компьютеров отправляет не один запрос, а десятки, сотни или тысячи запросов в секунду, то ударная сила атаки увеличивается многократно, что позволяет вывести из строя даже самые производительные ресурсы или каналы связи.

Некоторые атаки запускаются более «безобидными» способами. Например, флэш-моб пользователей определенных форумов, которые по договоренности запускают в определенное время «пинги» или другие запросы со своих компьютеров в сторону конкретного сервера. Другой пример – размещение ссылки на web-сайт на популярных Интернет-ресурсах, что вызывает наплыв пользователей на целевой сервер. Если «фейковая» ссылка (внешне выглядит как ссылка на один ресурс, а на самом деле ссылается на совершенно другой сервер) ссылается на web-сайт небольшой организации, но размещена на популярных серверах или форумах, такая атака может вызвать нежелательный для данного сайта наплыв посетителей. Атаки последних двух типов редко приводят к прекращению доступности серверов на правильно организованных хостинг-площадках, однако такие примеры были, и даже в России в 2009 году.

Помогут ли традиционные технические средства защиты от DDoS-атак?

Особенностью DDoS-атак является то, что они состоят из множества одновременных запросов, из которых каждый в отдельности вполне «легален», более того – эти запросы посылают компьютеры (зараженные ботами), которые вполне себе могут принадлежать самым обычным реальным или потенциальным пользователям атакуемого сервиса или ресурса. Поэтому правильно идентифицировать и отфильтровать именно те запросы, которые составляют DDoS-атаку, стандартными средствами очень сложно. Стандартные системы класса IDS/IPS (Intrusion Detection / Prevention System – система обнаружения / предотвращения сетевых атак) не найдут в этих запросах «состава преступления», не поймут, что они являются частью атаки, если только они не выполняют качественный анализ аномалий трафика. А если даже и найдут, то отфильтровать ненужные запросы тоже не так просто – стандартные межсетевые экраны и маршрутизаторы фильтруют трафик на основании четко определяемых списков доступа (правил контроля), и не умеют «динамически» подстраиваться под профиль конкретной атаки. Межсетевые экраны могут регулировать потоки трафика, основываясь на таких критериях, как адреса отправителя, используемые сетевые сервисы, порты и протоколы. Но в DDoS-атаке принимают участие обычные пользователи Интернет, которые отправляют запросы по наиболее распространенным протоколам – не будет же оператор связи запрещать всем и всё подряд? Тогда он просто прекратит оказывать услуги связи своим абонентам, и прекратит обеспечивать доступ к обслуживаемым им сетевым ресурсам, чего, собственно, и добивается инициатор атаки.

Многим специалистам, наверное, известно о существовании специальных решений для защиты от DDoS-атак, которые заключаются в обнаружении аномалий в трафике, построении профиля трафика и профиля атаки, и последующем процессе динамической многостадийной фильтрации трафика. И об этих решениях я тоже расскажу в этой статье, но несколько попозже. А сначала будет рассказано о некоторых менее известных, но иногда достаточно эффективных мерах, которые могут приниматься для подавления DDoS-атак существующими средствами сети передачи данных и её администраторов.

Защита от DDoS-атак имеющимися средствами

Существует довольно много механизмов и «хитростей», позволяющих в некоторых частных случаях подавлять DDoS-атаки. Некоторые могут использоваться, только если сеть передачи данных построена на оборудовании какого то конкретного производителя, другие более или менее универсальные.

Начнем с рекомендаций Cisco Systems. Специалисты этой компании рекомендуют обеспечить защиту фундамента сети (Network Foundation Protection), которая включает защиту уровня администрирования сетью (Control Plane), уровня управления сетью (Management Plane), и защиту уровня данных в сети (Data Plane).

Защита уровня администрирования (Management Plane)

Термин «уровень администрирования» охватывает весь трафик, который обеспечивает управление или мониторинг маршрутизаторов и другого сетевого оборудования. Этот трафик направляется в сторону маршрутизатора, или исходит от маршрутизатора. Примерами такого трафика являются Telnet, SSH и http(s) сессии, syslog-сообщения, SNMP-трапы. Общие best practices включают:

— обеспечение максимальной защищенности протоколов управления и мониторинга, использование шифрования и аутентификации:

  • протокол SNMP v3 предусматривает средства защиты, в то время как SNMP v1 практически не предусматривает, а SNMP v2 предусматривает лишь частично—установленные по умолчанию значения Community всегда нужно менять;
  • должны использоваться различные значения для public и private community;
  • протокол telnet передает все данные, в том числе логин и пароль, в открытом виде (если трафик перехватывается, эта информация легко может быть извлечена и использована), вместо него рекомендуется всегда использовать протокол ssh v2;
  • аналогично, вместо http используйте https для доступа к оборудованию;строгий контроль доступа к оборудованию, включая адекватную парольную политику, централизованные аутентификацию, авторизацию и аккаунтинг (модель AAA) и локальной аутентификации с целью резервирования;

— реализацию ролевой модели доступа;

— контроль разрешенных подключений по адресу источника с помощью списков контроля доступа;

— отключение неиспользуемых сервисов, многие из которых включены по-умолчанию (либо их забыли отключить после диагностики или настройки системы);

— мониторинг использования ресурсов оборудования.

На последних двух пунктах стоит остановиться более подробно.
Некоторые сервисы, которые включены по умолчанию или которые забыли выключить после настройки или диагностики оборудования, могут быть использованы злоумышленниками для обхода существующих правил безопасности. Список этих сервисов ниже:

Естественно, перед тем как отключать данные сервисы, нужно тщательно проанализировать отсутствие их необходимости в вашей сети.

Желательно осуществлять мониторинг использования ресурсов оборудования. Это позволит, во первых, вовремя заметить перегруженность отдельных элементов сети и принять меры по предотвращению аварии, и во вторых, обнаружить DDoS-атаки и аномалии, если их обнаружение не предусмотрено специальными средствами. Как минимум, рекомендуется осуществлять мониторинг:

  • загрузки процессора
  • использования памяти
  • загруженности интерфейсов маршрутизаторов.

Мониторинг можно осуществлять «вручную» (периодически отслеживая состояние оборудования), но лучше конечно это делать специальными системами мониторинга сети или мониторинга информационной безопасности (к последним относится Cisco MARS).


Защита уровня управления (Control Plane)

Уровень управления сетью включает весь служебный трафик, который обеспечивает функционирование и связность сети в соответствии с заданной топологией и параметрами. Примерами трафика уровня управления являются: весь трафик, генерируемый или предназначенный для процессора маршрутизации (route processor – RR), в том числе все протоколы маршрутизации, в некоторых случаях – протоколы SSH и SNMP, а также ICMP. Любая атака на функционирование процессора маршрутизации, а особенно – DDoS-атаки, могут повлечь существенные проблемы и перерывы в функционировании сети. Ниже описаны best practices для защиты уровня управления.

Control Plane Policing

Заключается в использовании механизмов QoS (Quality of Service — качество обслуживания) для предоставления более высокого приоритета трафику уровня управления, чем пользовательскому трафику (частью которого являются и атаки). Это позволит обеспечить работу служебных протоколов и процессора маршрутизации, то есть сохранить топологию и связность сети, а также собственно маршрутизацию и коммутацию пакетов.

IP Receive ACL

Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.

  • применяются уже непосредственно на маршрутизирующем оборудовании перед тем, как трафик достигает процессора маршрутизации, обеспечивая «персональную» защиту оборудования;
  • применяются уже после того, как трафик прошел обычные списки контроля доступа – являются последним уровнем защиты на пути к процессору маршрутизации;
  • применяются ко всему трафику (и внутреннему, и внешнему, и транзитному по отношению к сети оператора связи).

Infrastructure ACL

Обычно, доступ к собственным адресам маршрутизирующего оборудования необходим только для хостов собственной сети оператора связи, однако бывают и исключения (например, eBGP, GRE, туннели IPv6 over IPv4, и ICMP). Инфраструктурные списки контроля доступа:

  • обычно устанавливаются на границе сети оператора связи («на входе в сеть»);
  • имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
  • обеспечивают беспрепятственный транзит трафика через границу операторской сети;
  • обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).

Neighbour Authentication

Основная цель аутентификации соседних маршрутизаторов – предотвращение атак, заключающихся в отсылке поддельных сообщений протоколов маршрутизации с целью изменить маршрутизацию в сети. Такие атаки могут привести к несанкционированному проникновению в сеть, несанкционированному использованию сетевых ресурсов, а также к тому, что злоумышленник перехватит трафик с целью анализа и получения необходимой информации.

Рекомендуется всегда, когда это возможно, обеспечивать аутентификацию хостов, с которыми производится обмен служебными данными либо трафиком управления.

Настройка BGP

При работе с протоколом BGP рекомендуется использовать следующие механизмы защиты:

  • фильтрация префиксов BGP (BGP prefix filters) – используется для того, чтобы информация о маршрутах внутренней сети оператора связи не распространялась в Интернет (иногда эта информация может оказаться очень полезной для злоумышленника);
  • ограничение количества префиксов, которые могут быть приняты от другого маршрутизатора (prefix limiting) – используется для защиты от DDoS атак, аномалий и сбоев в сетях пиринг-партнеров;
  • использование параметров BGP Community и фильтрация по ним также могут использоваться для ограничения распространения маршрутной информации;
  • мониторинг BGP и сопоставление данных BGP с наблюдаемым трафиком является одним из механизмов раннего обнаружения DDoS-атак и аномалий;
  • фильтрация по параметру TTL (Time-to-Live) – используется для проверки BGP-партнёров.

Если атака по протоколу BGP запускается не из сети пиринг-партнера, а из более удаленной сети, то параметр TTL у BGP-пакетов будет меньшим, чем 255. Можно сконфигурировать граничные маршрутизаторы оператора связи так, чтобы они отбрасывали все BGP пакеты со значением TTL

Cisco DDoS

Protection Solution

Detection

Идентифицировать и классифицировать атаки на основании характеристик трафика

Diversion / Injection

Перенаправить весь трафик, предназначенный определенной цели; вернуть очищенный трафик обратно в сеть чтобы он достиг цели

Mitigation

Анализ трафика и удаление пакетов DDoS-атаки

Network Foundation Protection

Защита фундамента сети

Н есколько особенностей.
В качестве детекторов могут использоваться два типа устройств:

  • Детекторы производства Cisco Systems – сервисные модули Cisco Traffic Anomaly Detector Services Module, предназначенные для установки в шасси Cisco 6500/7600.
  • Детекторы производства Arbor Networks – устройства Arbor Peakflow SP CP.

