База знаний

Список статей
Наверх

DDoS-атаки: краткая справка

Аббревиатура DDoS означает Distributed Denial of Service - распределённая атака на отказ в обслуживании. DDoS-атакой называется нарушение функционирования атакуемой машины путём отправки на неё запросов с многочисленных хостов.

Как правило, DDoS-атаки осуществляются через ботнет - сеть компьютеров, на которых установлено вредоносное ПО (это называется зомбификацией).

DDoS-атаку, осуществляемую через ботнет, можно наглядно представить в виде следующей схемы:

imageНекоторые виды атак могут осуществляться и без ботнета (например,  UDP-флуд).

Глоссарий

ТерминОпределение

Полоса пропускания

Максимально возможное количество передаваемых данных в единицу времени

Полоса фильтрации

Полоса максимальной атаки, которую можно отфильтровать. Измеряется в терабитах в секунду (Tbps)

Узел фильтрации

Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей

Ширина канала

Максимальное количество информации, которое возможно передать через канал связи. Измеряется в битах в секунду. Обычно учитывается лишь общее количество данных для передачи за период времени без учета качества связи

CDN (Content Delivery Network)

Географически распределённая сетевая инфраструктура, позволяющая оптимизировать доставку контента конечным пользователям в сети Интернет и способствует увеличению скорости загрузки цифрового контента в точках присутствия

Firewall

Комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита сети или отдельных её узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под заданные критерии

SIEM (Security information and event management)

Объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информационной безопасностью, и SEM (Security event management) — управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений

SSL

Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат

WAF (Web Application Firewall)

Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения

Цели атак

По цели все DDoS-атаки можно разделить на следующие группы:

  1. Атаки, целью которых является перегрузка полосы пропускания. Примерами атак этого типа могут служить уже упоминавшийся выше UDP-флуд, ICMP-флуд (он же пинг-флуд), и другие практики рассылки пакетов, которые не запрашивались. Сила таких атак измеряется в гигабитах в секунду. Она постоянно увеличивается и сейчас может составлять до 100 и более гигабит в секунду.

  2. Атаки на уровне протоколов. Как и следует из названия, атаки этого типа используют ограничения и уязвимости различных сетевых протоколов. Они “бомбардируют” сервер паразитными пакетами,и он становится неспособным обработать запросы легальных пользователей. В качестве примера можно привести SYN-флуд, teardrop и другие атаки, нарушающие нормальное движение пакетов внутри протокола на разных стадиях.

  3. Атаки на уровне приложений нарушают нормальное функционирование системы, используя уязвимости и слабые места приложений и операционных систем.

Методы защиты от DDoS

Методы защиты от DDoS-атак подразделяются на две большие группы: методы предупреждения и методы реагирования.

Для предотвращения DDoS-атак обычно используются аппаратные методы защиты периметра сети - файервол в сочетании с системой обнаружения вторжений (Intrusion Detection Systems, IDS). Однако защиты в строгом смысле этого слова они не обеспечивают.

DDoS-атаку вполне возможно организовать и в рамках разрешённых файерволом пакетов. Что касается IDS, то они обычно работают в рамках сигнатурного и статистического анализа, сравнивая входящие пакеты с существующими шаблонами трафика. Если атака осуществляется путём рассылки обычных сетевых пакетов, которые по отдельности вредоносными не являются, не все IDS смогут её  обнаружить.

Кроме того, и файерволы, и IDS зачастую являются устройствами с контролем сессий, поэтому сами могут стать объектом атаки.

Эффективным средством предотвращения DDoS-атак является многократное резервирование - организация кластеров из серверов, размещённых в разных дата-центрах и подключенных к разным каналам связи. Если один из компонентов такой системы выйдет из строя, клиенты будут перенаправлены к работающим серверам. Этот метод имеет только один недостаток: построение распределённого кластера с многократным резервированием требует очень больших финансовых затрат.

Методы реагирования используются в ситуации, когда атака уже началась и её нужно остановить (или, по крайней мере, минимизировать её последствия).

Если целью атаки является единичная машина, то можно просто сменить её IP-адрес. Новый адрес затем можно прописать на DNS-сервере и давать лишь самым надёжным внешним пользователям. Такое решение вряд ли можно назвать идеальным, но оно вполне действенно.

В некоторых случаях помогают методики фильтрации. Проанализировав вредоносный трафик, можно обнаружить в нём определённую сигнатуру. На основе результатов анализа можно строить ACL маршрутизатора или правила файервола.

Кроме того, большая часть атакующего трафика часто поступает от конкретного провайдера или магистрального маршрутизатора. В такой ситуации возможным решением является блокировка направления, из которого поступает сомнительный трафик (следует, однако, учесть, что легитимный трафик в этом случае тоже будет заблокирован).

