Как защищаться от DDoS-атак
Причины организации DDoS-атак могут быть различны: простое хулиганство, знак протеста против чего-либо, недобросовестная конкурентная борьба и т. д. Основной принцип реализации – одновременная атака ресурса с большого числа зараженных компьютеров, зачастую расположенных в разных странах, централизованно управляемых злоумышленником; так называемые «botnet», или «компьютеры-зомби». Зараженными узлами может быть ваш домашний или рабочий компьютер, компьютер в интернет-кафе или в классе информатики в школе. Участники botnet-сети обычно даже не подозревают, что их компьютеры участвуют в DDoS-атаке.
Как понять, что тебя атакуют?
В общем случае факт возникновения DDoS-атаки сложно не заметить, однако иногда владелец ресурса может в течение нескольких дней не замечать атаку или замечать какие-либо отклонения в работе своих сервисов, но не связывать их с DDoS-атакой. Для того чтобы определить и классифицировать DDoS-атаку, необходимо понимать механизмы ее реализации.
Если принцип реализации DDoS-атак, по большому счету, один, то типов DDoS существует несколько.
Нагляднее всего будет выделить 3 основные группы:
Атаки на канал (HTTP-, ping-, ICMP-, UDP-, SYN-флуды и т. д.) – наиболее типичный вид DDoS-атак. Основная цель атак этой группы – перегрузить запросами сетевое оборудование, сервера или полосу пропускания.
Атаки на сетевые сервисы. Такие атаки могут иметь своей целью множество различных приложений, но самая частая цель – HTTP, чтобы вывести из строя web-сервера и приложения;
Атаки на приложения. Атаки этого типа используют слабые места в проектировании и реализации приложений. Они не требуют такого большого количества узлов в botnet-сети, как атаки первых двух групп.
Главный критерий, по которому можно определить, что началась DDoS-атака – это нетипичное поведение сети или сетевого сервиса, например, изменение качественных или количественных характеристик трафика.
Как было сказано выше, DDoS-атаки – самый популярный на сегодняшний день вид кибератак. Это популярный способ конкурентной борьбы или выражения политического протеста. Поэтому при проектировании сетевых ресурсов в вашей компании необходимо оценивать и принимать в расчет вероятность того, что вы рано или поздно подвергнетесь DDoS- атаке. Если речь идет о государственном портале, о крупном новостном сайте или о сайте популярной компании, например, о крупном банке, большом интернет-магазине или популярном игровом сервере, то вероятность того, что на вас закажут DDoS-атаку – практически 100 %.
Защита от DDoS-атак
Способов защиты от DDoS-атак много, и в их основе лежат совершенно разные подходы и принципы. Можно отбиваться от атаки самостоятельно, внося изменения в настройки сетевых сервисов, можно использовать специализированные программно-аппаратные средства для защиты от DDoS-атак, хорошими вариантами являются защита от атак силами провайдеров или использование специализированных сервисов по защите от DDoS-атак. Выбор средств защиты зависит и от типа ресурса, и от важности его бесперебойной работы для бизнеса, и от целого ряда других факторов. При определении принципов защиты важно понимать, что, как говорится, нет предела совершенству – можно потратить большое количество денег на организацию действительно качественной защиты от DDoS-атак, но будет ли это оправданно?
Рассмотрим основные методы защиты подробнее.
Основная сложность в защите от DDoS атак заключается в определении характера атаки и характера используемого при ней трафика, так как это, по большому счету, обычный трафик, характерный для сети любого провайдера, но по-другому распределенный. Поэтому просто начать фильтровать или блокировать трафик, идущий к атакуемому ресурсу, – не самая удачная идея: в результате мы заблокируем и легальный трафик от реальных клиентов/пользователей.
Защита своими силами.
Есть ряд шагов, которые администратор может предпринять самостоятельно. Это особенно актуально против относительно слабых DDoS-атак или когда нет бюджета на использование специальных средств и сервисов. Например, если администратор видит, что перед ним флудатака, то в этом случае поможет добавление в access-листы IP-адресов и доменов, замеченных в нетипичном поведении. В случае использования, например, популярного эксплойта Slowloris (принцип его работы – открыть множество соединений с веб-сервером и держать их открытыми так долго, как это возможно), администратор может настроить параметры подключений, ограничив таймаут сессии или снизив возможное количество попыток подключений. Это лишь несколько примеров. Первоочередная задача администратора – определить, какой тип (или комбинация) DDoS-атаки используется против его серверов. Дальше, как говорится, дело техники: в открытом доступе масса ресурсов, содержащих рекомендации по снижению тяжести последствий той или иной атаки.
