Защита от DDоS-атак – зона ответственности телеком-оператора

Дмитрий Канаев, технический директор телекоммуникационной компании "Караван"

DDoS-атаки (распределенные атаки типа «отказ в обслуживании») – современная интернет угроза, с которой каждый день сталкивается все больше компаний. По данным Института компьютерной безопасности (Computer Security Institute) в мире ежедневно происходит до 10000 DDoS-атак. Количество этих атак постоянно возрастает. Целью DDoS-атак является вывод объекта атаки из рабочего состояния, что может повлечь за собой потерю репутации компании, доверия со стороны поставщиков, партнеров, инвесторов, сокращение клиентской базы, как следствие - значительные финансовые потери. Нанесенный организации ущерб может исчисляться от тысяч до миллионов долларов.

Изначально методика, заложенная в основу организации DDoS-атак, зародилась при проведении экспериментов по проверке систем на устойчивость нагрузкам. Активное развитие DDoS-атак началось в конце 90-х годов прошлого столетия, в частности по причине DDoS-атак в 1999 году были выведены из строя web-сервера таких корпораций как Amazon, Yahoo, CNN, eBay. В 2002 году масштабная DDoS-атака затронула 8 из 13 корневых серверов DNS, системы, без которой невозможно существование ни одного web-сервиса. В октябре 2006 атаке подвергся Национальный банк Австралии, в 2007 году по причине DDoS-атакбыла парализована работа правительственных сайтов Эстонии… По данным Координационного центра CERT (Computer Emergency Response Team), количество DDoS-атак резко возросло в последние три-четыре года.

Особенно уязвимы для DDoS-атак те компании, бизнес которых напрямую зависит от доступности интернет-ресурсов, или тесно связан с электронной коммерцией, например, высокодоходные инвестиционные интернет-проекты (HYIP), интернет-казино, интернет-процессинги, букмекерские конторы, финансовые институты и банки, контент провайдеры. СегодняDDoS-атаки используются как эффективный и популярный инструмент конкурентной борьбы. DDoS-атаки могут быть направлены не только на остановку работоспособности ресурсов компании, но и использоваться как повод для вымогательства, т.к. некоторые компании предпочтут заплатить определенную сумму во избежание атаки, нежели ставить под угрозу стабильность бизнеса. Также встречаются случаи использования DDoS-атак в качестве прикрытия для совершения незаконных операций, например, за счет DDoS-атаки создается видимость неработоспособности банк-клиента, пользователи лишаются возможности получать уведомления о движениях средств на счете и оперативно реагировать на происходящее, в это время осуществляется снятие или перевод денежных средств со счетов.

Целью распределенных атак типа «отказ в обслуживании», как правило, является заполнение каналов связи или адресация к интернет-ресурсу паразитного трафика, вследствие чего происходит парализация работоспособности интернет-системы. Для осуществления DDoS-атак могут использоваться так называемые ботнеты (логические сети зараженных компьютеров), зараженные web-сайты и виртуальные машины, контроль за действиями которых перехвачен злоумышленниками. По данным отчета, опубликованного в Cisco Packet Magazine более 30 000 компьютеров пополняют ряды ботнетов ежедневно. Угроза от DDoS-атак усугубляется простотой организации, часто атакующим не обязательно обладать специализированными знаниями и ресурсами. На сегодняшний день DDoS-индустрия настолько развита, что многие необходимые инструменты для организации атаки доступны в сети Интернет, в частности сегодня можно беспрепятственно приобрести ботнет.

В настоящее время специалисты по информационной безопасности выделяют следующие методы организации DDoS-атак:

• UDP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа пакетов UDP (User Datagram Protocol), вследствие чего канал связи переполняется и делает невозможным пропуск трафика легитимных пользователей к атакуемому ресурсу.
• ICMP-flood – осуществляется путем отправки на IP-адрес атакуемого объекта большого числа ICMP (Internet Control Message Protocol) пакетов. В результате, скорость поступления пакетов на атакуемый ресурсбудет превосходить скорость обработки, а поступающий трафик может достигать максимальной пропускной способности канала. Протокол ICMP является служебным, выполняет сервисную функцию, поэтому является «удобным» для организации DDoS-атак.
• TCP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа TCP (Transmission Control Protocol) пакетов с целью израсходовать ресурсы системы за счет обработки этих запросов. Одной из разновидностей таких атак является TCP SYN flood, при котором ресурсы системы расходуются на отслеживание частично открытых соединений.
• HTTP-flood –осуществляется путем отправки большого количества http-запросов на атакуемый объект, что приводит к быстрому расходу ресурсов системы. Http протокол относится к прикладному уровню по модели OSI/ISO, поэтому при таких атаках расходуются ресурсы не только на транспортном, но и на уровне приложений. Для выведения объекта атаки из строя требуется меньшая полоса трафика, количество узлов ботнета и т.д.