Если ни один из перечисленнных выше методов не помогает и ничего сделать больше нельзя, используется так называемый блэкхолинг перенаправление трафика на несуществующий интерфейс (в “чёрную дыру”). Как правило, это приводит к тому, что атакуемый сервер в течение некоторого времени является недоступным из внешней сети. Уже по этой причине блэкхолинг вряд ли можно назвать полноценным способом защиты: по сути он лишь помогает организаторам атаки быстрее достигнуть свой цели - сделать атакуемый ресурс недоступным.

В последние годы широкое распространение получили комплексные программно-аппаратные решения для защиты от DDoS. Их преимущество заключается в том, что они могут не пропускать вредоносный трафик, не создавая при этом проблем с доступностью атакуемого сервиса для легитимных пользователей. 

Система защиты от DDoS

Используемая система защиты от DDoS включает не один, а несколько программно-аппаратных комплексов, в том числе Arbor Pravail и F5. Очистка и анализ трафика осуществляются непосредственно в сети при помощи специализированных программных инструментов.

Эта система обеспечивает защиту от следующих видов атак:

  • TCP-флуд;

  • SYN-флуд;

  • нелигитимные комбинации TCP-флагов;

  • атаки на размер окна (sockstress);

  • атаки на TCP-сессии типа TCP Idle, Slow TCP и другие;

  • атаки на HTTP-сессии (Slowloris, Pyloris и т.п.);

  • атаки на SSL-сигнализацию;

  • HTTP-флуд;

  • DNS-флуд;

  • DNS Cache Poisoning;

  • UDP-флуд;

  • ICMP-флуд;

  • атаки IP-, TCP и UDP-фрагментами;

  • атаки на VoIP и SIP.

В случае обнаружения атак могут быть использованы следующие противомеры:

  • Invalid packet List – фильтрация пакетов, не соответствующих RFC;

  • создание чёрных и белых списков IPv4- и IPv6-адресов;

  • GeoIP Filter Lists – фильтрация трафика по странам (блокирует трафик из стран, откуда приходит наибольшее число DDoS-атак).

  • GeoIP Policing – полисинг трафика по странам (мониторинг входящего трафика и ограничение трафика из стран, откуда приходит наибольшее количество DDoS-атак).

  • Flexible Zombie Detection – выявление зомби и создание профилей легитимного трафика;

  • TCP SYN Authentication – противодействие TCP-флудам посредством аутентификации клиента;

  • DNS Authentication – противодействие DNS-флудам посредством аутентификации клиента;

  • DNS Scoping – валидация DNS-запросов с помощью регулярных выражений;

  • DNS Malformed – проверка DNS-запросов на соответствие RFC.

  • DNS Rate Limiting – ограничение количества DNS-запросов с одного IP-адреса (подойдёт лишь для ресурсов с небольшой посещаемостью: в нашей стране провайдерами очень часто используется NAT. Вполне типичным является случай, когда “серая” подсеть /16 выходит в Интернет через один IP, и все DNS-запросы идут с одного адреса).

  • DNS NXDomain Rate Limiting – валидация DNS-ответов. Эта противомера предназначена для атак, при которых кэш DNS-серверов переполняется невалидными записями; она направлена на отслеживание запросов с несуществующим DNS-именем.

  • DNS Regular Expression – фильтрация DNS-запросов по регулярным выражениям.

  • TCP Connection Reset – предотвращение слишком долгих TCP-соединений.

  • Payload Regular Expression – фильтрация трафика посредством регулярного выражения применительно к Payload- пакетам.

  • HTTP Malformed – блокирование HTTP-трафика, не соответствующего RFC.

  • HTTP Rate Limiting - ограничение количества HTTP-запросов с одного IP-адреса.

  • HTTP Scoping - валидация HTTP-запросов с помощью регулярных выражений.

  • SSL Negotiation - блокирование SSL-трафика, не соответствующего RFC.

  • AIF and HTTP/URL Regular Expression – наложение сигнатур AIF на исследуемый трафик.

  • SIP Malformed – блокирование SIP-трафика, не соответствующего RFC.

  • SIP Request Limiting - ограничение количества SIP-запросов с одного IP-адреса.

Как это работает

Клиентам, заказывающим услугу защиты от DDoS, мы предоставляем защищённые IP-адреса (один адрес входит в базовый тариф, дополнительные адреса можно заказать через панель управления). Также мы выделяем специальную полосу для защищённого трафика. Трафик из Интернета идёт на защищённые адреса через сеть наших партнёров, где и проходит процедуру очистки.

Весь нелегитимный трафик отбрасывается на сети партнёра. Клиентам поступает только очищенный трафик.

Маршрут движения очищенного трафика показан на следующей схеме:

image