DDoS-атака и защита от нее
В последние годы DDoS-атаки получили заслуженную репутацию наиболее грозного кибернетического оружия и были взяты на вооружение интернет- злоумышленниками всех мастей. DDoS-атака как один из самых недорогих и надежных способов давления на жертву используется и в конкурентной борьбе, и для банального шантажа компаний, бизнес которых построен на web-сервисах, и в политической борьбе (редкие выборы в развитых странах сегодня обходятся без DDoS-атак на сайты противников), и просто для "завала" каких-либо важных ресурсов. И, надо заметить, прибыльность этого криминального бизнеса достаточно велика.
В последние годы хакерский инструментарий для проведения DDoS-атак стал настолько совершенен, а их методика настолько отработана, что организовать DDoS-атаку средних масштабов способен даже недоучившийся сисадмин, работающий в обычной фирме с дюжиной ПК и выделенным интернет- каналом. При этом попытки противостоять давлению киберпреступников стандартными методами обычно оказываются безрезультатными. Прежде, чем искать средства борьбы с DDoS-атаками, попробуем разобраться с тем, что это такое. Сейчас в это уже трудно поверить, но изначально (в первой половине 90-х) технология DDoS применялась исключительно для проверок пропускной способности сетей. Однако злоумышленники очень быстро сообразили, как DDoS можно использовать в преступных целях. Первый масштабный инцидент был зафиксирован в 1997 году, когда посредством DDoS-атаки был почти на сутки выведен из строя сайт Microsoft. Впрочем, тогда IT-сообщество не восприняло новую угрозу достаточно серьезно. Почти два года новая хакерская технология не давала о себе знать, но в 1999 году вновь замелькала на первых страницах газет. Тогда злоумышленники обрушили серверы таких интернет-компаний, как Yahoo, CNN, eBay, Amazon и ряда других. Специалисты по информационной безопасности осознали масштабы угрозы и с ужасом обнаружили, что не имеют никаких средств противодействия DDoS-атакам. А хакеры между тем буквально наглели. В октябре 2002-го интернет сотрясла крупнейшая атака на корневые серверы: жертвой хакеров пали семь из тринадцати серверов.
Аббревиатура DDoS расшифровывается как Distributed Denial of Service и переводится как "распределенный отказ в обслуживании". Цель злоумышленников при проведении такой атаки — создать условия, при которых легитимные пользователи лишаются возможности доступа к предоставляемым системой ресурсам (либо этот доступ оказывается затруднен). В основе всех атак DDoS лежит один и тот же механизм, когда большое количество хостов посылают запросы на один и тот же адрес сетевого ресурса. Лавинообразный рост трафика выводит из строя или просто перегружает сервер, на который адресуются запросы. Все DDoS-атаки так или иначе направлены на истощение системных ресурсов. Единой и общепринятой классификации DDoS- атак по сегодняшний день не существует. Более-менее условно специалисты выделяют несколько методик, наиболее распространенных среди компьютерных злоумышленников. Это, в первую очередь, т.н. HTTP GET — скоординированная отправка на web-сервер жертвы большого количества запросов с "зомби"- сети. Вторая разновидность — DNS flood — это отправка аномально большого числа DNS-запросов. В результате сервер службы доменных имен становится недоступным для широкого круга пользователей: его ресурсы заняты обработкой этих запросов. Данный способ DDoS-атаки можно назвать специализированным. Третий распространеннный метод — UDP flood — сводится к отправке на адрес атакуемой системы множества пакетов UDP (User Datagram Protocol) большого размера. При этом происходит исчерпание полосы пропускания каналов передачи, ведущих к атакуемой системе. И, наконец, TCP SYN flood — это отправка большого количества запросов на инициализацию TCP-соединений с узлом-жертвой, которому в результате приходится расходовать все свои ресурсы на обработку этих частично открытых соединений.
В большинстве случаев в ходе DDoS-атаки одновременно или поочередно применяется несколько видов описанных приемов атаки. Собственно, именно этот фактор в наибольшей степени и затрудняет противодействие DDoS-атакам. Одноранговые сети уже с десяток лет не применяются при проведении DDoS- атак. Сегодня в абсолютном большинстве случаев сеть, из которой проводится атака, имеет трехуровневую организацию. Специалисты по информбезопасности называют такую сеть "кластер DDoS". Верхний уровень подобного кластера — один или несколько администраторских компьютеров ("управляющих консолей"). С их помощью начинается и координируется атака. На втором уровне находятся главные ("суммирующие") компьютеры. Это они уже непосредственно передают сигнал о начале атаки на третий уровень — заранее организованную сеть зомби-ПК ("зомби-сеть"). Зомби-сети — группы подключенных к интернету компьютеров, зараженных специальным вредоносным кодом (ботом), что позволяет управлять ими одновременно дистанционно из единого центра. Основное применение зомби-сетей в практике компьютерных злоумышленников — проведение DDoS-атак и рассылка спама. Дело в том, что в обоих случаях использование зомби-сети позволяет эффективно обманывать следящее ПО. Плюс описанной схемы организации и управления DDoS-атаками состоит в том, что в обратном направлении схему проследить довольно сложно. Максимум, что можно установить, — это местонахождение главных ("суммирующих") компьютеров. Во многом именно это обстоятельство породило в последние годы особый вид криминального бизнеса в интернете — создание "зомби-сетей" для их последующей сдачи в аренду организаторам DDoS-атак и спамерам. Компьютерные злоумышленники тоже не чураются специализации… Одной из последних программ для организации DDoS-атак, которая получила широкую известность, стала stacheldracht ("колючая проволока"). Она позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными на всех уровнях зомби-сети. В любом случае, особо больших финансовых вложений подготовка DDoS-атаки не требует, что делает этот бизнес особенно привлекательным в глазах преступников. Наиболее уязвимы перед DDoS-атаками интернет-магазины, блогерские сервисы, системы интернет-платежей, новостные ресурсы и другие компании, деятельность которых зависит от регулярности обращения пользователя к ресурсу. Более того, многие онлайн- казино и оффшорные онлайновые банки платят хакерам превентивно. Резон простой: даже непродолжительное отключение такого ресурса из-за DDoS-атаки может привести к его банкротству. Вот кибершантажисты и процветают… Не стоит забывать и о том, что классическая DDoS-атака может использоваться в качестве "дымовой завесы" при запуске других вредоносных программ, задача которых — похитить конфиденциальные данные. Компания Symantec назвала использование зомби-сетей для DDoS-атак одной из главных угроз информационной безопасности в 2007 году. Практически во всех странах мира DDoS-атаки являются уголовным преступлением, но за решеткой их организаторы оказываются чрезвычайно редко. В наши дни организацией DDoS-атак занимаются не злоумышленники-одиночки, а организованные преступные группы. Их разветвленность, организационная и географическая, позволяет успешно противостоять действиям правоохранительных органов.
Традиционные технические решения для обеспечения безопасности сетевого периметра — такие, как межсетевые экраны и системы обнаружения вторжений (IDS) — сами по себе не обеспечивают защиты от DDoS-атак. Межсетевые экраны позволяют разрешить либо запретить прохождение сетевого трафика на основании анализа различных полей сетевых пакетов. Но DDoS-атака может быть успешно реализована в рамках разрешенных межсетевым экраном потоков трафика. А классические системы IDS, работающие по принципу сигнатурного анализа трафика, сопоставляют инспектируемый трафик с известными шаблонами вредоносного. Но трафик DDoS-атаки — это обычные сетевые пакеты, каждый из которых в отдельности собой атаку не представляет, и система IDS такую атаку не обнаруживает. Но все же как владельцам web-ресурсов противостоять распределенным DoS-атакам? Ведь пользователи, компьютеры которых генерируют паразитический трафик, как правило, даже не подозревают, что их ПК стал инструментом в руках злоумышленников. Да и практически невозможно отличить вредоносный трафик от легитимного, так как это те же самые запросы, что и от обычных пользователей, только генерируемые в неизмеримо большем количестве. К тому же, злоумышленники активно применяют т.н. IP-спуфинг (от анг. spoof — мистификация). Это разновидность хакерской атаки, которая заключается в использовании чужого IP-адреса для обмана системы безопасности. Попросту говоря, в поле обратного (source) адреса IP-пакета проставляется неверный адрес. В результате единственным эффективным методом обнаружения DDoS-атаки остается анализ аномалий в сетевом трафике. Автор этой статьи далек от желания рекламировать кого-либо из разработчиков соответствующего ПО, но необходимо признать: сегодня на постсоветском пространстве наиболее распространенным и эффективным можно назвать комплексное решение для защиты от DDoS-атак на основе технологии Cisco Clean Pipes. Оно, в отличие от ряда конкурентов, оперативно реагирует на DDoS-атаки, легко масштабируется, имеет высокую надежность и быстродействие. Вообще же аппаратно-програмные комплексы для отражения DDoS-атак выпускает целый ряд производителей; вся эта аппаратура реализует различный функционал и рассчитана на разные потоки трафика. Среди интересных моделей можно отметить Cisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.
Но вернемся пока к Cisco Clean Pipes. Эта технология предполагает использование модулей Cisco Anomaly Detector и Cisco Guard, а также различных систем статистического анализа сетевого трафика, основанных на данных, получаемых с маршрутизаторов по протоколу Cisco Netflow. Anomaly Detector и системы статистического анализа трафика предназначены для выявления DDoS-атак, а Cisco Guard выступает уже как средство противодействия обнаруженной атаке. При запуске технологии Clean Pipes на конкретном web-узле обязателен этап так называемого "обучения", которое проводится в период отсутствия DDoS-атак на защищаемый ресурс. В ходе "обучения" устройства обнаружения запоминают, какой тип трафика признается нормальным для защищаемого ресурса (модель нормального трафика). Соответственно, если текущий трафик на ресурс начинает резко отличаться от нормального, это считается DDoS-атакой. В этом случае система обнаружения уведомляет оператора и (при соответствующих настройках) активирует подсистему защиты Cisco Guard. После завершения "обучения" Cisco Anomaly Detector и системы анализа Netflow переводятся в режим непрерывного анализа текущего трафика. Для того, чтобы Cisco Guard знал, какой трафик считается нормальным для того или иного ресурса, модуль Cisco Detector, находясь в режиме обучения, периодически сообщает базовый профиль трафика на Cisco Guard. При получении информации об обнаруженной DDoS-атаке весь трафик, предназначенный для защищаемого web-ресурса, направляется на Cisco Guard. Cisco Guard анализирует трафик и обнаруженные аномалии и создает непрерывно изменяющийся набор фильтров, которые подаются на компаратор. Последний направляет трафик на модуль аутентификации. После отбора трафика, который он не может идентифицировать, Cisco Guard направляет поток на ограничитель скорости, где происходит отсев трафика, превышающего определенную скорость. И только после всех этих процедур легитимный трафик доставляется в пункт назначения. После того, как трафик возвращается в пределы нормы, Cisco Guard деактивируется, и маршрут движения трафика по сети возвращается к оптимальному. Впрочем, по мнению многих специалистов-практиков, единственным по-настоящему эффективным методом борьбы с DDoS-атаками остается кратковременное отключение атакуемого ресурса от интернета. То есть действия по принципу "лучше потерять малое, чем подвергать риску большое". Когда объект атаки исчезает из сети, злоумышленники обычно сворачивают DDoS-атаку — зря расходовать деньги не хочется никому. Возникает пауза, которую жертва может использовать для определения инициатора атаки по другим каналам. К общим рекомендациям по снижению опасности и уменьшению ущерба от атак специалисты относят такие меры, как грамотная конфигурация функций антиспуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. На уровне сервера также желательно иметь вывод консоли сервера на другой ip-адрес по ssh-протоколу — это дает возможность удаленной перезагрузки сервера. Другой достаточно действенный метод противодействия DDoS- атакам — маскировка ip-адреса. Ну и, конечно, крайне важна профилактика — программное обеспечение должно быть пропатчено от всевозможных дыр.
Денис Лавникевич
В последние годы хакерский инструментарий для проведения DDoS-атак стал настолько совершенен, а их методика настолько отработана, что организовать DDoS-атаку средних масштабов способен даже недоучившийся сисадмин, работающий в обычной фирме с дюжиной ПК и выделенным интернет- каналом. При этом попытки противостоять давлению киберпреступников стандартными методами обычно оказываются безрезультатными. Прежде, чем искать средства борьбы с DDoS-атаками, попробуем разобраться с тем, что это такое. Сейчас в это уже трудно поверить, но изначально (в первой половине 90-х) технология DDoS применялась исключительно для проверок пропускной способности сетей. Однако злоумышленники очень быстро сообразили, как DDoS можно использовать в преступных целях. Первый масштабный инцидент был зафиксирован в 1997 году, когда посредством DDoS-атаки был почти на сутки выведен из строя сайт Microsoft. Впрочем, тогда IT-сообщество не восприняло новую угрозу достаточно серьезно. Почти два года новая хакерская технология не давала о себе знать, но в 1999 году вновь замелькала на первых страницах газет. Тогда злоумышленники обрушили серверы таких интернет-компаний, как Yahoo, CNN, eBay, Amazon и ряда других. Специалисты по информационной безопасности осознали масштабы угрозы и с ужасом обнаружили, что не имеют никаких средств противодействия DDoS-атакам. А хакеры между тем буквально наглели. В октябре 2002-го интернет сотрясла крупнейшая атака на корневые серверы: жертвой хакеров пали семь из тринадцати серверов.
Аббревиатура DDoS расшифровывается как Distributed Denial of Service и переводится как "распределенный отказ в обслуживании". Цель злоумышленников при проведении такой атаки — создать условия, при которых легитимные пользователи лишаются возможности доступа к предоставляемым системой ресурсам (либо этот доступ оказывается затруднен). В основе всех атак DDoS лежит один и тот же механизм, когда большое количество хостов посылают запросы на один и тот же адрес сетевого ресурса. Лавинообразный рост трафика выводит из строя или просто перегружает сервер, на который адресуются запросы. Все DDoS-атаки так или иначе направлены на истощение системных ресурсов. Единой и общепринятой классификации DDoS- атак по сегодняшний день не существует. Более-менее условно специалисты выделяют несколько методик, наиболее распространенных среди компьютерных злоумышленников. Это, в первую очередь, т.н. HTTP GET — скоординированная отправка на web-сервер жертвы большого количества запросов с "зомби"- сети. Вторая разновидность — DNS flood — это отправка аномально большого числа DNS-запросов. В результате сервер службы доменных имен становится недоступным для широкого круга пользователей: его ресурсы заняты обработкой этих запросов. Данный способ DDoS-атаки можно назвать специализированным. Третий распространеннный метод — UDP flood — сводится к отправке на адрес атакуемой системы множества пакетов UDP (User Datagram Protocol) большого размера. При этом происходит исчерпание полосы пропускания каналов передачи, ведущих к атакуемой системе. И, наконец, TCP SYN flood — это отправка большого количества запросов на инициализацию TCP-соединений с узлом-жертвой, которому в результате приходится расходовать все свои ресурсы на обработку этих частично открытых соединений.
В большинстве случаев в ходе DDoS-атаки одновременно или поочередно применяется несколько видов описанных приемов атаки. Собственно, именно этот фактор в наибольшей степени и затрудняет противодействие DDoS-атакам. Одноранговые сети уже с десяток лет не применяются при проведении DDoS- атак. Сегодня в абсолютном большинстве случаев сеть, из которой проводится атака, имеет трехуровневую организацию. Специалисты по информбезопасности называют такую сеть "кластер DDoS". Верхний уровень подобного кластера — один или несколько администраторских компьютеров ("управляющих консолей"). С их помощью начинается и координируется атака. На втором уровне находятся главные ("суммирующие") компьютеры. Это они уже непосредственно передают сигнал о начале атаки на третий уровень — заранее организованную сеть зомби-ПК ("зомби-сеть"). Зомби-сети — группы подключенных к интернету компьютеров, зараженных специальным вредоносным кодом (ботом), что позволяет управлять ими одновременно дистанционно из единого центра. Основное применение зомби-сетей в практике компьютерных злоумышленников — проведение DDoS-атак и рассылка спама. Дело в том, что в обоих случаях использование зомби-сети позволяет эффективно обманывать следящее ПО. Плюс описанной схемы организации и управления DDoS-атаками состоит в том, что в обратном направлении схему проследить довольно сложно. Максимум, что можно установить, — это местонахождение главных ("суммирующих") компьютеров. Во многом именно это обстоятельство породило в последние годы особый вид криминального бизнеса в интернете — создание "зомби-сетей" для их последующей сдачи в аренду организаторам DDoS-атак и спамерам. Компьютерные злоумышленники тоже не чураются специализации… Одной из последних программ для организации DDoS-атак, которая получила широкую известность, стала stacheldracht ("колючая проволока"). Она позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными на всех уровнях зомби-сети. В любом случае, особо больших финансовых вложений подготовка DDoS-атаки не требует, что делает этот бизнес особенно привлекательным в глазах преступников. Наиболее уязвимы перед DDoS-атаками интернет-магазины, блогерские сервисы, системы интернет-платежей, новостные ресурсы и другие компании, деятельность которых зависит от регулярности обращения пользователя к ресурсу. Более того, многие онлайн- казино и оффшорные онлайновые банки платят хакерам превентивно. Резон простой: даже непродолжительное отключение такого ресурса из-за DDoS-атаки может привести к его банкротству. Вот кибершантажисты и процветают… Не стоит забывать и о том, что классическая DDoS-атака может использоваться в качестве "дымовой завесы" при запуске других вредоносных программ, задача которых — похитить конфиденциальные данные. Компания Symantec назвала использование зомби-сетей для DDoS-атак одной из главных угроз информационной безопасности в 2007 году. Практически во всех странах мира DDoS-атаки являются уголовным преступлением, но за решеткой их организаторы оказываются чрезвычайно редко. В наши дни организацией DDoS-атак занимаются не злоумышленники-одиночки, а организованные преступные группы. Их разветвленность, организационная и географическая, позволяет успешно противостоять действиям правоохранительных органов.
Традиционные технические решения для обеспечения безопасности сетевого периметра — такие, как межсетевые экраны и системы обнаружения вторжений (IDS) — сами по себе не обеспечивают защиты от DDoS-атак. Межсетевые экраны позволяют разрешить либо запретить прохождение сетевого трафика на основании анализа различных полей сетевых пакетов. Но DDoS-атака может быть успешно реализована в рамках разрешенных межсетевым экраном потоков трафика. А классические системы IDS, работающие по принципу сигнатурного анализа трафика, сопоставляют инспектируемый трафик с известными шаблонами вредоносного. Но трафик DDoS-атаки — это обычные сетевые пакеты, каждый из которых в отдельности собой атаку не представляет, и система IDS такую атаку не обнаруживает. Но все же как владельцам web-ресурсов противостоять распределенным DoS-атакам? Ведь пользователи, компьютеры которых генерируют паразитический трафик, как правило, даже не подозревают, что их ПК стал инструментом в руках злоумышленников. Да и практически невозможно отличить вредоносный трафик от легитимного, так как это те же самые запросы, что и от обычных пользователей, только генерируемые в неизмеримо большем количестве. К тому же, злоумышленники активно применяют т.н. IP-спуфинг (от анг. spoof — мистификация). Это разновидность хакерской атаки, которая заключается в использовании чужого IP-адреса для обмана системы безопасности. Попросту говоря, в поле обратного (source) адреса IP-пакета проставляется неверный адрес. В результате единственным эффективным методом обнаружения DDoS-атаки остается анализ аномалий в сетевом трафике. Автор этой статьи далек от желания рекламировать кого-либо из разработчиков соответствующего ПО, но необходимо признать: сегодня на постсоветском пространстве наиболее распространенным и эффективным можно назвать комплексное решение для защиты от DDoS-атак на основе технологии Cisco Clean Pipes. Оно, в отличие от ряда конкурентов, оперативно реагирует на DDoS-атаки, легко масштабируется, имеет высокую надежность и быстродействие. Вообще же аппаратно-програмные комплексы для отражения DDoS-атак выпускает целый ряд производителей; вся эта аппаратура реализует различный функционал и рассчитана на разные потоки трафика. Среди интересных моделей можно отметить Cisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т.д.
Но вернемся пока к Cisco Clean Pipes. Эта технология предполагает использование модулей Cisco Anomaly Detector и Cisco Guard, а также различных систем статистического анализа сетевого трафика, основанных на данных, получаемых с маршрутизаторов по протоколу Cisco Netflow. Anomaly Detector и системы статистического анализа трафика предназначены для выявления DDoS-атак, а Cisco Guard выступает уже как средство противодействия обнаруженной атаке. При запуске технологии Clean Pipes на конкретном web-узле обязателен этап так называемого "обучения", которое проводится в период отсутствия DDoS-атак на защищаемый ресурс. В ходе "обучения" устройства обнаружения запоминают, какой тип трафика признается нормальным для защищаемого ресурса (модель нормального трафика). Соответственно, если текущий трафик на ресурс начинает резко отличаться от нормального, это считается DDoS-атакой. В этом случае система обнаружения уведомляет оператора и (при соответствующих настройках) активирует подсистему защиты Cisco Guard. После завершения "обучения" Cisco Anomaly Detector и системы анализа Netflow переводятся в режим непрерывного анализа текущего трафика. Для того, чтобы Cisco Guard знал, какой трафик считается нормальным для того или иного ресурса, модуль Cisco Detector, находясь в режиме обучения, периодически сообщает базовый профиль трафика на Cisco Guard. При получении информации об обнаруженной DDoS-атаке весь трафик, предназначенный для защищаемого web-ресурса, направляется на Cisco Guard. Cisco Guard анализирует трафик и обнаруженные аномалии и создает непрерывно изменяющийся набор фильтров, которые подаются на компаратор. Последний направляет трафик на модуль аутентификации. После отбора трафика, который он не может идентифицировать, Cisco Guard направляет поток на ограничитель скорости, где происходит отсев трафика, превышающего определенную скорость. И только после всех этих процедур легитимный трафик доставляется в пункт назначения. После того, как трафик возвращается в пределы нормы, Cisco Guard деактивируется, и маршрут движения трафика по сети возвращается к оптимальному. Впрочем, по мнению многих специалистов-практиков, единственным по-настоящему эффективным методом борьбы с DDoS-атаками остается кратковременное отключение атакуемого ресурса от интернета. То есть действия по принципу "лучше потерять малое, чем подвергать риску большое". Когда объект атаки исчезает из сети, злоумышленники обычно сворачивают DDoS-атаку — зря расходовать деньги не хочется никому. Возникает пауза, которую жертва может использовать для определения инициатора атаки по другим каналам. К общим рекомендациям по снижению опасности и уменьшению ущерба от атак специалисты относят такие меры, как грамотная конфигурация функций антиспуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. На уровне сервера также желательно иметь вывод консоли сервера на другой ip-адрес по ssh-протоколу — это дает возможность удаленной перезагрузки сервера. Другой достаточно действенный метод противодействия DDoS- атакам — маскировка ip-адреса. Ну и, конечно, крайне важна профилактика — программное обеспечение должно быть пропатчено от всевозможных дыр.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 21 за 2008 год в рубрике безопасность
