Технологии отражения атак в Kaspersky DDoS Prevention

Технологии отражения атак в Kaspersky DDoS Prevention

Технологии отражения атак в Kaspersky DDoS Prevention

Вывод из строя популярного сайта даже на несколько часов может доставить множество неудобств их пользователям, а владельцам принести значительные убытки — как материальные, так и репутационные. В данной статье речь пойдет о сервисе Kaspersky DDoS Prevention от«Лаборатории Касперского», с помощью которого можно эффективно противодействовать DDoS-атакам.

 

 

 

1. Введение

2. Классификация DDoS-атак

3. Как работает Kaspersky DDoS Prevention

4. Динамическая маршрутизация BGP и перенаправление через DNS

5. Выводы

 

 

Введение

Это первая публикация, посвященная решению для противодействия распределенным атакам — Kaspersky DDoS Prevention. Дополнительно рекомендуем ознакомиться с подробным обзором Kaspersky DDoS Prevention.

Для начала определимся, о каких именно атаках пойдет речь. DoS-атака (англ. Denial of Service — отказ в обслуживании) — это атака на вычислительную систему с целью довести ее до отказа. При такой атаке создаются условия, в которых легальные пользователи не могут получить доступ к предоставляемым системным ресурсам, либо этот доступ значительно затрудняется. DDoS-атака (англ. Distributed Denial-of-Service) — это подвид DoS-атак, при которых исходящий трафик поступает более, чем от одного — часто от многих тысяч — уникальных интернет-узлов, либо со стороны бот-сетей, либо с использованием так называемых отраженных атак. Собственно, в настоящее время больше всего хлопот доставляют распределенные DoS-атаки, поэтому мы будем рассматривать именно их.

Схемы организации подобных DDoS-атак давно отработаны. Бот-сети из зараженных пользовательских компьютеров и серверов «сдаются в аренду» на черном рынке; там же продаются инструменты, с помощью которых можно такие атаки организовать. Практически любой человек, самостоятельно или при поддержке средней руки технических специалистов, может организовать современную DDoS-атаку — это давно превратилось в прибыльный нелегальный бизнес, где никогда не ослабевает спрос на новые, все более изощренные техники распределенных атак.

Среди основных причин применения DDoS-атак можно выделить личную неприязнь, политический протест, недобросовестную конкуренцию, вымогательство или шантаж, а также обычное человеческое любопытство (развлекательного или исследовательского характера) — получится ли вывести популярный ресурс из строя или нет.

В числе наиболее впечатляющих распределенных атак типа «отказ в обслуживании» —  несколько атак на корневые DNS-сервера, проведенные хакерской группой Anonymous в 2012 году с целью полного выведения интернета из строя. И если в 2012 году атака так и не состоялась, то точно такая же, проведенная в 2002 году, увенчалась успехом, — были выведены из строя 7 корневых DNS-серверов. В августе 2012 года произошла атака на AT&T, крупнейшую американскую телекоммуникационную компанию. В течение восьми часов, которые она длилась, DNS-сервера этой компании были недоступны. В ноябре 2012 года была осуществлена атака на компанию GoDaddy, крупнейшего хостинг-провайдера в мире. В результате 33 миллиона доменов, зарегистрированных у этого хостера, оказались недоступны. Список громких DDoS-атак на этом не заканчивается.

Однако постоянно проводятся менее заметные и глобальные атаки. В частности, вот примеры из недавних новостей. 24 июня были отменены 10 рейсов аэропорта Варшавы, причиной чему явилась DDoS-атака, перегрузившая сеть авиакомпании. 30 июня была зафиксирована мощнейшая DDoS-атака на электронную торговую площадку ММВБ «Госзакупки», которая была отражена с помощью сервиса Kaspersky DDoS Prevention. 7 июля стало известно о DDoS-атаке на сайт радиостанции «Серебряный дождь», которая может иметь политические мотивы. При этом большинство подобных атак остаются незамеченными. Некоторые организации (например, банки) дорожат своей репутацией и не предоставляют информацию о таких проблемах журналистам. В то же время многие предприятия применяют Kaspersky DDoS Prevention: он в автоматическом или полуавтоматическом режиме отсеивает «легальный» трафик, идущий к информационной системе, от «мусорного», и такие атаки никаким образом не влияют на функционирование их систем; соответственно, и сообщать не о чем.

Для того чтобы лучше разобраться в методах противодействия DDoS-атакам, реализованных в решении Kaspersky DDoS Prevention, приведем классификацию этих атак.

 

Классификация DDoS-атак

Чаще всего DDoS-атаки делят на четыре основных типа:

  1. Насыщение полосы пропускания. Это самый распространенный тип атаки, цель которого — вывести информационную систему из строя из-за исчерпания системных ресурсов (процесса, памяти, канала связи). Данный тип атак разделяется на несколько подтипов, но все они так или иначе связаны с так называемым флудом — большим количеством запросов. Во-первых, это ping-флуд (множество ping-запросов), HTTP-флуд (множество небольших по размеру HTTP-запросов, вызывающих во много раз более объемные ответы). Во-вторых, это ICMP-флуд и UDP-флуд, которые усиливаются с помощью замены IP-адреса злоумышленника на IP-адрес жертвы. В-третьих, это SYN-флуд, когда атака основана на том, что атакуемой системе посылается много запросов на подключение от фактически несуществующих узлов, а атакуемая система продолжает пытаться эту связь наладить, пока не отключается по тайм-ауту.
  2. Недостаток ресурсов. Такие атаки проводятся тогда, когда злоумышленник уже имеет доступ к ресурсам системы-жертвы, и целью является завладение дополнительными ресурсами, причем, как правило, не используя насыщение полосы пропускания. Сюда можно отнести метод отправки «тяжелых» для обработки (не по объему трафика, а по требуемому процессорному времени) пакетов; переполнение сервера файлами отчетов; плохая система квотирования (предоставления) ресурсов клиентам, при которой возможен запуск скриптов, требующих для обработки значительных ресурсов; недостаточная проверка качества данных, отправляемых клиентами; также сюда относится так называемая атака второго рода, когда у системы защиты от распределенных атак происходят ложные срабатывания на легальные действия клиентов.
  3. Ошибки программирования. Такие ошибки связаны с наличием в используемом программном обеспечении на стороне системы-жертвы различных уязвимостей. Атаки такого типа можно разделить на использование некачественной обработки исключительных ситуаций (обработки исключений) и переполнение буфера (в случаях когда при передаче данных определенного типа на серверной стороне не проверяется превышение допустимого объема для такого типа данных, к чему сервер оказывается не готов).
  4. Атаки на DNS-серверы. Такие атаки можно разделить на два типа: атаки на уязвимость в программном обеспечении DNS-серверов и DDoS-атаки на DNS-серверы. Распределенные атаки на DNS-серверы подразумевают большое количество компьютеров для насыщения полосы пропускания либо захвата системных ресурсов. Ранее для подобных атак применялись многочисленные бот-сети. Но сейчас они неэффективны ввиду того, что провайдеры научились отсеивать подобный «мусорный» трафик. Также злоумышленники используют тот факт, что многие (десятки тысяч) DNS-серверов, работающих в интернете, настроены неправильно, что позволяет использовать их при организации DDoS-атак.

 Существует также другая классификация DDoS-атак, по объекту атаки. При использовании этой классификации выделяют следующие виды:

  1. Объемные атаки. При таких атаках создается трафик такого объема, который превышает пропускную способность канала организации.
  2. Атаки на приложения. С помощью сложных запросов, на выполнение которых требуются значительные ресурсы, выводятся из строя ключевые приложения, определяющие функционирование информационной системы в целом.
  3. Другие инфраструктурные атаки. Сюда входят атаки, не входящие в предыдущие типы, но также направленные на вывод из строя сетевого оборудования или серверов.
  4. Гибридные атаки. К этому виду относятся сложные атаки, сочетающие в себе сразу несколько типов атак, перечисленных в первых трех пунктах.

Следует иметь в виду, что в последние годы стоимость организации DDoS-атак существенно снизилась, а средние объемы, сложность и частота атак растут. При этом клиенты, использующие онлайн-сервисы, в том числе облачные, все болезненнее относятся даже к малейшим перебоям в доступности сервисов. Сегодня уже никак нельзя игнорировать или «заминать» наличие такой угрозы, как распределенные атаки на объекты информационной инфраструктуры.

В следующих разделах данной публикации мы рассмотрим технологии противодействия DDoS-атакам, реализованные в сервисе Kaspersky DDoS Prevention.

 

Как работает Kaspersky DDoS Prevention

Основная суть работы Kaspersky DDoS Prevention заключается в том, что в обычных условиях весь входящий интернет-трафик, поступающий в периметр защищаемой информационной системы, идет напрямую, как и без использования Kaspersky DDoS Prevention. Но при этом он зеркалируется на специальный сенсор, представляющий из себя отдельный сервер, физический или виртуальный, с помощью которого идет оценка входящего трафика. Сенсор устанавливается как можно ближе к защищаемым ресурсам, чтобы точность анализа проходящего трафика была выше. В случае обнаружения атаки трафик перенаправляется таким образом, что перед тем, как попасть в защищаемый периметр, он проходит через центр фильтрации Kaspersky Prevention Server и поступает в защищаемую информационную систему очищенным. Фильтруемый трафик проходит дополнительную проверку на ложные срабатывания, что, в частности, помогает избежать атак второго рода. После отражения атаки и ее завершения трафик снова начинает поступать напрямую в информационную систему клиента.

Сенсор Kaspersky DDoS Prevention подключается к входящему трафику посредством SPAN-порта. SPAN-порты (англ. Switched Port ANalyzer — переключаемый анализатор порта; термин компании Cisco Systems, другие производители сетевого оборудования иногда пользуются иными терминами) по сути занимаются дублированием (зеркалированием) трафика для его дальнейшего анализа. Зеркалируемый трафик, проходящий через сенсор Kaspersky DDoS Prevention, анализируется в центре очистки автоматически, а также контролируется дежурным аналитиком.

Перенаправление трафика в центр очистки при использовании Kaspersky DDoS Prevention может осуществляться двумя методами, для чего используются следующие механизмы соответственно:

  • протокол динамической маршрутизации BGP (Border Gateway Protocol);
  • изменение DNS-записи.

При применении любого из этих методов используются виртуальные GRE-туннели: сперва для передачи трафика в центр очистки Kaspersky DDoS Prevention, а после — на площадку клиента.

GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — это протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное предназначение в случае использования Kaspersky DDoS Prevention во время атаки — обеспечение передачи входящего трафика через центр очистки таким образом, чтобы для внешних клиентов (пользователей) защищаемой информационной системы это было незаметно, то есть по всем признакам так, как это происходило бы при подключении напрямую.

Рассмотрим, наконец, подробнее различия между переключением трафика в случае начала DDoS-атаки посредством динамической маршрутизации BGP и переключением посредством временного изменения DNS-записи.

 

Динамическая маршрутизация BGP и перенаправление через DNS

Пользователям Kaspersky DDoS Prevention предоставляется два варианта настройки перенаправления трафика — через BGP или через DNS.

BGP (англ. Border Gateway Protocol, протокол граничного шлюза) — основной протокол динамической маршрутизации в интернете. В рамках решения Kaspersky DDoS Prevention используется для определения маршрутов прохождения трафика и доставки его при необходимости через центр очистки Kaspersky DDoS Prevention.

Вариант BGP возможен, если защищаемые ресурсы находятся в провайдеронезависимой сети IP-адресов. DNS-вариант возможен, если защищаемые ресурсы находятся внутри доменной зоны, находящейся под управлением клиента, а значение параметра TTL (англ. Time to Live, «время жизни») для DNS-записей составляет 5 минут.

Необходимо иметь в виду, что BGP-перенаправление в случае начала DDoS-атаки срабатывает быстрее, поэтому является более предпочтительным.

Рассмотрим процесс мониторинга и фильтрации трафика при его перенаправлении через BGP и через DNS.

При перенаправлении трафика посредством BGP в режиме мониторинга весь трафик направляется напрямую в защищаемый периметр. Маршрутизаторы Kaspersky DDoS Prevention и маршрутизаторы клиента непрерывно обмениваются информацией о статусе соединения. При этом виртуальные GRE-туннели постоянно находятся в активном состоянии, готовые в любой момент принять перенаправленный трафик. Во время атаки, когда сенсор «Лаборатории Касперского» находит в трафике аномалию, имеется возможность перенаправить трафик на центр очистки Kaspersky DDoS Prevention, при этом сенсор продолжает работать и отслеживать текущую ситуацию. После окончания атаки трафик снова поступает напрямую в защищаемый период, то есть снова включается режим мониторинга.

 

Рисунок 1. Схема мониторинга и фильтрации трафика при BGP-перенаправлении

 

При перенаправлении трафика посредством DNS «Лаборатория Касперского» выделяет для клиента специальный пул IP-адресов Kaspersky DDoS Prevention, который используется во время атаки. Во время ее возникновения клиент имеет возможность изменить IP-адреса своих защищаемых ресурсов в DNS-записи. При этом защищаемые ресурсы начинают использовать IP-адреса Kaspersky DDoS Prevention. Так как злоумышленники могут атаковать непосредственно IP-адреса защищаемых ресурсов, то на время атаки интернет-провайдер клиента блокирует весь трафик, идущий на эти адреса за исключением связи с инфраструктурой сервиса Kaspersky DDoS Prevention. После окончания атаки клиент восстанавливает исходную DNS-запись, и трафик снова поступает напрямую в защищаемый период, то есть снова включается режим мониторинга.

 

Рисунок 2. Схема мониторинга и фильтрации трафика при DNS-перенаправлении

 

Выводы

DDoS-атаки из одиночных инцидентов, о каждом из которых писали средства массовой информации, превратились в один из многих классов угроз для информационных систем бизнеса, применяющихся масштабно и каждодневно. Очевидно, что в настоящее время необходимо автоматизировать предотвращение подобных угроз и противодействие подобным атакам, на что и направлено решение Kaspersky DDoS Prevention.

Классификация DDoS-атак в настоящее время стабилизировалась. И злоумышленникам приходится уповать либо на то, что цель атаки не защищена, либо применять гибридные методы атак, новые методы усиления вредоносного трафика, изменять принципы организации бот-сетей и их объем, чтобы увеличить мощность атаки.

Сервис Kaspersky DDoS Prevention по своим характеристикам подойдет для большинства средних и крупных предприятий, поскольку учитывает особенности организации защищаемых информационных систем. Фильтрация трафика только во время отражения атаки снижает нагрузку на защищаемую инфраструктуру и делает стоимость сервиса Kaspersky DDoS Prevention выгоднее относительно конкурирующих решений.

Для работы Kaspersky DDoS Prevention нет необходимости постоянно включать в цепочку прохождения трафика дополнительные элементы (аппаратно-программные комплексы, программные агенты и пр.). Необходимо лишь зеркалировать трафик на сенсор «Лаборатории Касперского», который работает в стороне от основной инфраструктуры предприятия-клиента. Таким образом, при отсутствии атак, в режиме мониторинга, защищаемые ресурсы работают ровно по такой же схеме, как и без использования Kaspersky DDoS Prevention, что является несомненным плюсом. Ибо согласно известной истине, чем сложнее система, тем она менее стабильна.

Участие в мониторинге трафика специалистов «Лаборатории Касперского» делает подход к каждому клиенту индивидуальным. В частности, дежурные аналитики при необходимости оповещают технических специалистов своих клиентов о начале DDoS-атаки, а также в случае необходимости разрабатывают индивидуальные сигнатуры для фильтрации трафика. Также это позволяет оперативно работать с ложными срабатываниями Kaspersky DDoS Prevention, если они возникают.

В целом, организация сервиса Kaspersky DDoS Prevention позволяет ему постоянно развиваться согласно тому, как изменяются параметры DDoS-атак, не мешать нормальной работе защищаемых ресурсов и незаметно для бизнес-процессов отражать DDoS-атаки всех известных на сегодняшний день типов. Это решение в итоге легко масштабируется и изначально ориентировано на постоянное развитие сервиса на благо его пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru