Публикации в прессеДмитрий Канаев, технический директор телекоммуникационной компании «Караван».
Илья Сачков, генеральный директор компании Group-IB (Группа информационной безопасности).
DDoS-атаки (распределенные атаки типа «отказ в обслуживании») – современная интернет угроза, с которой каждый день сталкивается все больше компаний. По данным Института компьютерной безопасности (Computer Security Institute) в мире ежедневно происходит до 10000 DDoS-атак. Количество этих атак постоянно возрастает. Целью DDoS-атак является вывод объекта атаки из рабочего состояния (потеря доступности). Нанесенный организации ущерб может исчисляться от тысяч до миллионов долларов.
Современная тенденция информационной безопасности такова, что любое компьютерное преступление влечет за собой получение прибыли для злоумышленника. Чаще всего этот процесс сопряжен с прямыми финансовыми потерями у владельца ресурса. Например, простой систем дистанционного банковского облуживания и систем электронных платежей обходится в сотни тысяч долларов, при этом по данным МВД РФ расходы на атаку со стороны злоумышленника составляют 100-300 долларов в день. Потери только американских компаний от преступлений в компьютерной сфере в 2009 году составили 197 миллиардов долларов (по данным ICCC www.ic3.gov 2009).
Изначально методика, заложенная в основу организации DDoS-атак, зародилась при проведении экспериментов по проверке систем на устойчивость нагрузкам. Активное развитие DDoS-атак началось в конце 90-х годов прошлого столетия, в частности по причине DDoS-атак в 1999 году были выведены из строя web-сервера таких корпораций как Amazon, Yahoo, CNN, eBay. В 2002 году масштабная DDoS-атака затронула 8 из 13 корневых серверов DNS, системы, без которой невозможно существование ни одного web-сервиса. В октябре 2006 атаке подвергся Национальный банк Австралии, в 2007 году по причине DDoS-атакбыла парализована работа правительственных сайтов Эстонии… По данным Координационного центра FIRST, который объединяет центры CERT по всему миру (Computer Emergency Response Team), количество DDoS-атак резко возросло в последние три-четыре года.
Особенно уязвимы для DDoS-атак те компании, бизнес которых напрямую зависит от доступности интернет-ресурсов, или тесно связан с электронной коммерцией, например, высокодоходные инвестиционные интернет-проекты (HYIP), интернет-казино, интернет-процессинги, букмекерские конторы, финансовые институты и банки, контент провайдеры.
По данным МВД в 2009 году в Российской Федерации основными объектами DDoS атак стали:
• Банковские платежные системы
• Системы электронных платежей
• Предприятия электронной коммерции
• Средства массовой информации
• Телекоммуникационные компании
Сегодня DDoS-атаки используются как эффективный и популярный инструмент конкурентной борьбы. DDoS-атаки могут быть направлены не только на остановку работоспособности ресурсов компании, но и использоваться как повод для вымогательства, т.к. некоторые компании предпочтут заплатить определенную сумму во избежание атаки, нежели ставить под угрозу стабильность бизнеса. Также встречаются случаи использования DDoS-атак в качестве прикрытия для совершения незаконных операций, например, за счет DDoS-атаки создается видимость неработоспособности банк-клиента, пользователи лишаются возможности получать уведомления о движениях средств на счете и оперативно реагировать на происходящее, в это время осуществляется снятие или перевод денежных средств со счетов. Кроме того, DDoS-атаки влекут за собой потерю репутации компании, доверия со стороны поставщиков, партнеров, инвесторов, сокращение клиентской базы и опять как следствие - значительные финансовые потери.
Целью распределенных атак типа «отказ в обслуживании», как правило, является заполнение каналов связи или адресация к интернет-ресурсу паразитного трафика, вследствие чего происходит парализация работоспособности интернет-системы. Для осуществления DDoS-атак могут использоваться так называемые ботнеты (логические сети зараженных компьютеров), зараженные web-сайты и виртуальные машины, контроль, над действиями которых, перехвачен злоумышленниками. По данным отчета, опубликованного в Cisco Packet Magazine, ежедневно ряды ботнетов пополняют более 30 000 компьютеров.
