DDoS-атаки: краткая справка

Аббревиатура DDoS означает Distributed Denial of Service — распределённая атака на отказ в обслуживании. DDoS-атакой называется нарушение функционирования атакуемой машины путём отправки на неё запросов с многочисленных хостов.

Как правило, DDoS-атаки осуществляются через ботнет — сеть компьютеров, на которых установлено вредоносное ПО (это называется зомбификацией).

DDoS-атаку, осуществляемую через ботнет, можно наглядно представить в виде следующей схемы:

Некоторые виды атак могут осуществляться и без ботнета (например, UDP-флуд).

Глоссарий

Термин Определение
Полоса пропускания Максимально возможное количество передаваемых данных в единицу времени
Полоса фильтрации Полоса максимальной атаки, которую можно отфильтровать. Измеряется в терабитах в секунду (Tbps)
Узел фильтрации Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей
Ширина канала Максимальное количество информации, которое возможно передать через канал связи. Измеряется в битах в секунду. Обычно учитывается лишь общее количество данных для передачи за период времени без учета качества связи
CDN (Content Delivery Network) Географически распределённая сетевая инфраструктура, позволяющая оптимизировать доставку контента конечным пользователям в интернете и способствует увеличению скорости загрузки цифрового контента в точках присутствия
Firewall Комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита сети или отдельных её узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под заданные критерии
SIEM (Security information and event management) Объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информационной безопасностью, и SEM (Security event management) — управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений
SSL Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат
WAF (Web Application Firewall) Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения

Цели атак

По цели все DDoS-атаки можно разделить на следующие группы:

  1. Атаки, целью которых является перегрузка полосы пропускания. Примерами атак этого типа могут служить уже упоминавшийся выше UDP-флуд, ICMP-флуд (он же пинг-флуд), и другие практики рассылки пакетов, которые не запрашивались. Сила таких атак измеряется в гигабитах в секунду. Она постоянно увеличивается и сейчас может составлять до 100 и более гигабит в секунду.
  2. Атаки на уровне протоколов. Как и следует из названия, атаки этого типа используют ограничения и уязвимости различных сетевых протоколов. Они “бомбардируют” сервер паразитными пакетами,и он становится неспособным обработать запросы легальных пользователей. В качестве примера можно привести SYN-флуд, teardrop и другие атаки, нарушающие нормальное движение пакетов внутри протокола на разных стадиях.
  3. Атаки на уровне приложений нарушают нормальное функционирование системы, используя уязвимости и слабые места приложений и операционных систем.

Методы защиты от DDoS

Методы защиты от DDoS-атак подразделяются на две большие группы: методы предупреждения и методы реагирования.

Для предотвращения DDoS-атак обычно используются аппаратные методы защиты периметра сети — файервол в сочетании с системой обнаружения вторжений (Intrusion Detection Systems, IDS). Однако защиты в строгом смысле этого слова они не обеспечивают.

DDoS-атаку вполне возможно организовать и в рамках разрешённых файерволом пакетов. Что касается IDS, то они обычно работают в рамках сигнатурного и статистического анализа, сравнивая входящие пакеты с существующими шаблонами трафика. Если атака осуществляется путём рассылки обычных сетевых пакетов, которые по отдельности вредоносными не являются, не все IDS смогут её обнаружить.

Кроме того, и файерволы, и IDS зачастую являются устройствами с контролем сессий, поэтому сами могут стать объектом атаки.

Эффективным средством предотвращения DDoS-атак является многократное резервирование - организация кластеров из серверов, размещённых в разных дата-центрах и подключенных к разным каналам связи. Если один из компонентов такой системы выйдет из строя, клиенты будут перенаправлены к работающим серверам. Этот метод имеет только один недостаток: построение распределённого кластера с многократным резервированием требует очень больших финансовых затрат.

Методы реагирования используются в ситуации, когда атака уже началась и её нужно остановить (или, по крайней мере, минимизировать её последствия).

Если целью атаки является единичная машина, то можно просто сменить её IP-адрес. Новый адрес затем можно прописать на DNS-сервере и давать лишь самым надёжным внешним пользователям. Такое решение вряд ли можно назвать идеальным, но оно вполне действенно.

В некоторых случаях помогают методики фильтрации. Проанализировав вредоносный трафик, можно обнаружить в нём определённую сигнатуру. На основе результатов анализа можно строить ACL маршрутизатора или правила файервола.

Кроме того, большая часть атакующего трафика часто поступает от конкретного провайдера или магистрального маршрутизатора. В такой ситуации возможным решением является блокировка направления, из которого поступает сомнительный трафик (следует, однако, учесть, что легитимный трафик в этом случае тоже будет заблокирован).