Защита аппаратно-программными средствами будет более эффективна, чем попытки отбиться самостоятельно, но это тоже не панацея. Типичный функционал таких средств – файервол, IDS/IPS (Intrusion Detection/Prevention System – системы для обнаружения//предотвращения вторжений), балансировщики нагрузки и файерволы для web-приложений. Вендоры предлагают такие решения как в исполнении «все в одном», так и по отдельности. Эти решения могут неплохо справляться с отражением DDoS-атак, но до тех пор, пока их мощность позволяет обработать весь поток запросов, идущих на сервер. DDoS- атаки скачкообразно прогрессируют: в последнее время появляются публикации о DDoS-атаках, насчитывающих до четверти миллиона машин в botnet-сети, а нагрузка на канал – до 150 Гб/с (по данным Qrator lab http://static.qrator.net/press/14_03_07/DDoS2013_Qrator.pdf). Указанные значения – это максимально зафиксированные пиковые значения DDoS-атак, скорее крайность, и далеко не все атаки имеют такие характеристики. Да и нелегитимный трафик объемом 150 Гб/с может попросту забить весь канал. Но оборудование, фильтрующее трафик до 10 Гб/с, обойдется вашей компании по меньшей мере в несколько сотен тысяч долларов.
Защита силами провайдера.
Учитывая популярность DDoS-атак, большинство провайдеров задумываются о сервисах по их предотвращению для своих клиентов. Принцип построения защиты состоит в том, что за абонентскую плату провайдер анализирует трафик, идущий к клиенту. В случае выявления аномалий трафика запускается фильтр, отражающий нежелательный трафик. Этот механизм защиты может быть реализован по-разному, в некоторых случаях у клиента может быть установлено дополнительное аппаратное или программное обеспечение. Владельцам сетевых ресурсов нужно понимать, что отражать атаку, которая уже идет, не имея при этом слепка типичного трафика, гораздо сложнее. И иногда хостеры или провайдеры грешат тем, что просто отключают атакуемый ресурс, чтобы обезопасить остальных своих клиентов. Поэтому, повторюсь еще раз, необходимо продумывать вопрос защиты от DDoS атак на этапе создания сетевых ресурсов.
Сервисы по защите от DDoS-атак.
Большое количество организаций предлагают сервисы по защите. Принцип работы этих сервисов во многом похож на принцип, который использует провайдер для фильтрации нелегитимного трафика: в случае выявления аномалий трафик атакуемой организации перенаправляется на сервера сервисных компаний, которые отфильтровывают нелегитимный трафик и пропускают «хороший» дальше на сервера клиента.
Примеры таких игроков на рынке:
Зарубежные:
- AT&T;
- Prolexic;Verizon;
- Arbor Networks.
- Лаборатория Касперского;
- Qrator;
- DDoS Guard.
Дополнительно к описанной технологии некоторые провайдеры и сервисы по защите от DDoS-атак собирают и поддерживают «черные списки» IP-адресов botnet-сетей, блокировка которых позволяет увеличить эффективность и сократить время отражения атак.
Заключение
Учитывая растущую популярность DDoS-атак за последние несколько лет, важно, чтобы администраторы сетевых ресурсов, инженеры провайдеров и операторов принимали во внимание вопросы мониторинга трафика и защиты от DDoS- атак при проектировании решений. Учитывая большое разнообразие сетей, сервисов и типов атак, не существует универсального решения по защите от DDoS-атак, которое бы подходило абсолютно всем организациям. В этой статье я постарался описать ключевые моменты, которые помогут вам принять решение, как правильно построить защиту от DDoS-атак, удовлетворяющую требованиям именно вашей компании.
Автор: Алексей Титов, генеральный директор www.securityrussia.com
Просмотров страницы: 1475