Атаки типа «распределенный отказ в обслуживании» (DDoS) являются реальной и растущей угрозой для бизнеса во всем мире. Эти атаки, направленные на то, чтобы ускользнуть от обнаружения самыми популярными инструментами сегодняшнего дня, могут быстро вывести из строя целенаправленный бизнес, жертвуя жертвами тысячи, если не миллионы долларов потерянных доходов и производительности. Принимая новые специально разработанные решения, разработанные специально для обнаружения и поражения DDoS-атак, предприятия могут беспрепятственно вести свои бизнес-операции.

DDoS-атаки — это оружие массового разрушения. В отличие от атак доступа, которые проникают в периметры безопасности, чтобы украсть информацию, атаки DDoS парализуют интернет-системы подавляющими серверами, сетевыми ссылками и сетевыми устройствами (маршрутизаторами, брандмауэрами и т. д.) С фиктивным трафиком.
DDoS появляется как оружие выбора для хакеров, политических «хактивистов», кибер-вымогателей и международных кибер-террористов. Легко запускаемые против ограниченной защиты, DDoS-атаки не только нацелены на отдельные веб-сайты или другие серверы на краю сети — они подчиняют себе сеть. Атаки начали явно нацеливать сетевую инфраструктуру, такую ​​как агрегирование или основные маршрутизаторы и коммутаторы, или серверы доменных имен (DNS) в сети провайдера. В октябре 2002 года предвестником будущих масштабных атак была грубая DDoS-атака, которая затронула 8 из 13 корневых DNS-серверов, критически важных систем, которые служат дорожной картой практически для всех интернет-коммуникаций.

Растущая зависимость от Интернета оказывает влияние успешных атак DDoS — финансовых и других — все более болезненных для поставщиков услуг, предприятий и правительственных учреждений. И новые, более мощные инструменты DDoS обещают развязать еще более разрушительные атаки в ближайшие месяцы и годы.
Поскольку атаки DDoS являются одними из самых трудных для защиты от них, адекватное и эффективное реагирование на них создает огромную проблему для всех интернет-зависимых организаций. Сетевые устройства и традиционные технологии защиты периметра, такие как брандмауэры и системы обнаружения вторжений (IDS), хотя и являются важными компонентами общей стратегии безопасности, сами по себе не обеспечивают комплексную защиту DDoS. Вместо этого защита от нынешнего нападения DDoS, угрожающего доступности Интернета, требует целенаправленной архитектуры, которая включает в себя способность специально обнаруживать и преодолевать все более сложные, сложные и обманные атаки.

УГРОЗА DDOS

Атака DDoS направляет сотни или даже тысячи скомпрометированных «зомби» против одной цели. Эти хосты-зомби невольно набираются из миллионов незащищенных компьютеров, которые получают доступ к Интернету через высокоскоростные, «всегда-подключенные» соединения. Посадив на этих машинах коды «спальных», хакеры могут быстро построить легион зомби, все ждут команды для запуска атаки DDoS. При достаточном участии хозяев зомби объем атаки может быть поразительным.

Влияние DDoS-атак

Эффект успешной атаки DDoS широко распространен. Производительность сайта сильно скомпрометирована, что приводит к разочарованию клиентов и других пользователей. Соглашения об уровне обслуживания (SLA) нарушаются, вызывая дорогостоящие кредиты обслуживания. Репутация компании потускнела, иногда надолго. Потерянный доход, потеря производительности, увеличение расходов на ИТ, судебные издержки — потери просто продолжают расти.
Числа ошеломляют. Оценки от Forrester, IDC и Yankee Group прогнозируют, что стоимость 24-часового перерыва для крупной компании электронной коммерции приблизится к 30 миллионам долларов США. По данным Yankee Group, поток DDoS-атак против Amazon, Yahoo, eBay и других крупных сайтов в феврале 2000 года привел к предполагаемому кумулятивному убытку в размере 1,2 млрд. Долл. США. А в январе 2001 года Microsoft потеряла около 500 миллионов долларов США в течение нескольких дней после атаки DDoS на своем сайте. Очевидно, что компании должны предпринять шаги, чтобы защитить себя от этих злонамеренных атак, поддерживая защиту в своих многочисленных уязвимых местах.

Внутри DDoS-атаки

Как работают DDoS-атаки? Воспользовавшись интернет-протоколами и фундаментальным преимуществом интернет-доставки пакетов данных практически из любого источника в любой пункт назначения, без предрассудков.
По сути, именно поведение этих пакетов определяет DDoS-атаку: либо слишком много подавляющих сетевых устройств, либо серверов, либо они намеренно неполны, чтобы быстро потреблять ресурсы сервера. Что мешает DDoS-атакам настолько трудно предотвратить, что незаконные пакеты неразличимы от законных пакетов, что затрудняет обнаружение. Типичное сопоставление образцов подписи, выполняемое IDS, не работает. Многие из этих атак также используют поддельные исходные IP-адреса, тем самым ускоряя идентификацию источника с помощью средств мониторинга на основе аномалий, которые ищут необычно большие объемы трафика, исходящего из определенного источника.
Ниже перечислены два основных типа DDoS-атак:

• Атаки с пропускной способностью. Эти атаки DDoS потребляют такие ресурсы, как пропускная способность сети или оборудование, подавляя один или другой (или оба) с большим объемом пакетов. Целевые маршрутизаторы, серверы и брандмауэры, все из которых имеют ограниченные ресурсы для обработки, могут быть недоступны для обработки действительных транзакций и могут выходить из строя под нагрузкой.
• Наиболее распространенной формой атаки на пропускную способность является атака с падением пакетов, в которой большое количество, казалось бы, законных протоколов TCP, User Datagram Protocol (UDP) или протокола управления доступом к Интернету (ICMP) направляется в конкретный пункт назначения. Чтобы сделать обнаружение еще более сложным, такие атаки могут также подменять исходный адрес, то есть искажать IP-адрес, который предположительно генерировал запрос, чтобы предотвратить идентификацию.
• Атаки приложений. Эти атаки DDoS используют ожидаемое поведение таких протоколов, как TCP и HTTP, преимущество злоумышленника за счет связывания вычислительных ресурсов и предотвращения их обработки транзакций или запросов. HTTP-атаки наполовину и HTTP-атаки — это всего лишь несколько примеров атак приложений.
• Угроза DDoS становится все более разрушительной

Растущая тенденция среди злоумышленников DDoS заключается в использовании сложных методов спуфинга и основных протоколов (вместо несущественных протоколов, которые могут быть заблокированы), чтобы сделать атаки DDoS еще более скрытными и разрушительными. Эти атаки, которые используют законные протоколы и службы приложений, очень трудно идентифицировать и победить; Использование фильтрации пакетов или ограничение скорости просто завершает задачу злоумышленника, закрывая все, что приводит к отказу от законных пользователей.

Неправильные способы борьбы с DDoS

Независимо от типа DDoS-атаки современные методы, используемые для борьбы с ними, не оправданы с точки зрения смягчения и обеспечения непрерывности бизнеса. Некоторые из наиболее популярных DDoS-ответов, таких как «blackholing» и фильтрация маршрутизаторов, не оптимизированы для решения все более сложных атак, которые сегодня наблюдаются. IDS предлагают отличные возможности обнаружения атак, но не могут смягчить влияние атак. Брандмауэры обеспечивают рудиментарный уровень защиты, но, как фильтрация черных и роутеров, они не предназначены для защиты от типов современных атак, которые так распространены сегодня. Другие стратегии, такие как чрезмерное прогнозирование, не обеспечивают адекватной защиты от все более крупных атак, и они слишком дорогостоящие, как стратегия предотвращения DDoS.

Черные дыры (blackholing)
Blackholing описывает процесс предоставления услуг, блокирующий весь трафик, предназначенный для целевого предприятия, с помощью которого поылают переадресованный трафик в «черную дыру», где он отбрасывается, чтобы сохранить сеть провайдера и других своих клиентов. Поскольку законные пакеты отбрасываются вместе с вредоносным трафиком, blackholing не является решением. Жертвы теряют весь свой трафик — и атакующий выигрывает.

Маршрутизаторы

Многие считают, что маршрутизаторы, которые используют списки управления доступом (ACL) для фильтрации нежелательного трафика, защищают от DDoS-атак. И это правда, что ACL могут защищать от простых и известных DDoS-атак, таких как атаки ping, путем фильтрации ненужных, ненужных протоколов.
Тем не менее, сегодняшние DDoS-атаки обычно используют действительные протоколы, которые необходимы для присутствия в Интернете, что делает протокол фильтрации менее эффективной защитой. Маршрутизаторы также могут останавливать недопустимые пространства IP-адресов, но злоумышленники обычно обманывают действительные IP-адреса, чтобы избежать обнаружения. В общем, хотя ACL маршрутизатора действительно обеспечивают первую линию защиты от базовых атак, они не оптимизированы для защиты от следующих сложных типов DDoS-атак:

• SYN, SYN-ACK, FIN и т. д. Floods-ACL не могут блокировать случайную, поддельную SYN-атаку или атаки ACK и RST на порт 80 веб-сервера, где поддельные исходные IP-адреса постоянно меняются, поскольку требуется ручная трассировка Чтобы идентифицировать все отдельные поддельные источники — виртуальную невозможность. Единственный вариант — заблокировать весь сервер, выполнив цель атакующего.
• Прокси — поскольку ACL не могут различать законные и вредоносные SYN, исходящие из одного и того же исходного IP-адреса или прокси-сервера, по определению должны блокировать все клиенты-жертвы, исходящие от определенного исходного IP-адреса или прокси, при попытке остановить эту сфокусированную поддельную атаку.
• Протокол DNS или протокол пограничного шлюза (BGP). При запуске этих типов случайных поддельных DNS-серверов или атак BGP-маршрутизатора ACL — как и при наводнениях SYN — не могут отслеживать быстро изменяющийся объем случайного поддельного трафика. Кроме того, у них нет способа определить, какие адреса подделаны и какие действительны.
• Атаки на уровне приложений (клиентские). Хотя ACL могут теоретически блокировать атаки клиентов, такие как HTTP-ошибка и HTTP-атаки с полуоткрытым подключением (при условии, что атака и отдельные неопытные источники могут быть точно обнаружены), это потребует от пользователей настройки сотен, а иногда и тысяч От ACL на каждого жертвы.
• Другая стратегия предотвращения DDoS на основе маршрутизатора — использование переадресации обратного пути Unicast (uRPF) для остановки поддельных атак исходящей стороны — обычно неэффективна в отношении сегодняшних DDoS-атак, поскольку основной принцип uRPF заключается в блокировании исходящего трафика, если IP-адрес не принадлежит В подсеть. Однако, поскольку злоумышленники могут обманывать исходные IP-адреса из той же подсети, за которой они сидят, такая стратегия может быть легко побеждена. Кроме того, для того, чтобы uRPF был действительно эффективным, он должен быть реализован перед каждым потенциальным источником атаки — выполнение, которое было бы трудно, если не невозможно, выполнить.

Брандмауэры

Хотя брандмауэры играют решающую роль в решении безопасности любой организации, они не являются специально разработанными устройствами предотвращения DDoS. Фактически, брандмауэры обладают определенными присущими качествами, которые препятствуют их способности обеспечить полную защиту от самых современных атак DDoS.
Сначала это место. Брандмауэры находятся слишком далеко по течению по пути передачи данных, чтобы обеспечить достаточную защиту для линии доступа, проходящей от провайдера до пограничного маршрутизатора на периферии предприятия, в результате чего эти компоненты уязвимы для атак DDoS. Фактически, поскольку брандмауэры находятся внутри, они часто нацелены на злоумышленников, которые пытаются насытить свои возможности обработки сеанса, чтобы вызвать сбой.
Во-вторых, отсутствие обнаружения аномалий. Брандмауэры предназначены в первую очередь для контроля доступа к частным сетям, и они отлично справляются с этим. Один из способов, которым это достигается, — это отслеживать сеансы, инициированные изнутри («чистая» сторона) во внешнюю службу, а затем принимать только конкретные ответы из ожидаемых источников («грязные») снаружи. Однако это не работает для таких сервисов, как Web, DNS и другие службы, которые должны быть открыты для широкой публики для получения запросов. В этих случаях брандмауэры делают что-то, называемое открытием кабелепровода, то есть пропускают HTTP-трафик на IP-адрес веб-сервера. Хотя такой подход предлагает некоторую защиту, принимая только определенные протоколы для определенных адресов, он плохо работает против DDoS-атак, потому что хакеры могут просто использовать «одобренный» протокол (HTTP в этом случае) для переноса своего трафика атаки. Отсутствие каких-либо возможностей обнаружения аномалий означает, что брандмауэры не могут распознать, когда действующие протоколы используются в качестве транспортного средства атаки.
Третья причина, по которой брандмауэры не могут обеспечить комплексную защиту от DDoS — это отсутствие возможностей антиспуфинга. Когда обнаружена атака DDoS, брандмауэры могут отключить определенный поток, связанный с атакой, но они не могут выполнять антиспафирование по принципу «по отдельности», чтобы отделить хороший или законный трафик от плохого действия, которое необходимо для защиты от атак с использованием Большой объем поддельных IP-адресов.