Как эффективно защититься от DDoS-атакРеальные инциденты и примеры защиты

Алексей Мальнев
Руководитель отдела защиты КСИИ
департамента информационной безопасности "АМТ-ГРУП"

Проблема действительно актуальна, и DDoS-атаки являются наиболее распространенными среди всех инцидентов И Б. С одной стороны, этому способствует сущность DDoS-атак: последствия успешных DDoS-атак может заметить даже неспециалист. С другой стороны, целями DDoS-атак прежде всего являются организации, где в приоритете доступность сервисов, поэтому любые сбои воспринимаются крайне болезненно и реакция возникает мгновенно: отказ сервисов означает прямые финансовые и репутационные потери. Зачастую цель DDoS-атак - скрыть другие сетевые атаки и махинации (например, в финансовом секторе). Учитывая, что таких организаций много, процесс развития DDoS-атак прошел длинный путь от единичных случаев хулиганства хакеров до создания целой индустрии, построенной на деньгах конкурирующих организаций.

В данной статье рассматриваются некоторые реальные инциденты DDoS-атак (произошедшие за последние несколько лет) и примеры их успешного отражения.

Чем и как защищаются от DDoS-атак?

Как и в любой области ИБ, защита от DDoS-атак требует комплексного подхода. Использование одного средства или механизма, как правило, малоэффективно или может легко обходиться злоумышленниками.

Основной набор средств и механизмов защиты от DDoS включает в себя три главных пункта:

1. Network Foundation Protection (NFP) - набор встроенных механизмов базовой защиты сетевой инфраструктуры. В первую очередь речь идет о механизмах Data Plane Security и Control Plane Security: Control Plane Policing (CPP), infrastructure ACLs (iACL), receive ACL (rACL), uRPF (unicast reverse path forwarding), Remotely Triggered Blackholes (RTBH), Sink Holes, BGP security. Скрупулезная настройка механизмов NFP позволяет изначально исключить многие инциденты ИБ, в том числе и некоторые DDoS-атаки.
2. Использование встроенных специализированных функций защиты от DDoS сетевого оборудования. В первую очередь тут стоит упомянуть о технологии TCP SYN Proxy, которой обладает почти любой современный маршрутизатор или межсетевой экран. В некоторых случаях межсетевые экраны могут ограничивать интенсивность передачи или запроса контента на прикладном уровне. Встроенные механизмы защиты сенсоров предотвращения вторжений также обладают возможностями обнаружения и блокирования некоторых DDoS-атак.
3. Специализированные системы обнаружения и предотвращения DDoS-атак. Средства очистки DDoS должны обладать высокими показателями по интенсивности обработки сетевых пакетов (packet per second, pps). Как правило, в подобных системах показатели производительности по pps исчисляются от 1-3 Mpps и более. В большинстве случаев абонентские системы обнаружения и предотвращения DDoS-атак строятся на высокоскоростных ASIC (или подобных) пакетных процессорах. Используются различные механизмы их обнаружения и противомеры.

Средства и механизмы противодействия DDoS-атакам специализированных средств можно разделить на два класса по условиям и месту их применения: корпоративные системы защиты (функционируют на стороне абонентов) и провайдерские системы защиты (функционируют в каналах интернет-провайдеров).

Разница между подходами и выбором механизмов средств защиты корпоративного и провайдерского уровня довольно существенная. Основное различие между ними определяется несколькими факторами (см. табл.):

• способ перенаправления "грязного" и "очищенного" трафика в центры очистки;
• место включения в каналы связи;
• метод обнаружения DDoS-атак;
• производительность центров очистки;
• эффективность (глубина) очистки.

В то же время многие механизмы защиты в обоих случаях имеют одинаковую природу. Существует распространенное мнение, что защита на стороне сети абонента менее эффективна, поскольку при загруженном DDoS-трафиком канале никакая очистка не будет иметь смысл. В общем, это действительно так, но тем не менее практика показывает, что наиболее эффективным является сочетание элементов защиты как в сети провайдера, так и на стороне абонента (об этом в примерах ниже).

Эволюция DDoS-атак на примерах

1. Первые инциденты, с которыми мы столкнулись на практике, произошли в 2008 г.