Ниже приведена таблица сравнения детекторов Cisco и Arbor.

Параметр

Cisco Traffic Anomaly Detector

Arbor Peakflow SP CP

Получение информации о трафике для анализа

Используется копия трафика, выделяемая на шасси Cisco 6500/7600

Используется Netflow-данные о трафике, получаемые с маршрутизаторов, допускается регулировать выборку (1 : 1, 1 : 1 000, 1 : 10 000 и т.д.)

Используемые принципы выявления

Сигнатурный анализ (misuse detection) и выявление аномалий ( dynamic profiling )

Преимущественно выявление аномалий; сигнатурный анализ используется, но сигнатуры имеют общий характер

сервисные модули в шасси Cisco 6500/7600

отдельные устройства (сервера)

Анализируется трафик до 2 Гбит/с

Практически неограниченна (можно уменьшать частоту выборки)

Установка до 4 модулей Cisco Detector SM в одно шасси (однако модули действуют независимо друг от друга)

Возможность использования нескольких устройств в рамках единой системы анализа, одному из которых присваивается статус Leader

Мониторинг трафика и маршрутизации в сети

Функционал практически отсутствует

Функционал очень развит. Многие операторы связи покупают Arbor Peakflow SP из-за глубокого и проработанного функционала по мониторингу трафика и маршрутизации в сети

Предоставление портала (индивидуального интерфейса для абонента, позволяющего мониторить только относящуюся непосредственно к нему часть сети)

Предусмотрено. Является серьезным преимуществом данного решения, так как оператор связи может продавать индивидуальные сервисы по защите от DDoS своим абонентам.

Совместимые устройства очистки трафика (подавления атак)

Cisco Guard Services Module

Arbor Peakflow SP TMS; Cisco Guard Services Module.

Рекомендуемые сценарии использования

Защита центров обработки данных (Data Centre) при их подключении к Интернет Мониторинг downstream-подключений абонентских сетей к сети оператора связи Обнаружение атак на upstream -подключениях сети оператора связи к сетям вышестоящих провайдеров Мониторинг магистрали оператора связи

Мастер Йода рекомендует:  Выдача Яндекса станет еще информативнее

В последней строке таблицы приведены сценарии использования детекторов от Cisco и от Arbor, которые рекомендовались Cisco Systems. Данные сценарии отражены на приведенной ниже схеме.

В качестве устройства очистки трафика Cisco рекомендует использовать сервисный модуль Cisco Guard, который устанавливается в шасси Cisco 6500/7600 и по команде, получаемой с детектора Cisco Detector либо с Arbor Peakflow SP CP осуществляется динамическое перенаправление, очистка и обратный ввод трафика в сеть. Механизмы перенаправления – это либо BGP апдейты в сторону вышестоящих маршрутизаторов, либо непосредственные управляющие команды в сторону супервизора с использованием проприетарного протокола. При использовании BGP-апдейтов, вышестоящему маршрутизатору указывается новое значение nex-hop для трафика, содержащего атаку – так, что этот трафик попадает на сервер очистки. При этом необходимо позаботиться о том, чтобы эта информация не повлекла организацию петли (чтобы нижестоящий маршрутизатор при вводе на него очищенного трафика не пробовал снова завернуть этот трафик на устройство очистки). Для этого могут использоваться механизмы контроля распространения BGP-апдейтов по параметру community, либо использование GRE-туннелей при вводе очищенного трафика.

Такое положение дел существовало до тех пор, пока Arbor Networks существенно не расширил линейку продуктов Peakflow SP и не стал выходить на рынок с полностью самостоятельным решением по защите от DDoS-атак.

Появление Arbor Peakflow SP TMS

Несколько лет назад, компания Arbor Networks решила развивать свою линейку продуктов по защите от DDoS-атак самостоятельно и вне зависимости от темпов и политики развития данного направления у Cisco. Решения Peakflow SP CP имели принципиальные преимущества перед Cisco Detector, так как они анализировали flow-информацию с возможностью регулирования частоты выборки, а значит не имели ограничений по использованию в сетях операторов связи и на магистральных каналах (в отличие от Cisco Detector, которые анализируют копию трафика). Кроме того, серьезным преимуществом Peakflow SP явилась возможность для операторов продавать абонентам индивидуальный сервис по мониторингу и защите их сегментов сети.

Ввиду этих или других соображений, Arbor существенно расширил линейку продуктов Peakflow SP. Появился целый ряд новых устройств:

Peakflow SP TMS (Threat Management System) – осуществляет подавление DDoS-атак путем многоступенчатой фильтрации на основе данных, полученных от Peakflow SP CP и от лаборатории ASERT, принадлежащей Arbor Networks и осуществляющей мониторинг и анализ DDoS-атак в Интернете;

Peakflow SP BI (Business Intelligence) – устройства, обеспечивающие масштабирование системы, увеличивая число подлежащих мониторингу логических объектов и обеспечивая резервирование собираемых и анализируемых данных;

Peakflow SP PI (Portal Interface) – устройства, обеспечивающие увеличение абонентов, которым предоставляется индивидуальный интерфейс для управления собственной безопасностью;

Peakflow SP FS (Flow Censor) – устройства, обеспечивающие мониторинг абонентских маршрутизаторов, подключений к нижестоящим сетям и центрам обработки данных.

Принципы работы системы Arbor Peakflow SP остались в основном такими же, как и Cisco Clean Pipes, однако Arbor регулярно производит развитие и улучшение своих систем, так что на данный момент функциональность продуктов Arbor по многим параметрам лучше, чем у Cisco, в том числе и по производительности.

На сегодняшний день, максимальная производительность Cisco Guard модет быть достигнута путем создания кластера из 4-х модулей Guard в одной шасси Cisco 6500/7600, при этом полноценная кластеризация этих устройств не реализована. В то же время, верхние модели Arbor Peakflow SP TMS имеют производительность до 10 Гбит/с, и в свою очередь могут кластеризоваться.

После того, как Arbor стал позиционировать себя в качестве самостоятельного игрока на рынке систем обнаружения и подавления DDoS-атак, Cisco стала искать партнера, который бы обеспечил ей так необходимый мониторинг flow-данных о сетевом трафике, но при этом не являлся бы прямым конкурентом. Такой компанией стала Narus, производящая системы мониторинга трафика на базе flow-данных (NarusInsight), и заключившая партнерство с Cisco Systems. Однако серьезного развития и присутствия на рынке это партнерство не получило. Более того, по некоторым сообщениям, Cisco не планирует инвестиции в свои решения Cisco Detector и Cisco Guard, фактически, оставляя данную нишу на откуп компании Arbor Networks.

Некоторые особенности решений Cisco и Arbor

Стоит отметить некоторые особенности решений Cisco и Arbor.

  1. Cisco Guard можно использовать как совместно с детектором, так и самостоятельно. В последнем случае он устанавливается в режим in-line и выполняет функции детектора анализируя трафик, а при необходимости включает фильтры и осуществляет очистку трафика. Минус этого режима заключается в том, что, во первых, добавляется дополнительная точка потенциально отказа, и во-вторых, дополнительная задержка трафика (хотя она и небольшая до тех пор, пока не включается механизм фильтрации). Рекомендуемый для Cisco Guard режим – ожидания команды на перенаправление трафика, содержащего атаку, его фильтрации и ввода обратно в сеть.
  2. Устройства Arbor Peakflow SP TMS также могут работать как в режиме off-ramp, так и в режиме in-line. В первом случае устройство пассивно ожидает команды на перенаправление содержащего атаку трафика с целью его очистки и ввода обратно в сеть. Во втором пропускает через себя весь трафик, вырабатывает на его основе данные в формате Arborflow и передает их на Peakflow SP CP для анализа и обнаружения атак. Arborflow – это формат, похожий на Netflow, но доработанный компанией Arbor для своих систем Peakflow SP. Мониторинг трафика и выявление атак осуществляет Peakflow SP CP на основании получаемых от TMS данных Arborflow. При обнаружении атаки, оператор Peakflow SP CP дает команду на её подавление, после чего TMS включает фильтры и очищает трафик от атаки. В отличие от Cisco, сервер Peakflow SP TMS не может работать самостоятельно, для его работы требуется наличие сервера Peakflow SP CP, который производит анализ трафика.
  3. Сегодня большинство специалистов сходятся во мнении, что задачи защиты локальных участков сети (например, подключение ЦОДов или подключение downstream-сетей) эффек

Как защититься от DDoS-атак

Как предотвратить DDoS-атаку

Главная цель хакеров — это сделать атакуемый ресурс недоступным для пользователя. Для этого на него направляется огромное количество ложных запросов, которые сервер не в состоянии обработать, в результате ресурс «падает». Это можно сравнить с тем, как неподготовленному человеку под видом гантелей на привычные ему 3 кг внезапно дали такие же по виду, но по 9 кг каждая. Разумеется, он не справится. То же происходит с сайтом — и вместо привычной страницы пользователь видит «заглушку» с сообщением об ошибке.

Для генерации зловредного трафика, который по сути и является DDoS-атакой, чаще всего используется большое количество устройств, имеющих доступ к Интернет, зараженных специальным кодом. Эти устройства (ПК, смартфоны, «умные вещи», серверы) объединяются в ботнеты, которые посылают запросы на адрес жертвы. Иногда источником мусорного трафика могут быть соцсети, где размещена ссылка на сайт-жертву. Помимо прочего, в Интернете есть сервисы-стрессеры, с помощью которых любой желающий может устроить ddos-атаку.

Как выглядит DDoS-атака на графике с интерфейса, через который проходит атакующий трафик

Способы разнообразны, но любой ведет к потери легитимного трафика, иными словами — пользователей, поэтому часто используется как инструмент недобросовестной конкурентной борьбы. От DDoS-атаки часто страдают интернет-магазины, онлайн-игры, системы электронных платежей.

