Полная версия

Главная arrow Информатика

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

СОВРЕМЕННЫЕ DDoS АТАКИ КАК УГРОЗА ДЛЯ БИЗНЕСА В ИНТЕРНЕТЕ

В настоящее время наблюдается массовый выход бизнеса в Интернет: системы онлайн-банкинга, всевозможные порталы (игровые, медиа, образовательные), Интернет-магазины и прочее.

Практически каждая организация имеет собственный сайт, даже фрилансеры стараются завести себе страничку-визитку в Интернете, чтобы привлечь наибольшее количество клиентов, обрести популярность, эффективно заработать - одним словом, выйти на новый уровень.

DDoS (от англ. Distributed Denial of Service) - распределенные атаки типа «отказ в обслуживании» направлены, в первую очередь, на доступность ресурса, поэтому наиболее подверженными таким атакам будут те сферы бизнеса, которые напрямую зависят от доступности ресурса пользователям, например: туристические фирмы, системы онлайн-банкинга, игровые порталы, интернет магазины, порталы государственных услуг, облачные сервисы, и даже онлайн ресурсы образовательных организаций (электронные дневники, системы дистанционного обучения) и другие. Причины к осуществлению таких атак могут быть различны: конкуренция, вымогательство, протест, личная неприязнь или просто для развлечения, но самая распространенная причина, по мнению экспертов, для серьезных атак на крупный и средний бизнес - это сокрытие факта другой атаки, т.е. попросту отвлечение внимания.

DDoS атакам подвержены организации любых масштабов от малых до крупных, однако, по данным Лаборатории Касперского[1], в прошедшем году активнее всего атакам подвергались предприятия среднего и малого бизнеса (рис. 15).

На финансовые сервисы напрямую пришлось лишь 12% от всех атак, но данный вид атак не направлен на прямой вывод средств, а осуществляется в первую очередь на те ресурсы, доступность которых важнее всего для функционирования организации.

Интересен тот факт, что зачастую такие атаки проводятся, чтобы отвлечь внимание от других, более серьезных атак.

Длительность атак может быть от нескольких минут до нескольких часов и даже дней, все зависит от атакуемого ресурса, его системы защиты, скорости реагирования на инциденты, мощностей атакующего, метода, выбранного для атаки.

По мнению экспертов, число DDoS атак уверенно росло в течение всего прошедшего года, что в условиях кризиса связано с обострившейся конкурентной борьбой.

Из табл. 7, в которой рассматриваются различные сервисы и сферы бизнеса в Интернете, а также вероятные причины DDoS-атак на них, очевидно, что атакован может быть ресурс любой направленности и любых

32

масштабов .

Соотношение сервисов, подвергшихся DDoS атакам за 2016 г

Рис. 15. Соотношение сервисов, подвергшихся DDoS атакам за 2016 г.

Например, такое явление как хактивизм (синтез социальной активности и хакерства) сейчас встречается повсеместно в сводках по информационной безопасности и довольно сложно понять истинные мотивы людей, которые им занимаются. От таких злоумышленников не застрахован никто.

В целом, DDoS-атаки можно разделить на три группы:

  • - направленные на объем;
  • - на уровне протоколов;
  • - на уровне приложений.

Рассмотрим подробнее класс атак, основанный на флуде. Напомним, что под флудом подразумевается огромный поток данных в виде сообщений, который направляется для размещения на всевозможных форумах и чатах. Если смотреть с технической точки зрения, flood - это один из наиболее распространенных видов атаки, и целью его является отправка такого числа запросов, что оборудование сервера будет вынуждено выполнить отказ в обслуживании сервисов пользователей. [2]

Таблица 7

Соотношение сервисов и причин DDoS-атак на них

X. Мотивы

Целевые

ресурсы

шантаж

хактивизм

онлайн протест

манипулирование рынком

конкурентное преимущество

вымогательство

политические взгляды

ведение информационной войны

получение политической выгоды

недовольство сотрудников

Финансовые

сервисы

стоки и обменники

+

+

+

+

транснациональные

банки

+

+

+

+

региональные банки

+

+

+

+

системы денежных переводов и платежные системы

+

+

+

+

Интернет

-торговля

транснациональные

организации

+

+

+

интернет-магазины

+

+

+

онлайн казино

+

+

+

игровые порталы

+

+

+

Облачные

сервисы

поставщики услуг

+

+

+

новостные и другие порталы

+

+

+

+

Г осударственные

порталы предоставления государственных услуг

+

+

+

+

+

сайты политических организаций

+

+

+

+

+

сайты местного правительства (управы районов, городов и др.)

