Сертификат AM Test Lab
Номер сертификата: 413
Дата выдачи: 18.04.2023
Срок действия: 18.04.2028
- Введение
- Функциональные возможности StormWall
- 2.1. Основные характеристики и возможности
- 2.2. Личный кабинет клиента сервиса StormWall
- 2.2.1. Вход в личный кабинет
- 2.2.2. Главная страница личного кабинета
- 2.2.3. Основная страница услуги «Защита сайтов от DDoS»
- 2.2.4. Раздел «Аналитика»
- 2.2.5. Раздел «Объект защиты»
- 2.2.6. Раздел «WebSocket»
- 2.2.7. Раздел «DNS»
- 2.2.8. Раздел «SSL»
- 2.2.9. Раздел «Кэш»
- 2.2.10. Раздел «Защита»
- 2.2.11. Раздел «Дополнительно»
- 2.2.12. Раздел «История атак»
- 2.2.13. Раздел «Заблокированные IP»
- Применение сервиса StormWall: работа в личном кабинете
- Выводы
Введение
Прошедший год был отмечен ростом DDoS-атак. Судя по публикуемой аналитике, экспертное сообщество вполне серьёзно относится к проблеме. Ещё большую озабоченность вызывает факт ухода с российского рынка зарубежных компаний, предлагающих продукты и сервисы защиты от DDoS-атак, без которых обеспечить полноценную безопасность невозможно. Однако сегодня на российском рынке присутствуют отечественные продукты этого класса. Один из них — сервис StormWall одноимённой компании.
Компания StormWall имеет шесть точек присутствия в крупнейших ЦОДах России (Москва), США (Вашингтон), Германии (Франкфурт-на-Майне), Казахстана (Алматы), Китая (Гонконг) и Сингапура, обеспечивая эффективную обработку трафика в непосредственной близости от защищаемых ресурсов. Продукты компании StormWall включены в Единый реестр российских программ для ЭВМ и баз данных, что позволяет использовать их в ходе работ по импортозамещению.
Сервис блокирует DDoS-атаки на нескольких уровнях модели OSI: сетевом, транспортном и уровне приложений. Для активации защиты достаточно получить защищённый адрес в облаке StormWall и перенаправить на него DNS-запись сайта. Для интернет-провайдеров, дата-центров, компаний предоставляющих услуги хостинга, а также для организаций с собственной автономной системой доступен режим защиты от DDoS-атак с подключением по BGP. Возможно подключение как с раскрытием сертификатов / приватных ключей, так и с клиентским сертификатом Let’s Encrypt, автоматически выпускаемым для клиента сервисом StormWall. Также по желанию клиента допускается работа без раскрытия сертификата и расшифровки трафика. В результате весь трафик, исходящий от клиентских устройств, будет подвергаться проверке, фильтрации и оптимизации. На защищаемый сервер будет поступать только очищенный трафик.
Функциональные возможности StormWall
Основные характеристики и возможности
Технические характеристики сервиса StormWall:
- максимальная полоса грубой очистки — более 3,5 Тбит/с;
- максимальная полоса тонкой пакетной фильтрации — более 1,6 Тбит/с.
Сервис StormWall предлагает обеспечить защиту сайтов от DDoS-атак без смены хостинга. Для этого потребуется подписаться на предоставление услуги по одному из трёх тарифных планов: «Personal», «Business ONE» или «Enterprise ONE». С актуальными тарифами можно ознакомиться на сайте компании.
В зависимости от выбранного тарифа обеспечиваются поддержка разного количества доменов второго уровня и поддоменов, возможность использования протокола WebSocket и выделенных IP-адресов, балансировка нагрузки и некоторые другие возможности.
Время подключения к услуге по заявлению компании StormWall составляет 10 минут (без переноса сайта). После подключения услуги весь трафик в адрес защищаемого сайта будет подвергаться контролю на пограничных маршрутизаторах, пакетных фильтрах (уровни 3–4 модели OSI), а также фильтрах прикладного уровня (L7). В совокупности получается три слоя очистки трафика.
На первом слое выполняются блокировки TCP- и UDP-амплификации, т. е. сводятся к нулю попытки злоумышленников усилить полосу пропускания DDoS-атаки.
На втором слое использование фильтрации на низком уровне даёт возможность обрабатывать сетевые пакеты с высокой скоростью и выполнять блокировку основной части TCP- / UDP-флуда. Тем самым злоумышленникам не удаётся «затопить» сервер потоком SYN- / UDP-пакетов.
Третий слой очистки трафика представляет собой механизм тонкой фильтрации, пресекающий различные варианты сложных атак, в том числе проводимых с помощью бот-сетей. На этом уровне используются интеллектуальные методы фильтрации, основанные на поведенческом и сигнатурном анализе.
Личный кабинет клиента сервиса StormWall
Вход в личный кабинет
Для входа необходимо перейти на официальный сайт компании StormWall и нажать в правом верхнем углу на ссылку «Личный кабинет». В открывшейся панели клиента потребуется ввести полученные при регистрации услуги учётные данные, после чего откроется главная страница личного кабинета.
Рисунок 1. Главная страница личного кабинета StormWall
В целом, на наш взгляд, личный кабинет сервиса StormWall вполне удобен и функционален. Рассмотрим его в деталях.
Главная страница личного кабинета
Интерфейс личного кабинета может быть настроен на использование русского или английского языка.
Перейдя по ссылке «Мои услуги», можно ознакомиться с перечнем подключённых услуг. В представленном примере демонстрируется факт подключения к услуге защиты сайтов.
Рисунок 2. Перечень подключённых услуг в StormWall
Рядом с информацией о подключённых услугах будет отображаться перечень запросов в службу технической поддержки сервиса StormWall. Там же будет находиться кнопка для создания нового обращения.
В случае проведения технического обслуживания сервиса клиент уведомляется о сути и сроках проводимых работ не менее чем за сутки до их начала. Все подобные извещения отображаются в нижней части главной страницы личного кабинета.
Основная страница услуги «Защита сайтов от DDoS»
Для управления услугой «Защита сайтов от DDoS» требуется в секции «Подключённые продукты и услуги» главной страницы личного кабинета щёлкнуть по ссылке «Website Protection Enterprise». Откроется основная страница, отражающая характеристики этой услуги.
Рисунок 3. Основная страница услуги «Защита сайтов от DDoS-атак»
Справа от списка доменов в разделе ресурсов отображается режим работы с SSL-трафиком — с расшифровкой или без таковой.
При нажатии на ссылку «Выделенные IP» появится перечень выделенных для защищаемого сервера IP-адресов. Переход по значению параметра «Выделенные IP» откроет окно с перечнем характеристик услуги «Website Protection Enterprise» и их стоимостью.
Ниже группы «Ресурсы» отображаются сведения о выбранном тарифе.
В секции «Дополнительно» можно настроить адреса рассылки уведомлений. Присутствует возможность как увидеть список рассылки, так и внести в него необходимые изменения (добавить или удалить адреса, включить или отключить рассылку).
В левой части основной страницы услуги «Защита сайтов от DDoS-атак» отображается раздел с краткой информацией о защищаемых доменах. В отношении каждого домена указывается, включена ли защита (поле «Статус защиты»), даётся графическое отображение трафика, позволяющее судить о его наличии и о существовании атаки (поле «Трафик / запросы»), а также отображаются сведения о том, какой из режимов проверки активен в текущий момент времени (поле «Режим защиты»).
В этом же разделе присутствуют инструменты, которые позволяют добавлять новые домены для их защиты (кнопка «Добавить домен»), отключать домены от услуги через процедуру удаления (ссылка «Удалить домен» в контекстном меню, открывающемся при нажатии на троеточие) и искать домен в перечне по его наименованию или с помощью регулярных выражений (окно поиска в правом верхнем углу раздела).
Щелчок по любому из доменов инициирует переход к новому окну с детализированной информацией и возможностями настройки. Всё содержимое сгруппировано в блоки: «Аналитика», «Объект защиты», «WebSocket» и прочие (см. далее). Также доступна команда «Удалить домен».
Раздел «Аналитика»
Раздел аналитики представляет собой набор графиков и диаграмм по следующим темам: запросы к сайту, объём трафика, время и код ответа, тепловая карта, топ городов и стран, топ локаций.
В верхней части раздела есть возможность указать период, за который требуются сведения (от пяти минут до одного месяца), а также скачать лог последних запросов для более глубокого анализа. Далее следуют графики, один из которых визуализирует количество и типы поступающих в адрес сайта запросов, а второй — объём трафика и его общие характеристики.
Рисунок 4. Фрагмент окна раздела «Аналитика» («Запросы на сайт», «Объём трафика»)
Графики могут быть развёрнуты на экран путём нажатия на двойную стрелку в правом верхнем углу любого из графиков.
Рисунок 5. Пример развёрнутого графика «Запросы на сайт»
Ниже расположена пара графиков, которые отражают длительность отклика сервера на запросы в его адрес, статистику по кодам ответов, географическое расположение источников обращений к серверу («тепловая карта») и рейтинг стран и городов по количеству источников запросов к серверу.
Рисунок 6. Фрагмент окна раздела «Аналитика» (характеристики ответов, источники запросов)
Завершает раздел аналитики перечень наиболее популярных целей клиентских запросов. Диаграмма отражает их вклад в общий трафик в сторону сайта.
Рисунок 7. Фрагмент окна раздела «Аналитика» («Топ локаций»)
Раздел «Объект защиты»
В этом разделе представлена информация об адресах, назначенных защищаемому ресурсу. В частности, в представленном примере видно, что для защищаемого сервера доступен и назначен единственный адрес, указанный в окне «Назначенные домену IP-адреса». В общем же случае для сервера может быть назначено более одного адреса из пула сервиса. Кроме этого, существует возможность использовать адреса из пула адресов клиента в случае подключения по BGP или анонса клиентской сети со стороны сервиса StormWall.
Рисунок 8. Пример раздела «Объект защиты»
Также в этом разделе представлены настройки балансировки. По умолчанию сервис предоставляет услугу балансировки трафика. Для её настройки можно указать несколько внутренних (бэкенд) серверов с присвоением каждому своего весового коэффициента и назначением статуса «активный» или «резервный». В обычном режиме работы балансировка будет выполняться активными бэкенд-серверами. В случае выхода из строя активного сервера его место займёт резервный.
Дополнительно в этом же разделе можно указать протокол, используемый для доступа к бэкенд-серверам: HTTP (порт 80) или HTTPS (порт 443).
Раздел «WebSocket»
Здесь можно указать настройки для защиты сайта от DDoS-атак через уязвимости протокола WebSocket, который широко используется в современных веб-решениях: веб-консолях, чатах, приложениях для трейдеров и пр. При стандартной настройке сайта для протокола WebSocket используются стандартные порты (80, 443) и никаких специальных настроек для обеспечения защиты сервера не требуется.
В то же время распространённым решением является использование нестандартных портов для работы по этому протоколу. Именно для такого случая сервис предлагает выполнить специальную настройку, указав эти порты, а также, при необходимости, настроить балансировку между бэкенд-серверами.
Рисунок 9. Фрагмент окна настройки нестандартных портов протокола WebSocket
Раздел «DNS»
Если в рамках защиты сайта подключена услуга DNS-хостинга, то в личном кабинете появляется возможность управлять настройками доменной зоны. Этот раздел доступен для доменов второго уровня и выше.
Если добавить в услугу защиты сайта доменное имя третьего уровня, в соответствующей доменной зоне будет автоматически создана A-запись, указывающая на защищённый IP-адрес. В случае добавления доменного имени второго уровня автоматически создаётся соответствующая доменная зона.
Добавление дополнительных защищённых IP-адресов приводит к созданию соответствующих A-записей, а открепление защищённого IP-адреса от домена — к удалению.
В случае полного удаления настроек домена третьего уровня удаляются все относящиеся к нему A-записи. При удалении домена второго уровня доменная зона удаляется полностью.
Меню добавления DNS-записей открывается по нажатию на экранную кнопку «Добавить новую запись» внизу раздела.
Раздел «SSL»
Рассматриваемый сервис имеет возможность противодействовать DDoS-атакам на уровне приложений даже в том случае, если используется SSL-трафик. Для его инспектирования потребуется выполнить настройку, как показано в примере на рисунке ниже.
Рисунок 10. Окно настройки раздела «SSL»
Как видно, для проверки SSL-трафика клиенту сервиса необходимо указать сертификат открытого ключа и сам секретный ключ. Внесённые таким образом сертификат и ключ отображаются в усечённом виде, что исключает их полное копирование с экрана. Также вносятся сертификаты корневого центра и промежуточных центров сертификации (при их наличии).
В том случае, если клиент не хочет вносить эти данные в личный кабинет, предоставляется возможность активировать опцию «Сертификат Let’s Encrypt». В этом случае для защищаемого сервера формируются ключи клиента и выпускается сертификат открытого ключа. Услуга является бесплатной, а сертификат и приватный ключ по истечении каждого срока использования будут заново формироваться и заменяться автоматически за три дня до истечения срока их действия. В случае использования собственного сертификата клиент должен позаботиться о его своевременном обновлении самостоятельно.
На стороне защиты можно настроить автоматическое перенаправление запросов с HTTP на HTTPS или наоборот, что уменьшит нагрузку на конечный сервер.
Раздел «Кэш»
Сервис предоставляет возможность активировать бесплатную услугу кеширования статического контента в оперативной памяти кеширующих серверов в точках очистки StormWall, что позволяет существенно ускорить работу сайта с подключённой защитой, а также снизить нагрузку на конечный сервер.
Рисунок 11. Окно настройки раздела «Кэш»
На рисунке выше демонстрируются возможности этой услуги: указание времени хранения данных, принудительная очистка памяти, добавление расширений файлов, которые подлежат кешированию. Дополнительные параметры кеша (например, включение или исключение локаций, регулярные выражения) могут быть заданы обращением в техническую поддержку.
Раздел «Защита»
Здесь можно выполнить более тонкую настройку защиты сервера от DDoS-атак. По заявлению разработчиков, набор предоставляемых возможностей существенно превосходит таковой в аналогах на российском рынке и не только.
В верхней части выделен блок «Режим защиты», предназначенный для выбора режима интерактивных проверок. По умолчанию установлен режим «Sensor», в котором все запросы к сайту анализируются на предмет признаков атаки. Однако в качестве стартового можно указать и другой режим, например «Redirect». В этом режиме посредством анализа идентификационных файлов (cookie) обеспечивается защита от атак ботов и автоматических запросов. Также можно выбрать проведение проверок с помощью Java-скриптов. Здесь существуют два варианта: во-первых, доступна проверка на то, что запрос выполнен посетителем сайта (режим «JS validation»), а во-вторых, можно задействовать более сложные проверки, которые не могут выполняться, если на стороне клиента установлены устаревшие версии браузеров (режим «JS advanced validation»). Следующий, самый высокий, уровень проверки связан с использованием метода CAPTCHA собственной разработки. Отличительной особенностью является предоставляемая клиенту возможность полностью отключить защиту. Это полезно, если требуется выяснить, как установленный режим защиты влияет на защищаемый сайт.
Помимо рассмотренной интерактивной защиты браузера используется и так называемая проактивная защита. Её активация выполняется в одноимённом блоке верхнего ряда. В таком случае будет осуществляться анализ текущей активности посетителей сайта: геолокация, виды направляемых запросов, обращения к ресурсам сервера, время нахождения на конкретных страницах сайта и пр. По результатам анализа происходит автоматическое обучение модели позитивного использования ресурсов сервера. В случае выявления атаки на сервер все пользователи, поведение которых не удовлетворяет этой модели, будут заблокированы либо подвергнуты дополнительным проверкам (в зависимости от установленных настроек).
В самом правом блоке верхнего ряда предоставляется возможность указать время жизни файлов cookie, а также принудительно сгенерировать новый ключ защиты. До истечения установленного времени жизни прошедший проверку пользователь считается легитимным.
Рисунок 12. Фрагмент раздела «Защита»
Средний ряд настроек позволяет определить белые, чёрные и серые списки адресов. Допускается указывать адреса как конечных узлов, так и сетей / подсетей целиком.
Трафик от узлов, чьи адреса указаны в белом списке, считается безусловно доверенным и не подвергается проверкам. Если же трафик исходит от адресов в чёрном списке, то он безусловно блокируется, также без проведения дополнительных проверок.
Рисунок 13. Фрагмент раздела «Защита»
В ряде случаев могут возникать ситуации, когда принять однозначное решение в отношении источника запросов не представляется возможным и требуется более глубокое изучение. Такие адреса предлагается включать в серый список (Greylist), указывая, каким именно проверкам они должны быть подвергнуты. Также возможны ситуации, когда необходимо проверить, как ведёт себя сайт в случае включения тех или иных проверок интерактивного режима защиты. В этом случае в серый список включают IP-адреса тестировщиков, после чего выбирают интерактивный режим проверки и наблюдают, как он влияет на работу клиента с сайтом.
Рисунок 14. Окно настройки проверок серого списка адресов
Ещё одна возможность — использование геофильтра. Суть его настройки состоит в том, что указываются коды конкретных стран и для них выбирается из предустановленного списка конкретное действие: блокировать запросы от узлов с их территории или поднять защиту до определённого уровня. Дополнительно можно указать область действия такого правила: все указанные страны или все страны кроме указанных.
Также предоставляется возможность отключить использование интерактивных проверок для определённых обращений. В частности, если к определённым ресурсам сервера обращаются только боты или мобильные приложения, то применять по отношению к ним интерактивные проверки неправильно, это может привести к сбоям в работе клиентского сервиса. Для того чтобы исключить подобные ситуации, соответствующие локальные ресурсы необходимо указать в блоке «Исключения по локациям».
Кроме того, можно создать набор правил в отношении запросов на уровне HTTP-заголовков, путём их явного разрешения или запрещения (окно «Фильтр по заголовкам»).
Другой набор правил позволяет настроить доступ к локациям сервера: с какими параметрами, в течение какого интервала времени, какое количество запросов можно направлять (блок «Location filters»). В частности, с помощью подобных правил удаётся организовать выявление интеллектуальных ботов, способных с высокой точностью имитировать поведение человека, с последующей их блокировкой, как на уровнях L3–L4, так и на уровне L7.
Рисунок 15. Фрагмент раздела «Защита»
Существует возможность составлять цепочки обработки HTTP-запросов и проверять их соответствие нескольким параметрам одновременно (наличие / отсутствие определённых заголовков, файлов cookie и пр.) с последующим указанием действий над запросами. Для формирования таких правил используется окно «Цепочки правил HTTP». Это позволит реализовать более точное описание исключений для интерактивных проверок и создать правила блокировок тех запросов, которые не удовлетворяют заданным условиям. Например, можно заблокировать все запросы, в которых отсутствует определённый заголовок с определённым значением.
Рисунок 16. Окно «Цепочки правил HTTP»
Рисунок 17. Пример формирования правила
Последний блок раздела «Защита» представлен совокупностью дополнительных, т. н. «продвинутых», настроек. Их можно условно разделить на три группы.
Рисунок 18. Фрагмент раздела «Защита»
Во-первых, это группа различных пороговых значений для сенсора («L7 sensor settings») уровня приложений. В частности, можно указать предельно допустимый рост трафика (параметр «Traffic increase»). Значение «3» на рисунке имеет следующий смысл: если трафик увеличится в три раза за последние 15 минут, то следует считать, что в отношении сайта осуществляется атака, и активировать механизмы противодействия ей.
Другой параметр, «Max RPS threshold», представляет собой максимально допустимое количество запросов в секунду, поступающих в адрес сайта. При превышении этого значения также будет активирована защита.
Однако эти и другие параметры целесообразно рассматривать в совокупности, а не как самостоятельные правила, определяющие поведение механизмов защиты. Например, на практике реальна ситуация, когда количество запросов в секунду приблизится к пороговому значению, не превышая его, и в таком случае атака не детектируется. Однако если при этом будет обнаружен всплеск трафика за короткий промежуток времени, то это уже будет свидетельствовать о начале атаки и позволит системе защиты своевременно включиться в борьбу со злоумышленниками.
В случае организации специального вида DDoS-атак, когда отказ сервера происходит не из-за большого количества запросов и усиления трафика, помочь в детектировании вредоносных действий может анализ количества ошибок сервера, связанный с параметром «Error part». Например, как показано на рисунке, если доля ошибок с кодами серии 500 превысит установленное значение (30 %), то произойдёт активация защитных мероприятий.
В ходе проведения атаки злоумышленник может осуществлять её «рывками», повторяя в цикле кратковременную атаку с паузами. Традиционный подход систем противодействия атакам состоит в том, что защитные механизмы выключаются после того, как атака перестаёт обнаруживаться. В таком «рваном» режиме возможны сбои в работе как самих защитных механизмов, так и сервера в целом. Для защиты от подобных действий злоумышленников нужно сделать так, чтобы система не отключалась мгновенно, как только атакующие действия прекратятся. В рассматриваемой системе противодействия DDoS-атакам параметр «Max attack lifetime» позволяет указать фиксированное время, на которое включаются механизмы противодействия атаке в случае её детектирования, вне зависимости от того, прекратились ли действия злоумышленников или продолжаются.
Также можно указать, с какого защитного механизма следует начинать противодействовать обнаруженной атаке, а также до какого уровня защиты следует подниматься, если принятые меры защиты не дали должного результата. Для этого настраиваются два параметра — «Start defence status» и «Max defence status» соответственно.
Вторая группа параметров («L7 block rules») позволяет устанавливать значения для выявления активности ботов. Например, с этой целью одновременно анализируются количество заблокированных запросов и общее количество запросов в секунду от конкретного узла.
Третья группа параметров («Firewall block rule») служит для настройки пороговых значений на сетевом уровне с целью блокировать трафик от некоторых узлов, подсетей и сетей без включения фильтрующих механизмов прикладного уровня. Это позволит избежать излишней нагрузки на систему защиты на седьмом уровне модели OSI.
Более детальное описание всех возможностей и допустимых комбинаций значений параметров выходит за рамки нашего обзора. Более того, управление настройками в разделе «Защита» требует высокой квалификации специалистов, которых в штате компании-клиента может не оказаться. Поэтому служба технической поддержки сервиса готова помочь в тонкой настройке фильтрации. При этом клиент, войдя в личный кабинет, всегда может увидеть, какие именно изменения были внесены, что обеспечивает прозрачность действий службы поддержки.
Раздел «Дополнительно»
В этом разделе осуществляется настройка различных перенаправлений, в том числе безусловного перенаправления на другие домены.
Рисунок 19. Окно настроек раздела «Дополнительно»
Раздел «История атак»
Здесь хранится информация обо всех атаках, когда-либо зафиксированных в отношении защищаемого сайта.
Рисунок 20. Фрагмент окна раздела «История атак»
В строке «Временной интервал», используя выпадающий календарь, можно указать конкретный интервал, за который требуется собрать информацию. В списке атак отображаются сведения о целевом адресе, типе проводимой атаки, протоколе, времени осуществления атаки и уровне её опасности. Перечень атак кликабелен, благодаря чему позволяет посмотреть более подробную информацию о любом из зафиксированных событий.
Раздел «Заблокированные IP»
В этом разделе представлена информация о заблокированных адресах: когда заблокированы, причины блокировки, оставшееся время до автоматической разблокировки.
Рисунок 21. Фрагмент окна раздела «Заблокированные IP»
Дополнительно можно найти нужный адрес через строку «Поиск», щелчками по области слева от адресов выполнить их полную или частичную выборку с последующей принудительной досрочной разблокировкой. Таким образом, клиент в своём личном кабинете может самостоятельно установить факт блокировки легитимного пользователя и выяснить, какие именно действия, приведшие к срабатыванию системы защиты, он совершил.
Помимо этого предоставляется возможность увидеть всю историю блокировок за время нахождения сайта под защитой сервиса. Это позволяет при необходимости ответить на вопрос, блокировался ли когда-либо какой-то конкретный узел и по какой причине.
Применение сервиса StormWall: работа в личном кабинете
Онлайн-анализ состояния защищаемого домена
В перечне защищаемых доменов на основной странице услуги «Защита сайтов от DDoS-атак» найдём домен, по которому требуется информация. Для этого можно воспользоваться окном поиска. Допускается указать и IP-адрес искомого узла.
Рисунок 22. Поиск домена в перечне защищаемых
Удовлетворяющий критериям поиска домен отобразится в разделе.
Рисунок 23. Результат поиска домена
Далее следует щёлкнуть по найденному домену. Откроется окно с детализированной информацией.
Рисунок 24. Фрагмент окна с детализированной информацией по домену
Далее следует выбрать интервал времени, по которому планируется провести анализ. Для этого нужно в поле «Масштаб» выбрать подходящее значение из выпадающего меню или ввести своё собственное.
Рисунок 25. Выбор анализируемого интервала времени
В качестве примера установим вывод сводной информации за месяц. Выбор нового масштаба приведёт к смене отображаемой информации.
Рисунок 26. Отображение сводной информации за месяц
На первом графике представлена сводная информация по запросам в адрес защищаемого сайта. Передвигая указатель мыши на даты, когда отмечались всплески трафика, можно увидеть детальную информацию по конкретной дате. Внизу графика представлена сводная информация за весь выбранный интервал времени.
Рисунок 27. График «Запросы на сайт»
По представленной информации, в частности, видно, что было заблокировано 97,4 % запросов от общего количества направленных в адрес защищаемого домена.
При необходимости можно отключить вывод на график любых типов запросов, оставив только интересующие нас.
Рисунок 28. Отображение заблокированных запросов на фоне общего числа запросов
Далее представлен график по времени ответов. Он позволяет оценить наличие каких-либо проблем на сайте, связанных с реакцией на поступающие запросы.
Рисунок 29. График «Время ответа»
В частности, в представленном примере видно, что для 1,5 % запросов время ответа составляет более четырёх секунд, что не является критическим показателем на анализируемом интервале времени. В момент проведения атаки аналитик может понять, как реагирует защищаемый сервер на действия злоумышленников и насколько успешно он противостоит DDoS-атаке.
Ещё одним важным показателем состояния сервера могут служить сведения по ответам, направляемым сервером в отношении поступивших HTTP-запросов.
Рисунок 30. График «Код ответа»
В частности, в представленном примере видно небольшое количество серверных ошибок (коды 500, 502). 2,9 % кодов указывают на наличие ошибок в клиентских запросах (коды 403, 404, 416 и 499). Более 95 % кодов говорят об успешной обработке запросов сервером.
По тепловой карте можно понять, откуда идут запросы к сайту.
Рисунок 31. Тепловая карта запросов
Изменяя масштаб, можно получить более точную информацию о регионах, откуда идёт наибольшее количество обращений к сайту.
Рисунок 32. Пример изменения масштаба тепловой карты
Переключаясь на топ городов и стран, можно увидеть, что большая часть запросов в представленном примере идёт из России и Сингапура. В случае проведения DDoS-атаки вполне легко определить по тепловой карте местонахождение источников такой активности.
Рисунок 33. Топ городов и стран: страны
На этом же графике можно получить данные по городам, откуда направляются запросы в адрес сервера. В представленном примере зафиксировано наибольшее число обращений к сайту из Нижнего Новгорода.
Рисунок 34. Топ городов и стран: города
Также в ходе анализа можно увидеть статистику по направлению запросов. При проведении атаки становится понятным, на что именно она направлена.
Рисунок 35. Топ локаций
Для получения информации о заблокированных узлах следует перейти в раздел «Заблокированные IP». Нажатие на стрелку слева позволит получить информацию о причине блокировки и времени, когда эта блокировка будет снята.
Рисунок 36. Перечень заблокированных адресов
Получение перечня запросов к сайту
Для получения перечня запросов необходимо с помощью строки поиска найти изучаемый домен, открыть окно с детализированной информацией о нём и выбрать анализируемый интервал времени, после чего нажать кнопку «Сгенерировать лог запросов».
Рисунок 37. Подача команды на формирование лога запросов к сайту
Начнётся процесс формирования данных с выводом информационного сообщения.
Рисунок 38. Уведомление о процессе формирования данных
Для получения сформированной информации необходимо нажать на кнопку «Скачать».
Рисунок 39. Получение данных на локальный диск
Система запросит место сохранения файла и запишет его в виде ZIP-архива. Для анализа полученного результата потребуется разархивировать CSV-файл, открыть его внешним приложением, например Microsoft Excel, и проводить анализ имеющимися в нём средствами.
Рисунок 40. Пример содержимого CSV-файла с запросами к сайту
Получение информации по атакам
Для получения данных по атакам необходимо перейти в раздел «История атак» и открыть окно «Временной интервал».
Рисунок 41. Фрагмент окна «Временной интервал»
Используя элементы управления, выбираем дату начала и окончания интервала. В результате будет отображён список всех атак, зафиксированных в заданном промежутке времени.
Рисунок 42. Пример вывода перечня атак за фиксированный интервал времени
Для просмотра детальной информации необходимо щёлкнуть по какому-либо событию из представленного перечня. Например, рассмотрим выявленную атаку на прикладном уровне.
Рисунок 43. Окно «Подробности» с данными об атаке
Нажимая на всплеск заблокированных запросов на графике, можно увидеть их количество.
В текстовой части ниже графика представлены основные сведения о событии. В частности, видно, что атака проходила на прикладном уровне, целью являлся домен «dom1.abcd.ru», атака осуществлялась по протоколу HTTP, время её начала — 18:40 2 января 2023 г.
При переходе по ссылке «Детали трафика» происходит вывод информации, знакомой по разделу «Аналитика». Отличие состоит в том, что представленная информация соответствует моменту проведения атаки в отношении сайта.
Рисунок 44. Детализация информации об атаке
В частности, видно, как именно изменялось время ответа. Для удобства можно выставить фильтры в легенде.
Рисунок 45. Пример вывода данных о времени ответа
Также можно оценить, куда именно шло массовое обращение. В данном случае это — корневая директория сайта.
Рисунок 46. Определение цели атаки
В отношении атак на сетевом и транспортном уровнях получаем аналогичные сведения.
Рисунок 47. График отображения атаки на уровне L3
Содержимое описательной части даёт информацию об адресе атакуемого узла, времени начала атаки, её мощности и пр.
Рисунок 48. Пример сведений об атаке на уровне L3
В разделе «Детали трафика» на графике можно увидеть вклад разных узлов в проводимую атаку. Для этого достаточно воспользоваться фильтром в легенде.
Рисунок 49. Топ адресов, с которых осуществлялась атака
В табличной форме отсортированный перечень атакующих узлов представлен в окне «Source IP List».
Рисунок 50. Топ адресов, с которых осуществлялась атака, в табличном виде
Далее приводятся данные о том, по каким протоколам происходила атака. В нашем примере это — протокол TCP. В окне «Source TCP Port List» указываются порты источника нелегитимного трафика, а в окне «Destination TCP Port List» — порты назначения.
Рисунок 51. Пример сведений, характеризующих атаку
Дополнительная возможность — сформировать отчёт по нелегитимной активности в отношении сайта за конкретный отрезок времени. Для этого необходимо, как показано ранее, выбрать исследуемый интервал и щёлкнуть по ссылке «Сформировать отчёт (PDF)».
Рисунок 52. Формирование запроса на получение отчёта по атакам
Сформированный в итоге файл может быть распечатан и представлен на рассмотрение по месту требования.
Рисунок 53. Пример фрагмента печатной формы отчёта по атакам
Выводы
Сервис защиты веб-приложений от DDoS-атак StormWall 04.2023 имеет развитые механизмы безопасности, обеспечивая защиту сайта от многих вариантов DDoS-атак. Это достигается за счёт комплексного применения наборов интерактивных и неинтерактивных проверок. Наличие клиентоориентированного личного кабинета позволяет оперативно взаимодействовать со службой технической поддержки и при необходимости самостоятельно выполнять специфическую для работы конкретного сервера настройку. Наличие API даёт крупным компаниям возможность автоматизировать различные процессы, связанные с обеспечением безопасности информационных ресурсов.
Достоинства:
- Наличие API для интеграции со внешними ИТ-системами и средствами защиты заказчика.
- Возможности тонкой настройки механизмов защиты под условия эксплуатации сервера.
- Прозрачность настроек для клиента, возможность проверки влияния защитных механизмов на работоспособность защищаемого сервера.
- Развитый аналитический инструментарий, в т. ч. ретроспективный анализ трафика, отслеживание источника атак и локализация цели атаки.
- Возможность инспектирования SSL-трафика как за счёт получения ключевой информации клиента и обеспечения его конфиденциальности, так и за счёт предоставления клиенту собственного ключевого материала.
- Наличие механизма разграничения доступа к настройкам личного кабинета.
Недостатки:
- В формах русскоязычного интерфейса встречается текст на английском языке.
- Не везде параметры настройки снабжены контекстной подсказкой, позволяющей понять их суть и правила настройки.
- В разделе «Ресурсы» основного окна услуги «Защита сайтов от DDoS-атак» при нажатии на любое значение параметров «Домены» и «WebSocket» осуществляется переход в одно и то же окно, что полагается излишним, а контекстная подсказка о сути отображаемых значений отсутствует.
- Отсутствует возможность сортировки списка атак по уровням критической значимости.