Статьи

Технології відбиття атак в Kaspersky DDoS Prevention

  1. Вступ
  2. Класифікація DDoS-атак
  3. Як працює Kaspersky DDoS Prevention
  4. Динамічна маршрутизація BGP і перенаправлення через DNS
  5. висновки

Виведення з ладу популярного сайту навіть на кілька годин ряду незручностей їх користувачам, а власникам принести значні збитки - як матеріальні, так і репутаційні. У даній статті мова піде про сервіс Kaspersky DDoS Prevention від «Лабораторії Касперського», за допомогою якого можна ефективно протидіяти DDoS-атакам.

1. Введення

2. Класифікація DDoS-атак

3. Як працює Kaspersky DDoS Prevention

4. Динамічна маршрутизація BGP і перенаправлення через DNS

5. Висновки

Вступ

Це перша публікація, присвячена вирішенню для протидії розподіленим атакам - Kaspersky DDoS Prevention. Додатково рекомендуємо ознайомитися з детальним оглядом Kaspersky DDoS Prevention .

Для початку визначимося, про які саме атаках піде мова. DoS-атака (англ. Denial of Service - відмова в обслуговуванні) - це атака на обчислювальну систему з метою довести її до відмови. При такій атаці створюються умови, в яких легальні користувачі не можуть отримати доступ до надаваних системних ресурсів, або цей доступ значно ускладнюється. DDoS-атака (англ. Distributed Denial-of-Service) - це підвид DoS-атак, при яких вихідний трафік надходить більше, ніж від одного - часто від багатьох тисяч - унікальних інтернет-вузлів, або з боку бот-мереж, або з використанням так званих відображених атак. Власне, в даний час найбільше клопоту завдають розподілені DoS-атаки, тому ми будемо розглядати саме їх.

Схеми організації подібних DDoS-атак давно відпрацьовані. Бот-мережі із заражених комп'ютерів користувачів і серверів «здаються в оренду» на чорному ринку; там же продаються інструменти, за допомогою яких можна такі атаки організувати. Практично будь-яка людина, самостійно або за підтримки середньої руки технічних фахівців, може організувати сучасну DDoS-атаку - це давно перетворилося на прибутковий нелегальний бізнес, де ніколи не слабшає попит на нові, все більш витончені техніки розподілених атак.

Серед основних причин застосування DDoS-атак можна виділити особисту неприязнь, політичний протест, недобросовісну конкуренцію, вимагання або шантаж, а також звичайне людське цікавість (розважального або дослідницького характеру) - вийде вивести популярний ресурс з ладу чи ні.

У числі найбільш вражаючих розподілених атак типу «відмова в обслуговуванні» - кілька атак на кореневі DNS-сервера, проведені хакерської групою Anonymous в 2012 році з метою повного виведення інтернету з ладу. І якщо в 2012 році атака так і не відбулася, то точно така ж, проведена в 2002 році, увінчалася успіхом, - були виведені з ладу 7 кореневих DNS-серверів. У серпні 2012 року відбулася атака на AT & T, найбільшу американську телекомунікаційну компанію. Протягом восьми годин, які вона тривала, DNS-сервера цієї компанії були недоступні. У листопаді 2012 року була здійснена атака на компанію GoDaddy, найбільшого хостинг-провайдера в світі. В результаті 33 мільйони доменів, зареєстрованих у цього хостера, виявилися недоступні. Список гучних DDoS-атак на цьому не закінчується.

Однак постійно проводяться менш помітні і глобальні атаки. Зокрема, ось приклади з недавніх новин. 24 червня були скасовані 10 рейсів аеропорту Варшави , Причиною чого стала DDoS-атака, перевантажити мережу авіакомпанії. 30 червня була зафіксована найпотужніша DDoS-атака на електронну торгову площадку ММВБ «Держзакупівлі» , Яка була відображена за допомогою сервісу Kaspersky DDoS Prevention. 7 липня стало відомо про DDoS-атаці на сайт радіостанції «Срібний дощ» , Яка може мати політичні мотиви. При цьому більшість подібних атак залишаються непоміченими. Деякі організації (наприклад, банки) дорожать своєю репутацією і не надають інформацію про таких проблемах журналістам. У той же час багато підприємств застосовують Kaspersky DDoS Prevention: він в автоматичному чи напівавтоматичному режимі відсіває «легальний» трафік, що йде до інформаційної системи, від «сміттєвого», і такі атаки ніяким чином не впливають на функціонування їх систем; відповідно, і повідомляти нема про що.

Для того щоб краще розібратися в методах протидії DDoS-атакам, реалізованих в рішенні Kaspersky DDoS Prevention, наведемо класифікацію цих атак.

Класифікація DDoS-атак

Найчастіше DDoS-атаки ділять на чотири основні типи:

  1. Насичення смуги пропускання. Це найпоширеніший тип атаки, мета якого - вивести інформаційну систему з ладу через вичерпання системних ресурсів (процесу, пам'яті, каналу зв'язку). Даний тип атак розділяється на кілька підтипів, але всі вони так чи інакше пов'язані з так званим флудом - великою кількістю запитів. По-перше, це ping-флуд (безліч ping-запитів), HTTP-флуд (безліч невеликих за розміром HTTP-запитів, що викликають у багато разів більше об'ємні відповіді). По-друге, це ICMP-флуд і UDP-флуд, які посилюються за допомогою заміни IP-адреси зловмисника на IP-адресу жертви. По-третє, це SYN-флуд, коли атака заснована на тому, що атакується системі посилається багато запитів на підключення від фактично неіснуючих вузлів, а атакують система продовжує намагатися цей зв'язок налагодити, поки не відключається по тайм-ауту.
  2. Недолік ресурсів. Такі атаки проводяться тоді, коли зловмисник вже має доступ до ресурсів системи-жертви, і метою є заволодіння додатковими ресурсами, причому, як правило, не використовуючи насичення смуги пропускання. Сюди можна віднести метод відправки «важких» для обробки (не по об'єму трафіку, а по необхідному процесорного часу) пакетів; переповнення сервера файлами звітів; погана система квотування (надання) ресурсів клієнтам, при якій можливий запуск скриптів, що вимагають для обробки значних ресурсів; недостатня перевірка якості даних, що відправляються клієнтами; також сюди відноситься так звана атака другого роду, коли у системи захисту від розподілених атак відбуваються помилкові спрацьовування на легальні дії клієнтів.
  3. Помилки програмування. Такі помилки пов'язані з наявністю в програмному забезпеченні на стороні системи-жертви різних вразливостей. Атаки такого типу можна розділити на використання неякісної обробки виняткових ситуацій (обробки винятків) і переповнення буфера (у випадках коли при передачі даних певного типу на серверній стороні не перевіряється перевищення допустимого обсягу для такого типу даних, до чого сервер виявляється не готовою).
  4. Атаки на DNS-сервери. Такі атаки можна розділити на два типи: атаки на вразливість в програмному забезпеченні DNS-серверів і DDoS-атаки на DNS-сервери. Розподілені атаки на DNS-сервери мають на увазі велику кількість комп'ютерів для насичення смуги пропускання або захоплення системних ресурсів. Раніше для подібних атак застосовувалися численні бот-мережі. Але зараз вони неефективні з огляду на те, що провайдери навчилися відсіювати подібний «сміттєвий» трафік. Також зловмисники використовують той факт, що багато (десятки тисяч) DNS-серверів, що працюють в інтернеті, налаштовані неправильно, що дозволяє використовувати їх при організації DDoS-атак.

Існує також інша класифікація DDoS-атак, по об'єкту атаки. При використанні цієї класифікації виділяють наступні види:

  1. Об'ємні атаки. При таких атаках створюється трафік такого обсягу, який перевищує пропускну здатність каналу організації.
  2. Атаки на додатки. За допомогою складних запитів, на виконання яких потрібні значні ресурси, виводяться з ладу ключові програми, що визначають функціонування інформаційної системи в цілому.
  3. Інші інфраструктурні атаки. Сюди входять атаки, що не входять в попередні типи, але також спрямовані на виведення з ладу мережевого обладнання або серверів.
  4. Гібридні атаки. До цього виду відносяться складні атаки, що поєднують в собі відразу кілька типів атак, перерахованих в перших трьох пунктах.

Слід мати на увазі, що в останні роки вартість організації DDoS-атак істотно знизилася, а середні обсяги, складність і частота атак ростуть. При цьому клієнти, які використовують онлайн-сервіси, в тому числі хмарні, дедалі більш болісно ставляться навіть до найменших перебоїв в доступності сервісів. Сьогодні вже ніяк не можна ігнорувати або «заминати» наявність такої загрози, як розподілені атаки на об'єкти інформаційної інфраструктури.

У наступних розділах даної публікації ми розглянемо технології протидії DDoS-атакам, реалізовані в сервісі Kaspersky DDoS Prevention.

Як працює Kaspersky DDoS Prevention

Основна суть роботи Kaspersky DDoS Prevention полягає в тому, що в звичайних умовах весь вхідний інтернет-трафік, що надходить в периметр захищається інформаційної системи, йде безпосередньо, як і без використання Kaspersky DDoS Prevention. Але при цьому він Віддзеркалюються на спеціальний сенсор, який представляє з себе окремий сервер, фізичний або віртуальний, за допомогою якого йде оцінка вхідного трафіку. Сенсор встановлюється якомога ближче до ресурсів, що захищаються, щоб точність аналізу трафіку, що проходить була вище. У разі виявлення атаки трафік перенаправляється таким чином, що перед тим, як потрапити в захищається периметр, він проходить через центр фільтрації Kaspersky Prevention Server і надходить в захищається інформаційну систему очищеним. Фільтрується трафік проходить додаткову перевірку на помилкові спрацьовування, що, зокрема, допомагає уникнути атак другого роду. Після відбиття атаки і її завершення трафік знову починає надходити безпосередньо в інформаційну систему клієнта.

Сенсор Kaspersky DDoS Prevention підключається до вхідного трафіку за допомогою SPAN-порту. SPAN-порти (англ. Switched Port ANalyzer - перемикається аналізатор порту; термін компанії Cisco Systems, інші виробники мережевого обладнання іноді користуються іншими термінами) по суті займаються дублюванням (дзеркалюванням) трафіку для його подальшого аналізу. Зеркаліруемий трафік, що проходить через сенсор Kaspersky DDoS Prevention, аналізується в центрі очищення автоматично, а також контролюється черговим аналітиком.

Перенаправлення трафіку в центр очищення при використанні Kaspersky DDoS Prevention може здійснюватися двома методами, для чого використовуються наступні механізми відповідно:

  • протокол динамічної маршрутизації BGP (Border Gateway Protocol);
  • зміна DNS-записи.

При застосуванні будь-якого з цих методів використовуються віртуальні GRE-тунелі: спершу для передачі трафіку в центр очищення Kaspersky DDoS Prevention, а після - на майданчик клієнта.

GRE (англ. Generic Routing Encapsulation - загальна інкапсуляція маршрутів) - це протокол тунелювання мережевих пакетів, розроблений компанією Cisco Systems. Його основне призначення в разі використання Kaspersky DDoS Prevention під час атаки - забезпечення передачі вхідного трафіку через центр очищення таким чином, щоб для зовнішніх клієнтів (користувачів) захищається інформаційної системи це було непомітно, тобто за всіма ознаками так, як це відбувалося б при підключенні безпосередньо.

Розглянемо, нарешті, докладніше відмінності між перемиканням трафіку в разі початку DDoS-атаки за допомогою динамічної маршрутизації BGP і перемиканням за допомогою тимчасової зміни DNS-записи.

Динамічна маршрутизація BGP і перенаправлення через DNS

Користувачам Kaspersky DDoS Prevention надається два варіанти настройки перенаправлення трафіку - через BGP або через DNS.

BGP (англ. Border Gateway Protocol, протокол граничного шлюзу) - основний протокол динамічної маршрутизації в інтернеті. В рамках вирішення Kaspersky DDoS Prevention використовується для визначення маршрутів проходження трафіку і доставки його при необхідності через центр очищення Kaspersky DDoS Prevention.

Варіант BGP можливий, якщо захищаються ресурси знаходяться в провайдеронезавісімой мережі IP-адрес. DNS-варіант можливий, якщо захищаються ресурси знаходяться всередині доменної зони, що знаходиться під управлінням клієнта, а значення параметра TTL (англ. Time to Live, «час життя») для DNS-записів складає 5 хвилин.

Необхідно мати на увазі, що BGP-перенаправлення в разі початку DDoS-атаки спрацьовує швидше, тому є більш привабливим.

Розглянемо процес моніторингу та фільтрації трафіку при його перенаправлення через BGP і через DNS.