Помимо вышеперечисленных методов, при организации DDoS-атак используются дополнительные приемы усиления, в частности использование адреса направленной широковещательной рассылки или подмена IP-адресов (IP-спуфинг).

• IP-спуфинг. Благодаря использованию поддельных IP-адресов в атаку вовлекаются непричастные к ней IP-хосты, что усложняет выявление источника атаки.
• Атака Smurf основана на использовании возможностей протокола ICMP рассылать пакеты по нескольким адресам. Используется как эффект усиления при организации атак типа ICMP–flood. Сочетает в себе обращение к адресу широковещательной рассылки IP-сети и подмену IP-адреса, за счет чего мощность атаки усиливается многократно.
• При Fraggle атаке используется аналогичные действия, как и при Smurf атаках, но UDP пакеты вместо ICMP. Даже при запрете эхо-ответов, будут генерироваться сообщения IСМР о недоступности, а канал будет заполняться невалидным трафиком, пусть и в меньшей степени.

Существуют также атаки непрямого воздействия DRDoS (Distributed Reflection DoS), которые осуществляют нападение опосредованно, через добропорядочные хосты сети Интернет. Классический механизм DRDoS-атаки заключается в том, что TCP пакет отправляется не на адрес атакуемого объекта, а на IP-адрес произвольного хоста. В этом пакете обратный адрес заменен на адрес объекта атаки. Отвечая на запрос TCP c SYN флагом, сервер передает TCP пакет c флагами SYN+ACK. Если адресом источника в первом пакете поставить адрес атакуемого объекта, сервер пошлет несколько TCP пакетов с флагами SYN+ACK на этот адрес. При использовании для атаки множества мощных серверов, отвечающих на ложные запросы по ложному адресу, атакуемый объект будет загружен потоком пакетов.

DDoS-атаки являются одними из самых сложных сетевых угроз с точки зрения защиты, поэтому принятие эффективных мер противодействия является не простой задачей:

1. Блэкхолинг – отражение всего поступающего на атакуемый IP-адрес трафика. Заключается в отключении доступа к IP-адресу. Эта мера защиты является наименее затратной, позволяет защитить инфраструктуру сети (другие объекты сети), но при этом парализует работоспособность атакуемогоIP-адреса, ресурс становится недоступным. Поэтому это средство не является оптимальной мерой защиты.

2. Фильтрация – не просто отражает весь входящий трафик, а фильтрует его по определенным правилам. Эффективность метода увеличивается по мере приближения фильтрации к источнику атаки. Фильтрация сложно реализуема при защите от DDoS-атаки без вреда для валидного трафика, не достаточно эффективна при атаках с использованиемIP-спуфинга.

Можно выделить два способа фильтрации: маршрутизацию по спискам контроля доступа (ACL) и использование межсетевых экранов (firewall, брандмауэр).

Cписки ACL эффективны при защите от простых атак DDoS, например, ICMP-flood, т.к. фильтруют второстепенные, неиспользуемые протоколы. Однако списки ACL не могут отличить поступающие с одного исходного модуля доступа SYN-запросы добропорядочных пользователей от злоумышленных, поэтому, пытаясь остановить атаку с использованием IP-спуфинга, они блокируют весь трафик атакуемого, поступающий с определенного IP-адреса или Proxy.

Межсетевые экраны эффективны для контроля доступа в частные сети, но не применимы к таким сервисам, как web и DNS, а также к другим сервисам, которые должны быть открыты для общего доступа.

3. Анти-спуфинг – применяется для борьбы с IP-спуфингом. Осуществляется с помощью контроля доступа и фильтрации RFC 2827.

Контроль доступа. Для снижения эффективности IP-спуфинга контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри сети атакуемого. Таким образом, контроль доступа помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Данный способ становится неэффективным, если доступ должны иметь и некоторые адреса внешней сети.

