Что такое DDoS (Distributed Denial of Service). Как защититься от DDoS-атак.
Распределенная DoS-атака, выполняемая одновременно с большого числа устройств, над которыми злоумышленники смогли получить контроль и по команде генерировать потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.
Оглавление:
Принцип действия
Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей.
Подавляющее большинство атак развиваются в следующей последовательности:
- 1) сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
- 2) подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
- 3) генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
- 4) анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).
В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.
Мотивация злоумышленников может быть различной. Наиболее часто встречаются недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро проплачен, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.
Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.
Против кого осуществляются DDoS-атаки
Чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции. С началом пандемии резко усилились атаки на образовательные ресурсы, сервисы видеоконференций, онлайн-кинотеатры, медийные и развлекательные сайты.
Одной из самых интенсивных и длительных стала произошедшая в 2007 году серия DDoS-атак против правительственных, финансовых, медийных и прочих ресурсов в Эстонии, по всей вероятности, ставшая выражением протеста против сноса памятников советским воинам, освобождавшим республику.
Еще одну крупнейшую атаку провели в 2013 году против международной некоммерческой организации Spamhaus, ставящей целью борьбу со спамом. Можно предположить, что заинтересованные в распространении спама злоумышленники были явно недовольны ее успешной деятельностью.
В 2014 году была проведена одна из мощнейших DDoS-атак в истории — на сей раз против набиравшего силу в Гонконге движения Occupy Central, выступавшего за изменение действовавшей в стране системы голосования.
В 2015 и 2018 годах состоялись еще две вошедшие в историю DDoS-атаки — против крупнейшего в мире интернет-ресурса для совместной разработки и хостинга ИТ-проектов GitHub.
Не забывают злоумышленники и о российских ресурсах. Так, регулярно подвергаются нападениям сайты Центральной избирательной комиссии РФ, Сбербанка и других финансовых учреждений России, различных коммерческих компаний. В частности, Сбербанк сообщил, что 2 января 2020 года была зафиксирована самая мощная DDoS-атака за всю его историю, она была выполнена с помощью автономных устройств Интернета вещей.
Классификация DDoS-атак
Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Перечислим наиболее распространенные виды атак:
- Сетевой уровень (L3): DDoS-атаки этого уровня «работают» по протоколам IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Целями атак являются в первую очередь сетевые устройства — коммутаторы (свичи) и маршрутизаторы (роутеры).
- Транспортный уровень (L4): воздействие производится по протоколам TCP и UDP, а также по подпротоколам DCCP, RUDP, SCTP, UDP Lite. Целями атак этого уровня обычно становятся серверы и некоторые интернет-сервисы, например игровые.
- Уровень приложений (L7): атака осуществляется на уровне протоколов приложений. Чаще всего злоумышленники используют HTTP, HTTPS и DNS. Атаки этого уровня нацелены как на популярные сетевые сервисы, так и на различные веб-сайты и веб-приложения.
Еще один распространенный способ классификации — по способу воздействия:
- использование уязвимостей протоколов: они позволяют добиваться отказа в обслуживании путем воздействия на атакуемый ресурс некорректными запросами, в результате чего жертва «уходит в ступор», пытаясь их обработать;
- переполнение трафика мощным потоком запросов, который жертва не в состоянии «переварить»;
- воздействие на слабые места в архитектуре и логике работы приложений, способное сильно нарушить работоспособность подключенного к Интернету программного комплекса, особенно если он имеет слабый уровень защищенности.
Способы защиты от DDoS-атак
Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:
- 1) предоставить как можно меньше информации атакующему;
- 2) предоставить как можно больше информации DDoS-защитнику;
- 3) обеспечить понятные возможности фильтрации атаки;
- 4) обеспечить надежность сервиса под атакой.
Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак. Подробнее о защите и о том, что на нее влияет, можно узнать здесь:
Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.
Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.
Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.
В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:
- защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
- защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
- защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.
По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.
Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.
И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.
Источник
5 советов по борьбе с DDOS-атаками
Сегодня интенсивность и количество распределенных атак типа «отказ в обслуживании» (Distributed denial of service — DDoS) постоянно растут. Что можно предпринять для борьбы с ними?
Это должен был быть один из самых успешных дней для вашего бизнеса, но неожиданно ваш сайт оказался недоступен, а информация обо всех заказах пропала. Если это случилось с вами, вероятно, вы стали очередной жертвой DDoS атаки.
