Портал за безбедносни информации. DOS и DDoS напади: концепт, типови, методи на откривање и заштита Масовни ddos ​​напади

Вовед

Веднаш да направам резервација дека кога ја напишав оваа рецензија, првенствено бев фокусиран на публика која ги разбираше спецификите на работата на телекомуникациските оператори и нивните податочни мрежи. Оваа статија ги прикажува основните принципи на заштита од DDoS напади, историјата на нивниот развој во последната деценија и моменталната ситуација.

Што е DDoS?

Веројатно, денес, ако не секој „корисник“, тогаш барем секој „ИТ специјалист“ знае што се DDoS напади. Но, треба уште неколку зборови да се кажат.

DDoS нападите (Distributed Denial of Service) се напади на компјутерски системи (мрежни ресурси или комуникациски канали) чија цел е да ги направат недостапни за легитимните корисници. DDoS нападите вклучуваат истовремено испраќање на голем број барања до одреден ресурс од еден или повеќе компјутери лоцирани на Интернет. Ако илјадници, десетици илјади или милиони компјутери истовремено почнат да испраќаат барања до одреден сервер (или мрежна услуга), тогаш или серверот нема да може да се справи со тоа или нема да има доволно пропусен опсег за каналот за комуникација до овој сервер . Во двата случаи, корисниците на Интернет нема да можат да пристапат до нападнатиот сервер, па дури и до сите сервери и други ресурси поврзани преку блокиран канал за комуникација.

Некои карактеристики на DDoS напади

Против кого и за која цел се вршат DDoS напади?

DDoS нападите можат да бидат лансирани против кој било ресурс на Интернет. Најголема штета од DDoS нападите трпат организациите чиј бизнис е директно поврзан со нивното присуство на Интернет - банките (обезбедуваат услуги за интернет банкарство), онлајн продавниците, платформите за тргување, аукциите, како и други видови активности, активноста и ефикасноста. од кои значително зависи од претставништвото на Интернет (туристички агенции, авиокомпании, производители на хардвер и софтвер итн.) DDoS нападите редовно се лансираат против ресурсите на такви гиганти од глобалната ИТ индустрија како IBM, Cisco Systems, Microsoft и други. . Беа забележани масивни DDoS напади против eBay.com, Amazon.com и многу познати банки и организации.

Многу често, DDoS нападите се лансираат против веб-репрезентации на политички организации, институции или поединечни познати личности. Многу луѓе знаат за масовните и долги DDoS напади кои беа лансирани против веб-страницата на претседателот на Грузија за време на грузиско-осетиската војна во 2008 година (веб-страницата беше недостапна неколку месеци почнувајќи од август 2008 година), против серверите на естонската влада (во пролетта 2007 година, за време на немирите поврзани со трансферот на бронзениот војник), за периодични напади од севернокорејскиот сегмент на Интернет против американски сајтови.

Главните цели на DDoS нападите се или да се извлечат придобивки (директни или индиректни) преку уцена и изнуда, или да се остварат политички интереси, да се ескалира ситуацијата или да се одмазди.

Кои се механизмите за започнување DDoS напади?

Најпопуларниот и опасен начин за лансирање DDoS напади е употребата на ботнети (BotNets). Ботнет е збир на компјутери на кои се инсталирани специјални софтверски обележувачи (ботови) преведени од англиски, ботнет е мрежа од ботови. Ботовите обично се развиваат од хакери поединечно за секој ботнет и имаат главна цел да испраќаат барања до одреден ресурс на Интернет по команда добиена од контролниот сервер за ботнет - Ботнет команда и контролен сервер. Серверот за контрола на ботнет е контролиран од хакер, или лице кое го купило ботнетот и можноста да започне DDoS напад од хакерот. Ботовите се шират на Интернет на различни начини, обично со напад на компјутери кои имаат ранливи услуги и инсталирање софтверски обележувачи на нив, или со измамување на корисниците и принудување да инсталираат ботови под превезот на обезбедување други услуги или софтвер кој врши сосема безопасни или дури корисна функција. Постојат многу начини за ширење на ботови, а нови методи се измислуваат редовно.

Ако ботнетот е доволно голем - десетици или стотици илјади компјутери - тогаш истовременото испраќање од сите овие компјутери дури и на сосема легитимни барања кон одредена мрежна услуга (на пример, веб-услуга на одредена локација) ќе доведе до исцрпување на ресурсите или на самата услуга или на серверот, или до исцрпување на можностите на комуникацискиот канал. Во секој случај, услугата ќе биде недостапна за корисниците, а сопственикот на услугата ќе претрпи директна, индиректна и штета на угледот. И ако секој компјутер испраќа не само едно барање, туку десетици, стотици или илјадници барања во секунда, тогаш влијанието на нападот се зголемува многукратно, што овозможува да се уништат дури и најпродуктивните ресурси или канали за комуникација.

Некои напади се лансираат на повеќе „безопасни“ начини. На пример, флеш моб на корисници на одредени форуми кои, по договор, лансираат „пингови“ или други барања од нивните компјутери кон одреден сервер во одредено време. Друг пример е поставувањето линк до веб-локација на популарни интернет ресурси, што предизвикува прилив на корисници кон целниот сервер. Ако „лажна“ врска (однадвор изгледа како врска до еден ресурс, но всушност е поврзана со сосема друг сервер) се однесува на веб-страницата на мала организација, но е објавена на популарни сервери или форуми, таквиот напад може да предизвика прилив на посетители што е несакан за оваа страница. Нападите од последните два типа ретко доведуваат до прекин на достапноста на серверот на правилно организирани хостинг сајтови, но такви примери имало, дури и во Русија во 2009 година.

Дали традиционалните технички средства за заштита од DDoS напади ќе помогнат?

Особеноста на DDoS нападите е тоа што тие се состојат од многу симултани барања, од кои секое поединечно е целосно „легално“, згора на тоа, овие барања се испраќаат од компјутери (инфицирани со ботови), кои може да им припаѓаат на најчестите реални или потенцијални корисници; на нападнатата услуга или ресурс. Затоа, многу е тешко правилно да се идентификуваат и филтрираат токму оние барања што претставуваат DDoS напад користејќи стандардни алатки. Стандардните системи од класата IDS/IPS (Систем за откривање / спречување на упад - систем за откривање / спречување мрежни напади) нема да најдат „corpus delicti“ во овие барања, нема да разберат дека се дел од напад, освен ако не извршат квалитативна анализа на сообраќајните аномалии. И дури и да го најдат, филтрирањето на непотребните барања исто така не е толку лесно - стандардните заштитни ѕидови и рутери го филтрираат сообраќајот врз основа на јасно дефинирани списоци за пристап (правила за контрола) и не знаат како „динамично“ да се прилагодат на профилот на специфичен напад. Заштитните ѕидови можат да го регулираат протокот на сообраќај врз основа на критериуми како што се адреси на изворот, користени мрежни услуги, порти и протоколи. Но, обичните корисници на Интернет учествуваат во DDoS напад, испраќајќи барања користејќи ги најчестите протоколи - зарем телекомуникацискиот оператор не би забранил секого и сè? Тогаш едноставно ќе престане да обезбедува комуникациски услуги за своите претплатници и ќе престане да обезбедува пристап до мрежните ресурси што ги опслужува, што, всушност, се обидува да го постигне иницијаторот на нападот.

Многу специјалисти веројатно се свесни за постоењето на специјални решенија за заштита од DDoS напади, кои се состојат од откривање на аномалии во сообраќајот, градење сообраќаен профил и профил за напад и последователен процес на динамично филтрирање на сообраќајот во повеќе фази. И јас исто така ќе зборувам за овие решенија во оваа статија, но малку подоцна. Прво, ќе зборуваме за некои помалку познати, но понекогаш доста ефикасни мерки што може да се преземат за да се потиснат DDoS нападите преку постоечките средства на податочната мрежа и нејзините администратори.

Заштита од DDoS напади користејќи достапни средства

Постојат неколку механизми и „трикови“ кои овозможуваат, во некои посебни случаи, да се потиснат DDoS нападите. Некои може да се користат само ако податочната мрежа е изградена на опрема од одреден производител, други се повеќе или помалку универзални.

Да почнеме со препораките на Cisco Systems. Експертите од оваа компанија препорачуваат да се обезбеди заштита за основата на мрежата (Network Foundation Protection), која вклучува заштита на нивото на администрација на мрежата (Control Plane), ниво на управување со мрежата (Management Plane) и заштита на нивото на мрежните податоци (Data Plane).

Заштита на управувачки авион

Терминот „административен слој“ го опфаќа целиот сообраќај што управува или надгледува рутери и друга мрежна опрема. Овој сообраќај е насочен кон рутерот или потекнува од рутерот. Примери за таков сообраќај се Телнет, SSH и http(s) сесиите, пораките за логови, SNMP стапици. Општите најдобри практики вклучуваат:

Обезбедување максимална безбедност на протоколите за управување и следење, користејќи шифрирање и автентикација:

  • протоколот SNMP v3 обезбедува безбедносни мерки, додека SNMP v1 практично не обезбедува, а SNMP v2 обезбедува само делумно - стандардните вредности на заедницата секогаш треба да се менуваат;
  • треба да се користат различни вредности за јавна и приватна заедница;
  • телнет протоколот ги пренесува сите податоци, вклучително најава и лозинка, во јасен текст (ако сообраќајот е пресретнат, оваа информација лесно може да се извлече и користи), се препорачува секогаш да се користи протоколот ssh v2 наместо тоа;
  • на сличен начин, наместо http, користете https за пристап до опремата, вклучувајќи соодветна политика за лозинка, централизирана автентикација, овластување и сметководство (модел AAA) и локална автентикација за целите на вишок;

Имплементација на модел за пристап заснован на улоги;

Контрола на дозволените врски по адреса на изворот користејќи списоци за контрола на пристап;

Оневозможување на неискористени услуги, од кои многу се стандардно овозможени (или заборавиле да ги оневозможат по дијагностицирање или конфигурирање на системот);

Следење на употребата на ресурсите на опремата.

На последните две точки вреди да се задржиме подетално.
Некои услуги што се стандардно вклучени или кои се заборавени да се исклучат по конфигурирањето или дијагностицирањето на опремата може да се користат од напаѓачите за да ги заобиколат постоечките безбедносни правила. Списокот на овие услуги е подолу:

  • PAD (склопувач на пакети/расклопувач);

Секако, пред да ги оневозможите овие услуги, треба внимателно да анализирате дали се неопходни на вашата мрежа.

Препорачливо е да се следи употребата на ресурсите на опремата. Ова ќе овозможи, прво, навремено да се забележи преоптоварување на поединечни мрежни елементи и да се преземат мерки за да се спречи несреќа, и второ, да се откријат DDoS напади и аномалии доколку нивното откривање не е предвидено со посебни средства. Најмалку, се препорачува да се следат:

  • Оптоварување на процесорот
  • употреба на меморија
  • застојот на интерфејсите на рутерот.

Следењето може да се врши „рачно“ (периодично следење на статусот на опремата), но подобро е, се разбира, да се направи тоа со специјални системи за следење на мрежата или за следење на безбедноста на информациите (второто вклучува Cisco MARS).

Заштита на контролниот авион

Слојот за управување со мрежата го вклучува целиот сервисен сообраќај кој обезбедува функционирање и поврзување на мрежата во согласност со наведената топологија и параметри. Примери за сообраќај на контролен авион се: целиот сообраќај генериран од или наменет за процесорот за рути (RR), вклучувајќи ги сите протоколи за рутирање, во некои случаи протоколи SSH и SNMP и ICMP. Секој напад врз функционирањето на рутирачкиот процесор, а особено DDoS нападите, може да доведе до значителни проблеми и прекини во функционирањето на мрежата. Следниве се најдобри практики за заштита на контролната рамнина.

Полициско работење со контролен авион

Се состои од користење на механизми QoS (Квалитет на услуга) за да се даде поголем приоритет на контролата на авионскиот сообраќај отколку на сообраќајот на корисници (од кои нападите се дел). Ова ќе обезбеди работа на сервисните протоколи и процесорот за рутирање, односно одржување на топологијата и поврзувањето на мрежата, како и вистинското рутирање и префрлување на пакетите.

