Атаки в сети Web не всегда связаны с получением несанкционированного доступа к информации. Распределенные атаки с целью вызвать отказ в обслуживании наносят не меньший вред, и от них не смогут защитить ни антивирусные сканеры, ни брандмауэры. Для борьбы с атаками DDoS требуются специализированные средства защиты — желательно из облака.
На первые полосы газет регулярно попадают сообщения о крупномасштабных атаках Distributed Denial of Service (DDoS). В них вовлекаются десятки тысяч компьютеров одновременно, и вся эта совокупная ударная мощь обрушивается злоумыш-
ленниками на выбранную жертву. Сначала размещается троянец или бот на как можно большем числе компьютеров или серверов, имеющих широкополосное или выделенное подключение к Интернету. Как только центральный сервер ботнета (Command and Control Server, C&C Server) дает сигнал к началу атаки, все задействованные компьютеры одновременно отправляют запросы выбранному целевому серверу, что приводит к его перегрузке. В худших случаях атакованная Web-страница может оказаться заблокированной на несколько дней, а особо массовые атаки способны перекрыть доступ даже к ЦОД.
Очень часто беспомощными жертвами атак DDoS становятся именитые компании, не позаботившиеся о подходящих средствах защиты. Среди пострадавших встречались и такие, кто принял не самое удачное решение при выборе аппаратных средств защиты от подобных атак, ведь и в этой сфере продукты от разных поставщиков значительно различаются по качеству. Иногда в них отсутствуют элементы, которые интернет-зависимые предприятия признали бы, несомненно, крайне важными, если бы знали об их существовании. При выборе подходящего решения недостаточно положиться на громкое и популярное имя производителя — необходимо уделить пристальное внимание деталям предлагаемых решений и различиям между ними, чтобы обеспечить наилучшую защиту своих систем.
ОБЛАЧНЫЕ ИЛИ АППАРАТНЫЕ РЕШЕНИЯ
В процессе поиска подходящего средства защиты от атак DDoS лишь немногие делают выбор в пользу аппаратных решений, ведь преимущества защиты из облака очевидны. К примеру, отпадает необходимость в трудоемком перемещении аппаратного обеспечения — облачные решения не нуждаются в установке, настройке и обслуживании оборудования. В общем, в отличие от аппаратных систем защиты от атак DDoS, становятся излишними все инвестиции в избыточно оснащенные физические системы защиты, а также усилия по их администрированию, техническому обслуживанию, эксплуатации и содержанию. Еще один аргумент в пользу защиты из облака — беспроблемное масштабирование: при необходимости наращивание соответствующих ресурсов обеспечивается сервис-провайдером. Клиенту не приходится тратиться на новое аппаратное обеспечение или вкладывать средства в приобретение дополнительных вычислительных мощностей.
В оптимальном случае предоставление услуг по защите от атак DDoS из облака осуществляется быстро и без проблем, поскольку технические изменения затрагивают только параметры DNS и маршрутизации. При желании можно с такой же легкостью отказаться от этой защиты.
В настоящее время облачные услуги по защите от атак DDoS уже предлагают немало компаний, но лишь некоторые из них обеспечивают достаточно эффективную защиту, позволяющую в полном объеме обезопасить Web-страницы от всех возможных видов атак (см. Рисунок 1). Большинство поставщиков не предоставляют никаких точных сведений о принципе работы своих систем, а значит, и о качестве обеспечиваемой ими защиты. При этом знакомство с деталями было бы очень полезно при выборе наиболее подходящего решения, а каждому ИТ-специалисту следует выяснить, соответствует ли предлагаемое решение для защиты от атак DDoS следующим условиям.
Рисунок 1. Защита от атак DDoS требует профессионального подхода — наилучшим выбором является специализированный облачный провайдер. |
Точные алгоритмы фильтрации. Используемые алгоритмы фильтрации являются решающим критерием для выбора хорошей защиты от атак DDoS. Важно, чтобы фильтры блокировали не весь трафик к странице, а лишь вредоносный трафик DDoS. При этом средства динамического анализа поведения IP-трафика обеспечивают более высокое качество защиты, чем статичные механизмы фильтрации. Чтобы вероятность отказа сохранялась на минимальном уровне, необходимы дополнительные индивидуальные настройки. Это позволяет лучше контролировать сетевой трафик, а также подразделять его на «желательный», «нежелательный», «обладающий особыми полномочиями» и т. д. Используемые механизмы фильтрации должны быть максимально понятными и наглядными, чтобы можно было проверить, не отсеивает ли система защиты от атак DDoS и добропорядочных посетителей.
Высокая пропускная способность. Злоумышленники иногда задействуют десятки тысяч инфицированных компьютеров, поэтому мощность атак может достигать 5–10 Гбит/с. Из-за их огромного количества идентификация отдельных атакующих компьютеров невозможна, да и не имеет смысла. Зачастую заражение компьютера трояном или ботом происходит за месяцы до начала атаки. Как только управляющий атакой злоумышленник (Master) выбирает жертву и подает сигнал к нападению, все компьютеры, зараженные вредоносной программой, начинают действовать.
В своей совокупности эти компьютеры составляют огромную армию с колоссальной ударной мощью, способной блокировать всю деятельность атакуемого сайта. Поэтому важно, чтобы поставщик системы защиты обеспечивал достаточную пропускную способность, ведь как масштаб нападения, так и ресурсы защитной системы можно сравнить с мышечной силой человека: чтобы противостоять объединенной атаке десятков тысяч компьютеров, защитный кластер должен иметь немалый физический ресурс.
Рисунок 2. Наглядная приборная панель на базе Web позволит быстро сделать выводы о необычном поведении трафика. |
Графический пользовательский интерфейс. Хорошая система защиты должна обладать интерфейсом для мониторинга отражения атаки в реальном времени. Тогда пользователи смогут контролировать деятельность средств защиты, отслеживать виды атак, их продолжительность, характер протекания, интенсивность, регион происхождения, а при необходимости вручную устанавливать запреты или присваивать особые права для отдельных IP-адресов (см. Рисунок 2 и Рисунок 3).
Рисунок 3. Для обеспечения эффективной защиты от атак DDoS можно блокировать трафик, поступающий из определенных стран. |
Кроме того, сервис-провайдер должен ежемесячно предоставлять отчет о всей активности DDoS, где отражался бы характер происшествий и их объем, — это позволит контролировать ситуацию и осуществлять дальнейшее стратегическое планирование защиты от подобных атак. Только такой отчет дает возможность отследить, не блокировала ли система защиты доступ добропорядочным пользователям.
Масштабируемость. Объем атак может значительно варьироваться, поскольку злоумышленники используют для нападения на Web-страницы инструменты, действующие с разной степенью эффективности. По крайней мере, такие выводы можно сделать на основании опыта многочисленных провайдеров средств защиты от атак DDoS. Пропускная способность защитных систем должна масштабироваться от одного до нескольких десятков гигабит в секунду, то есть поддерживать возможность быстрого расширения, чтобы при необходимости справиться с крупномасштабными атаками. Таким образом, необходимо, чтобы фильтрующий кластер сервис-провайдера поддерживал достаточно высокую степень масштабирования, позволяющую в серьезной ситуации справиться с атаками, мощность которых превышает 100 Гбит/с. Если фильтрующий кластер слишком мал, то в случае массированной атаки пострадают и те, на кого атака не нацеливалась. Реализация модели, когда дополнительные ресурсы подключаются лишь в самых крайних случаях, позволяет обойтись сравнительно небольшими затратами на поддержание требуемой пропускной способности систем защиты от атак DDoS, при этом обеспечивается возможность привлечения дополнительных мощностей в экстренных ситуациях.
Сценарии атак DDoS постоянно видоизменяются. Злоумышленники применяют все более изощренные методы, заставляя поставщиков средств защиты решать новые и постоянно усложняющиеся задачи. Примером могут служить так называемые медленные атаки Slow-DDoS. Например, атака Slowloris нацелена на то, чтобы сохранять соединения атакуемого сервера открытыми. Злоумышленник достигает этого путем отправки незавершенных запросов HTTP, и постепенно на сервер поступает все больше и больше таких запросов. Количество открытых соединений, поддерживаемых сервером, ограниченно, он вынужден отклонять правомерные запросы от Web-браузеров, его доступные ресурсы истощаются, и он перестает выполнять свои функции. Но по формальным характеристикам трафик данных соответствует требованиям протоколов и скорость запросов тоже не превышает дозволенных значений, поэтому традиционные системы защиты от атак DDoS не способны распознать атаки такого типа.
Успех достигается только при использовании новейших методов защиты: в ходе промежуточного сохранения осуществляется проверка заголовков (Header) и тела (Body) запросов, на основании анализа которых сразу же закрываются недействительные соединения. Кроме того, оптимизация размеров и производительности отдельных соединений позволяет поддерживать гораздо большее их число одновременно. От дальнейших атак DDoS Low and Slow защитят непрерывный анализ трафика и его сравнение с режимом нормальной работы Web-страницы, так как «медленные» атаки DDoS можно распознать на основе необычного поведения пользователей и затем воспрепятствовать им.
Готовые преднастроенные решения для защиты от атак DDoS недостаточно гибки, чтобы подстраиваться под эволюцию методов нападения. Выбранное решение должно поддерживать возможность добавления новых сценариев атак, что позволит избежать неприятных сюрпризов. Бесполезно использовать устаревшие средства защиты, как и антивирусную программу, которая последний раз обновлялась несколько лет назад. Поэтому для обеспечения надежной защиты нужен квалифицированный персонал, способный сразу же реагировать на новые формы атак DDoS. У некоторых поставщиков защитных систем имеются собственные экспертные центры с группами экстренного реагирования на новые виды угроз.
Защита от атак DDoS на национальном уровне
Идея переноса защиты от DDoS в облака, несомненно, будоражит умы теоретиков в области информационных технологий, но объективная реальность вынуждает cпуститься с заоблачных высот на землю. Когда-нибудь мы действительно окажемся в мире программно управляемых сетей и все наши ИТ-ресурсы будут формироваться на основе надежных распределенных облачных технологий. Но пока реалии таковы: любое облако — это набор вычислительных ресурсов, расположенных в одном или нескольких центрах обработки данных, зачастую не очень хорошо связанных между собой. Понадеявшись на средства защиты от DDoS, размещенные в таком облаке, можно оказаться в такой ситуации, когда они окажутся абсолютно бесполезны, поскольку вся емкость каналов, связывающих ЦОД с внешним миром, будет занята паразитным трафиком, из-за чего все его ресурсы окажутся недоступны извне.
Атаки DoS/DDoS становятся все более мощными, причем злоумышленники используют при их осуществлении множественные точки входа в сеть, векторы и типы атак. Это делает атаки особенно опасными, а их отражение становится сложной и кропотливой задачей. Организация защиты собственными силами для любой компании, не связанной с этой задачей профессионально, означает значительные затраты на оборудование, ПО и экспертизу, которые, скорее всего, так и не приведут к желаемому результату.
Несмотря на многообразие сценариев DDoS, современные средства защиты сети позволяют предотвратить наиболее распространенные типы таких атак. Традиционные IPS и межсетевые экраны имеют ограниченные функциональные возможности для блокирования DDoS — с защитой эффективнее всего справляются специализированные устройства и системы глобального оповещения об источниках и типах атак. Они способны в режиме реального времени анализировать огромный поток данных и фильтровать паразитные пакеты определять и блокировать трафик, являющийся результатом работы сценариев или роботов; выстраивать эшелонированную систему защиты, учитывающую весь спектр возможных алгоритмов атаки.
Защита от атак DoS/DDoS должна быть комплексной и в каждом случае требует детального анализа. Если оператор центра обработки данных не обладает достаточным опытом и специальными техническими средствами для борьбы с этим явлением, DDoS-атака может вызвать общую недоступность сетевых устройств и, как следствие, ИТ-инфраструктуры его клиентов. ЦОД все чаще сталкиваются с ситуацией, когда мощность атаки достигает десятков гигабит в секунду. В таких условиях даже специальное дорогостоящее оборудование, находящееся в центре обработки данных, не в состоянии справиться с проблемой — требуются идентификация паразитного трафика и последующая его фильтрация на всех территориально распределенных узлах магистральных сетей. Характерно, что необходимость защиты информационных ресурсов от DDoS сегодня становится проблемой национального масштаба.
Многие отечественные компании способны предоставить собственные решения и аппаратно-программные комплексы, которые в состоянии обеспечить широкомасштабную защиту ИТ-ресурсов от DDoS на уровне магистральных сетей. Доверив решение этой проблемы надежному оператору, клиенты могли бы получить эффективные средства защиты. Однако для оснащения магистральных узлов ведущих операторов сетей связи и точек обмена трафиком высокопроизводительным отечественным оборудованием и программным обеспечением для идентификации и очистки трафика необходима организационно-правовая и финансовая поддержка государства.
Дмитрий Калганов — генеральный директор SafeData («Центр Хранения Данных»).
ЗАКЛЮЧЕНИЕ
Наличие эффективной защиты от атак DDoS особенно необходимо тем предприятиям, деятельность которых напрямую связана с подключением к сети Интернет. Но и простая доступность сайта компании тоже имеет крайне важное значение для поддержания деловой репутации. Потенциальных злоумышленников великое множество, и для некоторых из них незащищенная Web-страница является лакомым кусочком. Инициаторами нападения могут быть хакеры, вымогатели или — что встречается довольно часто — подростки, желающие попробовать свои силы. При выборе поставщика, предлагающего действительно эффективную защиту от атак DDoS, следует собрать как можно более подробную информацию, сопоставить с вышеуказанными критериями и тщательно их перепроверить.
Йенс-Филипп Юнг — сооснователь и руководитель компании Link11.