Запрос из одного российского банка пришел в формате запроса экстренной помощи: второй месяц внешний сегмент банка находился под DDoS-атаками интенсивностью несколько десятков Мбит. При этом банк имел приобретенный сервис защиты от DDoS от своего оператора. Оператор присылал отчеты системы детектирования DDoS атак операторского уровня об успешной очистке трафика, однако в канал еще попадало около 10 Mbps TCP SYN трафика, что хватало для отказа в обслуживании одного из сервисов интернет-банкинга. При включении HTTP SYN Proxy на межсетевом экране внешнего периметра (с анонсированной производительностью около 500 Mbps) загрузка центрального процессора доходила до 100% и весь внешний периметр банка становился недоступным. При включении такой же функции на маршрутизаторах картина была аналогичной. В результате во внешний периметр банка была оперативно установлена специализированная система защиты от DDoS корпоративного уровня, которая была настроена непосредственно под атакой. Учитывая простоту атаки, было достаточно активизировать TCP Syn Proxy.

2. В 2010 г. мы столкнулись с интересным явлением на площадке одного из банков: наряду с методичным нарастанием интенсивности DDoS-атак наблюдался целый комплекс других злонамеренных сетевых воздействий на внешние сервисы банка. Первоначально каналы были очищены от трафика DDoS TCP SYN атаки. Вместе с этим система предотвращения вторжений обнаружила и заблокировала целый букет попыток (порядка 50 типов атак) использовать уязвимости группы серверов и сетевого оборудования плюс наблюдалась активность со сканированием. Наиболее сложной для фильтрации оказалась HTTP Get атака с интенсивностью порядка 500 get request/sec. Удалось ограничить и подавить активность ботнета по всем типам атак (анализ занял приблизительно два дня).

3. В 2012 г. произошел интересный инцидент на площадке хостинг-компании. После настройки специализированной корпоративной системы очистки DDoS-трафика оказалось, что стандартные средства обнаруживают и подавляют не более 40% объема DDoS-трафика, представляющего собой набор из TCP SYN атаки, UDP Flood и ICMP Smurf. Частично атака была подавлена средством блокирования по используемым IP-адресам источников по регионам (географические списки доступа). Однако часть сервисов по-прежнему была недоступна. Посредством тщательного анализа дампа трафика и взаимодействия с командой разработчиков средства очистки от DDoS была обнаружена медленная атака типа Slow Read DoS (выполняется инструментами типа Slowloris). Атака была блокирована включенными ботнет-сигнатурами и дополнительно настроенными списками доступа.

4. В 2012 г. крупный региональный сервис-провайдер сигнализировал о крупной DDoS-атаке и ряде попыток взлома сервисов абонентов. После перевода трафика в устройства центра DDoS-очистки операторского уровня, абонент продолжал сигнализировать об отказе одного из Web-сервисов. После двух дней изучения дампа трафика оказалось, что на сервис воздействует ботнет размером порядка 10 000 хостов, при этом использовалась медленная http get атака. В данной атаке каждый бот выполнял по нескольку http get request запросов, после уходил в режим ожидания на полторы минуты и более, затем менялся запрашиваемый URL. В результате отследить статистику URL и по ip source было проблематично. Ботнет был отфильтрован статическим фильтром после получения статистики из дампа.

Сложность DDoS-атак продолжит расти

Средняя интенсивность, продолжительность и сложность DDoS-атак растут из года в год (в мире уже были прецеденты DDoS-атак с интенсивностью 60 Gbps и продолжительностью до нескольких месяцев). В ближайшие годы ситуация только ухудшится, при этом активно развиваются новые сложные и медленные DDoS-атаки, крайне тяжелые для обнаружения. Встречается ошибочное, на мой взгляд, мнение, что специализированные системы защиты от DDoS содержат интеллектуальные алгоритмы обнаружения и универсальные противомеры очистки от DDoS, способные самостоятельно обнаруживать и выполнять очистку большинства DDoS-атак. Практика показывает, что в действительности ситуация ровно противоположная. Решений из коробки, не требующих вмешательства квалифицированных специалистов, нет. В сегодняшних реалиях и детектирование, и очистка каналов в большинстве случаев требуют включения и тщательного анализа такими специалистами. Это привело, в свою очередь, к развитию рынка услуг и аутсорсинга по данной тематике, появились сервисные команды оперативной помощи в отражении DDoS-атак. В ближайшие годы, скорее всего, работы у них прибавится.