Основой данных атак является бомбардировка IP адреса большим объемом трафика. Если по данному IP вы обращаетесь на какой-либо сервер, тогда этот сервер (или маршрутизаторы, являющиеся промежуточным звеном между нарушителем и сервером) может быть перегружен. Легитимные запросы, обращенные к серверу, не будут обработаны ввиду его перегруженности, и сайт станет недоступным. В обслуживании отказано.
Распределенная DoS-атака – особый тип атак «отказ в обслуживании». Основополагающий принцип атаки остается прежним, а трафик, бомбардирующий IP адрес, теперь генерируется несколькими источниками, управляемыми из одной точки. Благодаря тому, что источники трафика являются распределенными — часто по всему миру — , DDoS атаки являются значительно более трудными для блокирования, чем атака с одного IP.
DDoS становится все более пугающим.
С течением времени данные атаки становятся все более существенной проблемой. Согласно последнему квартальному отчету по DDoS атакам, опубликованному компанией Prolexic, специализирующейся на противодействии DDoS атакам, рост их использования за последние 12 месяцев вырос на 22%.
Кроме того, на 21% возросла и продолжительность атак (с 28,5 до 34,5 часов). Также атаки стали гораздо более интенсивными, в среднем, с почти 7-кратным увеличением объема генерируемого трафика с 6,1 Гб/с до 48,25 Гб/с. По некоторым отчетам при атаке на Spamhaus – организацию, занимающуюся противодействием спаму – в марте трафик генерировался со скоростью почти 300 Гб/с.
Исследования, проводимые Arbor Networks и Akamai Technologies, подтверждали увеличение частоты и интенсивности DDoS атак.
По словам Тима Пэта Даффиси, управляющего директора ServerSpace (компания предоставляет услуги по хостингу, а также является Интернет-провайдером), барьер для преодоления DDoS атак в большинстве случаев стал недостижим. «Это значит, что каждый может произвести подобную атаку: преступные организации, шантажисты, даже обиженный на свое начальство уволенный сотрудник или конкурент. Жертвой может стать каждый. Один из наших клиентов – небольшая тренинговая компания в сфере строительного бизнеса – подверглась атаке, продолжительностью 2 недели.»
Раньше запустить DDoS атаку было технически непросто, сейчас же есть возможность арендовать ботнет из десятков или даже сотен тысяч зараженных машин за весьма скромную плату, после чего использовать эти компьютеры для проведения атаки. А благодаря высоким темпам развития интернета, зараженные компьютеры используют высокоскоростные каналы связи, по которым можно отправлять большие объемы трафика.
Существуют специальные средства для DDoS на основе Web, например, Low Orbit Ion Cannon или RussKill, в запуске которых может разобраться даже ребенок.
Возникает вопрос, что можно предпринять для защиты?
Своевременное определение DDoS атаки.
Если у вас есть собственные сервера, вам необходимо иметь средства для определения совершаемой на вас атаки. Чем раньше вы определите, что проблемы с доступностью вашего сайта возникли из-за DDoS атаки, тем раньше вы можете предпринять меры для ее отражения.
Определить DDoS можно с помощью реализации механизма профилей входящего трафика. Если вы знаете среднестатистический объем и динамику изменения трафика на вашем сервере, у вас повышается шанс быстрого определения не характерных изменений. Большинство DDoS атак характеризуются резким увеличением объема принимаемого трафика, и механизм профилей поможет определить, является ли данный скачок атакой или нет.
Также хорошей идеей будет назначить сотрудника вашей компании, ответственного за противодействие DDoS.
Дополнительные каналы связи для увеличения пропускной способности
Неплохой идеей является подключение дополнительных каналов связи, даже если расчеты пропускной способности показывают, что они вам не нужны. В этом случае вы сможете без последствий преодолеть неожиданные скачки трафика, которые могут быть, например, результатом рекламной кампании, специальных предложений или упоминания вашей компании в СМИ.
При реализации DDoS атаки, вероятно, вас не спасет даже 500%-ный запас пропускной способности, но он даст вам несколько дополнительных минут для реализации необходимых мер по противодействию.
Защита сетевого периметра (если у вас есть собственный сервер)
Существует несколько довольно простых технических мер для частичного снижения эффективности атаки, особенно в ее начале.
- Ограничьте пропускную способность вашего маршрутизатора для предотвращения перегрузки сервера
- Добавьте фильтры, чтобы маршрутизатор отклонял пакеты с явно атакующих адресов
- Настройте таймаут полуоткрытых соединений более агрессивно
- Отклоняйте поддельные и искаженные пакеты
- Задайте более низкий порог отказа в обработке для SYN, ICMP и UDP
Но реальность такова, что если раньше данные шаги были достаточно эффективны, то сейчас DDoS атаки слишком глобальны для их нивелирования данными способами. Следует выделить еще раз, основной задачей рассмотренных методик является получение дополнительного времени при атаке.