Если ни один из перечисленнных выше методов не помогает и ничего сделать больше нельзя, используется так называемый блэкхолинг — перенаправление трафика на несуществующий интерфейс (в “чёрную дыру”). Как правило, это приводит к тому, что атакуемый сервер в течение некоторого времени является недоступным из внешней сети. Уже по этой причине блэкхолинг вряд ли можно назвать полноценным способом защиты: по сути он лишь помогает организаторам атаки быстрее достигнуть свой цели — сделать атакуемый ресурс недоступным.

В последние годы широкое распространение получили комплексные программно-аппаратные решения для защиты от DDoS. Их преимущество заключается в том, что они могут не пропускать вредоносный трафик, не создавая при этом проблем с доступностью атакуемого сервиса для легитимных пользователей.

Система защиты от DDoS

Используемая система защиты от DDoS включает не один, а несколько программно-аппаратных комплексов, в том числе Arbor Pravail и F5. Очистка и анализ трафика осуществляются непосредственно в сети при помощи специализированных программных инструментов.

Эта система обеспечивает защиту от следующих видов атак:

  • TCP-флуд;
  • SYN-флуд;
  • нелигитимные комбинации TCP-флагов;
  • атаки на размер окна (sockstress);
  • атаки на TCP-сессии типа TCP Idle, Slow TCP и другие;
  • атаки на HTTP-сессии (Slowloris, Pyloris и т.п.);
  • атаки на SSL-сигнализацию;
  • HTTP-флуд;
  • DNS-флуд;
  • DNS Cache Poisoning;
  • UDP-флуд;
  • ICMP-флуд;
  • атаки IP-, TCP и UDP-фрагментами;
  • атаки на VoIP и SIP.

В случае обнаружения атак могут быть использованы следующие противомеры:

  • Invalid packet List — фильтрация пакетов, не соответствующих RFC;
  • создание чёрных и белых списков IPv4- и IPv6-адресов;
  • GeoIP Filter Lists — фильтрация трафика по странам (блокирует трафик из стран, откуда приходит наибольшее число DDoS-атак);
  • GeoIP Policing — полисинг трафика по странам (мониторинг входящего трафика и ограничение трафика из стран, откуда приходит наибольшее количество DDoS-атак);
  • Flexible Zombie Detection — выявление зомби и создание профилей легитимного трафика;
  • TCP SYN Authentication — противодействие TCP-флудам посредством аутентификации клиента;
  • DNS Authentication — противодействие DNS-флудам посредством аутентификации клиента;
  • DNS Scoping — валидация DNS-запросов с помощью регулярных выражений;
  • DNS Malformed — проверка DNS-запросов на соответствие RFC;
  • DNS Rate Limiting — ограничение количества DNS-запросов с одного IP-адреса (подойдёт лишь для ресурсов с небольшой посещаемостью: в нашей стране провайдерами очень часто используется NAT. Вполне типичным является случай, когда “серая” подсеть /16 выходит в интернет через один IP, и все DNS-запросы идут с одного адреса);
  • DNS NXDomain Rate Limiting — валидация DNS-ответов. Эта противомера предназначена для атак, при которых кэш DNS-серверов переполняется невалидными записями; она направлена на отслеживание запросов с несуществующим DNS-именем;
  • DNS Regular Expression — фильтрация DNS-запросов по регулярным выражениям;
  • TCP Connection Reset — предотвращение слишком долгих TCP-соединений;
  • Payload Regular Expression — фильтрация трафика посредством регулярного выражения применительно к Payload- пакетам;
  • HTTP Malformed — блокирование HTTP-трафика, не соответствующего RFC;
  • HTTP Rate Limiting — ограничение количества HTTP-запросов с одного IP-адреса;
  • HTTP Scoping — валидация HTTP-запросов с помощью регулярных выражений;
  • SSL Negotiation — блокирование SSL-трафика, не соответствующего RFC;
  • AIF and HTTP/URL Regular Expression — наложение сигнатур AIF на исследуемый трафик;
  • SIP Malformed — блокирование SIP-трафика, не соответствующего RFC;
  • SIP Request Limiting — ограничение количества SIP-запросов с одного IP-адреса.

Как это работает

Клиентам, заказывающим услугу защиты от DDoS, мы предоставляем защищённые IP-адреса (один адрес входит в базовый тариф, дополнительные адреса можно заказать через панель управления) и выделяем специальную полосу для защищенного трафика.

Весь входящий и исходящий трафик на защищенные IP-адреса идет не напрямую, а проходит через комплекс защиты. Нелегитимный трафик отбрасывается, а к вам поступает только очищенных входящий трафик. Обладая информацией об исходящем трафике, система фильтрации будет использовать дополнительные алгоритмы, использование которых повышает точность фильтрации при TCP ACK/FIN/RST атаках до 99,9%.

Маршрут движения очищенного трафика показан на следующей схеме: