Турция оказалась под массированной DDoS-атакой. DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты Как защититься от флуда

Признаки беременности после имплантации эмбриона

Брайан Кребс когда-то работал в The Washington Post, вёл для них расследования об интернет безопасности. Позже журналист уволился, чтобы открыть собственный блог. Специализацию экс-журналист не поменял, за что в сентябре и поплатился, когда раскрыл афёру двух израильских подростков..

Итак, Брайан Кребс занимался своим привычным делом, расследовал интернет -преступления. К этому времени в его списке раскрытых дел значилось дело о вирусе Stuxnet, который собирал данные с домашних компьютеров и промышленных предприятий. Кребс был первым, кто публично рассказал о вирусе ещё в 2010 году. Тремя годами позднее Брайан раскрыл человека, который продавал информацию о картах покупателей магазинов Target. Месть интернет - преступников была специфичной, к нему домой вызвали полицейских.

Так что думается, Брайан понимал, на что способны хакеры, правда возможные масштабы вряд ли мог представить, когда в сентябре опубликовал пост об израильских подростках, занимавшихся DDoS-атаками. В этот же день хакеров арестовали, но позднее отпустили под залог. Совпадение или нет, но с этого момента сайту Брайана пришлось отбиваться от серьёзной DDoS-атаки, с которой не справилась одна из ведущих компаний по обеспечению интернет-безопасности. Akamai четыре года безвозмездно обеспечивала защиту блога Кребса от DDoS-атак. В своей публикации специалист по интернет – безопасности рассказал о сервисе vDOS, который по официальной версии тестировал нагрузки на сайты, но на самом деле нарушал их работу. По примерной оценке, создателям сервиса удалось присвоить порядка 600 тысяч долларов.

Помощникам Кребса удалось скачать базы данных, с помощью которых были установлены настоящие адреса серверов в Болгарии, с которых велись DDoS-атаки. Как вы понимаете, хакеры заинтересованы в сокрытии своих реальных IP-адресов. Проанализировав данные, Брайану удалось установить имена и даже номера телефонов жителей Израиля, которые могли быть владельцами сервиса.

Позднее стало известно, что день публикации поста были арестованы двое подростков, но которые вскоре вышли на свободу. А уже 10 сентября у сайта Брайана Кребса начались проблемы. На максимуме мощность атаки достигала 140 гигабит в секунду. Обиженные хакеры не преминули оставить Кребсу сообщения «идисдохнимудак» («godiefaggot»). На какое-то время блог даже прекратил работу, но специалисты Akamai сумели его восстановить. Но атаки на этом не прекратились. А к 20 сентября её мощность составила уже 665 гигабит в секунду. Akamai вынуждена была отказаться от сопровождения блога Кребса, чтобы обеспечить безопасность платным подписчикам. Мощность атаки, которой подвергся сайт, была в два раза больше, чем специалистам Akamai приходилось до сих пор наблюдать. Некоторые журналисты и вовсе сошлись во мнении, что это крупнейшая атака за всю историю интернета. Например, в начале 2016 года сайт «Би-Би-Си» подвергся атаке мощностью 602 гигабита в секунду. Несколькими месяцами позднее рекорд был побит.

Видимо, пост Кребса задел злоумышленников за живое. Атака велась с помощью IP-камер, роутеров и других «интернет вещей», на которые пользователи устанавливают стандартные пароли. Хакеры даже не пытались замести следы и засветили адреса большинства устройств, которые еще могли быть использованы для других финансовых атак. Опять таки, не стали мудрить со словоформами. Ник одного из создателей vDOC – AppleJ4ck можно было прочитать в некоторых POST-запросах атаки, содержащих строку «freeapplej4ck». Только вмешательство Google позволило восстановить сайт с расследованиями Кребса. Project Shield интернет-гиганта как раз защищает сайты независимых журналистов и СМИ от кибер - атак.

А в первой публикации, после восстановления сайта, Брайан Кребс рассуждал о цензуре в интернете. Эффективные инструменты есть не только у государства, но и у преступников. DDoS атаки могут быть серьезной преградой для независимых расследований в условиях современной рыночной экономики. Не у всех медиа есть бюджет в 200 тысяч долларов для кибер защиты.

Ошибка в тексте? Выделите ее мышкой! И нажмите: Ctrl + Enter

Андрей Головачев напомнил на своей странице в «Фейсбук», что политическая карьера всех украинских президентов заканчивалась катастрофой. По словам политического эксперта, Леонид Кучма получил под

Около полугода назад общественность узнала о том, что у известной российской актрисы Анастасии Заворотнюк была обнаружена злокачественная опухоль головного мозга. По состоянию на сегодняшний день нет

Обсуждая обеспокоенность президента Владимира Зеленского во время визита в Ватикан, некоторые обозреватели отметили, что это первый подобный случай в истории, когда в Собор Святого Петра чиновники

Кого атакуют?

По данным ЦБ, в 2016 году количество на российские финансовые организации увеличилось почти вдвое. В ноябре DDoS-атаки были направлены на пять крупных российских банков. В конце прошлого года ЦБ сообщал о DDoS-атаках на финансовые организации, в том числе Центральный банк. «Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры», - отмечали в службах безопасности крупных банков.

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Однако жертвами DDoS-атак становятся как многочисленные организации и компании, на обладающие столь мощной «обороной». В 2017 году ожидается рост ущерба от киберугроз – программ-вымогателей, DDoS и атак на устройства интернета вещей.


Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.


По данным отчета «2016 Verizon data breach incident report» (DBIR), в прошлом году количество DDoS-атак заметно выросло. В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ, ритейл.

Примечательная тенденция DDoS-атак – расширения «списка жертв». Он включает теперь представителей практически всех отраслей. Кроме того, совершенствуются методы нападения.
По данным Nexusguard, в конце 2016 года заметно выросло число DDoS-атак смешанного типа - с использованием сразу нескольких уязвимостей. Чаще всего им подвергались финансовые и государственные организации. Основной мотив кибепреступников (70% случаев) – кража данных или угроза их уничтожения с целью выкупа. Реже – политические или социальные цели. Вот почему важна стратегия защиты. Она может подготовиться к атаке и минимизировать ее последствия, снизить финансовые и репутационные риски.

Последствия атак

Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.
По данным опроса компании , DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.


Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.
По данным опроса компании , количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час.

Типы DDoS-атак

Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Организация DDoS-атак заметно упростилась: сейчас есть широко доступные автоматизированные инструменты, практически не требующие от киберпреступников специальных знаний. Существуют и платные сервисы DDoS для анонимной атаки цели. Например, сервис vDOS предлагает свои услуги, не проверяя, является ли заказчик владельцем сайта, желающим протестировать его «под нагрузкой», или это делается с целью атаки.


DDoS-атаки представляют собой атаки из многих источников, препятствующие доступу легитимных пользователей к атакуемому сайту. Для этого в атакуемую систему направляется огромное количество запросов, с которыми та справиться не может. Обычно для этой цели используются скомпрометированные системы.

Ежегодный рост количества DDoS-атак оценивается в 50% (по сведениям ), но данные разных источников расходятся, на и не все инциденты становятся известными. Средняя мощность DDoS-атак Layer 3/4 выросла в последние годы с 20 до нескольких сотен Гбайт/с. Хотя массовые DDoS-атаки и атаки на уровне протоколов уже сами по себе – штука неприятная, киберпреступники все чаще комбинируют их с DDoS-атаками Layer 7, то есть на уровне приложений, которые нацелены на изменение или кражу данных. Такие «многовекторные» атаки могут быть очень эффективными.


Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае массовой DDoS-атаки (volume based) используется большое количество запросов, нередко направляемых с легитимных IP-адресов, чтобы сайт «захлебнулся» в трафике. Цель таких атак – «забить» всю доступную полосу пропускания и перекрыть легитимный трафик.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители - DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры - Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Протокол UDP подвержен спуфингу – замене адреса. Например, если нужно атаковать сервер DNS по адресу 56.26.56.26, используя атаку DNS Amplification, то можно создать набор пакетов с адресом отправителя 56.26.56.26 и отправить их DNS-серверам по всему миру. Эти серверы пришлют ответ по адресу 56.26.56.26.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

К атакам Layer 7 прибегают в основном профессиональные хакеры. Принцип следующий: берется «тяжелый» URL (с файлом PDF или запросом к крупной БД) и повторяется десятки или сотни раз в секунду. Атаки Layer 7 имеют тяжелые последствия и трудно распознаются. Сейчас они составляют около 10% DDoS-атак.


Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS

Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.
По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.


При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

При этом достигается двойной эффект. Целевую систему бомбардируют тысячи и миллионы ответов DNS, а DNS-сервер может «лечь», не справившись с нагрузкой. Сам запрос DNS – это обычно менее 50 байт, ответ же раз в десять длиннее. Кроме того, сообщения DNS могут содержать немало другой информации.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.


Запросы выглядят как обычный трафик, а ответы – это множество сообщений большого размера, направляемых на целевую систему.

Как защититься от DDoS-атак?

Как же защититься от DDoS-атак, какие шаги предпринять? Прежде всего, не стоит откладывать это «на потом». Какие-то меры следует принимать во внимание при конфигурировании сети, запуске серверов и развертывании ПО. И каждое последующее изменение не должно увеличивать уязвимость от DDoS-атак.
  • Безопасность программного кода. При написании ПО должны приниматься во внимание соображения безопасности. Рекомендуется следовать стандартам «безопасного кодирования» и тщательно тестировать программное обеспечение, чтобы избежать типовых ошибок и уязвимостей, таких как межсайтовые скрипты и SQL-инъекции.

  • Разработайте план действий при обновлении программного обеспечения. Всегда должна быть возможность «отката» в том случае, если что-то пойдет не так.

  • Своевременно обновляйте ПО. Если накатить апдейты удалось, но при этом появились проблемы, см. п.2.

  • Не забывайте про ограничение доступа. Аккаунты admin и/или должны быть защищены сильными и регулярно сменяемыми паролями. Необходим также периодический аудит прав доступа, своевременное удаление аккаунтов уволившихся сотрудников.

  • Интерфейс админа должен быть доступен только из внутренней сети или через VPN. Своевременно закрывайте VPN-доступ для уволившихся и тем более уволенных сотрудников.

  • Включите устранение последствий DDoS-атак в план аварийного восстановления. План должен предусматривать способы выявления факта такой атаки, контакты для связи с интернет- или хостинг-провайдером, дерево «эскалации проблемы» для каждого департамента.

  • Сканирование на наличие уязвимостей поможет выявить проблемы в вашей инфраструктуре и программном обеспечении, снизить риски. Простой тест OWASP Top 10 Vulnerability выявит наиболее критичные проблемы. Полезными также будут тесты на проникновение – они помогут найти слабые места.

  • Аппаратные средства защиты от DDoS-атак могут быть недешевы. Если ваш бюджет такого не предусматривает, то есть хорошая альтернатива – защита от DDoS «по требованию». Такую услугу можно включать простым изменением схемы маршрутизации трафика в экстренной ситуации, либо находится под защитой постоянно.

  • Используйте CDN-партнера. Сети доставки контента (Content Delivery Network) позволяют доставлять контент сайта посредством распределенной сети. Трафик распределяется по множеству серверов, уменьшается задержка при доступе пользователей, в том числе географически удаленных. Таким образом, хотя основное преимущество CDN – это скорость, она служит также барьером между основным сервером и пользователями.

  • Используйте Web Application Firewall – файрвол для веб-приложений. Он мониторит трафик между сайтом или приложением и браузером, проверяя легитимность запросов. Работая на уровне приложений, WAF может выявлять атаки по хранимым шаблонам и выявлять необычное поведение. Атаки на уровне приложений нередки в электронной коммерции. Как и в случае CDN, можно воспользоваться сервисами WAF в облаке. Однако конфигурирование правил требует некоторого опыта. В идеале защитой WAF должны быть обеспечены все основные приложения.

    • Защита DNS

    А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.
    На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.
  • Мониторинг DNS-серверов на предмет подозрительной деятельности является первым шагом в деле защиты инфраструктуры DNS. Коммерческие решения DNS и продукты с открытым исходным кодом, такие как BIND, предоставляют статистику в реальном времени, которую можно использоваться для обнаружения атак DDoS. Мониторинг DDoS-атак может быть ресурсоемкой задачей. Лучше всего создать базовый профиль инфраструктуры при нормальных условиях функционирования и затем обновлять его время от времени по мере развития инфраструктуры и изменения шаблонов трафика.

  • Дополнительные ресурсы DNS-сервера помогут справиться с мелкомасштабными атаками за счет избыточности инфраструктуры DNS. Ресурсов сервера и сетевых ресурсов должно хватать не обработку большего объема запросов. Конечно, избыточность стоит денег. Вы платите за серверные и сетевые ресурсы, которые обычно не используются в нормальных условиях. И при значительном «запасе» мощности этот подход вряд ли будет эффективным.

  • Включение DNS Response Rate Limiting (RRL) снизит вероятность того, что сервер будет задействован в атаке DDoS Reflection – уменьшится скорость его реакции на повторные запросы. RRL поддерживают многие реализации DNS.

  • Используйте конфигурации высокой доступности. Можно защититься от DDoS-атак путем развертывания службы DNS на сервере высокой доступности (HA). Если в результате атаки «упадет» один физический сервер, DNS-служба может быть восстановлена на резервном сервере.

    • Лучшим способом защиты DNS от DDoS-атак будет использование географически распределенной сети Anycast. Распределенные сети DNS могут быть реализованы с помощью двух различных подходов: адресации Unicast или Anycast. Первый подход намного проще реализовать, но второй гораздо более устойчив к DDoS-атакам.

    В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

    При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

    Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

    Средства защиты от DDoS-атак, предоставляемые провайдером

    Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

    Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.


    Услуги предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки - до 1500 Гбит/сек. Оплачивается при этом трафик.

    Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

    Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.

    Введение

    Сразу оговорюсь, что когда я писал данный обзор, я прежде всего ориентировался на аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных. В данной статье излагаются основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.

    Что такое DDoS?

    Наверное, о том, что такое DDoS-атаки, сегодня знает если не каждый "пользователь", то уж во всяком случае - каждый "АйТишник". Но пару слов всё же необходимо сказать.

    DDoS-атаки (Distributed Denial of Service - распределённые атаки класса "отказ в обслуживании") - это атаки на вычислительные системы (сетевые ресурсы или каналы связи), имеющие целью сделать их недоступными для легитимных пользователей. DDoS-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов с одного или многих компьютеров, расположенных в сети Интернет. Если тысячи, десятки тысяч или миллионы компьютеров одновременно начнут посылать запросы в адрес определенного сервера (или сетевого сервиса), то либо не выдержит сервер, либо не хватит полосы пропускания канала связи к этому серверу. В обоих случаях, пользователи сети Интернет не смогут получить доступ к атакуемому серверу, или даже ко всем серверам и другим ресурсам, подключенным через заблокированный канал связи.

    Некоторые особенности DDoS-атак

    Против кого и с какой целью запускаются DDoS-атаки?

    DDoS-атаки могут быть запущены против любого ресурса, представленного в сети Интернет. Наибольший ущерб от DDoS-атак получают организации, чей бизнес непосредственно связан с присутствием в Интернет - банки (предоставляющие услуги Интернет-банкинга), интернет-магазины, торговые площадки, аукционы, а также другие виды деятельности, активность и эффективность которых существенно зависит от представительства в Интернет (турфирмы, авиакомпании, производители оборудования и программного обеспечения, и т.д.) DDoS-атаки регулярно запускаются против ресурсов таких гигантов мировой IT-индустрии, как IBM, Cisco Systems, Microsoft и других. Наблюдались массированные DDoS-атаки против eBay.com, Amazon.com, многих известных банков и организаций.

    Очень часто DDoS-атаки запускаются против web-представительств политических организаций, институтов или отдельных известных личностей. Многим известно про массированные и длительные DDoS-атаки, которые запускались против web-сайта президента Грузии во время грузино-осетинской войны 2008 года (web-сайт был недоступен в течение нескольких месяцев, начиная с августа 2008 года), против серверов правительства Эстонии (весной 2007 года, во время беспорядков, связанных с переносом Бронзового солдата), про периодические атаки со стороны северокорейского сегмента сети Интернет против американских сайтов.

    Основными целями DDoS-атак являются либо извлечение выгоды (прямой или косвенной) путём шантажа и вымогательства, либо преследование политических интересов, нагнетание ситуации, месть.

    Каковы механизмы запуска DDoS-атак?

    Наиболее популярным и опасным способом запуска DDoS-атак является использование ботнетов (BotNets). Ботнет - это множество компьютеров, на которых установлены специальные программные закладки (боты), в переводе с английского ботнет - это сеть ботов. Боты как правило разрабатываются хакерами индивидуально для каждого ботнета, и имеют основной целью отправку запросов в сторону определенного ресурса в Интернет по команде, получаемой с сервера управления ботнетом - Botnet Command and Control Server. Сервером управления ботнетом управляет хакер, либо лицо, купившее у хакера данный ботнет и возможность запускать DDoS-атаку. Боты распространяются в сети Интернет различными способами, как правило - путем атак на компьютеры, имеющие уязвимые сервисы, и установки на них программных закладок, либо путем обмана пользователей и принуждения их к установке ботов под видом предоставления других услуг или программного обеспечения, выполняющего вполне безобидную или даже полезную функцию. Способов распространения ботов много, новые способы изобретаются регулярно.

    Если ботнет достаточно большой - десятки или сотни тысяч компьютеров - то одновременная отправка со всех этих компьютеров даже вполне легитимных запросов в сторону определённого сетевого сервиса (например, web-сервиса на конкретном сайте) приведет к исчерпанию ресурсов либо самого сервиса или сервера, либо к исчерпанию возможностей канала связи. В любом случае, сервис будет недоступен пользователям, и владелец сервиса понесет прямые, косвенные и репутационные убытки. А если каждый из компьютеров отправляет не один запрос, а десятки, сотни или тысячи запросов в секунду, то ударная сила атаки увеличивается многократно, что позволяет вывести из строя даже самые производительные ресурсы или каналы связи.

    Некоторые атаки запускаются более "безобидными" способами. Например, флэш-моб пользователей определенных форумов, которые по договоренности запускают в определенное время "пинги" или другие запросы со своих компьютеров в сторону конкретного сервера. Другой пример - размещение ссылки на web-сайт на популярных Интернет-ресурсах, что вызывает наплыв пользователей на целевой сервер. Если "фейковая" ссылка (внешне выглядит как ссылка на один ресурс, а на самом деле ссылается на совершенно другой сервер) ссылается на web-сайт небольшой организации, но размещена на популярных серверах или форумах, такая атака может вызвать нежелательный для данного сайта наплыв посетителей. Атаки последних двух типов редко приводят к прекращению доступности серверов на правильно организованных хостинг-площадках, однако такие примеры были, и даже в России в 2009 году.

    Помогут ли традиционные технические средства защиты от DDoS-атак?

    Особенностью DDoS-атак является то, что они состоят из множества одновременных запросов, из которых каждый в отдельности вполне "легален", более того - эти запросы посылают компьютеры (зараженные ботами), которые вполне себе могут принадлежать самым обычным реальным или потенциальным пользователям атакуемого сервиса или ресурса. Поэтому правильно идентифицировать и отфильтровать именно те запросы, которые составляют DDoS-атаку, стандартными средствами очень сложно. Стандартные системы класса IDS/IPS (Intrusion Detection / Prevention System - система обнаружения / предотвращения сетевых атак) не найдут в этих запросах "состава преступления", не поймут, что они являются частью атаки, если только они не выполняют качественный анализ аномалий трафика. А если даже и найдут, то отфильтровать ненужные запросы тоже не так просто - стандартные межсетевые экраны и маршрутизаторы фильтруют трафик на основании четко определяемых списков доступа (правил контроля), и не умеют "динамически" подстраиваться под профиль конкретной атаки. Межсетевые экраны могут регулировать потоки трафика, основываясь на таких критериях, как адреса отправителя, используемые сетевые сервисы, порты и протоколы. Но в DDoS-атаке принимают участие обычные пользователи Интернет, которые отправляют запросы по наиболее распространенным протоколам - не будет же оператор связи запрещать всем и всё подряд? Тогда он просто прекратит оказывать услуги связи своим абонентам, и прекратит обеспечивать доступ к обслуживаемым им сетевым ресурсам, чего, собственно, и добивается инициатор атаки.

    Многим специалистам, наверное, известно о существовании специальных решений для защиты от DDoS-атак, которые заключаются в обнаружении аномалий в трафике, построении профиля трафика и профиля атаки, и последующем процессе динамической многостадийной фильтрации трафика. И об этих решениях я тоже расскажу в этой статье, но несколько попозже. А сначала будет рассказано о некоторых менее известных, но иногда достаточно эффективных мерах, которые могут приниматься для подавления DDoS-атак существующими средствами сети передачи данных и её администраторов.

    Защита от DDoS-атак имеющимися средствами

    Существует довольно много механизмов и "хитростей", позволяющих в некоторых частных случаях подавлять DDoS-атаки. Некоторые могут использоваться, только если сеть передачи данных построена на оборудовании какого то конкретного производителя, другие более или менее универсальные.

    Начнем с рекомендаций Cisco Systems. Специалисты этой компании рекомендуют обеспечить защиту фундамента сети (Network Foundation Protection), которая включает защиту уровня администрирования сетью (Control Plane), уровня управления сетью (Management Plane), и защиту уровня данных в сети (Data Plane).

    Защита уровня администрирования (Management Plane)

    Термин "уровень администрирования" охватывает весь трафик, который обеспечивает управление или мониторинг маршрутизаторов и другого сетевого оборудования. Этот трафик направляется в сторону маршрутизатора, или исходит от маршрутизатора. Примерами такого трафика являются Telnet, SSH и http(s) сессии, syslog-сообщения, SNMP-трапы. Общие best practices включают:

    Обеспечение максимальной защищенности протоколов управления и мониторинга, использование шифрования и аутентификации:

    • протокол SNMP v3 предусматривает средства защиты, в то время как SNMP v1 практически не предусматривает, а SNMP v2 предусматривает лишь частично--установленные по умолчанию значения Community всегда нужно менять;
    • должны использоваться различные значения для public и private community;
    • протокол telnet передает все данные, в том числе логин и пароль, в открытом виде (если трафик перехватывается, эта информация легко может быть извлечена и использована), вместо него рекомендуется всегда использовать протокол ssh v2;
    • аналогично, вместо http используйте https для доступа к оборудованию;строгий контроль доступа к оборудованию, включая адекватную парольную политику, централизованные аутентификацию, авторизацию и аккаунтинг (модель AAA) и локальной аутентификации с целью резервирования;

    Реализацию ролевой модели доступа;

    Контроль разрешенных подключений по адресу источника с помощью списков контроля доступа;

    Отключение неиспользуемых сервисов, многие из которых включены по-умолчанию (либо их забыли отключить после диагностики или настройки системы);

    Мониторинг использования ресурсов оборудования.

    На последних двух пунктах стоит остановиться более подробно.
    Некоторые сервисы, которые включены по умолчанию или которые забыли выключить после настройки или диагностики оборудования, могут быть использованы злоумышленниками для обхода существующих правил безопасности. Список этих сервисов ниже:

    • PAD (packet assembler/disassembler);

    Естественно, перед тем как отключать данные сервисы, нужно тщательно проанализировать отсутствие их необходимости в вашей сети.

    Желательно осуществлять мониторинг использования ресурсов оборудования. Это позволит, во первых, вовремя заметить перегруженность отдельных элементов сети и принять меры по предотвращению аварии, и во вторых, обнаружить DDoS-атаки и аномалии, если их обнаружение не предусмотрено специальными средствами. Как минимум, рекомендуется осуществлять мониторинг:

    • загрузки процессора
    • использования памяти
    • загруженности интерфейсов маршрутизаторов.

    Мониторинг можно осуществлять "вручную" (периодически отслеживая состояние оборудования), но лучше конечно это делать специальными системами мониторинга сети или мониторинга информационной безопасности (к последним относится Cisco MARS).

    Защита уровня управления (Control Plane)

    Уровень управления сетью включает весь служебный трафик, который обеспечивает функционирование и связность сети в соответствии с заданной топологией и параметрами. Примерами трафика уровня управления являются: весь трафик, генерируемый или предназначенный для процессора маршрутизации (route processor - RR), в том числе все протоколы маршрутизации, в некоторых случаях - протоколы SSH и SNMP, а также ICMP. Любая атака на функционирование процессора маршрутизации, а особенно - DDoS-атаки, могут повлечь существенные проблемы и перерывы в функционировании сети. Ниже описаны best practices для защиты уровня управления.

    Control Plane Policing

    Заключается в использовании механизмов QoS (Quality of Service - качество обслуживания) для предоставления более высокого приоритета трафику уровня управления, чем пользовательскому трафику (частью которого являются и атаки). Это позволит обеспечить работу служебных протоколов и процессора маршрутизации, то есть сохранить топологию и связность сети, а также собственно маршрутизацию и коммутацию пакетов.

    IP Receive ACL

    Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.

    • применяются уже непосредственно на маршрутизирующем оборудовании перед тем, как трафик достигает процессора маршрутизации, обеспечивая "персональную" защиту оборудования;
    • применяются уже после того, как трафик прошел обычные списки контроля доступа - являются последним уровнем защиты на пути к процессору маршрутизации;
    • применяются ко всему трафику (и внутреннему, и внешнему, и транзитному по отношению к сети оператора связи).

    Infrastructure ACL

    Обычно, доступ к собственным адресам маршрутизирующего оборудования необходим только для хостов собственной сети оператора связи, однако бывают и исключения (например, eBGP, GRE, туннели IPv6 over IPv4, и ICMP). Инфраструктурные списки контроля доступа:

    • обычно устанавливаются на границе сети оператора связи ("на входе в сеть");
    • имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
    • обеспечивают беспрепятственный транзит трафика через границу операторской сети;
    • обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).

    Neighbour Authentication

    Основная цель аутентификации соседних маршрутизаторов - предотвращение атак, заключающихся в отсылке поддельных сообщений протоколов маршрутизации с целью изменить маршрутизацию в сети. Такие атаки могут привести к несанкционированному проникновению в сеть, несанкционированному использованию сетевых ресурсов, а также к тому, что злоумышленник перехватит трафик с целью анализа и получения необходимой информации.

    Настройка BGP

    • фильтрация префиксов BGP (BGP prefix filters) - используется для того, чтобы информация о маршрутах внутренней сети оператора связи не распространялась в Интернет (иногда эта информация может оказаться очень полезной для злоумышленника);
    • ограничение количества префиксов, которые могут быть приняты от другого маршрутизатора (prefix limiting) - используется для защиты от DDoS атак, аномалий и сбоев в сетях пиринг-партнеров;
    • использование параметров BGP Community и фильтрация по ним также могут использоваться для ограничения распространения маршрутной информации;
    • мониторинг BGP и сопоставление данных BGP с наблюдаемым трафиком является одним из механизмов раннего обнаружения DDoS-атак и аномалий;
    • фильтрация по параметру TTL (Time-to-Live) - используется для проверки BGP-партнёров.

    Если атака по протоколу BGP запускается не из сети пиринг-партнера, а из более удаленной сети, то параметр TTL у BGP-пакетов будет меньшим, чем 255. Можно сконфигурировать граничные маршрутизаторы оператора связи так, чтобы они отбрасывали все BGP пакеты со значением TTL < 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

    Защита уровня данных в сети (Data Plane)

    Несмотря на важность защиты уровней администрирования и управления, большая часть трафика в сети оператора связи - это данные, транзитные или же предназначенные для абонентов данного оператора.