Поэтому вопрос, как остановить ddos-атаку, волнует все большее число людей. Если речь идет о сайте, то кажется логичным обратиться за помощью к хостинг-провайдеру, где он размещен. Однако многим хостерам, которые предоставляют недорогие услуги, проще отключить проблемный ресурс, чем решать проблему. Почему?

Оператор связи рассматривает переполнение внешних стыков паразитным трафиком как аварийную ситуацию и угрозу целостности его сети, поэтому и принимается решение о полной блокировке входящего трафика атакуемого ресурса (и чем меньше владелец ресурса платит за хостинг, тем быстрее принимается такое решение).

Что же делать? Решение есть — это как самостоятельная, так и профессиональная защита от DDoS, в том числе — сервисы специализированных компаний. Однако сразу предупредим, что универсальных мер защиты от DDoS-атак не существует, т.к. хакеры постоянно находят новые уязвимости и способы обмануть системы защиты Однако есть простые эффективные приемы, которые должен знать сотрудник, занимающийся администрированием Вашего сайта. Они помогут организовать защиту от DDoS-атак простейших видов.

Скрипты и фаерволы

Допустим, что на условный сайт n.ru идет ддос-атака. По логам (истории) видно, что большое количество GET-запросов идет на главную страницу. В этом случае можно воспользоваться редиректом javascript, например:

После этого легитимные пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

Но тут возникает проблема – боты поисковых систем (Яндекса, Google) не оборудованы js-интерпретаторами и не будут перенаправлены, как и атакующие. Это негативно скажется на позициях сайта в выдаче. Чтобы этого избежать, можно написать небольшой скрипт, который будет считать количество коннектов с определенного IP адреса, и банить его. Определить бота можно, например, проверив его host.

Существует бесплатный скрипт DDoS Deflate — это своего рода сигнализация, которая использует команду «netstat» для обнаружения флуда (одного из видов DDoS), после чего блокирует подозрительные IP-адреса вредителей с помощью межсетевого экрана iptables (либо apf).

Как работает межсетовой экран

Настройки параметров Apache

Чтобы предотвратить DDoS, можно еще изменить настройки параметров Apache:

  1. KeepAliveTimeout – нужно снизить ее значение или полностью выключить эту директиву;
  2. TimeOut – установить как можно меньшее значение для данной директивы (веб-сервера, который подвержен DDoS-атаке).
  3. Директивы LimitRequestBody, LimitRequestFieldSize, LimitRequestFields, LimitRequestLine, LimitXMLRequestBody должны быть настроены на ограничение потребления ресурсов, вызванных запросами клиентов.

Самый радикальный способ остановить DDoS-атаку — это блокировать все запросы из страны, откуда начал идти «мусорный» трафик. Однако это может доставить большие неудобства реальным пользователям из этих стран, т.к. им придется воспользоваться proxy для обхода блокировки.

И тут мы подходим к вопросу, почему вышеперечисленные способы не могут в полной мере обеспечить защиту от DDoS-атак. Дело в том, что бывает очень сложно отличить легитимные запросы от зловредных. Например, нашумевший червь Mirai заставлял видеорегистраторы посылать запросы по протоколу TCP, которые выглядели как легитимные, из-за чего не сразу удалось остановить DDoS-атаку. На сегодняшний день существует более 37 типов DDoS-атак, каждый из которых имеет свои особенности. Кроме того, велика вероятность отсеять вместе с зловредными запросами часть легитимных, т.е. потерять реальных пользователей.

Способы защиты от DDoS-атак

Если Вы хотите максимально обезопасить свой ресурс, то стоит обратить внимание на специализированные сервисы по защите от ddos-атак, которые предоставляют свои услуги удаленно.

Чтобы разобраться самостоятельно, потребуется масса времени, поэтому мы решили написать небольшой гид по современным видам защиты от DDoS-атак.

Условно всё многообразие можно поделить на две большие группы: сервисы, которые подключаются удалённо, и «железные» решения, требующие установки оборудования на стороне клиента.

В первую группу входят следующие виды защиты от распределенных атак:

1. reverse proxy (обратное проксирование). Провайдер защиты выдает ресурсу, который надо защитить, новый IP-адрес — его необходимо внести в А-запись. После изменения А-записи входящий трафик будет идти сначала на очистку в сеть провайдера по новому IP-адресу, а после этого, уже очищенный, поступать на реальный адрес. При этом ресурс может оставаться на прежнем хостинге. Это самая доступная защита от DDoS: подходит сайтам различной посещаемости, подключение и настройка занимает не более 20 минут, требует минимальных знаний от вебмастера.

2. защищенный хостинг (или выделенный сервер). Такую услугу anti ddos предлагают хостеры, серверы которых уже подключены к системе защиты (это могут быть собственные фильтрующие станции либо услуга от компании-партнера). Это не менее популярная и выгодная защита от ddos атак, ее плюсы: один общий счёт за все услуги, все настройки выполняют специалисты хостинг-провайдера, перенос сайта с незащищенного стороннего хостинга осуществляется, зачастую, бесплатно. При создании нового сайта его можно сразу размещать на защищенном от ддос-атаки хостинге или выделенном сервере.

Чем различается обычный хостинг и выделенный сервер? В первом случае сайт размещен на одном сервере со множеством других сайтов, это можно сравнить с общежитием. А при аренде выделенного сервера на нем размещается только один сайт, без соседей. Разумеется, выделенный сервер стоит дороже, зато нет опасности пострадать из-за DDoS-атаки на соседа.

3. защищенный IP-транзит по виртуальному туннелю. Эта услуга подходит для проектов с большими объемами трафика, для защиты от мусорного трафика сразу всей автономной системы. Это дорогостоящая услуга, которой пользуются ЦОДы, хостинг-провайдеры, регистраторы доменных имен, операторы связи, которые не имеют собственных фильтрующих станций.

Довольно часто в интернете провайдеры связи пишут, что предоставляют подключение к CDN для защиты от DDoS. Однако стоит учесть, что CDN — это сеть доставки контента, которая позволяет ускорить передачу данных за счет их кэширования, НО не их очистки! Это разные технологии, которые могут сочетаться, но не заменяют друг друга. Поэтому такие предложения — это либо лукавство, либо техническая неграмотность тех, кто предлагает сервис. CDN — это не защита от DDoS!

Ко второй группе средств защиты от DDoS-атак относятся разнообразные «железные» решения, предполагающие покупку/аренду фильтрующих устройств либо подключение к чужой сети фильтров по физическому кабелю. Это дорогостоящие варианты, которые имеют как достоинства, так и недостатки. Главный плюс собственного фильтрующего устройства — это то, что данные не надо передавать на обработку сторонней организации, а значит, можно не переживать за сохранность информации. Это важный аспект для компаний, чья работа связана с персональными данными и финансами.

Минусы: высокая стоимость, сложность и долгое время монтажа (в случае прокладки кабеля), необходимость иметь в штате специалиста для настройки, невозможность оперативного расширения канала связи.

Чтобы исправить последнее, поставщики оборудования разработали гибридную схему: трафик свыше лимита, который уже не может обработать физический фильтр, передается на очистку в «облако». Однако недавно хакеры нашли уязвимость в этой системе, связанную с тем, что на передачу данных в «облако» требуется определенное время, и разработали алгоритм DDoS-атаки, который выводит гибридную защиту из строя. Такие атаки называют Pulse Wave, прочитать о них можно здесь.

Таим образом, собственные фильтры — это не самая выгодная защита от DDoS-атак, ведь она требует значительных затрат ресурсов и доступна только крупным корпорациям, которые могут себе позволить высококвалифицированных работников для обслуживания такого оборудования. Поэтому многие выбирают поставщика услуг защиты на аутсорсе.Большинство таких компаний имеют собственные или взятые в аренду центры очистки трафика, оборудованные специальными фильтрующими устройствами.

Какой сервис по защите от DDoS лучше выбрать. Это зависит от параметров защищаемого ресурса. Для сайтов чаще всего подходит проксирование или аренда защищенного сервера, для автономной системы или хостинг-провайдера — виртуальный туннель, а операторы связи предпочитают прокладывать физические каналы.

В любом случае, провайдер защиты от DDoS должен иметь хорошие каналы связи для приема большого объема трафика с возможностью «горячего» расширения, т.к. сила кибератак растет чуть ли не в геометрической прогрессии и уже были зафиксированы DDoS-атаки в 1 Tbps. Поэтому при общении с представителями компании обязательно надо узнать про их технические мощности.

Большим плюсом будет, если фильтрующие узлы компании расположены в различных странах, т.к. это позволяет обрабатывать трафик максимально близко к его источнику и свести задержки передачи к минимум. Кроме того, распределение трафика на несколько точек позволяет снизить общую нагрузку на фильтрующую сеть и повышает стабильность ее работы.

Кроме того, если Вы не имеете в штате подкованных опытных айтишников, которые сами всё настроят, то Вам понадобится помощь техподдержки. Большим плюсом будет, если саппорт компании, предоставляющей сервис по защите от DDoS, работает 24/7 и говорит на одном языке с заказчиком.

Разумеется, все эти услуги не бесплатны, однако их подключение — единственный вариант превентивной борьбы с DDoS. Иначе Вам придется бороться уже с последствиями, которые для отдельных сегментов бизнеса могут быть критичны. И в любом случае, стоимость такой защиты от DDoS гораздо ниже, чем покупка и обслуживание собственного фильтрующего оборудования.

Атаки DDoS и методы противодействия

Вряд ли найдется хоть одно предприятие, независимо от его сферы деятельности, где не применяются интернет технологии. Для многих компаний невозможность или трудности работы в сети приводят к катастрофическим последствиям, чем не преминули воспользоваться злоумышленники и конкуренты, проводя целый комплекс атак, приводящих к весьма серьезным неприятностям. Так что же это за атаки и почему они нередко оказываются весьма успешными? Как им противостоять? В качестве примера возьмем интернет-магазин как наиболее простой и понятный вариант. Пусть достигнуты отличные результаты, интернет-магазин имеет успех. Вдруг вы заметили сокращение объема заказов. Стали поступать жалобы от постоянных клиентов, что сайт магазина не отвечает или работает крайне медленно. Эта ситуация начинает повторяться все чаще. Наконец, практически все время к магазину становится невозможно получить доступ. В чем же дело? Вы оказались слишком успешны. Вам объявили кибервойну! Следует иметь в виду, что ни одна из сфер деятельности не осталась без внимания злоумышленников. Атакам подвергаются не только интернет-магазины, но и финансовая сфера, сайты учебных заведений, медицинских учреждений, некоммерческих организаций и многие другие. Надо сказать, что нечестные методы конкурентной борьбы стали гораздо совершеннее, и развитие IT технологий не только предоставило нам новые эффективные инструменты ведения бизнеса, но и создало новое оружие для борьбы с ним. Можно весьма эффективно уничтожать конкурентов, не прибегая к еще недавно столь популярным методам «грубой силы». Теперь на службе у преступников информационные технологии… Здесь речь идет о DDoS атаках, жертвами которых мы и оказались. Давайте начнем с определений.

