DDoS-атаки: механизмы создания и варианты защиты

Андрей Гольдштейн
инженер по сетевой безопасности
компании Netwell

Что же представляют собой DDoS-атаки?

Во время возникновения первых атак DoS (Denial of Service), а затем и DDoS (Distributed Denial of Service) вредоносный трафик представлял собой некий набор паразитного сетевого трафика, объем которого превышал способности по обработке жертвы атаки, и таким образом возникал перебой сервиса. Поначалу это были различные виды flood, такие как SYN flood (большое количество SYN-пакетов), UDP/ICMP flood, часто с использованием подменных IP-адресов. В какой-то момент проблематика DDoS немного поутихла, однако вновь стала актуальной с появлением бот-сетей и их активной коммерциализацией, когда криминальный мир вновь стал активно применять DDoS-атаки для достижения своих преступных задач. Причем если раньше "положить" сервис было просто интересно хакерам для самоутверждения, то сейчас DDoS используется для получения прямой прибыли, как то: шантаж компаний, конкурентная борьба и т.д. С каждым годом объем  DDoS-атак возрастает. По аналитической информации от компании Arbor Networks, объем максимальной атаки в 2010 г. составил 100 Гбайт, а уже в 2011 г. – в 140 Гбайт.

Помимо простых flood-атак, широкое распространение в последние несколько лет получили атаки уровня приложений (7-й уровень модели OSI). Борьба с такими атаками уже не так проста, так как с точки зрения традиционных средств периметральной защиты, таких как межсетевой экран и система IPS, трафик такой атаки является легитимным с учетом построения полноценного TCP 3-way handshake. На диаграмме ниже представлена информация о распространенности атак уровня L7 модели OSI по данным опроса компании Arbor Networks.

В 2010 г. особое распространение получили так называемые атаки малой мощности (slow level). Несмотря на то что впервые возможность таких атак была представлена в 2008 г., наибольшее распространение они получили именно в последние два года, и, по прогнозам аналитиков, их количество будет все возрастать в дальнейшем. Основная причина их популярности заключается в том, что с примитивным лавинообразным флудом уже многие научились бороться и флудовые атаки стали не столь эффективными. К тому же для создания массированных атак нужны большие бот-сети. Для атак же slow level можно использовать совсем небольшую бот-сеть, хватает и пары сотен зараженных зомби-машин, а отдача от такой атаки будет гораздо больше.

Еще один тип DDoS-атак, который пока не очень распространен в России, – это атаки на DNS-серверы. Так сложилось исторически, что мало кто уделяет достаточно внимания своим DNS-серверам. Чаще всего это старенькие серверы, потому как для DNS-запросов особых мощностей вроде бы и не нужно. Этим и пользуются злоумышленники: организовав атаку на DNS-серверы и выведя их из строя, они добиваются желаемого результата – требуемый сайт или сервис становится недоступен, тaк как перестают разрешаться доменные имена.

Помимо бот-сетей, куда входят зараженные компьютеры, владельцы которых обычно не знают о заражении, в прошлом году был отмечен еще один интересный вариант бот-сетей, так называемых бот-сетей хак-тивистов. Пользователи, которые недовольны какой-то политической проблемой или, например, действиями правительства, добровольно скачивают и запускают у себя код, позволяющий использовать их компьютер для атаки, и таким образом выражают свое отношение к происходящим проблемам.

Одной из основных проблем в защите от DDoS является несовершенство законодательства в области расследования компьютерных инцидентов и наказания виновных, а также простота и доступность программ для организации бот-сетей и создания DDoS-атак.

Варианты защиты

Использование балансировщиков и настроек существующего оборудования ИБ
Достаточно часто компании пытаются использовать существующие средства ИБ для защиты от DDoS. Могут использоваться балансировщики, в том числе и аппаратные, дополнительные настройки защиты на Web-серверах, такие как дополнительные директивы сервера apache, и другие средства.

Безусловно, использование подобных настроек помогает в отражении некоторых типов атак, однако такие решения не могут быть полноценной защитой. В последнее время были зафиксированы DDoS-атаки, направленные на выведение из строя балансировщиков, используя уязвимости в ПО или особенности алгоритмов балансировки. Существующие средства ИБ также легко становятся мишенью атаки, так как большинство из них основаны на statefull-решениях, что само по себе является уязвимостью для DDoS-атаки. Кроме того, достаточно часто появление функций по защите от DDoS в активном сетевом оборудовании является просто маркетинговым шагом, и кнопка "Включить защиту от DDoS" в Web-интерфейсе обычного домашнего маршрутизатора не имеет ничего общего с полноценной защитой.

При всем описанном выше стоит отметить, что, по данным опроса Arbor Networks, листы контроля доступа являются до сих пор одной из самых популярных мер по противодействию DDoS-атакам.

Сторонний сервис по защите
Данный сервис предлагается на рынке уже несколько лет, причем если раньше такой сервис предлагался только зарубежными сервис-провайдерами, то есть трафик для очистки должен был уходить за границу, то сейчас уже в России есть несколько компаний, предлагающих такие услуги как дополнительный платный сервис. Основной принцип предоставления услуги по очистке трафика следующий: трафик заказчика проходит через центр очистки, где он анализируется и обрабатывается, после чего только легитимный трафик отправляется на серверы заказчика. Услуга может предоставляться как на абонентской основе (заказчик платит только за время, когда трафик очищается, либо заказчик платит регулярную абонентскую плату вне зависимости от того, очищается трафик или нет), так и в режиме скорой помощи, когда при возникновении атаки на свои серверы заказчик обращается к провайдеру услуги за помощью.

В качестве механизма перенаправления трафика обычно применяется изменение в DNS-записи, реже – BGP-анонсы.

Провайдеры защиты от DDoS обычно имеют присутствие в IX – центрах обмена трафиком, например, в Москве на M9/M10, таким образом, какой-то большой задержки в удлинении маршрута трафика не происходит.

Минусом такого решения является, во-первых, скорость включения защиты, ведь не секрет, что механизм обновления DNS-записей на серверах построен так, что для полного обновления записи на всех серверах требуется до 24 часов. Во-вторых, еще одним узким местом такого решения является механизм возврата очищенного трафика обратно к клиенту. Самым оптимальным решением здесь был бы выделенный канал от сервис-провайдера до клиента, который бы не был доступен из сети Интернет. Ведь злоумышленнику вполне могут быть известны адреса автономной системы клиента, и в случае атаки интерфейсы, куда должен приходить очищенный трафик, также могут быть подвергнуты атаке.

Устройства для защиты от DDoS

На рынке представлены всего несколько компаний, предлагающих решения по защите от DDoS. При покупке таких устройств заказчик получает полный набор инструментов для защиты.

Обычно такие решения устанавливаются на стороне провайдера. Таким образом, есть возможность останавливать лавинообразные атаки, которые легко могли бы забить канал последней мили. Принцип работы таких решений следующий: у провайдера создается центр очистки трафика, способный очищать многогигабитные атаки. Решение анализирует трафик (по BGP/flow/SNMP) с разных участков сети провайдера – с границы, опорной сети, сети агрегации, и в случае идентификации атаки зараженный трафик отправляется в центр очистки. Там трафик проходит через целый спектр различных противомер и очищается, а уже чистый трафик отправляется далее к клиенту.

В последнее время, из-за появления атак slow level, направленных на Web-серверы, становится необходимым наличие защиты и на последней миле. Ввиду малой мощности трафика атаки детектирование на стороне провайдера порой может быть затруднительным. Именно для таких случаев существуют решения для защиты от DDoS на последней миле, где анализируются все проходящие пакеты и в результате могут детектироваться все возможные DDoS-атаки. Таким образом, в настоящее время полноценным решением по защите от DDoS является эшелонированная защита: очистка на уровне провайдера для отсечения лавинообразных атак и решение для защиты на последней миле.

На рисунке ниже представлена схема комплексной защиты от DDoS, объединяющая в себе как защиту на уровне провайдера, так и на участке последней мили.

Единственным минусом такого решения является цена. Однако стоимость устройств нужно всегда сопоставлять со стоимостью возможных потерь бизнеса, к которым может привести недоступность сервисов.

Каким образом защищаться, каждая компания решает самостоятельно. Главное – не забывать о том, что в современном цифровом мире, где бизнес уже практически невозможен без онлайн-доступа к сети Интернет, такая защита просто необходима.

И несколько рекомендаций напоследок. Если у вас небольшой сайт, размещенный в сети Интернет с каналом до 100 Мбайт, возможно, для вас будет достаточно воспользоваться внешней услугой по защите от DDoS. Попробуйте поинтересоваться у вашего провайдера, возможно, он уже ее предоставляет!

Если же доступность сети критична для ведения бизнеса и простой даже на несколько часов принесет крупные убытки, лучше установить полноценную эшелонированную защиту от DDoS, причем самый оптимальный вариант – это защита как на стороне провайдера, так и на стороне клиента.