    Unicast Reverse Path Forwarding (uRPF)

    Нередко атаки запускаются с использованием технологии спуфинга (spoofing) - IP-адреса источника фальсифицируются с тем, чтобы источник атаки невозможно было отследить. Фальсифицированные IP-адреса могут быть:

    • из реально используемого адресного пространства, но в другом сегменте сети (в том сегменте, откуда была запущена атака, данные поддельные адреса не маршрутизируются);
    • из неиспользуемого в данной сети передачи данных адресного пространства;
    • из адресного пространства, не маршрутизируемого в сети Интернет.

    Реализация на маршрутизаторах механизма uRPF позволит предотвратить маршрутизацию пакетов с адресами источника, несовместимыми или неиспользуемыми в сегменте сети, из которого они поступили на интерфейс маршрутизатора. Данная технология позволяет иногда достаточно эффективно отфильтровать нежелательный трафик наиболее близко к его источнику, то есть наиболее эффективно. Многие DDoS-атаки (включая известные Smurf и Tribal Flood Network) используют механизм спуфинга и постоянной смены адресов источника для того, обмануть стандартные средства защиты и фильтрации трафика.

    Использование механизма uRPF операторами связи, предоставляющим абонентам доступ в Интернет, позволит эффективно предотвратить DDoS-атаки с применением технологии спуфинга, направленные со стороны собственных абонентов против Интернет-ресурсов. Таким образом, DDoS-атака подавляется наиболее близко к её источнику, то есть наиболее эффективно.

    Remotely Triggered Blackholes (RTBH)

    Управляемые черные дыры (Remotely Triggered Blackholes) используются для "сбрасывания" (уничтожения, отправления "в никуда") трафика, поступающего в сеть, путем маршрутизации данного трафика на специальные интерфейсы Null 0. Данную технологию рекомендуется использовать на границе сети для сброса содержащего DDoS-атаку трафика при его поступлении в сеть. Ограничением (причем существенным) данного метода является то, что он применяется ко всему трафику, предназначенному для определенного хоста или хостов, являющимися целью атаки. Таким образом, данный метод может использоваться в случаях, когда массированной атаке подвергается один или несколько хостов, что вызывает проблемы не только для атакуемых хостов, но также и для других абонентов и сети оператора связи в целом.

    Управление черными дырами может осуществляться как вручную, так и посредством протокола BGP.

    QoS Policy Propagation Through BGP (QPPB)

    Управление QoS через BGP (QPPB) полволяет управлять политиками приоритета для трафика, предназначенного определенной автономной системе либо блоку IP-адресов. Данный механизм может оказаться очень полезен для операторов связи и крупных предприятий, в том числе и для управления уровнем приоритета для нежелательного трафика или трафика, содержащего DDoS-атаку.

    Sink Holes

    В некоторых случаях требуется не полностью удалять трафик с использованием черных дыр, а отводить его в сторону от основных каналов или ресурсов для последующего мониторинга и анализа. Именно для этого и предназначены "отводные каналы" или Sink Holes.

    Sink Holes используются чаще всего в следующих случаях:

    • для отвода в сторону и анализа трафика с адресами назначения, которые принадлежат адресному пространству сети оператора связи, но при этом реально не используются (не были выделены ни оборудованию, ни пользователям); такой трафик является априори подозрительным, так как зачастую свидетельствует о попытках просканировать или проникнуть в вашу сеть злоумышленником, не имеющим подробной информации о её структуре;
    • для перенаправления трафика от цели атаки, являющейся реально функционирующим в сети оператора связи ресурсом, для его мониторинга и анализа.

    Защита от DDoS с использованием специальных средств

    Концепция Cisco Clean Pipes - родоначальник отрасли

    Современную концепцию защиты от DDoS-атак разработала (да, да, вы не удивитесь! :)) компания Cisco Systems. Разработанная Cisco концепция получила название Cisco Clean Pipes ("очищенные каналы"). В детально разработанной уже почти 10 лет назад концепции довольно подробно описывались основные принципы и технологии защиты от аномалий в трафике, большая часть которых используется и сегодня, в том числе другими производителями.

    Концепция Cisco Clean Pipes предполагает следующие принципы обнаружения и подавления DDoS-атак.

    Выбираются точки (участки сети), трафик в которых анализируется на предмет выявления аномалий. В зависимости от того, что мы защищаем, такими точками могут являться пиринг-соединения оператора связи с вышестоящими операторами, точки подключения нижестоящих операторов или абонентов, каналы подключения центров обработки данных к сети.

    Специальные детекторы анализируют трафик в этих точках, строят (изучают) профиль трафика в его нормальном состоянии, при появлении DDoS-атаки или аномалии - обнаруживают её, изучают и динамически формируют её характеристики. Далее, информация анализируется оператором системы, и в полуавтоматическом или автоматическом режиме запускается процесс подавления атаки. Подавление заключается в том, что трафик, предназначенный "жертве", динамически перенаправляется через устройство фильтрации, на котором к этому трафику применяются фильтры, сформированные детектором и отражающие индивидуальный характер этой атаки. Очищенный трафик вводится в сеть и отправляется получателю (потому и возникло название Clean Pipes - абонент получает "чистый канал", не содержащий атаку).

    Таким образом, весь цикл защиты от DDoS-атак включает следующие основные стадии:

    • Обучение контрольным характеристикам трафика (профилирование, Baseline Learning)
    • Обнаружение атак и аномалий (Detection)
    • Перенаправление трафика с целью его пропуска через устройство очистки (Diversion)
    • Фильтрация трафика с целью подавления атак (Mitigation)
    • Ввод трафика обратно в сеть и отправка адресату (Injection).

    Н есколько особенностей.
    В качестве детекторов могут использоваться два типа устройств:

    • Детекторы производства Cisco Systems - сервисные модули Cisco Traffic Anomaly Detector Services Module, предназначенные для установки в шасси Cisco 6500/7600.
    • Детекторы производства Arbor Networks - устройства Arbor Peakflow SP CP.

