Ежедневно в Интернете совершаются сотни и тысячи DDoS-атак, направленных против различных сетевых ресурсов. Но если раньше это был больше удел хакеров-одиночек, то сегодня это поставленный на поток бизнес киберпреступности с многомиллионным оборотом. В статье дается анализ причин возникновения DDoS-атак и методов борьбы с ними. Насколько надо защищать свою сеть от таких атак, будет решать каждый оператор индивидуально. Но кроме сохранения репутации развертывание систем по обнаружению и пресечению DDoS-атак может стать основой для оказания новой очень востребованной бизнес-услуги, о чем тоже пойдет речь.

Все начинается с вируса

Сегодня Интернет предоставляет большие возможности для бизнеса, оборот в сети исчисляется многими миллиардами долларов. Но в вопросах правого обеспечения деятельности Интернет продолжает оставаться неким аналогом “дикого Запада”. Нечестная конкуренция, спам-реклама и информационные войны стали нормой, в то время как стандартов обеспечения их выполнения нет или они неэффективны.

К сожалению, многие компании не брезгуют применять различные незаконные и сомнительные методы удешевления своей рекламной деятельности, используя спам или всячески блокируя работу интернет-ресурсов своих конкурентов. Надо осознать, что бизнес киберпреступников давно вышел за рамки домашнего вирусописательства и представляет собой угрозу для всего интернет-сообщества.

Если рассмотреть цепочку возникновения практически любой массовой киберугрозы, то отправной точкой является распространение вируса. Как это ни банально, но беззаботность многих пользователей в плане защиты своих компьютеров от вируса и спама дает в руки киберпреступникам отличные козыри.

Вирус пытаются распространить любым из доступных способов — и вместе со спамовой рассылкой, и с предложением зайти на интересную страницу, которая на самом деле содержит вирус, и скачать крайне полезную программу, и с помощью социальных сетей, и благодаря мессенджерам. Любой разработанный человечеством канал электронных коммуникаций становится потенциальным источником угрозы, если не держать его под контролем.

Давно ушли в прошлое времена, когда вирус что-либо портил на компьютере, тем самым обнаруживая свое присутствие, определялся пользователем и уничтожался. Cегодня вирусы представляют собой промышленную платформу, в которой прописан весь алгоритм действий по заражению с соблюдением главного условия — секретности с тем, чтобы пользователь как можно дольше не обратил внимания на то, что у него что-то не так.

Первым делом после попадания в компьютер вирус крадет серьезную коммерческую информацию: пин-коды кредитов, пароли к банковским ресурсам и пр. Эти данные продаются уже реальным преступникам, которые пытаются обналичить деньги, заказывают товары по Интернету и т. д.

Параллельно воруются серийные номера программного обеспечения, так как сегодня значительная часть из продаваемых пиратских версий добыта именно таким путем: если раньше пираты взламывали лицензионный софт, то сейчас многие предпочитают перепродавать украденные ключи, о факте кражи которых производитель еще не осведомлен. Также большой интерес представляют логины и пароли с доступом для администрирования различных ресурсов. Это делается для того, чтобы главную страницу ресурса подменить зараженной. Такие истории случаются периодически, что зачастую означает именно то, что администратор ресурса допустил халатность и “подхватил” вирус.

Очистив компьютер от всего, что могло заинтересовать преступников, на него устанавливают специальное ПО (агент), которое может управлять компьютером извне. Этот агент подключается к центру управления, который может командовать большим количеством компьютеров (таких центров тоже могут быть сотни и тысячи). Причем вирус будет предпринимать усилия, чтобы не создавать пользователю помех: он не будет полностью загружать интернет-канал, отправлять спамовские письма через известные почтовые программы и т. д.

Так рождаются зомби-сети, известные также как bot-сети, т. е. группы компьютеров, подключенных к Интернету и зараженных специальным кодом (ботом), позволяющим одному человеку управлять ими всеми одновременно. Такие сети как раз и используются для спамовых рассылок и DDoS-атак, которые на уровне сессий неотличимы от запросов легальных пользователей. Сегодня крупные бот-сети насчитывают десятки и сотни тысяч зараженных компьютеров.

Главная проблема оператора и его зараженных пользователей состоит в том, что они не видят, что они заражены и стали составляющими бот-сети. И пока пользователь не начнет нести ощутимый финансовый ущерб, он и не заметит проблемы. Для оператора появление больших бот-сетей на его сети с порождением серьезного объема паразитного трафика в соседние сети грозит потерей репутации и отключением от других операторов, как это недавно случилось с одним оператором в Испании.

Становится очевидно одно: нужно обязательно защищаться — но от кого и как?

DoS — отказ в обслуживании

Термин DoS в переводе с английского языка (Denial of Service) означает “отказ в обслуживании”, т. е. состояние, когда сетевой ресурс не может оказать запрашиваемую у него услугу. Причины, вызывающие DoS, могут быть различными — это и аппаратные проблемы на сервере, и проблемы с пропускной способностью канала, и программные уязвимости системы, и всплеск популярности ресурса, обусловленный рекламной активностью. Но часто недоступность является следствием злонамеренных действий, вызванных осуществлением DDoS-атаки (Distributed Denial of Service — “распределённый отказ в обслуживании”). То есть понятие DoS значительно шире, чем атака, но для простоты изложения будем использовать именно этот термин, так как сегодня под причиной, вызывающей “отказ в обслуживании”, понимают именно преднамеренную атаку с целью истощения ресурсов.

Обычно пытаются перегрузить или канал подключения ресурса к Интернету, чтобы пользователи не дождались загрузки нужной им страницы, или ресурсы сервера, что ведет к недостатку возможностей процессора и операционной памяти для обработки всех запросов, что опять же не дает атакуемому серверу возможности оказывать услуги. Конечная цель любой DDoS-атаки — сделать атакуемый ресурс недоступным. За это преступники и получают деньги. Отключение ресурса, обладающего средней защитой, на один день стоит несколько тысяч долларов. Деньги вполне доступные даже для физических лиц, что и обуславливает большой интерес к этим услугам.

DDoS-атаки имеют несколько разновидностей, специалисты по информационной безопасности делят их в зависимости от метода осуществления: ·

спланированная отправка на Web-сервер большого количества запросов с бот-сети, что особенно дорого обходится для ресурсов атакуемого интернет-сервера и наиболее сложно в обеспечении противодействия (например, создание множества полноценных Web-запросов); ·

отправка большого количества запросов на инициализацию TCP-соединений с узлом-“мишенью”, которому в результате приходится расходовать все свои ресурсы на обработку этих частично открытых соединений (TCP SYN flood); ·

отправка на адрес атакуемой системы множества пакетов большого размера (обычно это UDP или ICMP flood) — этим, как правило, достигается исчерпание полосы пропускания каналов передачи, ведущих к атакуемой системе; ·

атака на прочие ресурсы, необходимые для доступности и работоспособности основной цели, — например, атака на DNS-сервер, такая как передача большого числа DNS-запросов, в результате чего сервер службы доменных имен становится недоступным для пользователей, так как его ресурсы заняты обработкой этих запросов (DNS flood).

В большинстве случаев применяются одновременно или поочередно все описанные варианты DDoS-атаки. Обычно DDoS-атака не создается мгновенно — она может нарастать стремительно, но не резким скачком, поэтому в запасе всегда остается время для оценки и принятия решения.

Как правило, организация сети, из которой проводится атака, является трехуровневой, ее также называют “кластером DoS” (рис. 1). Схематически ее можно представить следующим образом.

Структурно она состоит из одной или нескольких управляющих консолей, подключенных к центрам управления, количество которых может исчисляться сотнями и тысячами. С центрами управления как раз и связываются зараженные компьютеры — боты. Сигнал о начале атаки спускается сверху от управляющей консоли. Преимуществом такой модели является то, что крайне сложно проследить, с какого компьютера дана команда на атаку. Максимум, что можно найти, — это местонахождение центров управления. Как и во время борьбы с распространением вирусов, такие центры находят и блокируют, но сразу же начинают работать другие. Ввиду того, что бот переключается мгновенно, а поиск центра занимает определенное время, такой подход становится бесперспективной “игрой в догонялки”, осложненной тем, что Интернет — это сообщество сетей, и центры управления бот-сетью зачастую оказываются вне зоны контроля оператора атакуемого ресурса.

Потенциальные жертвы и причины

В основном от DDoS-атак страдают коммерческие организации, ведущие финансовую деятельность в сети: интернет-банки, электронная коммерция, онлайн-казино и т. д. Более изощренными являются атаки на специализированные ресурсы, например, недавно была осуществлена атака на платежный шлюз Assist карточной системы, в результате многие карточные платежи не проходили, пострадало огромное количество организаций, в том числе крупный российский авиаперевозчик публиковал информацию, что у него имеются проблемы с оплатой билетов по карточке. Во время политических баталий жертвами становятся сетевые ресурсы конкурирующих партий: выборы на Украине наглядно это показали. На некоторые ресурсы атаки идут постоянно. Например, ресурсы компаний, разрабатывающих антивирусные программы, находятся под постоянным прицелом, что логично: сокращение возможностей по установке антивирусов будет способствовать возникновению более масштабных бот-сетей. Но большинство жертв не афишируют своих проблем.

Фактически крупные DDoS-атаки по всему миру идут одна за другой или даже одновременно. В результате страдают как сами операторы связи, так и их клиенты. Простой арифметический расчет показывает, что при современных скоростях подключения домашних компьютеров свыше 1 Мбит/с, обладая бот-сетью из 10 тыс. компьютеров, можно создать гигантскую DDoS-атаку в 10 Гбит/с — не каждая транспортная сеть оператора выдержит такой объем!

Обычные DDoS-атаки, вызванные хулиганскими действиями или недовольными клиентами, не представляют особой опасности, и мощностей сервера, как правило, хватает. На рынке много предложений “легко и просто защитить вас от DDoS-атак”, но это лукавство — классические средства защиты (межсетевые экраны, системы обнаружения вторжений и пр.) способны распознать и блокировать только простейшие DDoS-атаки, которыми реальные преступники не занимаются.

Главная проблема (о чем говорилось выше) в том, что атака идет с реальных IP-адресов, из-за чего на защищаемом ресурсе не понятно, кто к нам пришел — реальный пользователь или бот с этого же компьютера. Поэтому классические методы бессильны. Сессии с точки зрения оператора будут выглядеть совсем одинаково.

Такое положение дел обусловлено проблемами IP-протокола. Дело в том, что стек TCP/IP был изначально разработан десятки лет назад не для построения глобальной сети Интернет, а для обеспечения работы небольшой сети Пентагона, в которой о таких проблемах даже не предполагали. Поэтому в протокол не заложены возможности авторизации на сетевом уровне, что не позволяет нам точно идентифицировать пользователя. Различные попытки изменить или заменить IP-протокол ни к чему не привели: все альтернативные протоколы быстро умирали, а многие миллиарды сетевых устройств, выпущенных и работающих под этим протоколом по всем миру, говорят о том, что такое вряд ли осуществимо в принципе. Тем более последующие версии, тот же IPv6, также не показали высокую защищенность.

Искусство защиты

Хорошо известно, что безопасность — это процесс непрерывного поиска угроз и подготовки способов защиты. Вначале необходимо определиться, с чем мы хотим бороться и как это будет выполнено Борьбу с DDoS-атаками лучше всего осуществлять ближе к источнику ее возникновения, т. е. на стороне оператора. На стороне клиента с ней бороться гораздо сложнее, а зачастую и вообще невозможно.

В первую очередь надо осознать факт, что DDoS-атака — это обязательная реальность в бизнесе оператора, рано или поздно она придет, и нужно быть готовым принять ее без ущерба для работоспособности основных сервисов. Для этого необходимо обеспечить каналы связи с хорошей пропускной способностью и несколько вариантов движения трафика по сети. После приема атаки нужно оценить, какого она может быть объема, определить ожидаемые типы, откуда она придет, и по результатам анализа подготовить сеть для очистки трафика.

Чем раньше обнаружена DDoS-атака, тем больше будет времени на реакцию и меньше нанесенный ущерб. Можно, конечно, сидеть и ждать, когда клиент позвонит и скажет, что у него не работает сервер, но до этого момента дело лучше не доводить. Бывают ситуации, когда каждый из клиентов по отдельности не испытывает серьезных трудностей, а паразитная нагрузка идет на всю сеть оператора, и тогда оператору надо защищать самого себя. Возможна и обратная постановка задачи — оператор может и не заметить DDoS-атаку в 10 Мбит/с, тогда как для многих интернет-ресурсов она может стать фатальной.

Вовремя обнаружить DDoS-атаку — в этом и заключается главная проблема, если мы не хотим бороться с ней по факту падения сети или ресурсов наших клиентов.

Наиболее эффективный способ обнаружить DDoS-атаку основан на накоплении статистических данных о прохождении трафика в сети. Составив картину нормального состояния сети, всегда можно отследить возникновение какой-либо аномалии в сетевом трафике.

В качестве источника данных для статистики можно использовать сам трафик или некоторую статистическую информацию о нем. Для этого используются либо дополнительные сенсоры, устанавливаемые на сеть, либо информация, которую могут предоставить существующие сетевые элементы. В случае снятия такой информации непосредственно с маршрутизаторов обычно используется протокол Netflow. Этот протокол был в свое время разработан для оптимизации работы маршрутизаторов, его задача заключалась в том, чтобы не обрабатывать каждый пакет, а перенаправлять его как можно быстрее, если он соответствовал требованиям потока. Протокол оказался неэффективным для решения основной задачи, но очень пригодился для борьбы с DDoS-атаками и шире — для анализа работы сети в целом. Такие способности протоколу дает заложенная в него возможность формировать таблицу, в которой в динамическом режиме прописываются все статистические данные по пришедшим потокам и пакетам: откуда пришел пакет, куда он направляется, какой у него протокол, порт, какое количество данных передано. Причем имеется возможность экспорта статистических данных во внешние системы для последующего анализа.

В общем случае система в отсутствие DDoS-атак на защищаемый ресурс/сеть проходит этап тестирования или обучения. Система определяет и запоминает, какой трафик для защищаемого ресурса является нормальным. Ситуация, при которой текущий трафик на защищаемый ресурс резко отличается от нормального, считается DDoS-атакой. Стоит подчеркнуть, что система распознает только отклонение от трафика, а чем он вызван — всплеском легитимных обращений к ресурсам (выложили новый патч, прошла рекламная кампания) или DDoS-атакой — можно определить только на основе беседы с клиентом, ожидал ли он такой объем обращений или нет.

После обнаружения факта аномалии происходит ее классификация и определяется, насколько она серьезна. Если DDoS-атака не грозит возникновением проблем в сети, то лучше наблюдать и ничего не предпринимать, так как возникает вероятность не пустить на ресурс законного пользователя.

Существуют два основных термина для определения надежности работы таких систем: false positive — ложное срабатывание по блокировке легитимного пользователя и false negative — ложный пропуск нелегитимного обращения. Если защищаемый ресурс справляется с нагрузкой, то лучше, чтобы все пользователи получили доступ. Здесь ситуация противоположна борьбе с вирусами: там требуется уменьшать false negative, т. е. блокировать все подозрительное, даже если оно не является вредоносным. В случае DDoS-атаки нужно предпринимать действия до тех пор, пока ресурс не станет доступен, и на этом останавливаться. Дальнейшая попытка давить атаку техническими средствами рискованна, так как будет возрастать параметр false positive.

В качестве систем обнаружения DDoS-атак и сетевых аномалий можно использовать как существующие системы (например, системы мониторинга и статистического анализа), так и специализированные, рассчитанные на быстрое и эффективное обнаружение DDoS-атак различных типов. Основными производителями таких систем являются компании Cisco Systems, Arbor Networks и Narus.

Способов блокировки трафика существует не меньше, чем его передачи. Практически каждый сетевой элемент оснащен простейшим листом доступа, который позволяет блокировать любой трафик и IP-адрес. Блокировка нежелательного трафика становится первым простейшим способом борьбы с DDoS-атакой. Достаточно просто заблокировать трафик по региональному признаку. Допустим, мы защищаем ресурс интернет-магазина, работающего по России, и видим, что резко возрос трафик из Китая; тогда логично будет, если у сайта возникли проблемы, целиком отрезать паразитный трафик из Китая. Тогда нагрузка ослабнет, и система перейдет в штатный режим, в котором будет открыт доступ для всех желающих.