При перенаправлення трафіку за допомогою BGP в режимі моніторингу весь трафік прямує безпосередньо в захищається периметр. Маршрутизатор Kaspersky DDoS Prevention і маршрутизатори клієнта безперервно обмінюються інформацією про статус з'єднання. При цьому віртуальні GRE-тунелі постійно знаходяться в активному стані, готові в будь-який момент прийняти перенаправлений трафік. Під час атаки, коли сенсор «Лабораторії Касперського» знаходить в трафіку аномалію, є можливість перенаправити трафік на центр очищення Kaspersky DDoS Prevention, при цьому сенсор продовжує працювати і відстежувати поточну ситуацію. Після закінчення атаки трафік знову надходить безпосередньо в захищається період, тобто знову включається режим моніторингу.

Малюнок 1. Схема моніторингу і фільтрації трафіку при BGP-перенаправлення

Схема моніторингу і фільтрації трафіку при BGP-перенаправлення

При перенаправлення трафіку за допомогою DNS «Лабораторія Касперського» виділяє для клієнта спеціальний пул IP-адрес Kaspersky DDoS Prevention, який використовується під час атаки. Під час її виникнення клієнт має можливість змінити IP-адреси своїх ресурсів, що захищаються в DNS-записи. При цьому захищаються ресурси починають використовувати IP-адреси Kaspersky DDoS Prevention. Так як зловмисникам зламувати безпосередньо IP-адреси ресурсів, що захищаються, то на час атаки інтернет-провайдер клієнта блокує весь трафік, що йде на ці адреси за винятком зв'язку з інфраструктурою сервісу Kaspersky DDoS Prevention. Після закінчення атаки клієнт відновлює вихідну DNS-запис, і трафік знову надходить безпосередньо в захищається період, тобто знову включається режим моніторингу.

Малюнок 2. Схема моніторингу і фільтрації трафіку при DNS-перенаправлення

висновки

DDoS-атаки з одиночних інцидентів, про кожного з яких писали засоби масової інформації, перетворилися в один з багатьох класів загроз для інформаційних систем бізнесу, що застосовуються масштабно і щодня. Очевидно, що в даний час необхідно автоматизувати запобігання подібних загроз і протидію подібним атакам, на що і направлено рішення Kaspersky DDoS Prevention.

Класифікація DDoS-атак в даний час стабілізувалася. І зловмисникам доводиться сподіватися або на те, що мета атаки не захищена, або застосовувати гібридні методи атак, нові методи посилення шкідливого трафіку, змінювати принципи організації бот-мереж і їх обсяг, щоб збільшити потужність атаки.

Сервіс Kaspersky DDoS Prevention за своїми характеристиками підійде для більшості середніх і великих підприємств, оскільки враховує особливості організації захищаються інформаційних систем. Фільтрація трафіку тільки під час відбиття атаки знижує навантаження на захищається інфраструктуру і робить вартість сервісу Kaspersky DDoS Prevention вигідніше щодо конкуруючих рішень.

Для роботи Kaspersky DDoS Prevention немає необхідності постійно включати в ланцюжок проходження трафіку додаткові елементи (апаратно-програмні комплекси, програмні агенти та ін.). Необхідно лише віддзеркалювати трафік на сенсор «Лабораторії Касперського», який працює в стороні від основної інфраструктури підприємства-клієнта. Таким чином, при відсутності атак, в режимі моніторингу, що захищаються ресурси працюють рівно за такою ж схемою, як і без використання Kaspersky DDoS Prevention, що є безсумнівним плюсом. Бо згідно відомій істині, чим складніше система, тим вона менш стабільна.

Участь у моніторингу трафіку фахівців «Лабораторії Касперського» робить підхід до кожного клієнта індивідуальним. Зокрема, чергові аналітики при необхідності сповіщають технічних фахівців своїх клієнтів про початок DDoS-атаки, а також в разі необхідності розробляють індивідуальні сигнатури для фільтрації трафіку. Також це дозволяє оперативно працювати з помилкові спрацьовування Kaspersky DDoS Prevention, якщо вони виникають.

В цілому, організація сервісу Kaspersky DDoS Prevention дозволяє йому постійно розвиватися згідно з тим, як змінюються параметри DDoS-атак, не заважати нормальній роботі захищаються ресурсів і непомітно для бізнес-процесів відображати DDoS-атаки всіх відомих на сьогоднішній день типів. Це рішення в підсумку легко масштабується і початку орієнтоване на постійний розвиток сервісу на благо його користувачів.

Новости