Что такое DoS и DDoS?

DoS – сокращение от английского Denial of Services или отказ в обслуживании. Атака на вычислительную систему, целью которой создание таких условий, при которых легальные пользователи системы не могут получить доступ к системным ресурсам, либо этот доступ существенно затруднен.

DDoS (Distributed Denial of Service) [1] – подразумевает многочисленные, приходящие с разных точек (распределенные) запросы, приводящие к невозможности работы целевого узла.

Целью DoS/DDoS-атак является блокировка возможности сервиса адекватно и своевременно реагировать на запросы настоящих, легитимных клиентов, вплоть до полной невозможности работы с сервисом.

Причинами атаки могут быть: конкуренция, то есть финансовый вопрос, хактивизм, когда атакующий в большей степени мотивирован идеологическими разногласиями, шпионаж, политические мотивы и другое.

Ошибочным будет предполагать, что перевод в облако собственной информационной системы, или же использование какого-то облачного сервиса, гарантирует безопасность, поскольку далеко не всегда поставщик уделяет должный уровень внимания этим вопросам, полагая что это проблема его клиентов.

Легко ли организовать DDoS-атаку?

Может сложиться впечатление, что организация DDoS-атаки – сложный многоэтапный процесс, требующий построения бот-сети и доступный далеко не каждому. На самом деле это абсолютно не так. К сожалению, DDoS стал методом нечестной конкурентной борьбы, получившим широкое распространение ввиду именно простоты его использования. Нет необходимости строить свою собственную бот-сеть для атаки конкурента. Провести DDoS-атаку вовсе не сложно. Существует огромное число организаций, предлагающих DDoS как услугу, по сути, облачный и недорогой сервис. Наконец, DDoS атака далеко не всегда требует большого объема трафика и большого количества узлов бот-сети. Существуют так называемые атаки малого объема, оказавшие весьма существенное влияние на работу многих крупных организаций.

Тема DDoS чрезвычайно популярна в Интернете. В этом нетрудно убедиться, обратившись с типовыми поисковыми запросами. См. рис. 1

Рисунок 1. Количество ссылок на ресурсы.

Мы увидим гигантское количество ссылок. В сущности, в сети уже давно происходят кибервойны, день ото дня все более заметные даже непосвященным людям. Кстати говоря, DDoS атака вполне может быть организована не только снаружи на внешние сервисы, но и изнутри предприятия на ее инфраструктуру, так что мы вынуждены опасаться и за нее в том числе.

Рисунок 2. Нелегальные сервисы.

Инструменты для самостоятельного проведения атак доступны, и хакерские группы предлагают их совершенно свободно и недорого, более того утилиты для проведения атак обладают удобным, интуитивно понятным графическим интерфейсом. А это, в свою очередь, дает возможность даже непосвященным, начинающим злоумышленникам проводить атаки. См. рис. 2,3.

Рисунок 3. Цены на организацию атак.

Короче говоря, если раньше злоумышленник должен был неплохо разбираться в том, как работают сервисы и протоколы, то теперь все существенно упростилось. Специальные знания больше не нужны достаточно скачать пару утилит, или купить что-то из облака. То есть у нас получается “Attack as a Service”.

Исследования компании Radware за 2020-2020 годы показывают, рост количества DDoS атак на 10% по сравнению с 2014-2015 г. Коммерческая выгода – основание каждой второй атаки. Значительный рост атак, нацеленных на приложения. Наконец, существенную проблему составляет развитие технологий IoT, поскольку в сети появляются гигантское количество незащищенных или недостаточно защищенных устройств, позволяющих здоумышленникам формировать громадные бот-сети и проводить атаки объемом, превышающим 1 Тб/сек. Кроме того, атаки редко содержат один единственный вектор. Это, как правило, несколько векторов, меняющихся с течением времени [2].

Классификация и DDoS-атак

Рассмотрим типовые атаки и их классификацию [3].

  1. Network floods – самый простой для злоумышленника вариант. Не требуется установка TCP сессии с компьютером жертвы. Приводят к исчерпанию ресурсов атакуемой системы или полосы пропускания канала. Примерами таких атак являются ICMP и UDP flood. Атаки, направленные на серверные ресурсы. Обычно этот вариант используется для воздействия на серверы приложений. Примерами являются TCP-SYN, TCP-RST, TCP-ACK.
  2. Атаки на ресурсы приложений. В последние годы встречаются довольно часто, причем надо отметить, что это не только воздействие на HTTP, но и HTTPS, DNS, VOIP, SMTP, FTP и другие прикладные протоколы. Среди этих атак HTTP flood, DNS flood и прочее.
  3. Сканирование. В сущности, само по себе сканирование, на первый взгляд, представляется безвредным, поскольку само по себе не приносит вреда, но на самом деле это «разведка перед боем», позволяющая выяснить информацию, которая поможет в дальнейшем атаковать систему. Так что противостоять ему все равно необходимо.
  4. Медленные атаки малого объема. Так называемые Low and Slow. Этот вариант представляет наибольшую опасность в силу малой заметности и продолжительного времени нарастания зловредного воздействия. Обычно здесь речь идет о воздействии на приложения и иногда на серверные ресурсы.
  5. Сложные атаки на веб-приложения. Эти механизмы используют уязвимости в веб-приложениях, которые с избытком предоставляют разработчики. Именно это приводит к несанкционированному доступу к системе, потерям и несанкционированным изменениям данных.
  6. Атаки под SSL – подразумевается, что злоумышленник может маскировать свои деструктивные действия внутри SSL трафика, что значительно усложняет противодействие. Протокол SSL работает поверх TCP/IP, обеспечивая безопасность обмена информацией для пользователей. Какие же здесь есть возможности для злоумышленников? Можно говорить об атаках на сам процесс установки SSL взаимодействия (SSL handshake), отправка «мусорных» пакетов серверу или злоупотребление функциями согласования ключевой информации и т. д.

Некоторые примеры DDoS атак

Примеры сетевых атак.

Как работает ICMP flood

Принцип работы ICMP flood [3] выглядит не слишком сложно. На узел жертвы отправляется эхо запрос, который требуется обработать и отправить эхо ответ, при этом потребуется задействовать большие ресурсы по сравнению с обычным пакетом, хотя сам запрос по объему небольшой. В результате, при относительно небольшом трафике, можно добиться перегрузки по количеству пакетов. Атакуемый узел начинает работать нестабильно, терять пакеты. Усиление атаки достигается использованием бот-сети, когда запросы приходят с тысяч узлов. Кроме этого, можно отправить запрос по широковещательному адресу с поддельным адресом-источника пакета, так называемые Smurf-атаки. Отправка эхо-запроса ICMP на широковещательный адрес заставляет все узлы в этой сети отправить эхо-ответы на подмененный адрес, который и является адресом жертвы, то есть происходит усиление атаки. См. рис. 4.


Рисунок 4. ICMP flood.

Как можно было заметить, здесь не используются уязвимости системы, а мы имеем дело со стандартными принципами работы стека TCP/IP. Стало быть, подобным атакам может быть подвергнута абсолютно любая среда. Кроме того, существуют методы, позволяющих значительно усилить атаку, например, подмена адреса источника пакета на адрес атакуемой системы – ICMP усиление (Smurf).

Примеры атак на серверы. Как работает TCP-SYN flood.

В этих атаках используется другая особенность стека протоколов TCP/IP – потребность установки TCP сессии. В отличие от UDP, где это не требуется, при TCP взаимодействии необходимо, чтобы отправитель «договорился» с получателем перед тем, как что-то будет отправлено. Для этого используется механизм three-way handshake – трехэтапного подтверждения [4, 5]. Принцип его работы выглядит следующим образом:

Клиент посылает пакет SYN (Synchronize). Сервер отвечает пакетом SYN-ACK (Synchronize-Acknowledge). Клиент подтверждает прием пакета SYN-ACK пакетом ACK (Acknowledge). На этом процедура установления соединения завершается. См. рис. 5.

Это и использует злоумышленник. Установим фальшивый IP-адрес отправителя, и пошлем серверу большое количество SYN пакетов. Получая пакет SYN, сервер должен выделить часть своих ресурсов для установления нового соединения. А раз так, то в конце концов все ресурсы сервера будут исчерпаны, что приведет к невозможности обслуживания новых запросов.

Рисунок 5. TCP-SYN

Примеры атак на приложения

Как работает HTTP flood

Наиболее распространенной DDoS атакой, нацеленной на приложения, является HTTP flood [6]. Обычно для ее осуществления используется бот сеть, впрочем, в состав атакующих вполне могут входить и добровольцы, например, когда речь идет о целенаправленной хактивистской деятельности. Существует варианты GET и POST. В сущности, обе эти альтернативы направлены на исчерпание ресурсов веб приложения.

Как же осуществляется эта атака? Злоумышленник отправляет небольшой по объему HTTP-пакет, в ответ на который сервер должен прислать куда больше информации, например, GET. Конечно, канал сервера во много раз шире канала, который использует атакующий, но ведь и отдавать информации приходится намного больше, кроме того не составит труда подменить адрес источника на другой. Следовательно, ответные пакеты не вызовут отказа в обслуживании атакующего узла. И разумеется, таких узлов может быть огромное количество. И опять легитимный пользователь не может обратиться к требуемому ресурсу [2], [6]. См. рис 6.

Рисунок 6. HTTP-flood

DDoS атаки не всегда подразумевают большой объем трафика и бот-сети из сотен узлов. Вполне достаточно даже одного компьютера, чтобы остановить работу сервиса.

