Перед описанием каждого вида из DDoS атак, необходимо разобраться, что же это такое. Понимание сути проблемы – половина ее решения. Denial of Service, или сокращенно – DDoS обозначает отказ от обслуживания. Фактически же – это создание такой ситуации, когда ресурс становится полностью недоступным для пользователей, или время его ответа превышает максимально допустимое. В любом случае, для владельцев коммерческих проектов это обозначает потерю потенциальных и существующих клиентов, а значит – убытки. Чтобы такого не происходило, необходимо своевременно защищаться от возможных атак злоумышленников. Атака называется DDoS (Distributed Denial of Service), когда производится одновременно с нескольких источников – отсюда приставка Distributed (распределенная). Наиболее распространенный вариант организации распределенных dos атак – посредством бот-сетей.
Если Ваш проект часто подвергается DDoS атакам, то Вам нужна аренда физического сервера с защитой от DDoS.
Проблема DDoS стала актуальна с 1996 года. С развитием популярности сети интернет и коммерческого ее применения весомость и наносимый подобными атаками вред только растет. Вплотную вопросом противодействия DDoS атакам стали заниматься с 2000 года, после того, как хакеры в очередной раз успешно «положили» такие ресурсы, как CNN, eBay, Amazon, E-Trade и др.
По статистике, собранной компаниями Arbor Networks и Verisign Inc, злоумышленниками по всему миру проводится приблизительно 2000 успешных DDoS атак. Ресурсы опрошенных респондентов, подвергавшиеся таким атакам за последние пол года, были недоступны в течение 5 часов в 46% случаев, а в 23% случаев срок отказа от обслуживания растягивался на 12 и более часов.
Существует несколько способов противодействия DDoS атакам, эффективность их работы напрямую зависит от типа атаки, поэтому рассмотрим наиболее распространённые среди злоумышленников виды DDoS атак.
Виды DDoS атак — обобщенная классификация
Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.
Самые распространённые виды ддос атак можно условно разделить на 3 основные категории:
- Уровень приложений.
- Уровень протоколов.
- Объемные.
DDoS атаки уровня приложений
Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.
Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.
Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от ддос атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.
SYN флуд, icmp flood и другие DDoS атаки уровня протоколов
Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.
Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»
Атака udp flood в сегменте объемных DDoS
Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP — пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.
Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.
Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.
Виды DDoS атак в классификации по уровням OSI
OSI – семиуровневая эталонная модель, описывающая схему взаимодействия сетевых устройств. Модель OSI была разработана еще в 70-х годах, и описывала взаимодействие семейства собственных протоколов, которые разрабатывались как главные конкуренты TCP/IP. И хотя особого распространения они так и не получили, модель взаимодействия оказалась настолько удачной, что стала применяться для TCP/IP протоколов как тогда, так и сейчас. Виды DDoS атак и защит от них, доступных на каждом из уровней, различны.
1 уровень. Физический.
Этот уровень специализируется на передаче потока данных в двоичном коде по протоколам 100BaseT, 1000 Base-X. Результатом воздействия DDoS атаки на этом уровне будет разрушение или невозможность управления (на физическом уровне) концентраторов или патч-панелей, использующих описанные выше протоколы. Для восстановления работы оборудования в штатном режиме потребуется его полноценный ремонт. В качестве профилактических действий, способных защитить негативных последствий нападений злоумышленников на этом уровне, можно порекомендовать систематически проверять состояние оборудования.
Применительно к беспроводным сетям, DDoS атаки на физическом уровне характеризуются генерацией различного вида помех, способных нарушить связи между элементами сети.
2 уровень. Канальный.
Отвечает за взаимодействие элементов сети на физическом уровне, оперируя кадрами по протоколам 802.3 и 802.5 посредством котроллеров, точек доступа и мостов, их использующих. Примером DDoS атаки на этом уровне является MAC-флуд – переполнение коммутаторов пакетами данных, которое влечет за собой блокирование их портов. Для избегания подобных проблем рекомендуется использовать современное сетевое оборудование – во многих моделях предусмотрена функция сохранения надежных МАС адресов, прошедших аутентификацию. Таким образом, можно ограничить и отфильтровать запросы в соответствии с настройками оборудования, отсекая ненадежные или «флудящие» адреса.
3 уровень. Сетевой.
На этом уровне происходит маршрутизация и обмен данными между сетями посредством передачи пакетов с информацией по таким протоколам IP, ICMP, ARP, RIP. Примером DDoS атаки на этом уровне является ICMP-флуд. Суть атаки состоит в том, что хост постоянно «пингуется» нарушителями, вынуждая его отвечать на ping-запросы. Когда их приходит значительное количество, пропускной способности сети не хватает, и ответы на запросы приходят со значительной задержкой. Для предотвращения таких DDoS атак можно полностью отключить обработку ICMP запросов посредством Firewall, или хотя бы ограничить их количество, пропускаемое на сервер.
4 уровень. Транспортный.
Назначение этого уровня – обеспечение стабильной и безошибочной передачи данных между узловыми точками сети. Кроме того, именно на этом уровне происходит управление процессом передачи информации с физического на сетевой уровень. Осуществляется по протоколам TCP и UDP.
Виды DDoS атак, применяемые на этом уровне — SYN-флуд, Smurf-атака и другие. В результате таких атак наблюдается превышение количества доступных подключений (ширина канала достигает своего предела), и возможны перебои в работе сетевого оборудования. Самым распространенным методом противодействия таким атакам является blackholing. Это метод фильтрации трафика на уровне провайдера, до его попадания в частные сети. Его суть состоит в том, что в случае атаки сетевой администратор сможет настроить систему таким образом, чтоб пакеты от злоумышленников будут отбрасываться. У blackholing есть и минусы – при недостаточно точных параметрах фильтрации, кроме вредоносных пакетов, могут отсекаться и запросы от «легальных» пользователей, не имеющих к злоумышленникам никакого отношения.
5 уровень. Сеансовый.
На этом уровне происходит инициализация процессов установки и завершения сеансов связи в рамках ОС (например, при смене пользователей в windows), а так же их синхронизация в рамках одной сети посредством протоколов протоколы RPC, PAP. На этом уровне атакам подвергается сетевое оборудование. Используя уязвимости программного обеспечения Telnet-сервера на свитче, злоумышленники могут заблокировать возможность управления свитчем для администратора. Чтоб избежать подобных видов атак, необходимо поддерживать прошивки оборудования в актуальном состоянии. Для предотвращения использования «дыр» в программном обеспечении в будущем, после каждой успешной атаки производитель в обязательно порядке выпускает «заглушку». Использование только актуального лицензионного ПО на серверах снижает значительно уровень угроз на сеансовом уровне.
6 уровень. Представления.
На этом уровне происходит передача данных от источника к получателю. Используются протоколы ASCII, EBCDIC, направленные на сжатие и кодирование данных. Наиболее часто для атак на этом уровне используется технология подложных SSL запросов. Так как для проверки зашифрованных пакетов SSL затрачивается значительное количество ресурсов, зачастую их расшифровка происходит уже внутри сети организации или на сервере ресурса. Другими словами, чтобы не тратить значительное время на расшифровку шифрованных запросов, фаерволл и другие системы безопасности просто пропускают их без проверки дальше по сети. Этим часто пользуются хакеры, генерируя собственные подложные SSL запросы, которые могут инициировать самовольную перезагрузку сервисов, ответственных за прием SSL соединений.
Еще одним моментом, работающим на руку злоумышленникам, является тот факт, что процесс расшифровки пакета требует практически в 10 раз больше ресурсов, чем необходимо для зашифровки. Атаки, производимы посредством подложных SSL запросов, могут принести значительный вред, при этом ресурсные затраты злоумышленника будут относительно невелики. Подходить к защите от DDoS атак на этом уровне следует комплексно: использовать специализированные средства, проверяющие входящий трафик (фильтрация трафика DDoS), и попытаться распределить инфраструктуру SSL (например, разместить функционал SSL – терминирования на отдельном сервере).
7 уровень. Приложений.
На этом уровне происходит оперирование данными посредством пользовательских протоколов (FTP, HTTP, POP3,SMTP, Telnet, RAS). Следствием DDoS атак здесь становится тотальная нехватка ресурсов для выполнения простейших операций на подвергшемся атак ресурсе. Наиболее эффективным способом противодействия злоумышленникам – постоянный мониторинг состояния системы вцелом и программного обеспечения в частности. После выявления атаки на этом уровне можно идентифицировать злоумышленника и полностью заблокировать возможность совершения им каких либо действий.
Методы защиты от DDoS атак
Рассмотрим различные методы, направленные на предотвращение DDoS атак и уменьшение вреда, нанесенного злоумышленниками, вследствие успешно проведенной атаки.
Уклонение. Необходимо разделять сетевые ресурсы, располагая их на различных серверах или даже в разных датацентрах. Таким образом, при успешной атаке на один из ресурсов, другие останутся доступны для пользователей. Кроме того, организация атак на несколько объектов – более затратна для злоумышленников.
Постоянный мониторинг системы. Позволит выявить начинающуюся DDoS атаку на ранних стадиях. Это даст администраторам дополнительное время, которое можно потратить на отражение атаки, сводя к минимуму срок «недоступности» ресурса. Устранение уязвимостей. Постоянный мониторинг состояния системы, своевременная установка обновлений программного обеспечения для «железа» позволит свести к минимуму опасность использования злоумышленниками уязвимостей программного кода драйверов устройств или операционной системы сервера. Кроме того, к этой категории противодействия можно отнести и наращивание ресурсов сервера. Этот вид противодействия делает атаки, направленные на истощение ресурсов системы, менее эффективными. Фильтрация трафика DDoS или его блокировка. Может осуществляться как провайдером, так и специальными службами и программами. Существует 2 способа проведения фильтрации: использование межсетевых экранов и маршрутизация по спискам ACL. У каждого из этих способов есть свои достоинства и недостатки. Например, при использовании списков ACL фильтрации подвергаются второстепенные протоколы. Таки образом, ТСР не затрагивается и скорость реакции ресурса на действия пользователей не замедляется. Однако этот способ оказывается неэффективным, если DDoS атака производится посредством ботнета или первостепенных запросов.
Использование межсетевых экранов допустимо только для частных сетей, зато этот способ чрезвычайно эффективен в противостоянии DDoS атакам.
Ответная реакция. Многие организации предоставляют услуги по поиску исполнителей и организаторов DDoS атак для дальнейшего привлечения их к ответственности. Кроме того, при достаточных вычислительных и серверных мощностях атакуемого, возможно произвести перенаправление трафика обратно к атакующему. Этот метод достаточно сложен в реализации и требует не только хорошей материальной базы, но и высокой квалификации администратора серверного ресурса. Использование сервиса по защите от DDoS атак. Многие организации, предоставляют услуги по временной или постоянной защите от атак злоумышленников. Преимуществами выбора такого варианта защиты является мощная материальная база и специалисты с обширным опытом работы в сфере информационной безопасности.
Выбирая хостинг с защитой от DDoS RigWEB для размещения своего ресурса, вы получаете не только серверное пространство, но и профессиональную защиту от DDoS атак. Обращайтесь к нам уже сегодня, не дайте злоумышленникам шанса провести успешную атаку на ваш сервер!