В настоящее время специалисты по информационной безопасности выделяют следующие методы организации DDoS-атак:
- UDP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа пакетов UDP (User Datagram Protocol), вследствие чего канал связи переполняется и делает невозможным пропуск трафика легитимных пользователей к атакуемому ресурсу.
- ICMP-flood – осуществляется путем отправки на IP-адрес атакуемого объекта большого числа ICMP (Internet Control Message Protocol) пакетов. В результате, скорость поступления пакетов на атакуемый ресурс будет превосходить скорость обработки, а поступающий трафик может достигать максимальной пропускной способности канала. Протокол ICMP является служебным, выполняет сервисную функцию, поэтому является «удобным» для организации DDoS-атак.
- TCP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа TCP (Transmission Control Protocol) пакетов с целью израсходовать ресурсы системы за счет обработки этих запросов. Одной из разновидностей таких атак является TCP SYN flood, при котором ресурсы системы расходуются на отслеживание частично открытых соединений.
- HTTP-flood –осуществляется путем отправки большого количества http-запросов на атакуемый объект, что приводит к быстрому расходу ресурсов системы. HTTP протокол относится к прикладному уровню по модели OSI/ISO, поэтому при таких атаках расходуются ресурсы не только на транспортном, но и на уровне приложений. Для выведения объекта атаки из строя требуется меньшая полоса трафика, количество узлов ботнета и т.д.
Помимо вышеперечисленных методов, при организации DDoS-атак используются дополнительные приемы усиления, в частности использование адреса направленной широковещательной рассылки или подмена IP-адресов (IP-спуфинг).
• IP-спуфинг. Благодаря использованию поддельных IP-адресов в атаку могут вовлекаться непричастные к ней IP-хосты, что усложняет выявление источника атаки.
• Атака Smurf основана на использовании возможностей протокола ICMP рассылать пакеты по нескольким адресам. Используется как эффект усиления при организации атак типа ICMP–flood. Сочетает в себе обращение к адресу широковещательной рассылки IP-сети и подмену IP-адреса, за счет чего мощность атаки усиливается многократно.
• При Fraggle атаке используется аналогичные действия, как и при Smurf атаках, но UDP пакеты вместо ICMP. Даже при запрете эхо-ответов, будут генерироваться сообщения IСМР о недоступности, а канал будет заполняться невалидным трафиком, пусть и в меньшей степени.
Существуют также атаки непрямого воздействия DRDoS (Distributed Reflection DoS), которые осуществляют нападение опосредованно, через добропорядочные хосты сети Интернет. Классический механизм DRDoS-атаки заключается в том, что TCP пакет отправляется не на адрес атакуемого объекта, а на IP-адрес произвольного хоста. В этом пакете обратный адрес заменен на адрес объекта атаки. Отвечая на запрос TCP c SYN флагом, сервер передает TCP пакет c флагами SYN+ACK. Если адресом источника в первом пакете поставить адрес атакуемого объекта, сервер пошлет несколько TCP пакетов с флагами SYN+ACK на этот адрес. При использовании для атаки множества мощных серверов, отвечающих на ложные запросы по ложному адресу, атакуемый объект будет загружен потоком пакетов.
Угроза от DDoS-атак усугубляется простотой организации, часто атакующим не обязательно обладать специализированными знаниями и ресурсами. На сегодняшний день DDoS-индустрия настолько развита, что многие необходимые инструменты для организации атаки доступны в сети Интернет, в частности сегодня можно беспрепятственно приобрести ботнет…
С точки зрения организационных тенденций развития ботнетов в мире за 2009-2010 год можно выделить:
1. Укрупнение. Малые бот сети вливаются в более крупные, то есть происходит их объединение и наращивание количества зараженных машин для увеличения мощности бот сети.
2. Децентрализация. Управляющие центры и узлы бот сетей переносятся в страны, в которых борьба с преступлениями в сфере высоких технологий не ведется на должном уровне.
3. Появление непрофессиональных бот сетей. С помощью конструкторов или специальных программ можно создать бот сеть. Для создания и управления такой сетью не требуются специальные знания. В сети Интернет в последнее время появилось множество публикаций, посвященных именно созданию подобных сетей и способам монетизации средств, полученных в ходе организации бот-сетей.
4. Появления партнерских бот сетей («партнерки»). Подобные сети имеют пользовательский интерфейс, при помощи которого пользователь может оплатить использование данной сетью и управлять ею.
5. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения собственной анонимности.
6. Широкая территориальная распределенность бот сетей. Бот сети в России имеют такое географическое распределение, которое позволяет осуществлять DDOS атаки на определенный ресурс ботами, которые территориально находятся в других (отличных от атакуемого ресурса) регионах РФ. Данный подход используется злоумышленниками для усложнения расследования и выявления обстоятельств инцидента.
7. Высокий доход и связь злоумышленников с криминальными структурами. По данным аналитического отдела Group-IB организация одной распределенной атаки на отказ в обслуживании приносит злоумышленникам прибыль в пределах от 1 000$ до 50 000$ в день. В среднем бот сеть приносит своим создателям 1 000 000$ в год. Подобный размер нелегального дохода привлекает к тематике компьютерных преступлений все больше криминальных групп.
С точки зрения технических инноваций всемирно стали использоваться следующие методики:
1. Технология First come. Данная технология подразумевает самостоятельное установление вредоносным программным обеспечением программных заплаток (патчей) после заражения. Вредоносное программное обеспечение, попадая в ПК, используя уязвимости в операционной системе или браузере, после своей установки автоматически устанавливает обновление браузера или операционной системы. Данное обновление закрывает уязвимость, из-за которой вредоносный код попал на ПК. Таким образом, другой тип вредоносного программного обеспечения уже не может заразить систему.
2. Технология Port knocking. Чтобы открыть порт для связи с ботом, управляющий центр отправляет пакеты («простукивает») в определенной последовательности, с определенным набором данных и с определенным типом соединения закрытые порты, и только после этого порт для связи открывается. До этого момента сетевую активность бота практически не обнаружить. Если учесть, что количество «простукиваний» может быть сколько угодно большим, то получается, что это отличный метод, например, для двухфакторной аутентификации в корпоративной практике.
3. Использование пиринговых сетей для управления бот сетью. Впервые фраза «peer-to-peer» была использована в 1984 году Парбауэллом Йохнухуйтсманом. Однора?нговые, децентрализованные или пи?ринговые (от англ. peer-to-peer, P2P — точка-точка) сети —телекоммуникационные сети, основанные на равноправии участников. В таких сетях отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и сервером. При выходе из строя одного или нескольких серверов, сеть продолжает работать. В 2008 году появились первые бот сети, которые используют пиринговые сети для обмена собственным трафиком.
4. Технология Fast-Flux. Cети fast-flux представляют собой сети взломанных компьютеров с публичными именами DNS записей, которые постоянно меняются. Время изменения может исчисляться секундами. Такая постоянно изменяющаяся архитектура существенно осложняет отслеживание и пресечение преступной деятельности.
DDoS-атаки являются одними из самых сложных сетевых угроз с точки зрения защиты, поэтому принятие эффективных мер противодействия является не простой задачей:
1. Блэкхолинг – отражение всего поступающего на атакуемый IP-адрес трафика. Заключается в отключении доступа к IP-адресу. Эта мера защиты является наименее затратной, позволяет защитить инфраструктуру сети (другие объекты сети), но при этом парализует работоспособность атакуемого IP-адреса, ресурс становится недоступным. Поэтому это средство не является оптимальной мерой защиты.
2. Фильтрация – не просто отражает весь входящий трафик, а фильтрует его по определенным правилам. Эффективность метода увеличивается по мере приближения фильтрации к источнику атаки. Фильтрация сложно реализуема при защите от DDoS-атаки без вреда для валидного трафика, не достаточно эффективна при атаках с использованием IP-спуфинга.
Можно выделить два способа фильтрации: маршрутизацию по спискам контроля доступа (ACL) и использование межсетевых экранов (firewall, брандмауэр).
Списки ACL эффективны при защите от простых атак DDoS, например, ICMP-flood, т.к. фильтруют второстепенные, неиспользуемые протоколы. Однако списки ACL не могут отличить поступающие с одного исходного модуля доступа SYN-запросы добропорядочных пользователей от злоумышленных, поэтому, пытаясь остановить атаку с использованием IP-спуфинга, они блокируют весь трафик атакуемого, поступающий с определенного IP-адреса или Proxy.
Межсетевые экраны эффективны для контроля доступа в частные сети, но не применимы к таким сервисам, как web и DNS, а также к другим сервисам, которые должны быть открыты для общего доступа.
3. Анти-спуфинг – применяется для борьбы с IP-спуфингом. Осуществляется с помощью контроля доступа и фильтрации RFC 2827.
Контроль доступа. Для снижения эффективности IP-спуфинга контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри сети атакуемого. Таким образом, контроль доступа помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Данный способ становится неэффективным, если доступ должны иметь и некоторые адреса внешней сети.
Фильтрация RFC 2827. Пресекает попытки спуфинга чужих сетей пользователями внутренней сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов организации. В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. Максимальной эффективности данного способа можно достичь лишь в том случае, если у всех провайдеров будет производиться фильтрация RFC 2827.
Все способы борьбы с IP-спуфингом являются не простыми в настройке. При выявлении фальсифицированного адреса, пришедшего из какой-либо сети, блокируется вся сеть, что является основным недостатком данного способа.
4. Мониторинг и анализ трафика, протоколов – выявление аномалий трафика путем сравнения с зафиксированным в течение определенного времени поведением, обнаружение ошибочных соединений, неполных транзакций и ошибок в заголовках протоколов. Этот класс статистических методов, самообучающихся на валидном трафике, позволяет блокировать паразитный трафик на уровне пакетов. Данная мера противодействия требует внедрения дорогостоящих программных и аппаратных средств.
5. Наращивание и оптимизация ресурсов сети либо атакуемого хоста. Использование систем кластеризации ресурсов и балансировки нагрузки, позволяющих масштабировать систему без перерывов в обслуживании. Одним из недостатков подобных решений является необходимая избыточность ресурсов.
6. Реагирование на DDoS атаку при помощи специализированных центров. Смысл данного типа защиты состоит в определении в режиме реального времени управляющих центров DDoS атаки и нейтирализация их правовыми и телекоммуникационными методами. Использование данного метода без подстраховки далеко не всегда является эффективным.
Использование при создании и эксплуатации интернет-ресурсов специализированного программного обеспечения (например, разработанного для систем, функционирующих под большой нагрузкой) может повысить эффективность защиты от DDoS-атак. В частности, решения, применяемые в http сервере nginx, позволяют более экономно использовать системные ресурсы, поэтому в высоконагруженных системах чаще используется nginx или связка nginx+ Appache. Известны примеры устранения небольших DDoS-атак только с использованием этого приема.
В зависимости от интенсивности и сложности DDoS-атаки, владельцы ресурса могут самостоятельно принять меры по ее отражению при наличии квалифицированных специалистов, обратиться к поставщику услуг (оператор связи, хостинг провайдер) или воспользоваться услугами компаний, специализирующихся на защите от внешних воздействий в сети Интернет. Операторы связи и хостинг провайдеры, в свою очередь, могут решать проблему как с помощью установки комплексных программно-аппаратных средств, так и в сотрудничестве со специализирующимися на отражении подобных атак компаниями.
