Автор: Шумский Р.И.
Источник: Інформаційні управляючі системи та комп’ютерний моніторинг (ІУС КМ - 2013) - 2013 / Матерiали II мiжнародної науково-технiчної конференцiї студентiв, аспiрантiв та молодих вчених. — Донецьк, ДонНТУ — 2013, Том 2, с. 54-58.
Шумский Р.И. Исследование распределённых сетевых атак и методов защиты. В данной статье рассматриваются различные типы сетевых атак типа DDoS, причины их возникновения. Описаны основные методы и способы борьбы с данным видом атак. Приведена статистическая информация, показывающая текущую ситуацию в вопросах обеспечения стабильной работы информационных систем и сетей.
Одной из самых актуальных задач в сфере услуг предоставления информации является обеспечение стабильной работы и возможности доступа к базам данных в любое время. При работе в таком режиме так же необходимо обеспечение определённой степени надежности и стрессоустойчивости системы. Одним из наиболее серьёзных и распространённых способов атак является DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Целью такой атаки является доведение системы до отказа, то есть, создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам, либо этот доступ оказывается затруднён.
В учебных курсах данная тема охватывается слабо, однако большое количество информации можно найти в свободном доступе в различных статьях[1] на сайтах ведущих компаний (например таких, как [2]). В данных статьях предоставляются актуальная статистическая информация, рассматриваются методы, которые были использованы в реальных атаках, проводится анализ и выдвигаются определённые рекомендации для противостояния атакам в будущем.
Согласно отчёту опубликованному компанией Arbor Networks, предоставляющей одни из лучших решений для обеспечения стабильной работы информационных систем и имеющей огромный опыт в вопросах борьбы с DDoS-атаками, в 2012-ом году рост количества и интенсивности атак замедлился по сравнению с предыдущими годами. При этом комплексные атаки и атаки уровня приложений продолжают развиваться, становясь более сложными. 46% атак относились к комплексным DDoS-атакам, использующим отправку мусорного трафика, SYN-флуд (отправка большого количества запросов на подключение по протоколу TCP) и UDP Flood (отправка большого количества множества UDP-пакетов), а так же атаки с использованием протоколов уровня приложений. В процентном значении атаки с использованием уровня приложений стали самыми распространёнными и составили порядка 85%. Однако, в сравнении с прошлыми годами пропорции заявленных атак этого типа практически не изменились по отношению к большинству служб, таких как HTTP, DNS и SMTP. Единственным аспектом атак уровня приложений, который явно пережил изменение, стал HTTPS-протокол, уровень применения которых поднялся с 24% до 37%.
Согласно отчёту существует определённая обеспокоенность по поводу компрометации рабочих станций. Существует вероятность того, что компьютеры, принадлежащие к корпоративной сети, могут быть частью ботнета (сеть из зараженных компьютеров, которые используются в атаке). Такая ситуация приводит к усилению эффекта от атаки, так как защита может быть направленна только на внешнюю сеть, игнорируя внутрисетевой корпоративный трафик.
Увеличение количества хостов, входящих в ботсети, не вызывает удивление, учитывая количество и сложность существующих на сегодняшний день вирусов, темпы их развития и исходящую из этого невозможность построить надежную систему защиты на основе антивирусных программ и систем обнаружения вторжений.
Самой сильной DDoS-атакой за 2012-ый год оказалась атака, которая обрушилась на сервера компании Cloudflare 15-го сентября. В результате сервис Cloudflare оказался временно недоступен части пользователей. Стоит заметить, что компания является сетью доставки контента и под её управлением находится несколько дата-центров в разных регионах. Компания легко выдерживает DDoS-атаки в десятки гигабит, но с атакой в 65 Гбит/с справится не смогла.
В марте 2013 года компания Spamhaus, которая составляет базы данных о серверах, использующихся хакерами, что помогает почтовым службам фильтрации спама и другого нежелательного контента, занесла в свой чёрный список ряд серверов, принадлежащих голландской компании CyberBunker. Компания CyberBunker заявила, что Spamhaus не имеет права указывать что публиковать и что не публиковать в интернете. Голландская компания развернула самую мощную DDoS-атаку за всё время. Её мощность достигала 300Гбит/с. Атака такой мощности не смогла оказать большого вреда, так как была задействована технология защиты, а именно: распределение трафика по различным дата-центрам и последующая его фильтрация.
Эта атака имела определённый эффект на всю сеть Интернет, что было выражено в увеличении пинга до некоторых европейских сайтов. Провайдеры нормально выдержали атаку, но были сильно зафлужены.
По сложности подавления, а так же по мотивации проведения DDoS-атаки можно разделить на такие категории как: вандализм – обычно это не распределенные атаки, а атаки которые ведутся с одного-двух хостов, злоумышленник скорее всего не получает от этого какой-либо выгоды, а делает это из-за обиды на владельцев какого либо ресурса, знания его в этой области ограничены простыми методами атак найденные в сети Интернет. Данные атаки отражаются достаточно легко, так как тоже не требуют высокой квалификации в области защиты компьютерных сетей от внешних атак, и зачастую решается блокированием конкретного IP или простой фильтрацией пакетов по замеченной закономерности; нигилизм – по сути, причины фактически идентичны причинам при вандализме, но действия происходят более целенаправленно, и это уже распределенная атака. В ней участвует группа людей, которая недовольна теми или иными информационными поводами. Обычно это простой bat-скрипт, в котором используется команда ping с большим размером проверочного пакета и перечислены атакуемые ресурсы, никаких знаний от пользователя не требуется, достаточно лишь запустить скрипт. Блокируется такая атака обычно достаточно легко, блокируется вся нагрузка полученная по протоколу ICMP; бизнес – злоумышленники используют данный вид атак, не только как средство для собственного обогащения, но и предоставляют ''o6-атаки как услугу.
Рассмотрим принципы, по которым была произведена самая мощная атака. Согласно отчёту[5] в основе данной атаки лежит UDP-флуд, который сопровождается SYN-флудом. Это указывает на наличие достаточно большого числа подконтрольных серверов.
Так же в ходе данной атаки была использована технология усиления атаки. Умножение первоначального вредоносного трафика осуществлялось за счёт отражения DNS-запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера. Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Так же будет любопытно заметить, что в значительной мере усиление происходило благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
Существуют основные решения по защите от атак:
Программные решения – самое распространённое на рынке, зачастую представляет собой набор правил фильтрации трафика, которые составлены разработчиком на личном опыте. Данное решение достаточно просто установить прямо на сервер на котором работает ресурс, но поможет только от малозаметных атак вида вандализм.
Аппаратные решения – представляют собой создание распределённой сетевой структуры с большим запасом пропускаемого трафика. Используются в масштабных сетевых структурах, таких как: точки обмена трафиком, дата-центры, крупные региональные провайдеры.
Облачные решения представляют из себя сетевую структуру с большой пропускной способностью, в состав которой вводятся сервера для фильтрации вредоносного трафика. Таким образом, такая сеть постепенно будет отфильтровывать негативный трафик и снижать количество вредоносных пакетов. Анализ трафика является достаточно сложной задачей, поэтому некоторые компании патентуют свои алгоритмы, например компания “Black Lotus” запатентовала алгоритм «Human Behavior Analysis», который определяет кто генерирует трафик, человек или бот; компания «Arbor» предоставляет свой продукт «PeakFlow» который имеет сигнатурный подход к фильтрации нежелательного трафика.
В статье рассмотрены причины возникновения DDoS-атак, их мотивация и способы создания, показано, что данная проблема на сегодняшний день актуальна и хоть существуют уже лидеры рынка в данной области, они предоставляют закрытые решения, которые защищены патентом или совсем не разглашаются. В отличие от решений с закрытым исходным кодом, открытые рекомендации позволяют привести методики и алгоритмы к единому стандарту, что позволит производителям оборудования и программных решений обмениваться средствами более эффективного решения данной проблемы.
1. DDoS and Security Reports: The Arbor Networks Security Blog – http://ddos.arbornetworks.com/
2. Сайт Лаборатории Касперского - http://www.securelist.com/ru/analysis
3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. 4 издание, 2010, 943с.
4. Статистика глобальной сетевой активности - http://atlas.arbor.net/summary/attacks
5. Самая крупная DDoS-атака в истории - http://www.xakep.ru/post/60356/
6. Дядин И.П. Исследование распределённых информационных атак Портал магистров