+

+

+

+

+

Образование

сайты университетов и школ

+

+

+

системы

дистанционного

образования

+

+

+

личные кабинеты

+

+

+

другие образовательные порталы

+

+

+

  • - SYN Flood - отправка на атакуемый узел большого количества пакетов с TCP флагом SYN в достаточно короткий промежуток времени. Узел, инициирующий соединение, отправляет хост-машине TCP пакет с флагом SYN. Хост отвечает SYN-ACK, на что машина- инициатор должна ответить пакетом TCP с флагом АСК. Последний этап намеренно пропускается злоумышленником (пакет TCP с флагом АСК не отправляется), что приводит к переходу соединения в режим ожидания ответа, а затем сессия закрывается по таймауту. Таким образом, при единовременном обращении нескольких ботов к машине-жертве, та перестает обрабатывать дальнейшие (в том числе легальные) запросы и ресурс становится недоступен.
  • - ICMP Flood/Ping Flood - суть атаки не меняется, однако в данном варианте отправляются пакеты ICMP. Атакуемая система опять же должна ответить на такой пакет, тем самым снижается производительность канала, его пропускная способность.
  • - Identification Flood - суть атаки идентична предыдущей, но посылается запрос на порт 113 и ответ типа identd занимает у системы больше времени. На настоящий момент этот тип атак устарел и не используется.
  • - DNS Flood - атака направлена на DNS-сервер, с тем же принципом действия. Имеется разновидность, в которой адрес ответа на запрос содержит адрес самого атакуемого DNS-сервера, как следствие, такая разновидность атаки более эффективна, но и значительно сложнее в реализации. Эта разновидность называется DNS amplification. По такому принципу работает и NTP amplification, отличие лишь в том, что эта атака работает не с DNS-серверами, а с NTP.
  • - Boink - посылаются фрагментированные пакеты, с достаточно большим размером фрагментов. При получении, данные фрагменты переполняют буфер, в который они помещаются в ожидании остальных фрагментов пакета.
  • - Pong - суть атаки заключается в том же, что и вышеперечисленные, однако, адрес отправителя поддельный.

Любая часть сети может подвергаться нападению: сетевые интерфейсы; инфраструктура; серверы; протоколы; приложения; базы данных. По данным отчетов за прошедший год самыми популярными атаками являются: SYN- DDoS, TCP-DDoS и HTTP-DDoS. Распределение DDoS-атак по типам в текущем году приведены на рис. 16.

Серьезные DDoS-атаки редко длятся более суток ввиду высокой стоимости их реализации, однако, в настоящее время имеется тенденция к росту длительных атак. На рис. 17 отражена средняя длительность атак за прошедший год в часах[3].

Распределение DDoS-атак по типам в 2016 г

Рис. 16. Распределение DDoS-атак по типам в 2016 г.

Распределение DDoS-атак по длительности

Рис. 17. Распределение DDoS-атак по длительности

Строя грамотную стратегию защиты от DDoS-атак важно помнить о том, что перекрытие всей подсети несет риск блокировки доступа к ресурсу для легальных клиентов. Однако, этот способ отлично подойдет для защиты внутренних серверов организации.

Следует отметить, что нет универсального средства борьбы. Так, например, от некоторых атак можно защититься грамотной настройкой WAF или внедрением DAST в сочетании с системой предотвращения вторжений, для других требуется аппаратная или внешняя фильтрация.

На просторах Интернета помимо внушительного количества возможностей осуществить DDoS есть также и много сервисов, помогающих защититься от них[4]. Так, например, на известных любому пользователю, увлекающемуся IT и безопасностью, порталах habrahabr.ru и xakep.ru есть немало статей, которые содержат руководства по защите от DDoS-атак, однако, относиться к такого рода информации необходимо с умом и пониманием масштабов организации, критичности ресурсов и возможности защитить свои ресурсы без привлечения внешних организаций[5].

Для защиты от DDoS-атак помимо привлечения средств защиты и третьих лиц, необходимо провести ряд превентивных мер, перечисленных ниже.

  • - Проведение анализа сети. Изучение объемов трафика в различные периоды времени необходимо для того, чтобы в самом начале обнаружить признаки аномального поведения и принять меры. Так же на этом этапе следует провести анализ рисков, в ходе которого выявить наиболее критичные ресурсы, просчитать бюджет, который организация готова вложить в защиту от DDoS-атак, а также проанализировать уже осуществлявшиеся когда-либо атаки, если они были, и последствия от них.
  • - Назначение ответственных лиц и составление плана действий в случае чрезвычайной ситуации.
  • - Проведение регулярного обучения сотрудников, задействованных в работе с защищаемым ресурсом.
  • - Грамотная настройка межсетевого экрана, а также усовершенствование имеющихся ресурсов, если это возможно. Например, грамотно задать ограничения на ресурсы, соединения и таймауты, а также обратить внимание на настройки сетевой части (ядра) по ранее перечисленным параметрам.

После проведения всех выше перечисленных мер необходимо принимать решение о привлечении внешних организаций к защите от DDoS-атак.

Традиционная техника обороны: по логам найти ботов и заблокировать всех, кто попадает под их описание. Однако, такая методика далеко не всегда эффективна. Другой вариант - использовать готовые модули, которыми пестрят Интернет-ресурсы, в данном случае, необходимо учитывать все риски, которые сопутствуют использованию такого рода ресурсов. Также необходимо помнить, что помимо достоинств эти средства имеют недостатки, например, такой модуль может защищать не от всех ботов или наоборот не пропускать легальных пользователей, которые по тем или иным причинам попали под фильтрацию. Можно так же оперативно закрывать какую-то из частей атакуемого сайта, т.е. реализовывать фильтрацию по URL или отсеивать пользователей по географическому признаку, но и здесь есть подводные камни. Имеют место и более интересные решения, основанные на нейронных сетях, однако, и они далеко не совершенны.

Первый признак осуществления DDoS атаки - замедление работы сети. Рассмотрим основные шаги по защите.

Идентифицирование типа трафика

Исходя из описанных ранее вариантов атак, можно сделать вывод, что в большинстве случаев на ресурс посылается определенный тип трафика. Так же верным признаком является наличие поддельных IP адресов. Однако тут стоит помнить про DDoS-нападения, направленные против определенных служб, типа HTTP, которые используют допустимый трафик и запросы. Для идентификации «вредного» трафика нужно анализировать весь трафик путем его записи в файл и последующего анализа и выделения преобладающего трафика с использованием инструментов. Так же контролировать входящий трафик можно посредством маршрутизатора в купе со списками ограничения доступа.

Отслеживание источников атаки

На данном этапе основная проблема заключается в том, что DDoS-атаки распределены.

Ограничение допустимого предела определенного типа трафика

Здесь возникает глобальная проблема: с «вредным» трафиком есть шанс (и не маленький) отсечь и легальный трафик.

Последующий мониторинг

Помимо перечисленных методов защиты от DDoS-атак можно просто прибрести уже готовый продукт, который не предполагает активного участия администратора ресурса и основную часть работы выполняет самостоятельно. Так, проведя опрос среди администраторов нескольких организаций были выявлены наиболее популярные продукты:

  • - CloudFlare - фильтрует трафик прежде, чем он попадает на сайт, имеет инструментарий для экстренной защиты от DDoS-атак, имеет бесплатную версию;
  • - Kaspersky DDoS Prevention - использует методы статистического, поведенческого и экспертного анализа;
  • - Arbor - позволяет конфигурировать систему защиты в зависимости от потребностей, обеспечивая тем самым комплексный подход к защите от атак. Позволяет работать в режиме «всегда включен», что обеспечивает защиту 24Y7. Кроме того система имеет дружественный интерфейс, что позволяет комфортно и продуктивно работать администратору безопасности.