    Ниже приведена таблица сравнения детекторов Cisco и Arbor.

    Параметр

    Cisco Traffic Anomaly Detector

    Arbor Peakflow SP CP

    Получение информации о трафике для анализа

    Используется копия трафика, выделяемая на шасси Cisco 6500/7600

    Используется Netflow-данные о трафике, получаемые с маршрутизаторов, допускается регулировать выборку (1: 1, 1: 1 000, 1: 10 000 и т.д.)

    Используемые принципы выявления

    Сигнатурный анализ (misuse detection) и выявление аномалий (dynamic profiling )

    Преимущественно выявление аномалий; сигнатурный анализ используется, но сигнатуры имеют общий характер

    Форм-фактор

    сервисные модули в шасси Cisco 6500/7600

    отдельные устройства (сервера)

    Производительность

    Анализируется трафик до 2 Гбит/с

    Практически неограниченна (можно уменьшать частоту выборки)

    Масштабируемость

    Установка до 4 модулей Cisco Detector SM в одно шасси (однако модули действуют независимо друг от друга)

    Возможность использования нескольких устройств в рамках единой системы анализа, одному из которых присваивается статус Leader

    Мониторинг трафика и маршрутизации в сети

    Функционал практически отсутствует

    Функционал очень развит. Многие операторы связи покупают Arbor Peakflow SP из-за глубокого и проработанного функционала по мониторингу трафика и маршрутизации в сети

    Предоставление портала (индивидуального интерфейса для абонента, позволяющего мониторить только относящуюся непосредственно к нему часть сети)

    Не предусмотрено

    Предусмотрено. Является серьезным преимуществом данного решения, так как оператор связи может продавать индивидуальные сервисы по защите от DDoS своим абонентам.

    Совместимые устройства очистки трафика (подавления атак)

    Cisco Guard Services Module

    		Arbor Peakflow SP TMS; Cisco Guard Services Module.
    Защита центров обработки данных (Data Centre) при их подключении к Интернет Мониторинг downstream-подключений абонентских сетей к сети оператора связи Обнаружение атак на upstream -подключениях сети оператора связи к сетям вышестоящих провайдеров Мониторинг магистрали оператора связи
    В последней строке таблицы приведены сценарии использования детекторов от Cisco и от Arbor, которые рекомендовались Cisco Systems. Данные сценарии отражены на приведенной ниже схеме.

    В качестве устройства очистки трафика Cisco рекомендует использовать сервисный модуль Cisco Guard, который устанавливается в шасси Cisco 6500/7600 и по команде, получаемой с детектора Cisco Detector либо с Arbor Peakflow SP CP осуществляется динамическое перенаправление, очистка и обратный ввод трафика в сеть. Механизмы перенаправления - это либо BGP апдейты в сторону вышестоящих маршрутизаторов, либо непосредственные управляющие команды в сторону супервизора с использованием проприетарного протокола. При использовании BGP-апдейтов, вышестоящему маршрутизатору указывается новое значение nex-hop для трафика, содержащего атаку - так, что этот трафик попадает на сервер очистки. При этом необходимо позаботиться о том, чтобы эта информация не повлекла организацию петли (чтобы нижестоящий маршрутизатор при вводе на него очищенного трафика не пробовал снова завернуть этот трафик на устройство очистки). Для этого могут использоваться механизмы контроля распространения BGP-апдейтов по параметру community, либо использование GRE-туннелей при вводе очищенного трафика.

    Такое положение дел существовало до тех пор, пока Arbor Networks существенно не расширил линейку продуктов Peakflow SP и не стал выходить на рынок с полностью самостоятельным решением по защите от DDoS-атак.

    Появление Arbor Peakflow SP TMS

    Несколько лет назад, компания Arbor Networks решила развивать свою линейку продуктов по защите от DDoS-атак самостоятельно и вне зависимости от темпов и политики развития данного направления у Cisco. Решения Peakflow SP CP имели принципиальные преимущества перед Cisco Detector, так как они анализировали flow-информацию с возможностью регулирования частоты выборки, а значит не имели ограничений по использованию в сетях операторов связи и на магистральных каналах (в отличие от Cisco Detector, которые анализируют копию трафика). Кроме того, серьезным преимуществом Peakflow SP явилась возможность для операторов продавать абонентам индивидуальный сервис по мониторингу и защите их сегментов сети.

    Ввиду этих или других соображений, Arbor существенно расширил линейку продуктов Peakflow SP. Появился целый ряд новых устройств:

    Peakflow SP TMS (Threat Management System) - осуществляет подавление DDoS-атак путем многоступенчатой фильтрации на основе данных, полученных от Peakflow SP CP и от лаборатории ASERT, принадлежащей Arbor Networks и осуществляющей мониторинг и анализ DDoS-атак в Интернете;

    Peakflow SP BI (Business Intelligence) - устройства, обеспечивающие масштабирование системы, увеличивая число подлежащих мониторингу логических объектов и обеспечивая резервирование собираемых и анализируемых данных;

    Peakflow SP PI (Portal Interface) - устройства, обеспечивающие увеличение абонентов, которым предоставляется индивидуальный интерфейс для управления собственной безопасностью;

    Peakflow SP FS (Flow Censor) - устройства, обеспечивающие мониторинг абонентских маршрутизаторов, подключений к нижестоящим сетям и центрам обработки данных.

    Принципы работы системы Arbor Peakflow SP остались в основном такими же, как и Cisco Clean Pipes, однако Arbor регулярно производит развитие и улучшение своих систем, так что на данный момент функциональность продуктов Arbor по многим параметрам лучше, чем у Cisco, в том числе и по производительности.

    На сегодняшний день, максимальная производительность Cisco Guard модет быть достигнута путем создания кластера из 4-х модулей Guard в одной шасси Cisco 6500/7600, при этом полноценная кластеризация этих устройств не реализована. В то же время, верхние модели Arbor Peakflow SP TMS имеют производительность до 10 Гбит/с, и в свою очередь могут кластеризоваться.

    После того, как Arbor стал позиционировать себя в качестве самостоятельного игрока на рынке систем обнаружения и подавления DDoS-атак, Cisco стала искать партнера, который бы обеспечил ей так необходимый мониторинг flow-данных о сетевом трафике, но при этом не являлся бы прямым конкурентом. Такой компанией стала Narus, производящая системы мониторинга трафика на базе flow-данных (NarusInsight), и заключившая партнерство с Cisco Systems. Однако серьезного развития и присутствия на рынке это партнерство не получило. Более того, по некоторым сообщениям, Cisco не планирует инвестиции в свои решения Cisco Detector и Cisco Guard, фактически, оставляя данную нишу на откуп компании Arbor Networks.

    Некоторые особенности решений Cisco и Arbor

    Стоит отметить некоторые особенности решений Cisco и Arbor.

    1. Cisco Guard можно использовать как совместно с детектором, так и самостоятельно. В последнем случае он устанавливается в режим in-line и выполняет функции детектора анализируя трафик, а при необходимости включает фильтры и осуществляет очистку трафика. Минус этого режима заключается в том, что, во первых, добавляется дополнительная точка потенциально отказа, и во-вторых, дополнительная задержка трафика (хотя она и небольшая до тех пор, пока не включается механизм фильтрации). Рекомендуемый для Cisco Guard режим - ожидания команды на перенаправление трафика, содержащего атаку, его фильтрации и ввода обратно в сеть.
    2. Устройства Arbor Peakflow SP TMS также могут работать как в режиме off-ramp, так и в режиме in-line. В первом случае устройство пассивно ожидает команды на перенаправление содержащего атаку трафика с целью его очистки и ввода обратно в сеть. Во втором пропускает через себя весь трафик, вырабатывает на его основе данные в формате Arborflow и передает их на Peakflow SP CP для анализа и обнаружения атак. Arborflow - это формат, похожий на Netflow, но доработанный компанией Arbor для своих систем Peakflow SP. Мониторинг трафика и выявление атак осуществляет Peakflow SP CP на основании получаемых от TMS данных Arborflow. При обнаружении атаки, оператор Peakflow SP CP дает команду на её подавление, после чего TMS включает фильтры и очищает трафик от атаки. В отличие от Cisco, сервер Peakflow SP TMS не может работать самостоятельно, для его работы требуется наличие сервера Peakflow SP CP, который производит анализ трафика.
    3. Сегодня большинство специалистов сходятся во мнении, что задачи защиты локальных участков сети (например, подключение ЦОДов или подключение downstream-сетей) эффек

    Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, зафиксировала факт высокоскоростных DDoS-атак на крупнейшие веб-ресурсы с использованием техники амплификации на основе memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы).

    С 23 по 27 февраля 2018 года по всей Европе прокатилась волна memcache амплифицированных DDoS-атак. Техника такой атаки заключается в прослушивании злоумышленниками UDP-трафика при условии установки параметров memcache по умолчанию, то есть фактически используется UDP-флуд – отправка множества поддельных UDP-пакетов в единицу времени от широкого диапазона IP-адресов.

    Проблемы с безопасностью memcache известны как минимум с 2014 года, однако в 2018 году эта уязвимость проявилась особенно ярко: в ночь с 25 на 26 февраля специалисты Qrator Labs наблюдали ряд memcache амплифицированных DDoS-атак по всему интернету, включая атаки на крупнейшие в России сетевые ресурсы.

    В 2017 году группа исследователей из китайской OKee Team рассказала о возможности организации подобных атак, указав на их потенциально разрушительную мощность.

    За прошедшие несколько дней множество источников подтвердили факт атаки амплифицированными ответами от memcache ресурсов, с вкраплениями ответов от DNS и NTP. Источниками этих spoofed-атак стал крупный провайдер OVH и большое количество меньших интернет-провайдеров и хостеров.

    Один из клиентов компании Qrator Labs – платежная система QIWI подтверждает факт успешно нейтрализованной атаки полосой 480 Гбит/сек UDP трафика по своим ресурсам от скомпрометированных memcache амплификаторов.

    «Современные техники осуществления DDoS-атак не стоят на месте. Все чаще мы фиксируем появление новых «брешей» в инфраструктуре интернета, которыми с успехом пользуются злоумышленники для реализации нападений. Атаки с использованием memcache, скорость которых достигала нескольких сотен Гб/с, стали тому подтверждением, - комментирует генеральный директор и основатель Qrator Labs Александр Лямин. - Уязвимых memcache ресурсов в интернете огромное количество, и мы настоятельно рекомендуем техническим специалистам производить корректную настройку memcache, не забывая об установках по умолчанию. Это поможет избежать прослушивания всего UDP-трафика, отправляемого на сервер, и снизить вероятность проведения DDoS-атак».

    О компании Qrator Labs

    Qrator Labs – номер один в области противодействия DDoS в России (согласно отчету IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Компания основана в 2009 году и предоставляет услуги противодействия DDoS-атакам в комплексе с решениями WAF (Web Application Firewall), организованными по технологии партнёрской компании Wallarm. Для эффективного противодействия DDoS-атакам Qrator Labs использует данные собственного сервиса глобального мониторинга интернета Qrator.Radar. Сеть фильтрации Qrator построена на узлах, расположенных в США, России, ЕС и Азии, что наряду с собственными алгоритмами фильтрации является конкурентным преимуществом компании.

    Публикации по теме