Позвоните вашему интернет- или хостинг-провайдеру
Следующим шагом будет звонок вашему Интернет-провайдеру (или хостинг-провайдеру, если ваш ресурс расположен на стороннем сервере) и просьба в оказании незамедлительной помощи в связи с атакой. Контактная информация вашего провайдера всегда должна быть под рукой, чтобы в случае ЧП не терять времени на ее поиск. В зависимости от масштаба атаки они уже могут быть в курсе.
Шанс выстоять при DDoS атаке повышается, если используемый вами сервер расположен в хостинг-центре, а не у вас в компании, потому что дата центры имеют гораздо лучшее оборудование и каналы связи, а также более опытный персонал, имеющий представление о подобных атаках. Кроме того, если ваш сервер расположен в дата центре, то при атаке ваша корпоративная сеть не пострадает, поэтому как минимум часть вашего бизнеса, например, электронная почта и служба VoIP, должны функционировать нормально.
Если атака является достаточно сильной, то первым делом ваш Интернет-провайдер отключит маршрутизацию трафика, идущего на ваш веб сервер.
«Допущение DDoS атак на внутрикорпоративную сеть – непозволительная роскошь для провайдеров, потому что DDoS расходует впустую большую часть пропускной способности и может негативно повлиять на работу приложений других клиентов. В связи с этим первым делом при обнаружении атаки мы можем отключить ваше приложение на некоторое время» заявляет Лиам Энтикнап, сетевой инженер Pier 1.
Тим Пэт Даффиси, управляющий директор компании ServerSpace согласен с данной точкой зрения. По его словам самым первым шагом при обнаружении атаки на клиента в его компании является отключение маршрутизации для пакетов, идущих на его web сервер. На эти действия уходит порядка 2 минут, после чего объем загруженности сети резко падает.
Если бы это был конец истории, то атаку можно было бы считать успешной. Для того, чтобы снова сделать web сайт доступным, трафик, идущий к нему, может быть направлен на особый фильтр, пропускающий только легитимные пакеты, которые идут дальше непосредственно на сервер. «мы используем наш опыт и различные средства для того, чтобы понять, каким именно образом изменился трафик после начала атаки, что помогает нам определять вредоносные пакеты» — объясняет Энтикнап.
Он уверяет, что Pier 1 владеет ресурсами, позволяющими принимать, обрабатывать, а затем отправлять дальше трафик на скорости 20 Гб/с. Но учитывая уровни трафика при DDoS атаках, описанные в отчетах Spamhaus, даже такая пропускная способность не принесет нужного эффекта.
Разработайте совместный с вашим провайдером план действий при обнаружении DDoS атак, чтобы обратиться к специалисту с минимальной задержкой по времени.
Найдите специалиста по DDoS
При большинстве серьезных атак, вероятно, единственным способом остаться онлайн для вас будет пользование услугами компании, специализирующейся на противодействии DDoS. Эти организации имеют высокомасштабируюмую инфраструктуру и используют большое количество различных технологий, включая фильтрацию пакетов, что поможет вам остаться онлайн. Вы можете сотрудничать напрямую или через вашего провайдера.
«Если клиенту необходима защита от DDoS, мы перенаправляем его трафик компании Black Lotus, специализирующейся на этом» — говорит Даффиси. «для этого мы используем BGP, поэтому на все уходит пару минут».
Фильтрующий центр компании Black Lotus может справляться с очень большими объемами трафика и отправлять проверенные пакеты на пункт их назначения. Все это выливается в значительное время ожидания для пользователей, но альтернативой может быть и полная недоступность сайта.
Услуги по защите от DDoS атак не бесплатны, поэтому либо вы платите деньги и остаетесь онлайн, либо принимаете весь удар на себя и ждете, пока атака не закончится, и вы не сможете вернуть доступность своему сайту. Данный вид услуг может обойтись вам в несколько сотен долларов в месяц. С другой стороны, если вы будете атакованы не имея каких либо средств защиты, вы можете потерять гораздо больше денег и времени.
Компании, предоставляющие услуги по защите от DDoS атак:
Arbor Networks
Black Lotus
DOSarrest
Prolexic
VeriSign
Об авторе: Пол Рубенс освещал новости в сфере информационной безопасности на протяжении более чем 20 лет. За это время он печатался в таких британских и международных изданиях, как The Economist, The Times, Financial Times, the BBC, Computing and ServerWatch.
Источник