На российском рынке вендором Info Watch представлено комплексное решение против DDoS-атак, которое состоит из WAF-компонента, производства Walarm и AntiDDoS от Qrator так же в продукт InfoWatch входят компонент обнаружения вредоносного ПО посредством анализа аномального поведения и компонент поиска уязвимостей в исходном коде.

Ведя бизнес в Интернете, стоит помнить: DDoS атака - это первый признак того, что злоумышленники параллельно ведут более серьезную и опасную атаку.

Исходя из анализа решений против DDoS атак на российском рынке несомненными лидерами являются решения Arbor и Лаборатории Касперского. Выбирая между ними, следует помнить, что Arbor дороже, однако и защищает лучше, решение Лаборатории Касперского же, в свою очередь, приятнее по цене, однако и степень защиты от DDoS атак у этого решения ниже.

Большинство из предлагаемых на рынке программ, направленных на предотвращение атак типа «отказ в обслуживании», не подходят для небольших сетей или провайдеров, таким образом, необходимо уметь идентифицировать и фильтровать трафик.

Так же необходимо быть готовым к атаке и заранее спланировать стратегию защиты.

Несмотря на наличие предлагаемых «коробочных» средств для защиты от DDoS атак, невозможно просто доверить им критически значимый ресурс для ведения бизнеса Интернете, так как современные средства все равно предполагают, в той или иной степени, участие администратора.

Так же не стоит забывать о превентивных мерах, которые описаны выше и регулярном проведении мониторинга, так как технологии с каждым днем развиваются все стремительнее, а это значит, что злоумышленник получает все больше ресурсов, совершенствует навыки, использует эти технологии для реализации атак.

Исходя из выше сказанного, следует помнить, что подход к защите информации бизнеса любых масштабов должен быть комплексным. Только так можно максимально оптимизировать расход ресурсов (как финансовых, технических и человеческих) и добиться успеха в защите от подобного рода атак и всего того, что они могут с собой принести.

Литература к главе 2

  • 1. Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации. Учебное пособие. - М: РИОР: ИНФРА-М, 2016.
  • 2. Баранова Е.К., Зубровский Г.Б. Управление инцидентами информационной безопасности. Проблемы информационной безопасности // Труды I Международной научно- практической конференции “Проблемы информационной безопасности”, Крымский федеральный университет им. В.И. Вернадского. - 2015. - С.27-33.
  • 3. Баранова Е. К., Гырнец К. В. Современные DDoS атаки, как угроза для бизнеса в Интернете // Моделирование и Анализ Безопасности и Риска в Сложных системах: Труды Международной Научной Школы МАБР - 2016 (Санкт-Петербург, 25 - 28 октября, 2016) - СПб.: ГУАП. - 2016. - С. 155-161.
  • 4. Попова С.В., Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов: дис.канд.техн.наук. - Тамбов, 2012.
  • 5. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
  • 6. Сводный отчет Solar JSOC за 2016 год.

URL: http://solarsecurity. ru/analytics/reports/

7. WEB Application Firewall в действии, 2014 г.

URL: http://habrahabr. ru/post/228103/

URL: www. anti-malware, ru/reviews/ddosprotection market_russia_2016

  • [1] Отчет Лаборатории Касперского. DDoS-атаки за 2016 год.JRL:https://securelist.ru/analysis/malware-quarterly/28429/ddos-ataki-v-pervom-kvartale-201 б-goda/
  • [2] Баранова Е.К., Гырнец К.В. Современные DDoS атаки, как угроза для бизнеса вИнтернете // Моделирование и Анализ Безопасности и Риска в Сложных системах: Труды Международной Научной Школы МАБР - 2016 (Санкт-Петербург, 25-28 октября,2016) СПб.: ГУАП.- 2016.- С. 155-161.
  • [3] Сводный отчет Solar JSOC за 2016 год.URL: http://solarsecurity.т/analytics/reports/
  • [4] WEB Application Firewall в действии, 2014 г. URL: http://habrahabr.ru/post/228103/
  • [5] И. Бойцов. Защита от DDoS - обзор мирового и российского рынка.URL: www. anti-malware.ru/reviews/ddosprotection_market_russia_2016
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>