Может сложиться впечатление, что когда речь идет о DoS/DDoS, то это обязательно большой объем сетевого трафика, громадные сети зомби компьютеров, задействованных в атаке (бот-сеть), воздействие на сетевом или транспортном уровне модели OSI [7], а вместе с тем далеко не всегда это происходит именно таким образом. Аналогией такого воздействия можно считать фронтальные атаки большим количеством сил и средств.

Существует целый класс атак, направленных на приложения, то есть работающих на прикладном уровне модели OSI, не требующих избыточных ресурсов от злоумышленника, то есть используется минимум ресурсов. Бывает вполне достаточно и одного компьютера, используются стандартные принципы работы прикладных протоколов. При этом их негативное воздействие оказывается весьма значительным, вплоть до полной остановки работы сервисов.

Получается злоумышленник может вывести из строя сервис, при этом не создавая «лишнего шума», применив «военную хитрость». Это похоже на действия диверсантов в тылу противника. Не требуются «большие батальоны», и тяжелое вооружение. Небольшая группа вполне справляется с заданием. Противостоять таким атакам крайне сложно.

Что же это за атаки? Речь идет о медленных атаках небольшого объема (slow and low) [8]. Рассмотрим пару примеров. Перечень таких атак несомненно шире, но для понимания базовых принципов их работы этого будет достаточно.

Примеры медленных атак малого объема

Атака R.U.D.Y.

Принцип этой атаки базируется на стандартном поведении протокола HTTP при обработке Post запросов [9].

Пусть у нас есть веб сайт, на котором находится форма ввода данных, которую необходимо заполнить пользователю, например, это характерно для интернет-магазинов, банков, систем бронирования билетов, любого сайта, на котором требуется аутентификация и т. д. Когда легитимный пользователь заполняет веб-форму на сайт отправляется всего несколько пакетов и сессия с веб-сервером закрывается, ресурсы освобождаются. Сервер готов обслуживать запросы других пользователей. Злоумышленник, использующий специальный инструмент RUDY [6], действует иначе. Отправляемые на веб-сервер данные разбиваются на множество пакетов, каждый из которых содержит лишь один байт данных. Запросы на сервер отправляются со случайным интервалом, что не дает возможность серверу закрыть сессию, ведь передача данных еще не завершена. См. рис. 7. Несколько тысяч таких запросов в течение нескольких минут приводят к тому, что сервер не может отвечать на запросы легитимных клиентов. Не требуется большой объем трафика или значительное количество пакетов, чтобы вывести ресурс из строя. Все запросы абсолютно легитимны, здесь имитируется поведение системы с медленным каналом связи. Цель атакующего достигнута – работать с сайтом невозможно. Подобная уязвимость характерна практически для любого сайта.

Slowloris

Атака Slowloris [3], [10], также, как и предыдущая, базируется на стандартном поведении протокола HTTP при обработке запросов. Для закрытия HTTP сессии необходимо прислать соответствующую последовательность. Собственно говоря, так и поступает легитимный пользователь. Правильный запрос на получение данных с веб-сервера (Get Request) обычно состоит из одного пакета и завершается специальной последовательностью в конце для разрыва сессии.

Рисунок 8. SlowLoris

Суть атаки заключается в следующем: используя специальный инструмент (SlowLoris), злоумышленник генерирует множественные подключения к целевому веб-серверу, при этом соединения не закрываются, поскольку в запросе будет отсутствовать соответствующая последовательность символов. См. рис. 2. В результате, ресурсы сервера будут исчерпаны, и легитимные пользователи не смогут подключиться, тем самым, цель атакующего достигнута – работать с сайтом невозможно. Мы опять видим, что не требуется большой объем трафика или значительное количество пакетов, чтобы вывести ресурс из строя. Все запросы абсолютно легитимны, именно поэтому стандартным средствам борьбы с DDoS крайне сложно идентифицировать такую атаку и противостоять ей.

Подведем итоги…

Мы рассмотрели некоторые примеры атак и увидели, что, с одной стороны базируются на штатных принципах работы протоколов прикладного уровня, а с другой не требуют значительных ресурсов от злоумышленника, при этом инструментарий для выполнения широко доступен. Таким образом, осуществить такие атаки чрезвычайно просто практически при нулевых инвестициях. Именно поэтому они находят все большее распространение. Следовательно, службы ИБ организации должны внимательно отнестись к этой угрозе и обеспечить эффективное противодействие.

Теперь настал момент определить каким образом можно защититься от DDoS и рассмотреть подходы к выбору системы противодействия. В первую очередь, надо понимать, что само по себе отражение атаки не так уж и важно. В конце концов, отключив от сети атакуемый ресурс, мы полностью ее отразим. Будет ли такой способ эффективным? С точки зрения отражения – да. Ведь атаковать больше некого. А вот с точки зрения пользователей… Конечно нет, поскольку подключиться и работать они больше не смогут. То есть получается, что негативного воздействия уже нет, однако цель злоумышленника достигнута. Нередко такой способ борьбы с DDoS используют поставщики услуг хостинга. Для них важней доступность канала связи, и, если на кого-то из их клиентов осуществляется атака, то проще отключить одного, чтобы дать работать остальным.

Таким образом, ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов, независимо от того осуществляется атака или нет.

Другой важной характеристикой выбора средств противодействия DDoS атакам является их SLA [11]. Если посмотреть на контракты, которые предлагают ряд поставщиков облачных решений по защите от DDoS, нетрудно заметить, что время первой реакции на запрос от клиента может составлять более получаса. Получается, что заказчик сам каким-то образом должен определить, что он находится под атакой, сообщить об этом своему провайдеру услуг, после этого пройдет минимум 30 минут, прежде чем последует какая-то реакция. Напомню, что злоумышленнику не понадобится много времени, чтобы изменить вектор (тип) атаки, у него на это уйдет пару минут. В то время как, используя только «ручной» или полуавтоматический способ отражения, потребуется существенно больше времени, чтобы проанализировать трафик и написать сигнатуру для блокировки зловредного трафика или выполнить какие-то иные действия по обороне. За это время атака может быть изменена многократно, и получается, что происходит подготовка к уже прошедшей войне. Система отражения должна срабатывать даже не за минуты, а за секунды. Только в этом случае можно говорить о ее эффективности.

Как мы уже имели возможность увидеть важно обеспечить возможность беспроблемной работы «правильных» пользователей, то есть надо отбросить зловредный трафик, пропустив легитимный.

Идентификация «неправильных» пакетов является самой важной задачей, но вот как отличить «правильный» от «неправильного». Просто резкий рост объёма трафика и количества пакетов далеко не всегда является следствием DDoS. Причиной может является маркетинговая политика компании, благодаря которой на сайт были привлечены множество новых клиентов. Следовательно, рост трафика не говорит об атаке. Стало быть, надо уметь идентифицировать именно негативную составляющую во всем потоке информации. Когда схема атаки и ее инструменты известны, эту проблему помогают решить системы предотвращения вторжений (Intrusion Prevention System, IPS).

Используя статические сигнатуры, которые обязательно должны своевременно обновляться, они позволят отразить «вредные» пакеты, но подобное решение не будет эффективным против так называемых атак «нулевого дня», когда атака неизвестна и статической сигнатуры еще не нет. Помочь в решении этой проблемы могут системы поведенческого анализа, позволяющие проанализировать трафик, выявить атаку и построить динамическую сигнатуру, которая будет использована для отражения атаки.

Таким образом, система должна обеспечить возможность отличить плохое от хорошего и сделать это быстро и эффективно. Для этого понадобится не только модуль IPS, но и модуль поведенческого анализа. Примером удачного решения, содержащего данный компонент является Radware DefensePro [12].

Говоря о защите от DDoS, инфраструктуры компании не следует забывать о таком аспекте, как защита канала связи. Атака может быть направлена на исчерпание пропускной способности. В этой ситуации программно-аппаратный комплекс защиты, установленный непосредственно ЦОД’е или перед пограничным маршрутизатором может оказаться недостаточно эффективным. Решить проблему поможет перенаправление трафика в центр очистки, который, обладая куда большей мощностью и пропускной способностью позволит отразить такие атаки, то есть пограничное устройство защиты должно иметь возможность уведомления вышестоящего оператора, либо облачного сервиса об атаке для перенаправления трафика в центр очистки до того, как канал связи станет узким местом. Следовательно, выбирая средство борьбы с DDoS атаками, имеет смысл рассматривать тех поставщиков, которые могут дополнительно предложить облачный сервис очистки.

Еще одной проблемой является маскировка атаки внутри зашифрованного трафика. На сегодняшний день рост SSL трафика в Интернете слишком значителен, если эта тенденция сохранится, то уже в ближайшее время SSL может составить до 70% от общего количества. А значит и количество атак внутри SSL возрастет. Выявить атаку внутри зашифрованных пакетов очень важно, при этом, далеко не всегда расшифровка допустима на границе сети, где как раз и происходит основная работа по отражению DDoS атак.

Получается, выбираемое решение по защите должно обеспечить выявление таких воздействий, не прибегая к постоянной расшифровке трафика на пограничном устройстве, то есть вне периметра сети организации. Хорошим примером такого решения является технология, предложенная компанией Radware [13], которая не требует расшифровки трафика на устройствах отражения атак, и установки на них приватных ключей для расшифровки SSL.

Поиск уязвимостей в системе, которые могут быть использованы для подготовки к DDoS атаке, иначе говоря разведка, одна из предварительных активностей злоумышленника. Здесь речь, разумеется идет о сканировании. Некоторые из поставщиков систем противодействия DDoS не рассматривают сканирование в качестве атаки и не уделяют ему должного внимания, мотивируя это отсутствием непосредственного ущерба. Тем не менее, противостоять сканированию необходимо, чтобы избежать получения злоумышленником информации о защищаемой инфраструктуре. По сути своей, это ни что иное как противодействие разведке противника, иначе говоря контрразведка. Система противодействия DDoS атакам должна обладать модулем, которые позволит обеспечить борьбу со сканированием.

