Жертвой DDOS-атак может стать любая организация. Для оперативного восстановления работоспособности некоторые компании скорее предпочтут заплатить выкуп, нежели обратятся за помощью в правоохранительные органы. Ведь для крупных и средних компаний недоступность ресурсов порой означает если не остановку всего бизнеса, то значительные финансовые потери.
DDoS-атаки – это распространенный инструмент недобросовестной конкуренции или маскировка взлома сайтов с целью кражи конфиденциальной информации. Защита от таких атак особенно актуальна для компаний, работающих в сети Интернет – в первую очередь, это банки, компании, работающие в сфере электронного бизнеса (интернет-магазины), ежедневно использующие системы платежей и заказов, контент-провайдеры, средства массовой информации.
Как не стать жертвой DDoS-атаки?
1. Разработка стратегии защиты.
Чтобы остановить атаки, организациям требуется изменить стратегию защиты, перейдя с двухэтапной защиты на трехэтапную. Двухэтапный подход подразумевает предварительный этап подготовки к атаке – выбор решений по обеспечению безопасности, развертывание систем безопасности и другие меры, и этап после атаки – проведение экспертизы, подведение итогов и совершенствование используемых средств защиты в ожидании следующей атаки. Этих действий было достаточно, пока атаки носили непродолжительный характер.
Теперь, когда кампании длятся днями или неделями, организациям требуется добавить третий этап – защитную стратегию, используемую во время атаки. Наиболее важным компонентом такой стратегии является команда экспертов, которые могут не только динамически реагировать на действия злоумышленников во время нападения, но также применять контрмеры для остановки атаки, и затем анализировать полученную информацию для совершенствования методов борьбы с будущими атаками. Для организаций неразумно содержать требуемое количество людских ресурсов и квалифицированных специалистов на постоянной основе, учитывая, что в год они подвергаются всего нескольким атакам. Организации, таким образом, должны найти дополнительные внешние ресурсы – экспертов по безопасности, отраслевые альянсы или государственные службы. Только с помощью таких услуг по требованию и усиления своей команды специалистов услугами сторонних экспертов можно одержать победу в борьбе за безопасность.
2. Очитка трафика на уровне оператора связи или спецпровайдера.
Мощная DDoS-атака может занять всю емкость интернет-канала «жертвы», поэтому на стороне атакуемого проблему не решить: эффективная защита может быть обеспечена только на уровне оператора связи.
Из-за снижения стоимости организации мощных DDoS-атак рассчитывать на свои силы в защите от них могут позволить себе только компании, располагающие широкополосным доступом в Интернет и резервированием канала подключения, что редкость в нынешней российской корпоративной практике. Поэтому в этом деле корректнее полагаться даже не на операторов связи, а на специализированных провайдеров услуги по защите от DDoS-атак.
3. Будьте осторожны с сервисами стрессового тестирования.
Доступность веб-ресурса является важнейшим фактором при ведении бизнеса: длительное время отклика и недоступность приводит к прямым убыткам в виде потерянных потенциальных клиентов. Именно поэтому разработчики и владельцы веб-приложений уделяют особое внимание процедурам нагрузочного и стрессового тестирования. В свою очередь, появились сервисы, осуществляющие проверку веб-ресурсов, имитируя активность посетителей.
Стрессовое тестирование — это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам. Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача — определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором — сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.
С ростом потребности подобных оценок появилось немало онлайн-сервисов, позволяющих не утруждать себя настройкой сложных систем тестирования и подготовкой облачной инфраструктуры: достаточно задать параметры нагрузки и оплатить вычислительные мощности, ожидая затем отчет о поведении ресурса. При этом некоторые службы для ознакомления бесплатно предлагают короткий тест без регистрации.
Однако злоумышленники могут воспользоваться этой, на первый взгляд, безобидной услугой в своих целях. Дело в том, что большинство сервисов нагрузочного тестирования не требуют подтверждения того, что процедуру заказывает его владелец — нет никаких дополнительных привязок к телефонному номеру или кредитной карте.
4. Проблемы защиты от атак по HTTPS и SSL.
Есть два допущения в отношении борьбы с DoS/DDoS-атаками. Во-первых, требуется остановить атаку как можно раньше, прежде чем она проникнет глубоко в сеть. Во-вторых, что является более очевидным, требуется проверять весь трафик. Этого нелегко добиться при атаках, основанных на использовании протокола HTTPS.
Почему HTTPS-атака представляет такую угрозу? Несмотря на то, что в ней используется протокол, аналогичный протоколу HTTP, она представляет угрозу совершенно иного уровня. Причина в следующем: как правило, HTTP-атаки можно обнаружить и ликвидировать с помощью системы защиты от DDoS-атак, которая расположена на клиентском оборудовании (CPE), в облаке или, в идеальном случае, и там, и там. Такие решения могут справиться с HTTP-атаками уровня приложений или атаками на переполнение сети.
Однако, когда те же самые атаки выполняются посредством протокола HTTPS, дела обстоят по-другому. Сетевые флуды могут быть остановлены; данные пока не шифруются, и SYN-флуд, к примеру, по HTTPS выглядит точно также, как и по HTTPS, а атаки на приложения достаточно сложно обнаружить.
Зашифрованный HTTPS-трафик обычно дешифруется только на веб-сервере, балансировщике нагрузки или выделенном устройстве для SSL-терминации. Данные объекты обычно лежат дальше в сети после того уровня, где трафик проверяется системами защиты от DoS-атак (в облаке или CPE):
- Поскольку организации неохотно соглашаются на передачу своих ключей SSL и сертификата в MSSP облака, ведь такое действие несет определенные риски, система защиты от DoS-атак, расположенная в облаке, не может проанализировать зашифрованный трафик, и, следовательно, не может обнаружить атаку.
- CPE-устройство также видит данные в зашифрованном виде, и тоже не может их проанализировать. Следовательно, заметить атаку получается слишком поздно, после того, как она уже достигла своей цели.
Помимо HTTPS-атак, существуют атаки, присущие именно уровню SSL, которые нацелены непосредственно на механизм обмена данными по SSL. SSL-атаки, которые выполняются с помощью инструмента THC-SSL-DOS.
Обычно SSL-подтверждение выполняется только единожды с целью установки безопасного соединения. Для атаки используется опция протокола на «повторное согласование» для установки нового секретного ключа. Отправляя многократные запросы на повторное SSL-согласование, злоумышленник значительно повышает нагрузку на процессор целевого сервера до того момента, когда тот уже не может дальше работать.
В тех случаях, когда сервером не поддерживается опция «повторного согласования», злоумышленник может открывать новые SSL-соединения, что приведет к такому же эффекту. SSL-атака носит асимметричный характер – ресурсы, необходимые серверу для обработки подтверждения, в 15 раз больше тех, которые требуются от устройства, запросившего подтверждение (атакующего).
Протокол HTTPS поддерживается практически всеми веб-сайтами и является важным компонентом финансовых сайтов, где с его помощью защищаются денежные операции. С учетом сложности выявления HTTPS-атак, мы ожидаем увидеть резкий рост популярности таких атак и рекомендуем организациям, особенно тем, кто работает в финансовом секторе, приобрести решение по борьбе с данной проблемой.
Что делать, если вы все же подверглись DDoS-атаке?
- Убедитесь в том, что атака произошла. Исключите общие причины перебоя работы, включая неправильную конфигурацию DNS, проблемы с маршрутизацией и человеческий фактор.
- Обратитесь к техническим специалистам. С помощью технических специалистов определите, какие ресурсы подверглись атаке.
- Установите приоритеты важности приложений, для того, чтобы сохранить наиболее приоритетные. В условиях интенсивной DDoS-атаки и ограниченных ресурсов необходимо сосредоточиться на приложениях, обеспечивающих основные источники прибыли.
- Защитите удаленных пользователей. Обеспечьте работу вашего бизнеса: занесите в белый список IP-адреса доверенных удаленных пользователей, которым необходим доступ, и сделайте этот список основным. Распространите это список в сети и отправьте его поставщикам услуг доступа.
- Определите класс атаки. C каким типом атаки вы столкнулись: Объемная? Маломощная и медленная? Ваш поставщик услуг сообщит вам, является ли атака исключительно объемной.
- Оцените варианты борьбы с адресами источников атак. В случае сложных атак ваш поставщик услуг не сможет преодолеть/определить количество источников. Заблокируйте небольшие списки атакующих IP-адресов в вашем межсетевом экране. Более крупные атаки можно блокировать на основе данных о геопозиционировании.
- Заблокируйте атаки на уровне приложения. Определите вредоносный трафик и проверьте, создается ли он известным инструментом. Определенные атаки на уровне приложения можно блокировать для каждого конкретного случая с помощью контрмер, которые могут быть предоставлены имеющимися у вас решениями.
- Усильте свой периметр защиты. Возможно, вы столкнулись с ассиметричной атакой DDoS 7 уровня. Сосредоточьтесь на защите на уровне приложений: используйте системы логинов, систему распознавания людей или технологию Real Browser Enforcement.
- Ограничьте сетевые ресурсы. Если предыдущие меры не помогли, то необходимо ограничить ресурсы – таким образом будет ограничен «плохой» и «хороший» трафик.
Заключение
Усовершенствованные и продолжительные DoS- и DDoS-атаки безусловно опасны и сложны, однако они предоставляют некоторые весьма ценные возможности для развития. Эксперты по безопасности могут собрать актуальные сведения об атакующих – кем они являются, и какие инструменты используют. В конечном итоге, это позволяет организациям отразить атаку, применить контрмеры и победить атакующих на их поле.
Однако DDoS-атака может продолжаться достаточно долго, менять интенсивность, тактику и векторы. В результате на протяжении часов и даже дней сервер остается недоступным, компания теряет клиентов, останавливаются определенные бизнес-процессы. Крупные DDoS-атаки способны нанести серьезный урон бизнесу и репутации компании.
Защититься от атак разной мощности можно различными средствами. В случае, если речь идет о небольшой компании, можно ограничиться грамотными настройками сетевого оборудования и серверов. Качественная работа, проведенная специалистами, позволит серверу перенести небольшие атаки, происходящие с 100-200 зараженных компьютеров. Обычно при этом используются открытые надстройки.
В случае, когда компания является потенциальной жертвой для более масштабных атак, справиться с ними можно только используя специальные средства. Защиту от DDoS можно эффективно реализовать на шлюзах, если установить специальные аппаратно-технические средства, фильтрующие и анализирующие трафик с большой скоростью.
Если же атака превосходит все ожидания или оказалась неожиданной, можно обратиться в специальную службу фильтрации. Для этого необходимо, чтобы оператор связи направил трафик на другой адрес, где есть мощные серверы, которые будут разбираться с наплывом фальшивых запросов. Такие сервисы предлагают, как операторы связи, так и специалисты в области информационной безопасности.