Фильтрация RFC 2827. Пресекает попытки спуфинга чужих сетей пользователями внутренней сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов организации. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. Максимальной эффективности данного способа можно достичь лишь в том случае, если у всех провайдеров будет производиться фильтрация RFC 2827.

Все способы борьбы с IP-спуфингом являются не простыми в настройке. При выявлении фальсифицированного адреса, пришедшего из какой-либо сети, блокируется вся сеть, что является основным недостатком данного способа.

4. Мониторинг и анализ трафика, протоколов – выявление аномалий трафика путем сравнения с зафиксированным в течение определенного времени поведением, обнаружение ошибочных соединений, неполных транзакций и ошибок в заголовках  протоколов. Этот класс статистических методов, самообучающихся на валидном трафике, позволяет блокировать паразитный трафик на уровне пакетов. Данная мера противодействия требует внедрения дорогостоящих программных и аппаратных средств.

5. Наращивание и оптимизация ресурсов сети либо атакуемого хоста. Использование систем кластеризации ресурсов и балансировки нагрузки, позволяющих масштабировать систему без перерывов в обслуживании. Одним из недостатков подобных решений является необходимая избыточность ресурсов.

Использование при создании и эксплуатации интернет-ресурсов специализированного программного обеспечения (например, разработанного для систем функционирующих под большой нагрузкой) может повысить эффективность защиты от DDoS-атак. В частности, решения, применяемые в httpсервере nginxпозволяют более экономно использовать системные ресурсы, поэтому в высоконагруженных системах чаще используется nginxили связка nginx+Appache. Известны примеры устранения небольших DDoS-атак только с использованием этого приема.

В зависимости от интенсивности и сложности DDoS-атаки, владельцы ресурса могут самостоятельно принять меры по ее отражению при наличии квалифицированных специалистов, обратиться к поставщику услуг (оператор связи, хостинг провайдер) или воспользоваться услугами компаний, специализирующихся на защите от внешних воздействий в сети Интернет. Операторы связи и хостинг провайдеры, в свою очередь, могут решать проблему как с помощью установки комплексных программно-аппаратных средств, так и в сотрудничестве со специализирующимися на отражении подобных атак компаниями.

Комплексные программно-аппаратные методы базируется на использовании устройств обнаружения аномалий и очистки трафика. Для достижения наибольшей эффективности детектор аномалий размещается максимально близко к защищаемым объектам, а устройство очистки трафика на периметре сети. Наиболее используемыми комплексами являются решения таких вендоров как Cisco Systems, Arbor Networks, Narus и CloudShield Technologies. Существуют примеры успешного сочетания продуктов разных производителей в рамках одной сети. Так, в качестве устройства обнаружения аномалий может выступать продукт компании Arbor Networks или Narus, а устройством очистки трафика чаще служит решение Cisco Guard.

DDoS-атаки являются одной из основных проблем современной информационной безопасности. По словам Роланда Доббинса (Roland Dobbins), инженера по сетевой безопасности компании Arbor Networks, DDoS-атака - это одна из самых недооцененных угроз для безопасности корпоративных информационных систем. К сожалению, не все операторы связи сейчас задумываются о реализации комплекса мер для защиты от DDoS-атак своих пользователей. Зачастую это обусловлено высокими финансовыми затратами на приобретение специализированных программно-аппаратных средств и привлечение высококвалифицированных специалистов.

Сегодня на рынке телекоммуникаций отмечается тенденция повышения сервисности, важными факторами для конечных пользователей становится получение не только услуги связи и хостинга в чистом виде, но и способность оператора обеспечить непрерывность бизнеса клиента. Зарубежные крупные операторы связипредоставляют широкий спектр услуг по обеспечению информационной безопасности клиентов, например AT&T и MCI запустили эти сервисы уже более пяти лет назад. На российском рынке данные сервисы пока не достаточно распространены, проблемы решаются разрозненно, отсутствует комплексный подход. Информационная безопасность является ключевым фактором для операторов связи в процессе перехода на новое поколение сервисов и решений, поэтому поставщики услуг, обеспечивающие безопасность и непрерывность сервисов, в том числе и защиту от DDoS-атак, получают существенное конкурентное преимущество.