Представить себе какую-то компанию, не имеющую своего представительства в сети уже невозможно. Растет количество WEB серверов. Появилось большое количество сложных прикладных атак, направленных именно на веб-серверы и сопутствующие им сервисы, например, SQL. Это не DDoS в чистом виде, а атаки на уязвимости систем, такие как сценарии межсайтового взаимодействия (кросс-сайт скриптинг), SQL инъекция, подбор пароля и других атак из OWASP TOP 10 [14]. Разумеется, эти атаки крайне опасны, поскольку могут дать возможность не только вывести систему из строя, но и скомпрометировать ее. Для противодействия атакам используется модуль борьбы со сложными WEB атаками, или WEB Application Firewall (WAF). И, если мы хотим построить интегрированное решение, то он обязательно должен присутствовать. Нельзя забывать о своевременном обновлении систем и прикладного программного обеспечения внутри защищаемой инфраструктуры, уделять внимание безопасности при разработке веб-приложений. Модуль WAF, в свою очередь, должен работать не только со статическими средствами защиты, но и обладать возможностью обучения на «живом» трафике и генерации динамических сигнатур, позволяющих противостоять не только известным атакам, но и атакам «нулевого» дня.

На сегодняшний день существует довольно много предложений на рынке WAF. Крайне важным является возможность интеграции этого модуля в общую структуру обороны, которая бы обеспечила не только единый интерфейс управления и мониторинга, но и возможность уведомления устройства, находящегося на периметре сети, с целью блокировки изощренных веб атак еще на границе, а не непосредственно перед сервером, тем самым уровень безопасности будет еще выше.

Литература

[2] Global Application & Network Security report 2020-2020

Внимание, перегрузка! Как защитить сайт от DDoS-атак

Время чтения: 18 минут Нет времени читать? Нет времени?

По данным «Лаборатории Касперского», 42,9 % компьютеров, принадлежащих коммерческим организациям, в 2020 году подвергались кибератакам.

Из этой статьи вы узнаете, что такое DDoS-атаки, стоит ли их опасаться, как подготовиться к обороне и как себя правильно вести, если в вашу сторону уже направили артиллерию.

Что такое DDoS-атака

DDoS — это любые действия, цель которых «положить» сайт полностью или нагрузить его посторонними задачами так, чтобы он стал напоминать ленивца из «Зверополиса». Но сам термин больше для юзеров, чем технарей. Последние оперируют только им понятными выражениями вроде «DNS амплификация», «TCP Null атака», «SlowLoris» и другими вариациями на тему. Разновидностей DDoS-атак много, поэтому вводным должен послужить тезис:

Универсальной защиты от всех видов DDoS-атак не существует.

Если бы она существовала, «монстры» вроде Google или Amazon не тратили бы миллиарды долларов на киберзащиту и не объявляли периодически конкурсы на поиск уязвимостей с миллионными призовыми.

Главная опасность DDoS-атаки — в процессе киберпреступники могут найти уязвимость и запустить на сайт вирус. Самое печальное последствие — кража личных данных пользователей и увод клиентской базы. Потом ее могут продать вашим конкурентам.

Если поисковые системы находят вирусы, они их не лечат. Просто выбрасывают сайт из поиска или показывают пользователем окно с предупреждением. Репутация и завоеванные позиции в выдаче отправятся в нокаут надолго, как после левого крюка Шугара Рэя Робинсона.

Почему атакуют

Просто так коммерческие сайты ддосят редко. Есть некоторая вероятность, что на вас решил потренироваться школьник, насмотревшийся видео вроде этих:

Таких атак редко хватает больше, чем на пару часов. Но по умолчанию рассчитывать на новичка не стоит. Чаще всего причины связаны с коммерческой деятельностью.

  • DDoS на заказ. Если атака прилетает после запуска активной рекламной кампании или проведения маркетинговых мероприятий, возможно, вы перешли дорогу конкурентам. Иногда DDoS становится ответной реакцией на конкретные действия: например, завуалированную отсылку к конкуренту в рекламе или продвижение по имени чужого бренда в контексте.
  • Вымогательство. Вариант № 1. На электронную почту приходит сообщение от доброжелателя, который предлагает перевести ему некоторую сумму в биткоинах или сайт ляжет. Чаще всего угрозу в исполнение не приведут, но можно нарваться и на реальных взломщиков. Вариант № 2. Сайт уже положен, и от мошенников поступает предложение заплатить за прекращение атаки.
  • Сайт попал под раздачу. DDoS-атака может парализовать работу серверов вашего хостера, из-за чего прекращается работа всех его сайтов. Маловероятно, но тоже возможно.

Павел Арбузов, технический директор хостинга REG.RU

Условно можем разделить атаки на спланированные и непреднамеренные. Например, 18 марта 2013 года хост-провайдер CyberBunker организовал DDoS-атаку на компанию Spamhaus из-за попадания в черный список за рассылку спама. Это самая мощная DDoS-атака в истории — по оценке CloudFlare, около 300 Гб/с.

Иногда владельцы сайтов принимают за DDoS-атаку так называемый «слэшдот-эффект» (в рунете встречается термин «хабраэффект»). Это происходит, если на ресурс приходит гораздо больше пользователей, чем может пропустить хостинг. Это и есть непреднамеренная DDoS-атака. Например, перед новогодними праздниками люди массово делают покупки, трафик на интернет-магазины возрастает. Слабый хостинг не выдерживает и падает. Если это происходит, нужно менять хостера или переходить на тариф с более широким каналом.

В этом году я писал материал о маленьком, но гордом агрегаторе коммерческой недвижимости в Москве для одного известного бизнес-издания. А через 3 дня после публикации на его сайт обрушилась мощная DDoS-атака. Узнать источник не удалось, но связь событий не исключена. Возможно, «проверка на прочность» от конкурентов.

Что делать во время атаки

Если никаких анти-DDoS мер заранее не принято, об атаке можно даже не узнать. Иногда хостеры улавливают подозрительную активность и отправляют пользователю письмо. Чаще — нет. Бывает, заглядываем на сайт и видим что-то вроде:

Или находим в «Метрике» провалы по трафику. Это еще не DDoS, но что-то на него похожее.

Проверка по командной строке

Открываем командную строку и вводим ping <доменное имя>.

Сначала мы «пинганули» свой сайт и убедились, что он работает – все 4 тестовых пакета прошли обмен. Потом провели операцию на заблокированном ресурсе. Пакеты сервером не приняты.

Если сайт не работает, но пингуется – проблема с браузером. Если не пингуется – возможен DDoS.

Более подробную информацию может дать трассировка. Используем команду tracert <доменное имя>:

На второй проверке видим трассировку ресурса, заблокированного Роскомнадзором (сторонний IP-адрес). Если обмена пакетами нет на последнем этапе (свой IP-адрес), это может указывать на DDoS.

Проверка сторонними сервисами

Seogadget. Самый простой инструмент для быстрой проверки во время DDoS, умеет одновременно проверять несколько сайтов и находить причины недоступности.

Код HTTP 200 указывает на то, что проблем с доступом не обнаружено. Если в этой строке будет код HTTP 4**, есть ошибки на своей стороне. Код HTTP 5** говорит о проблемах на стороне сервера.

Ошибка HTTP 502 (bad gateway) свидетельствует о том, что сайт не справляется с нагрузкой. Это может быть вызвано DDoS-атакой.

Инструмент от Ping-Admin.ru. В настройках можно выбрать проверку только для своего региона, по России или из других стран. Дает подробную информацию по 9 параметрам, поэтому полезен не только во время атак.

Сервис Who Is. Проверяет работоспособность сайта и показывает технические характеристики домена.

Подключение через FTP

Установите любой удобный FTP-клиент. Например, Total Commander:

Чтобы добавить сервер, нужно заполнить карточку:

Узнать свой IP адрес можно, например, через сервис Who Is по ссылке выше. А логин и пароль доступа к FTP приходили вам в информационном письме от хостера после регистрации. Если это было давно, найдите их в архивных сообщениях.

Если FTP работает, а сайт нет, это может указывать на DDoS-атаку или проблемы с веб-сервером.

Важно! Приостановите показы баннеров и объявлений контекстной рекламы, чтобы не терять бюджет.

Блокировка по IP

Этот метод помогает только при слабой атаке типа HTTP-флуд. Но бесполезен для атак типа UDP- или SYN-флуд. У них каждый новый паразитный пакет приходит с новым IP, поэтому отфильтровать подключения не получится.

HTTP-флуд – это направление паразитных запросов на порт, который отвечает за назначение и распределение пакетов данных, передаваемых на хост.

UDP-флуд – отсылка UDP-пакетов с большим объемом данных на разные порты с целью перегрузки сервера и/или переполнения канала связи.

SYN-флуд – переполнение ресурсов сервера безответными паразитными запросами на синхронизацию с сервером.

IP-адреса отображаются в лог-файлах HTTP-сервера. Как их получить, зависит от вашего хостера. Самый простой вариант — через быструю ссылку в аккаунте на сайте хостера. Конечно, если она есть.

Если нет, перейдите в системные папки. Например, на веб-сервере apache лог находится по адресу:

Если хостер не дает туда доступ, можно написать в техподдержку с просьбой предоставить такие данные. В лог-файле ищите IP-адреса, которые повторяются многократно. Затем в корневой папке сайта создаем файл с названием .htaccess без расширения. В файл вписываем строки кода:

deny from 111.111.11.11

Вместо 111.111.11.11 вносите найденные IP-адреса. Каждый следующий адрес должен быть в новой строке.

К сожалению, времена, когда фильтрация IP была эффективна, прошли. Сегодня это равносильно попытке отремонтировать Tesla X в гаражном кооперативе ключами на 17 и 19. Если хостер не дает доступа к логам, в логах нет повторяющихся IP-адресов или, наоборот, их там слишком много, переходите на более жесткие меры.

История одной атаки

Олег Шестаков, основатель Rush Analytics.

16 ноября 2020 года серверы компании Rush Analytics подверглись DDoS атаке с множества различных IP-адресов. В первые 20 минут наш технический отдел пытался самостоятельно отфильтровать паразитный трафик, но его было настолько много, что большая часть проходила фильтры. Ещё через 10 минут хостер нас отключил. Просто отключил сервер, заблокировал доступ к нему на 48 часов и затер все логи. В следующие 2 часа мы развернули новый фронт-сервер на другой площадке и ушли за DNS-серверы Cloudflare.

С моей точки зрения, хостер повел себя странно и даже не пытался нам помочь. В будущем будем держать резервную копию фронт-сервера на другой площадке и использовать систему очистки трафика Cloudflare или Incapsula. Всем, кто работает на высококонкурентных рынках, рекомендую сделать так же.

Что не делать во время атаки

Не нужно соглашаться на условия мошенников. На сообщения с предложением прекратить атаку за некоторую сумму лучше всего не отвечать вообще. Иначе вас будут атаковать снова и снова. Поддерживать бесперспективный DDoS на коммерческий сайт дольше 1–2 суток не выгодно. Рано или поздно преступники отступят. Потерянные за время атаки клиенты — это цена недостаточного внимания к защищенности ресурса.

Не планируйте зеркальный ответ. Если требования от мошенников не поступили, атака наверняка заказная. И вполне возможно, у вас есть круг подозреваемых: прямые конкуренты, компании, с которыми не сложились деловые отношения. Иногда причина — чья-то личная неприязнь. Но бросаться искать хакеров, чтобы отомстить, не стоит.

Во-первых, если конкуренты опустились до DDoS, значит, ваш бизнес развивается в правильном направлении. Скажите спасибо за признание заслуг. Во-вторых, в большинстве случаев DDoS не наносит серьезного урона — это деньги на ветер. И в-третьих, это уголовно наказуемое деяние. Да, вероятность поимки киберпреступников и их заказчиков в современных реалиях очень мала, но существует.

Вспомним историю с владельцем платежного агрегатора Chronopay Павлом Врублевским, который был обвинен в организации DDoS-атаки, на 9 дней положившей серверы его конкурентов Assist.

Главным пострадавшим признан клиент Assist Аэрофлот. Потери составили 146 миллионов рублей. Более 9 тыс. человек во время атаки не смогли купить билеты авиаперевозчика онлайн.

Заказчики и исполнители DDos-атаки могут быть осуждены по ст. 272 УК РФ. В зависимости от последствий, преступление карается штрафом от 100 до 500 тыс. рублей, ограничением или лишением свободы на срок от 1 до 7 лет.

Чем полезна DDoS-атака

Павел Арбузов, технический директор хостинга REG.RU:

Какие проблемы хостинга выявляет DDoS-атака?

Если хостинг-провайдер заявляет или продает клиенту защиту от DDoS-атак, и его ресурсы под атакой замедляются или работают нестабильно, то это свидетельствует о некачественной услуге.

Если хостер не заявляет или не продает клиенту анти-DDoS, его основная задача спасти свою инфраструктуру. Даже ценой отключения клиента, которого атакуют. В этом случае замедление сайта клиента из-за DDoS не является проблемой хостера.

Как должен вести себя хостинг-провайдер, если обнаруживается атака на сайт клиента?

В идеале хостинг-провайдер должен иметь свою систему очистки трафика или быть подключенным к сторонней системе, чтобы отфильтровывать «паразитный» трафик. Если это так, ресурсы клиента не должны страдать от DDoS-атак. Мы работаем с DDos Guard и Stormwall PRO. Они защищают от UDP/TCP-флудов, которые встречаются чаще всего. Если защита от DDoS хостером не предусмотрена, ему проще всего полностью отключить сайт, чтобы DDoS-атака не повлияла на других клиентов.

По каким признакам можно судить, что хостинг-провайдер отработал при атаке плохо и его стоит сменить?

Если хостер стал полностью недоступен из-за DDoS-атаки на одного клиента более чем на 10 минут, то у него большие проблемы с защищенностью. От его услуг лучше отказаться. Проверить легко — зайдите на основной сайт хостинг-провайдера и проверьте, работает он или нет.

Готовимся к атаке: нужные сервисы

Проверка доступности

О проблемах с доступом на сайт вы должны узнать сразу же. Используйте сервисы, которые с заданной периодичностью проверяют сайт и автоматически информируют владельца о недоступности.

Вы сможете быстро сделать проверки, отключить рекламу, уведомить о проблемах хостера и/или компанию, которая занимается техническим сопровождением сайта, проконтролировать работу штатных сотрудников или самостоятельно попытаться очистить трафик.

  • Мониторинг доступности отRU-Center. Сервис от крупнейшего российского хостинг-провайдера. В линейке три тарифа. Самый простой — 150 рублей в месяц, самый дорогой — 1 тыс. рублей. Различаются количеством мониторов и типами проверки. Проверки по HTTP, DNS, PING. Информирует, если сайт попадает под фильтры поисковиков как носитель вирусов. Автоматическое сообщение о недоступности сайта по почте. Есть 14-дневный тестовый режим.
  • Ping-Admin.ru. Самый популярный сервис мониторинга сайтов в рунете. Отличается гибкой ценовой политикой. Абонентской платы и других видов стандартной тарификации нет. Можно выбрать из всех способов проверки нужные и платить только за них. Много способов автоматического уведомления: почта, SMS, Telegram, RSS и многое другое. Тестового режима нет, но каждый новый пользователь получает на счет 1 $, которого хватит на срок от 2 недель до 1,5 месяцев (зависит от количества подключенных услуг).
  • Мониторинг сайтов отREG.Ru. Есть постоянная бесплатная версия с ограниченным функционалом. Сайт проверяется одним монитором с периодичностью 1 час. Уведомление о недоступности приходит только на электронную почту. Платный тариф начинается с 99 рублей в месяц. На нем есть SMS-информирование, проверка с любой периодичностью. Заодно можно отслеживать изменение позиций ключевых слов в поисковиках.

Файрвол

Файрвол — это готовая система фильтров, которая помогает защитить сайт от мусорного трафика еще до того, как он доберется до сайта. Основная функция файрвола — борьба с вирусами. От DDoS он защищает постольку поскольку, но для слабых атак его достаточно. Тем более, обойдется он дешевле полноценного Anti-DDoS.

  • Virusdie. Стоимость — 1490 рублей в год и 149 рублей в год для каждого последующего сайта. Автоматически удаляет вирусы, защищает от грабинга, вредоносного кода, ведет статистику отраженных угроз и формирует черный список по IP. Есть редактор кода, через который можно вносить, редактировать и удалять скрипты. Встроена функция подсветки подозрительного кода. Можно настроить периодичность бэкапа и автоматически восстанавливать серьезно поврежденный сайт по последней успешной сохраненке.
  • Превентивная защита от Revisium. Стоимость — 4000 рублей единоразово, гарантия — 6 месяцев. В услугу входит диагностика и сканирование сайта, установка прав и доступов на безопасные, отключение «опасных» функций, ограничение доступа к админке. Сайт подключается к системе защиты, которая отслеживает подозрительные подключения к сайту и формирует по ним отчеты.
  • Virus Detect. Стоимость — 2000–3000 рублей единоразово. Гарантия — 1 год. Система защищает от прямого доступа к PHP, доступа к административной панели, блокирует подозрительные запросы. Настраиваются права на доступ к файлам и папкам, устанавливается защита от SQL-инъекций, XSS-атак, RFI/LFI уязвимостей.

Anti-DDoS защита

Anti-DDoS более гибок и интеллектуален, чем обычный файрвол. Система автоматически выстраивает фильтры в зависимости от типа и мощности атаки, умеет проводить дополнительные манипуляции с трафиком.

  • Cloudflare. Крупнейший в мире сервис Anti-DDoS. Весомое преимущество — есть бесплатный режим, хотя и ограниченный по функционалу. Платные тарифы начинаются с 20 $ в месяц. За эти деньги вы получаете автоматическую оптимизацию скорости сайта (кэширование изображений, CSS, Javascript и прочее), файрвол, систему фильтрации трафика. У Cloudflare есть аварийный режим I’m Under Attack, при активации которого для входа на сайт будет требоваться капча. Режим позволяет быстро отрезать мусорный трафик, восстановить работу сайта и сохранить хотя бы часть клиентов. Обратите внимание, что у Cloudflare нет российского офиса, поэтому общаться с техподдержкой придется на английском. Если ваш сайт уже висит, можно воспользоваться бесплатной услугой проверки от Cloudflare. Если DDoS подтвердится, вам предложат зарегистрироваться и включить защиту.
  • Anti DDoS от REG.RU. Есть бесплатный режим, который распространяется на защиту по технологиям Layer 3-4 (IP malformed, ICMP flood, TCP SYN flood, TCP-malformed, ICMP smurf). Можно активировать платный режим, который защищает от Layer-7 (HTTP Flood и HTTPS Flood). Стоимость — от 6 тыс. рублей в неделю. Платишь, когда идет атака и сохраняется риск ее возобновления.
  • Anti-DDoS.PRO. Стоимость — от 1500 рублей в месяц. Есть файрвол для защиты от SQL-инъекций и XSS атак. Изменение провайдера и переход на свой хостинг не требуется. Работает с технологиями Layer 3-4 и Layer-7.

Системное противодействие DDoS-атакам

И еще раз основной тезис:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты — комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или «хабраэффекта» точно защитит. От «хабраэффекта» также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Серьезные технические решения потребуют денег, но в случае интернет-магазина или другого коммерческого сайта простой может выйти еще дороже.
  3. Настройте ПО на вашем сервере. Используйте распределение трафика между двумя веб-серверами. Например: Apache и прокси-сервер Nginx. Обратитесь за этим к своему хостинг-провайдеру. Обычно есть готовые решения.
  4. Займитесь оптимизацией запросов. Постарайтесь избегать тяжелых запросов, сделав рефакторинг кода, добавив недостающие индексы в базы данных и прочее. Когда их слишком много, велика вероятность отказа сервера даже без DDoS-атаки.
  5. Оптимизируйте скорость работы сайта. Чем «тяжелее» ваш сайт, тем проще злоумышленникам его «повалить». Вы уверены, что вам нужны все «красивости», потребляющие много ресурсов? Но и перебарщивать не стоит — аскетичный сайт родом из 90-х будет работать быстро, но вот хорошо конвертировать в 2020 году — вряд ли.

И в качестве ложки дегтя: безопасность безопасностью, но не стоит устанавливать злостную капчу на входе для каждого пользователя на постоянной основе. Это самый эффективный способ отвадить половину клиентов. Начинайте с малого и совершенствуйте систему защиты ресурса по мере роста бизнеса.

В копилку любителям интересных ссылок:

  • Norse Attacking Map. Красивая, но не слишком информативная интерактивная карта кибератак в режиме онлайн. Показывает преимущественно виртуальные войны США с остальным миром.
  • Карта киберугроз «Лаборатории Касперского». Отслеживает отлов компьютерных вирусов. Есть статистика количества заражений и типов вирусов по всему миру и отдельным странам. Можно установить виджет на сайт или скачать заставку «хранителя экрана».
  • Digital Attack Map. Совместная разработка Google и Arbor Networks. По уверению создателей, самая большая система в мире, охватывает около трети общемирового интернет-трафика. Есть лента DDoS-атак с 2012 года, можно посмотреть статистику за любой день.

vnimanie-peregruzka-kak-zashchitit-sayt-ot-ddos-atak

Защита сайта от DDoS атак. 12 способов противодействия.

DDoS расшифровывается как Distributed denial of service, что в переводе означает «Распределённая атака типа «отказ в обслуживании»». Количество таких атак растёт, и хотя они больше квалифицируются как мелкая неприятность, нежели серьёзная угроза, они могут вывести из строя сайты различных компаний и заставить IT-специалистов разбираться с существующей угрозой.

Угрозы в виде DDoS-атак могут привести к серьёзным последствиям, если они происходят (к примеру) во время чрезвычайных ситуаций, так что абсолютно всем организациям нужно быть готовым к подобным вещам.

Степень опасности DDoS атак и методы борьбы с ними кардинально отличаются от других угроз безопасности. Сайты организаций могут иметь сложнейшую систему безопасности, но всё ещё быть уязвимыми для DDoS атак , т.к. подобного рода угрозы по существу блокируют весь трафик. В таких случаях должен быть найден альтернативный метод борьбы с подобной угрозой и способы уменьшить потенциальный ежедневный риск.

Большинство учреждений не смогут без особых усилий справиться с начавшейся DDoS атакой. Но они способны найти способ избежать последствий атаки. Мы же предоставим несколько идей о том, как повысить уровень безопасности вашего сайта при возникновении подобных проблем.

12 Приемов защититься от DDoS атаки:

1. Попросите провайдера изменить лимит трафика, проходящий через канал соединения с интернетом каждого отдельно взятого пользователя. Возможно, некоторые будут против такого решения, но данный способ поможет обнаружить заражённую компьютерную единицу в случае того, если этот компьютер будет потреблять больше трафика, чем он обычно. Возможно, это потребует больших усилий и чётко скоординированных действий, но подобный способ основан на лучших решениях в данной области.

2. Попробуйте заставить ISP быть более ответственным и продвинутым. Подобная цель является превосходным решением, но также является и очень трудной задачей. Возможно, настало время изменить правила мониторинга, с пониманием того, что ISP будет отключен от соседних сетей при условии, что провайдер будет уделять недостаточно внимания своей безопасности. Подобные решения в любом случае приведут к мелким междоусобным конфликтам, так что данный вопрос должен быть предварительно обговорён со всеми участвующими сторонами.

3. Критически важные для работы бизнеса системы должны быть разработаны с учётом возможного излишка данных, а также быть устойчивыми к внешним воздействиям. Подобные правила включают в себя возможность наличия запасного сервера — к примеру, наличие дополнительных баз данных и сервера, где хранится копия всего портала, но этот сервер будет скрыт от посторонних глаз и иметь другие IP-адреса.

4. Список отзыва сертификатов (CRL) должен быть создан для того, чтобы отслеживать сертификаты, которые были просрочены и более не действуют. Любому (будь то программа, или же человек), предоставившему подобный сертификат, больше не будут доверять. Альтернативой ему является сетевой протокол статус сертификата или Online Certificate Status Protocol (OCSP), используемый для обнаружения аннулированных цифровых сертификатов типа X.509.

Необходимость работы с подобными сервисами заключается в том, что просроченные сертификаты могут быть использованы для установления связи злоумышленниками и получения возможности начать один из видов DoS-атаки на саму инфраструктуру открытых ключей. На данный момент ведётся множество обсуждений на тему поиска решений для веб-браузеров, которые помогли бы решить данную проблему. Организациям государственного и публичного сектора не мешало бы следить за новостями в данной теме, и возможно, у них найдутся идеи, как улучшить безопасность своих сайтов.

5. Рассмотрите вариант установки Системы Обнаружения Вторжений, которая также включает в себя возможность блокировки определённых портов, протоколов и т.п. Подобные продукты существуют давно, но с течением времени появляется всё больше и больше новых систем защиты против угроз безопасности веб-сайтов в сети интернет. В большинстве случаев они просто перехватывают передаваемые пакеты данных в беспорядочном режиме и сообщают об обнаруженных аномалиях.

Система IPS может блокировать или перенаправлять трафик в зависимости от того, что именно было обнаружено. Несмотря на то, что на данный момент всё ещё трудно выявить быстро передающийся и неопознанный пакет трафика, подобные решения позволяют предотвратить попадание большого объёма трафика в определённые части сети.

6. Помните, что при ведении бизнеса нельзя ограничиваться лишь одним из существующих видов связи (наземная линия, беспроводная сеть, интернет). Тактика непрерывности бизнес-процессов должна включать в себя использование всех трёх типов подключений к сети интернет.

7. Берите под контроль ситуации, при которых цифровые системы связи могут быть полностью отключены. Разработали запасной план связи с клиентами при возникновении непредвиденных ситуаций? Подключите другие доступные каналы связи и удостоверьтесь в том, что ваши коллеги и клиенты знают, как при необходимости можно немедленно подключиться к резервному серверу.

8. Передача пакета данных с малым объёмом имеет больше шансов дойти до адресата, чем передача данных в режиме реального времени. Если вдруг ваша система не сможет работать в штатном режиме, исследуйте возможности ваших резервных серверов, — смогут ли они передавать короткие автономные сообщения и распознает ли их различная правительственная или частная техника. К примеру, сможет ли светофор переключиться с зеленого на красный цвет, или же ваша система дать команду гидроэлектростанции на открытие или закрытие клапанов, отвечающих за движение воды.

9. Электронная почта и обмен текстовыми сообщениями являются одним из альтернативных вариантов связи. Они не используют много трафика (по крайней мере до того момента, пока в письма не добавляют дополнительные файлы в виде документов или же архивов) и в большинстве случаев имеется возможность добавить их в очередь. Это значит, что подобного рода сообщения будут автоматически доставлены адресату при появлении стабильно работающего канала связи.

10. Блокировка доступа (Blackholing) является одним из лучших решений, но временным. При использовании такого подхода, весь трафик — включая даже легальный деловой оборот информации, -уходит в никуда. Данное решение полностью закрывает доступ к ресурсу (что не очень радует), но предотвращает проникновение большого объёма трафика и аннулирует огромное количество запросов, которые могут навредить и другим сайтам. Конечно же, лучше всего избегать подобных мер, но, тем не менее, порой бывает так, что они действительно необходимы.

11. Обзаводитесь скрытым форумом, доступ к которому имеют лишь служащие. Он может послужить местом встречи в сети, где вы можете обговорить определённые вопросы, в то время как доступ ко всему остальному закрыт.

12. Настройте брандмауэры и другое фильтрующее трафик ПО на блокировку доступа через неразрешённые порты и протоколы.

Сами по себе ни один из вариантов выше не смогут полностью избавить сайты государственных организаций от последствий DDoS атаки во время возникновения чрезвычайных ситуаций. Но тем не менее, вместе они помогут уменьшить риск, подскажут владельцам сайтов, как разобраться с возникшей ситуацией, увеличат ваши знания по данному вопросу и помогут развить дискуссию, посвященную поиску альтернативных способов работы их сайтов. Гораздо сложнее добиться ответственности от региональных провайдеров сети интернет. Это очень сложный вопрос, но оставить данную тему без внимания никак нельзя.

Методы борьбы с DDoS атаками

Дата публикации: 04 августа 2015, 10:56

ДДОС атаки являются настоящим бичом популярных интернет-ресурсов. Ежемесячно интернет-магазины, правительственные порталы, новостные агентства и простые социальные блоги трятят сотни тысяч долларов на борьбу с ними. Поэтому не лишним будет рассказать, что же такое DDoS атака и в чём её главная опасность для сайтов и серверов в датацентрах.

DDoS – это распределённый отказ от обслуживания сервера. Происходит он по двум причинам. Либо канал связи не способен пропустить множество «пустых» запросов на соединение от тысяч заражённых пользователей. Либо программы на сервере не справляются с обработкой большого числа данных и «неправильных» пакетов информации.

В любом случае, результатом является зависание сервера и недоступность сайта для посетителей и администраторов.

Методы борьбы с DDoS атаками.

Эшелонированная и мгновенная защита от DDoS атак даёт высокий процент ухода из-под хакерского нападения. К слову сказать, современная DDoS атака, строго говоря, не является нападением хакеров. Это мгновенный запрос на соединение и обработку данных от тысяч зараженных компьютеров обычных пользователей. То есть, непосредственные её участники сами являются жертвами. Поэтому так редко удаётся привлечь к ответственности организаторов и заказчиков.

Вот основные способы минимизировать риски выхода из строя оборудования в результате DDoS:

• Регулярное обновление ПО. Разработчики программ постоянно «латают дыры» в своих продуктах. Не стоит пренебрегать этим простым, но эффективным методом.

• Мониторинг трафика позволяет вовремя заметить DDoS атаку и бороться с ней.

• Тонкая настройка сетевых фильтров и антивирусов – ещё один ключ к защите своих сайтов и сервера.

• Наращивание физических параметров сервера. Самый мощный, но и самый дорогой способ стать сильнее.

• Регулярное копирование важных данных, архивация, бэкап. Даже если атака удалась, и сайт на некоторое время вышел из строя, эти процедуры позволят восстановить данные и продолжить работу.

• Переадресация в «чёрные дыры», аварийная перезагрузка, соединение только с разрешенными веб-адресами и другие методы также добавляют устойчивости.

Помните, экономия на средствах защиты рискует обернуться потерей сайта и всего бизнеса, с ним связанного. Поэтому лучше заранее проконсультироваться с хостером насчёт экстренных мер борьбы с DDoS атаками и их последствиями.

Мастер Йода рекомендует:  6 лучших книг о Linux для глубокого понимания системы
Добавить комментарий