Комплексные программно-аппаратные методы базируется на использовании устройств обнаружения аномалий и очистки трафика. Для достижения наибольшей эффективности детектор аномалий размещается максимально близко к защищаемым объектам, а устройство очистки трафика на периметре сети. Наиболее используемыми комплексами являются решения таких вендоров как Cisco Systems, Arbor Networks, Narus и CloudShield Technologies. Существуют примеры успешного сочетания продуктов разных производителей в рамках одной сети. Так, в качестве устройства обнаружения аномалий может выступать продукт компании Arbor Networks или Narus, а устройством очистки трафика чаще служит решение Cisco Guard.
DDoS-атаки являются одной из основных проблем современной информационной безопасности. По словам Роланда Доббинса (Roland Dobbins), инженера по сетевой безопасности компании Arbor Networks, DDoS-атака - это одна из самых недооцененных угроз для безопасности корпоративных информационных систем. К сожалению, не все операторы связи сейчас задумываются о реализации комплекса мер для защиты от DDoS-атак своих пользователей. Зачастую это обусловлено высокими финансовыми затратами на приобретение специализированных программно-аппаратных средств и привлечение высококвалифицированных специалистов.
Статистика по количеству зарегистрированных инцидентов в РФ показывает, что данные атаки являются в настоящее время наиболее часто используемыми и приносящими значительный вред (использованы данные МВД и Group-IB). Особенность реализации этих атак сильно затрудняет расследование обстоятельств их проведения и привлечение к ответственности лиц, к ним причастных. Следствием этого является массовое ощущение безнаказанности лицами, занимающихся противоправной деятельностью, увеличение количества DDoS атак и улучшение технологий их реализации.
Расследование обстоятельств инцидентов — одна из важнейших процедур управления информационной безопасностью. На данный момент основной акцент делается на предотвращении распределенных телекоммуникационных атак. Ни в прессе, ни в научных исследованиях и работах не уделяется должного внимания расследованию обстоятельств их проведения. Только расследование обстоятельств инцидента способно показать, как именно он произошел, какие конструкторские, технологические и организационные работы необходимо провести в информационной системе, для будущего предотвращения атаки, а главное привлечь лиц, причастных к этому инциденту, к юридической ответственности. Важно сохранять все данные об распределенных атаках на отказ в обслуживании, так как статистика подобных инцидентов помогает осознавать их количество характер, изменение во времени и тенденции.
На данный момент в России завершено меньше 10 судебных процессов против исполнителей распределенных атак на отказ в обслуживании. Стоимость незаконной услуги по реализации подобных атак крайне мала по сравнению, например, со средствами защиты. Подобная экономически-правовая ситуация создает у злоумышленников чувство безнаказанности и увеличивает показатели незаконной деятельности. Поэтому проведение расследования в правовом поле позволит повысить эффективность оперативно-розыскных действий правоохранительных органов и служб безопасности, а, в конечном счете, снизить количество подобных преступлений.
По оценкам специалистов компании «Караван», сегодня на рынке телекоммуникаций отмечается тенденция повышения сервисности, важными факторами для конечных пользователей становится получение не только услуги связи и хостинга в чистом виде, но и способность оператора обеспечить непрерывность бизнеса клиента. Зарубежные крупные операторы связи предоставляют широкий спектр услуг по обеспечению информационной безопасности клиентов, например AT&T и MCI запустили эти сервисы уже более пяти лет назад. На российском рынке данные сервисы пока не достаточно распространены, проблемы решаются разрозненно, отсутствует комплексный подход. Информационная безопасность является ключевым фактором для операторов связи в процессе перехода на новое поколение сервисов и решений, поэтому поставщики услуг, обеспечивающие безопасность и непрерывность сервисов, в том числе и защиту от DDoS-атак, получают существенное конкурентное преимущество.