Но одной блокировкой в этом вопросе не справиться, этот инструмент имеет и обратный эффект. Чем больше мы блокируем, тем больше возникает вероятность того, что легитимный пользователь не получит доступа. В итоге может сложиться парадоксальная ситуация: задача для оператора будет решена, сеть не страдает, ресурс не перегружен, только доступа к нему нет и тем самым DoS обеспечен. Чтобы этого не случилось, необходимо переходить от простых способов к более сложным.

Существуют специализированные системы для борьбы с DDoS-атаками, для их установки и работы с ними требуются глубокие технические знания. Действия этих систем основаны на серьезных эвристических алгоритмах, позволяющих проанализировать каждый пакет трафика и с определенной вероятностью отфильтровать паразитный. Эти алгоритмы постоянно обновляются, так как разработчики DDoS-атак также постоянно оттачивают свое мастерство.

На рынке существуют два основных вендора, предлагающих специализированные системы для борьбы с DDoS-атаками операторского класса (Arbor Networks и Cisco Systems), а также ряд продуктов, пригодных для решения данной задачи в меньших объемах или ориентированных на частные случаи.

Принципы обнаружения и нейтрализации

В обычном состоянии сети система фиксирует проходящий трафик и накапливает статистику. На рис. 2 показан пример обычного дня крупного интернет-оператора. Хорошо видно, что несколько одновременных серьезных атак является обычным явлением, а количество значимых атак, не представляющих угрозу самой сети оператора, но выделяющихся на фоне нормального трафика, просто огромно. А ведь почти каждая из этих атак — это какой-то недоступный ресурс или сервер.

Рассмотрим примеры некоторых атак более подробно.

На рис. 3 показан пример DDoS-атаки на истощение канала (конкретно — ICMP flood). Хорошо виден всплеск ICMP-трафика, совершенно не характерный для нормального трафика (отмечен синим цветом).

Рис. 4 и 5 показывают пример DDoS-атаки другого типа, направленной на истощение ресурсов (в данном случае это SYN flood на сервис HTTPS, то есть защищенного Web-доступа). На обоих рисунках в одном и том же временном периоде показана одна и та же атака — но на рис. 4 приведен график объема трафика (в битах в секунду, bps), а на рис. 5 — количества запросов (пакеты в секунду, pps).

Видно, что HTTPS-трафик (тоже синий на обоих графиках) обычно очень невелик, но в период атаки заметен нехарактерный всплеск. Если посмотреть на объем трафика, то не так уж сильно он и подрос — всплеск виден, но не кажется серьезной угрозой, особенно по сравнению с обычным Web-трафиком (красного цвета). То есть скорее всего угрозы каналу он не создает. Но если посмотреть на количество запросов, то всплеск очень и очень значителен, то есть нагрузка на Web-сервер возросла в несколько раз, и скорее всего DDoS-атака оказалась успешной.

Система по фильтрации обычно активируется по команде оператора или автоматически аналитической системой, которая заметила угрожающий всплеск трафика. Момент, когда система уже обнаружила атаку, но оператор еще не принял решение о борьбе с ней, показан на рис. 6.

Если атака признана серьезной и оператор дает команду на борьбу с ней, то подозрительный трафик перенаправляется через интеллектуальные системы фильтрации трафика (рис. 7), причем данная операция не влияет на прохождение прочего трафика по сети оператора, что является большим преимуществом.

Очищенный от атаки трафик доставляется до точки назначения (рис. 8), то есть ресурс остается доступным для обычных пользователей, в то время как сама DDoS-атака подавляется.

Решение по динамическому перенаправлению трафика сложнее, но гораздо эффективнее установки таких систем перед каждым защищаемым ресурсом. Очевидно, что не имеет смысла закладываться на одновременную атаку на все ресурсы операторской сети сразу: у атакующих нет возможности создать такую крупную бот-сеть, да и сеть оператора просто не сможет обеспечить доставку таких объемов трафика. Как правило, атака идет на один-два ресурса. Поэтому бывает достаточно небольшого числа крупных центров очистки — надо только грамотно их расположить и обеспечить эффективные способы направления на них трафика атаки. Сами же алгоритмы очистки зависят от типа атаки, протокола и сервисов, а также могут подстраиваться с учетом предпочтений пользователей.

Актуальная услуга

Организация защиты от DoS-атак — дело сложное и дорогостоящее. Отдельно сетевому ресурсу ставить такие системы экономически невыгодно. Только очень крупные компании могут себе позволить установку оборудования, организацию необходимых каналов связи к нескольким операторам и прием на работу достаточного количества высококвалифицированных специалистов. Поэтому представляется логичным, что портфель услуг оператора связи пополнится новой услугой — защиты пользователей от DDoS-атак. В случае, если оператор развернул у себя промышленную систему для анализа и противодействия, то введение платной подписки на услуги защиты становится логичным способом получить новую статью дохода, ведь дополнительно уже не требуется разворачивать системы.

Возможности систем по защите от DDoS-атак зависят от настроек и уровня предоставления оператором данной услуги. Для некоторых клиентов те или иные методы очистки могут быть неприемлемы, что оговаривается при заключении контракта на услугу. В любом случае оператор системы в процессе обеспечения противодействия находится в непрерывном контакте с клиентом, и они вместе определяют, когда остановить или продолжить защиту. Ведь если злоумышленник видит, что атакуемый им ресурс доступен, то он может усилить мощность атаки, применить другие методы; поэтому атаки могут как стихать, так и нарастать — расслабляться после успешного отражения первой атаки не стоит. В среднем атаки длятся часами и днями, реже — многими месяцами.

Для бизнес-ресурсов зачастую атака длится столько, сколько идет рекламная акция. Это делается, чтобы нивелировать ее результаты, поэтому при планировании рекламных кампаний желательно отдельной строкой закладывать средства на противодействие DDoS-атакам. В этом случае полезной представляется модель временного подключения у оператора услуги по противодействию DDoS-атакам.

Именно по этой причине у большинства крупных операторов связи по всему миру появляются и расширяются пакеты услуг по борьбе с DoS, при этом клиентами данной услуги становятся не только корпорации, но и региональные операторы связи. Очевидно, что по мере развертывания систем обнаружения и противодействия DDoS-атакам появляется возможность системно бороться с этим явлением и не допускать их распространения, что позволяет обеспечить надежную работу коммерческих интернет-сервисов. А это значит, что объемы и интернет-коммерции, и рынка услуг информационной безопасности, предлагаемых данным сервисам, будут продолжать расти.

Дополнительные выгоды

Развернутое решение по анализу трафика позволяет оператору получить ряд дополнительных преимуществ. У него появляется возможность не только обнаруживать DDоS-атаки, но также получать ценные сведения для анализа загруженности сети и распределения трафика по ней. На основе этой информации можно строить прогнозы по росту загруженности, превентивно бороться с “узкими” местами, оперативно реагировать на потребности клиентов, расширяя каналы и предлагая новые сервисы, обоснованно вкладывать инвестиции в модернизацию сетевой инфраструктуры.

В заключение надо отметить, что сегодня защита от DDoS-атак — дело рук защищаемых. В настоящее время пока не разработаны эффективные средства для борьбы с причинами DDoS-атак. Пока существует спрос, будут и предложения. А территориальная распределенность Интернета и законодательные пробелы многих государств только подстегивают безнаказанность.

Единственный на сегодня способ защиты носит скорее административный характер воздействия на тех операторов, которые недостаточно следят за чистотой своих сетей. Собирая информацию об очагах DDoS-атак, организуя информационный обмен с соседними операторами, можно наладить оперативное реагирование и коллективную защиту. Накопленная статистика о степени зараженности сети того или иного оператора бот-сетями становится весомым аргументов в этом вопросе.

Другая сторона проблемы — повышение самосознания пользователей компьютеров с целью более ответственного отношения к обеспечению безопасности с точки зрения вирусов. Сейчас на государственном уровне появляются инициативы, по которым оператор получает право отключать недобросовестных клиентов, чьи компьютеры заражены и регулярно поставляют в сеть вредоносный трафик. Комплексный подход к уменьшению количества зараженных компьютеров, безусловно, необходим и будет давать значительный эффект, но услуга защиты от DDoS-атак еще долго будет востребована.

Об авторе:

Дмитрий Ржавин — начальник отдела защиты сетей операторов связи, департамент информационной безопасности, “Энвижн Груп”