Поделиться
Защита от DDoS: советуют профессионалы
DDoS-атака – один из самых недорогих и надежных способов давления на конкурентов. Прибыль этого криминального бизнеса достаточно велика, а попытки противостоять давлению кибер-преступников стандартными методами редко бывают успешными. Стоит ли смириться с потоком флуда и ждать окончания атаки, наблюдая за потерями? Существуют ли эффективные системы защиты?В большинстве случаев, в ходе DDoS-атаки одновременно или поочередно применяется несколько видов описанных приемов атаки.
Однако в основе всех атак DDoS лежит один и тот же механизм, когда большое количество хостов посылают запросы на один и тот же сетевой ресурс. Лавиноподобный рост трафика выводит из строя сервер, на который идут запросы. Все DoS-атаки направлены на истощение системных ресурсов.
Как правило, организация сети, из которой проводится атака, является трехуровневой, ее также называют "кластером DDoS". Структурно она состоит из одной или нескольких управляющих консолей, с их помощью злоумышленник начинает атаку. На втором уровне находятся главные компьютеры, которые передают сигнал о начале атаке на третий уровень – организованную заранее зомби-сеть.
Схема организации сети для DDos-атаки
Источник: "Энвижн Груп", 2008
Плюсом такой организации управления DDoS-атаками является то, что в обратном направлении схему проследить довольно сложно. Максимум, что можно установить, – это местонахождение главных компьютеров.
Как бороться?
Борьба с распределенными DoS-атаками – дело достаточно непростое. Во-первых, очень трудно установить организатора атаки, а пользователи, чьи компьютеры генерируют паразитический трафик, как правило, даже не подозревают, что их машины стали инструментом в руках злоумышленников. Во-вторых, практически невозможно отличить вредоносный трафик от легитимного, поскольку по сути это те же самые запросы, что и от обычных пользователей, но в неизмеримо большем количестве.
IP-спуфинг (от анг. spoof — мистификация) представляет собой вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности. Этот метод используется в некоторых атаках и состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями.
Анализ аномалий в сетевом трафике – единственный эффективный метод обнаружения DDoS-атаки. С точки зрения защиты DDoS-атаки являются одной из самых сложных сетевых угроз, поэтому принятие эффективных мер противодействия является исключительно сложной задачей для организаций, деятельность которых зависит от интернета. DDoS-атаку очень сложно выявить и предотвратить, поскольку "вредоносные" пакеты неотличимы от "легитимных". Сетевые устройства и традиционные технические решения для обеспечения безопасности сетевого периметра, такие как межсетевые экраны и системы обнаружения вторжений (IDS), являются важными компонентами общей стратегии сетевой безопасности, однако одни эти устройства не обеспечивают полной защиты от DDoS-атак. Межсетевые экраны позволяют разрешить либо запретить прохождение сетевого трафика на основании анализа различных полей сетевых пакетов. Но DDoS-атака может быть успешно реализована в рамках разрешенных межсетевым экраном потоков трафика. А классические системы IDS, работающие по принципу сигнатурного анализа трафика, сопоставляют инспектируемый трафик с известными шаблонами вредоносного. Но так как трафик DDoS-атаки – это обычные сетевые пакеты, каждый из которых в отдельности собой атаку не представляет, то система IDS не обнаружит такую атаку. В некоторых случаях, при проведении таких атак используется спуфинг (подмена) IP адресов источника, из-за чего становится невозможной идентификация вредоносного трафика от конкретного источника.
Какое решение выбрать?
Современные средства защиты от DDoS-атак позволяют с достаточно высокой степенью эффективности выявить атаку и уменьшить или предотвратить ущерб ресурсам операторов и их клиентов. Компания "Энвижн Груп" предлагает комплексное решение для защиты от DDoS-атак на основе технологии Cisco Clean Pipes, которое обеспечивает оперативную реакцию на DDoS-атаки, легко масштабируется, обладает высокой надежностью и быстродействием.
Технология Cisco Clean Pipes предполагает использование модулей Cisco Anomaly Detector и Cisco Guard, а также различные системы статистического анализа сетевого трафика, основанные на данных, получаемых с маршрутизаторов по протоколу Cisco Netflow. При этом Anomaly Detector и системы статистического анализа трафика выступают в качестве систем обнаружения DDoS-атак, а Cisco Guard как средство противодействия уже обнаруженной атаке.
В общем случае технология Clean Pipes предполагает наличие этапа тестирования (или так называемого обучения), проводящегося в период отсутствия DDoS-атак на защищаемый ресурс. На этом этапе устройства обнаружения определяют и запоминают, какой трафик для защищаемого ресурса является нормальным. Ситуация, при которой текущий трафик на защищаемый ресурс резко отличается от нормального, считается DDoS-атакой. При обнаружении DDoS, система обнаружения уведомляет оператора, а также, при наличии соответствующих настроек, активирует подсистему защиты Cisco Guard.
После завершения этапа обучения Cisco Anomaly Detector и системы анализа Netflow переводятся в режим непрерывного анализа текущего трафика. При появлении каких-то аномалий, системы обнаружения активируют подсистемы защиты. Основные этапы процесса показаны на диаграмме.
Основные этапы анализа
Источник: "Энвижн Груп", 2008
Модуль Cisco Anomaly Detector является системой раннего предупреждения, позволяющей строить модель нормального трафика, характерного для защищаемого ресурса, а также выявлять отклонения в текущем трафике от нормального. Для возможности анализа, модуль Anomaly Detector должен получать полную копию трафика, направляемого на защищаемый ресурс. Обычно для этого Anomaly Detector располагают как можно ближе к защищаемому ресурсу, в идеале обеспечивая копирование трафика непосредственно с коммутатора, к которому защищаемый ресурс и подключается.
Cisco Guard является системой противодействия DDoS-атаке, позволяющей уменьшить ущерб, наносимый защищаемому ресурсу.
При обнаружении серьезного отклонения трафика от расчетного Detector посылает предупреждение оператору системы, а также может активировать модуль Cisco Guard.
Благодаря пятиступенчатому алгоритму анализа и фильтрации трафика, задачей которого является четкое разграничение вредоносной и легитимной составляющей, Cisco Guard позволяет эффективно отделять трафик атаки от полезного, что обеспечивает надежную и эффективную защиту.
Короткая ссылка