IP Примање ACL

Оваа функционалност ви овозможува да го филтрирате и контролирате сервисниот сообраќај наменет за рутерот и процесорот за насочување.

  • се применуваат директно на опремата за насочување пред сообраќајот да стигне до процесорот за насочување, обезбедувајќи „лична“ заштита на опремата;
  • се применуваат откако сообраќајот ќе помине низ нормални листи за контрола на пристап - тие се последното ниво на заштита на патот до процесорот за насочување;
  • се однесуваат на целиот сообраќај (и внатрешен, надворешен и транзитен во однос на мрежата на телекомуникацискиот оператор).

Инфраструктура ACL

Вообичаено, пристапот до комерцијалните адреси на опремата за рутирање е потребен само за домаќините на сопствената мрежа на операторот, но има исклучоци (на пример, eBGP, GRE, IPv6 преку IPv4 тунели и ICMP). Инфраструктурни ACL:

  • обично се инсталира на работ на мрежата на телекомуникацискиот оператор („на влезот во мрежата“);
  • имаат за цел да ги спречат надворешните хостови да пристапат до инфраструктурните адреси на операторот;
  • да обезбеди непречен транзит на сообраќај преку границата на мрежата на операторот;
  • обезбедуваат основни заштитни механизми од неовластена мрежна активност опишана во RFC 1918, RFC 3330, особено заштита од измама (измамување, употреба на лажни изворни IP адреси за маскирање при започнување напад).

Автентикација на соседот

Главната цел на автентикацијата на соседот е да спречи напади кои вклучуваат испраќање фалсификувани пораки со протокол за рутирање со цел да се промени рутирањето во мрежата. Ваквите напади може да доведат до неовластено навлегување во мрежата, неовластено користење на мрежните ресурси, а исто така и до напаѓачот да пресретнува сообраќај со цел да ги анализира и добие потребните информации.

Поставување на BGP

  • Филтри за префикс BGP - се користат за да се осигура дека информациите за рутите на внатрешната мрежа на телекомуникацискиот оператор не се шират на Интернет (понекогаш оваа информација може да биде многу корисна за напаѓачот);
  • ограничување на бројот на префикси што може да се примат од друг рутер (префикс ограничување) - се користи за заштита од DDoS напади, аномалии и неуспеси во партнерските мрежи со врсници;
  • употребата на параметрите на заедницата BGP и нивно филтрирање може да се користи и за ограничување на дистрибуцијата на информации за рутирање;
  • BGP мониторингот и споредбата на BGP податоците со набљудуваниот сообраќај е еден од механизмите за рано откривање на DDoS напади и аномалии;
  • филтрирање по параметар TTL (Time-to-Live) - се користи за проверка на BGP партнери.

Ако нападот BGP не се стартува од мрежата на партнерот, туку од подалечна мрежа, тогаш параметарот TTL за BGP пакетите ќе биде помал од 255. Можете да ги конфигурирате граничните рутери на операторот така што тие ги испуштаат сите BGP пакети со TTL вредност< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Заштита на рамнина на податоци

И покрај важноста од заштита на нивоата на администрација и управување, најголемиот дел од сообраќајот во мрежата на телекомуникацискиот оператор е податочен, транзитен или наменет за претплатниците на овој оператор.

Unicast пренасочување на обратна патека (uRPF)

Често нападите се лансираат со користење на технологија за измама - изворните IP адреси се фалсификувани, така што изворот на нападот не може да се следи. Измислените IP адреси може да бидат:

  • од реално користениот адресен простор, но во различен мрежен сегмент (во сегментот од кој е започнат нападот, овие лажни адреси не се насочуваат);
  • од адресен простор неискористен во дадена мрежа за пренос на податоци;
  • од простор за адреси што не може да се рутира на Интернет.

Имплементирањето на механизмот uRPF на рутерите ќе спречи рутирање на пакети со изворни адреси кои се некомпатибилни или неискористени во мрежниот сегмент од кој пристигнале до интерфејсот на рутерот. Оваа технологија понекогаш овозможува доста ефективно филтрирање на несаканиот сообраќај најблиску до неговиот извор, односно најефективно. Многу DDoS напади (вклучувајќи ја и познатата мрежа на Smurf и Tribal Flood) го користат механизмот на измама и постојано менување на адресите на изворот со цел да ги измамат стандардните безбедносни мерки и мерки за филтрирање на сообраќајот.

Употребата на механизмот uRPF од страна на телекомуникациските оператори кои им обезбедуваат на претплатниците пристап до Интернет ефикасно ќе ги спречи DDoS нападите користејќи технологија за измама насочена од нивните сопствени претплатници против интернет ресурсите. Така, нападот DDoS е потиснат најблиску до неговиот извор, односно најефективно.

Далечински активирани црни дупки (RTBH)

Контролирани црни дупки (Remotely Triggered Blackholes) се користат за „отфрлање“ (уништување, испраќање „во никаде“) сообраќајот што влегува во мрежата со рутирање на овој сообраќај до специјални интерфејси Null 0 Оваа технологија се препорачува да се користи на работ на мрежата Напаѓачки сообраќај што содржи DDoS додека влегува во мрежата. Ограничувањето (и значајно) на овој метод е тоа што се однесува на целиот сообраќај наменет за одреден домаќин или домаќини кои се цел на нападот. Така, овој метод може да се користи во случаи кога еден или повеќе домаќини се подложени на масовен напад, што предизвикува проблеми не само за нападнатите домаќини, туку и за другите претплатници и мрежата на телекомуникацискиот оператор како целина.

Со црните дупки може да се управува или рачно или преку протоколот BGP.

Пропагирање на QoS политика преку BGP (QPPB)

QoS контролата врз BGP (QPPB) ви овозможува да управувате со приоритетните политики за сообраќајот наменет за специфичен автономен систем или блок од IP адреси. Овој механизам може да биде многу корисен за телекомуникациските оператори и големите претпријатија, вклучително и за управување со нивото на приоритет за несакан сообраќај или сообраќај што содржи DDoS напад.

Дупки за мијалник

Во некои случаи, не е неопходно целосно да се отстрани сообраќајот користејќи црни дупки, туку да се пренасочи од главните канали или ресурси за последователно следење и анализа. Токму за ова се дизајнирани „каналите за пренасочување“ или Синк Дупките.

Дупките за мијалник се користат најчесто во следниве случаи:

  • да се пренасочува и анализира сообраќајот со адреси на дестинации кои припаѓаат на адресниот простор на мрежата на телекомуникацискиот оператор, но всушност не се користат (не биле доделени ниту на опрема ниту на корисници); таквиот сообраќај е априори сомнителен, бидејќи често укажува на обиди за скенирање или навлегување во вашата мрежа од напаѓач кој нема детални информации за нејзината структура;
  • да го пренасочи сообраќајот од целта на нападот, кој е ресурс кој всушност функционира во мрежата на телекомуникацискиот оператор, за негово следење и анализа.

DDoS заштита со помош на специјални алатки

Концептот Cisco Clean Pipes е индустриски пионер

Современиот концепт за заштита од DDoS напади е развиен (да, да, нема да бидете изненадени! :)) од Cisco Systems. Концептот развиен од Cisco се нарекува Cisco Clean Pipes. Концептот, детално развиен пред речиси 10 години, детално ги опиша основните принципи и технологии за заштита од сообраќајни аномалии, од кои повеќето се користат и денес, вклучително и од други производители.

Концептот Cisco Clean Pipes ги вклучува следните принципи за откривање и ублажување на DDoS напади.

Се избираат точки (мрежни делови), сообраќајот во кој се анализира за да се идентификуваат аномалии. Во зависност од тоа што заштитуваме, такви точки може да бидат вртежни врски на телекомуникациски оператор со оператори од повисоко ниво, точки за поврзување на оператори или претплатници од пониско ниво, канали што ги поврзуваат центрите за обработка на податоци на мрежата.

Специјалните детектори го анализираат сообраќајот на овие точки, градат (проучуваат) сообраќаен профил во неговата нормална состојба и кога ќе се појави DDoS напад или аномалија, го детектираат, проучуваат и динамички ги формираат неговите карактеристики. Следно, информациите се анализираат од страна на системскиот оператор, а процесот на потиснување на нападот се стартува во полуавтоматски или автоматски режим. Потиснувањето е местото каде што сообраќајот наменет за „жртвата“ динамички се пренасочува преку уред за филтрирање, каде филтрите генерирани од детекторот се применуваат на овој сообраќај и ја рефлектираат индивидуалната природа на овој напад. Исчистениот сообраќај се внесува во мрежата и се испраќа до примачот (затоа се појави името Чисти цевки - претплатникот добива „чист канал“ што не содржи напад).

Така, целиот циклус на заштита од DDoS напади ги вклучува следните главни фази:

  • Обука за контролни карактеристики на сообраќајот (профилирање, основно учење)
  • Откривање на напади и аномалии (Откривање)
  • Пренасочување на сообраќајот да помине низ уред за чистење (Пренасочување)
  • Филтрирање на сообраќај за да се потиснат нападите (Ублажување)
  • Вбризгување на сообраќај назад во мрежата и негово испраќање до примачот (Injection).

Неколку карактеристики.
Два типа на уреди може да се користат како детектори:

  • Детекторите произведени од Cisco Systems се Cisco Модули за услуги за детектор за аномалии на сообраќајот, дизајнирани за инсталација во шасијата Cisco 6500/7600.
  • Детекторите произведени од Arbor Networks се уреди Arbor Peakflow SP CP.

Подолу е табела која ги споредува детекторите на Cisco и Arbor.

Параметар

Cisco детектор за аномалии на сообраќај

Arbor Peakflow SP CP

Добивање информации за сообраќајот за анализа

Користи копија од сообраќајот доделен на шасијата Cisco 6500/7600

Може да се прилагодат податоците за сообраќајот на мрежата добиени од рутерите (1: 1, 1: 1.000, 1: 10.000, итн.)

Користени принципи за идентификација

Анализа на потписи (откривање на злоупотреба) и откривање аномалија (динамиченпрофилирање)

Примарно откривање на аномалија; Се користи анализа на потпис, но потписите се од општа природа

Форма фактор

сервисни модули во шасијата Cisco 6500/7600

посебни уреди (сервери)

Изведба

Се анализира сообраќајот до 2 Gbit/s

Практично неограничено (фреквенцијата на земање мостри може да се намали)

Приспособливост

Инсталација до 4 модулиCiscoДетекторС.М.во една шасија (сепак, модулите работат независно еден од друг)

Можност за користење на повеќе уреди во рамките на еден систем за анализа, од кои на еден му е доделен статус на лидер

Мрежен сообраќај и следење на рутирање

Практично нема функционалност

Функционалноста е многу развиена. Многу телекомуникациски оператори го купуваат Arbor Peakflow SP поради неговата длабока и софистицирана функционалност за следење на сообраќајот и рутирање во мрежата

Обезбедување портал (индивидуален интерфејс за претплатник кој овозможува следење само на дел од мрежата директно поврзан со него)

Не е обезбедено

Обезбедено. Ова е сериозна предност на ова решение, бидејќи телекомуникацискиот оператор може да продава индивидуални услуги за заштита на DDoS на своите претплатници.

Компатибилни уреди за чистење сообраќај (потиснување на напади)

CiscoМодул за стражарски услуги

 Arbor Peakflow SP TMS; Cisco Guard Services Module.
Заштита на центрите за податоци кога се поврзани на Интернет Следење на долните врски на претплатнички мрежи на мрежата на телекомуникацискиот оператор Откривање на напади навозводно-поврзувања на мрежата на телекомуникацискиот оператор со мрежите на провајдери од повисоко ниво Мониторинг на столбот на телекомуникацискиот оператор
Последниот ред од табелата покажува сценарија за користење детектори од Cisco и од Arbor, кои беа препорачани од Cisco Systems. Овие сценарија се прикажани на дијаграмот подолу.

Како уред за чистење сообраќај, Cisco препорачува користење на сервисниот модул Cisco Guard, кој е инсталиран во шасијата Cisco 6500/7600 и, по наредба добиена од Cisco Detector или Arbor Peakflow SP CP, сообраќајот динамички се пренасочува, се чисти и повторно се вбризгува во мрежата. Механизмите за пренасочување се или BGP ажурирања до рутери нагоре, или директни контролни команди до супервизорот со помош на сопствен протокол. Кога користите BGP ажурирања, на upstream рутерот добива нова nex-hop вредност за сообраќајот што го содржи нападот - така што овој сообраќај оди до серверот за чистење. Во исто време, мора да се внимава да се осигура дека овие информации не водат до организација на јамка (така што низводниот рутер, при внесување на исчистениот сообраќај кон него, не се обидува да го врати овој сообраќај назад во уредот за расчистување) . За да го направите ова, механизмите може да се користат за контрола на дистрибуцијата на ажурирања на BGP користејќи го параметарот на заедницата или употребата на GRE тунели при влегување во исчистен сообраќај.

Ваквата состојба постоеше се додека Arbor Networks значително не ја прошири линијата на производи Peakflow SP и почна да влегува на пазарот со целосно независно решение за заштита од DDoS напади.

Воведен Arbor Peakflow SP TMS

Пред неколку години, Arbor Networks одлучи да ја развие својата линија на производи за заштита од DDoS напади независно и без оглед на темпото и политиката на развој на оваа област во Cisco. Peakflow SP CP решенијата имаа фундаментални предности во однос на Cisco Detector, бидејќи тие ги анализираа информациите за протокот со способност да ја регулираат фреквенцијата на земање примероци, и затоа немаа ограничувања за употреба во мрежите на телекомуникациските оператори и на багажни канали (за разлика од Cisco Detector, кој анализира копија од сообраќај ). Дополнително, голема предност на Peakflow SP беше способноста на операторите да им продаваат на претплатниците индивидуална услуга за следење и заштита на нивните мрежни сегменти.

Поради овие и други размислувања, Arbor значително ја прошири својата линија на производи Peakflow SP. Се појавија голем број нови уреди:

Peakflow SP TMS (Систем за управување со закани)- ги потиснува DDoS нападите преку повеќестепено филтрирање врз основа на податоци добиени од Peakflow SP CP и од лабораторијата ASERT, во сопственост на Arbor Networks, која ги следи и анализира DDoS нападите на Интернет;

Peakflow SP BI (Business Intelligence)- уреди кои обезбедуваат системско скалирање, зголемување на бројот на логички објекти што треба да се следат и обезбедуваат вишок за собрани и анализирани податоци;

Peakflow SP PI (портален интерфејс)- уреди кои обезбедуваат зголемување на претплатниците на кои им е обезбеден индивидуален интерфејс за управување со сопствената безбедност;

Peakflow SP FS (Цензор на проток)- уреди кои обезбедуваат мониторинг на претплатнички рутери, конекции со низводно мрежи и центри за податоци.

Принципите на работа на системот Arbor Peakflow SP остануваат во суштина исти како и Cisco Clean Pipes, сепак, Arbor редовно ги развива и подобрува своите системи, така што во моментот функционалноста на производите на Arbor е подобра во многу аспекти од онаа на Cisco, вклучително и продуктивноста .

Денес, максималните перформанси на Cisco Guard може да се постигнат со создавање на кластер од 4 Guard модули во една шасија Cisco 6500/7600, додека целосното групирање на овие уреди не е имплементирано. Во исто време, врвните модели на Arbor Peakflow SP TMS имаат перформанси до 10 Gbps, а за возврат може да се групираат.

Откако Arbor почна да се позиционира како независен играч на пазарот за откривање и сузбивање на DDoS напади, Cisco почна да бара партнер кој ќе му го обезбеди многу потребното следење на податоците за протокот на мрежниот сообраќај, но нема да биде директен конкурент. Таква компанија беше Narus, која произведува системи за следење на сообраќајот врз основа на податоци за протокот (NarusInsight), а склучи партнерство со Cisco Systems. Сепак, ова партнерство не доби сериозен развој и присуство на пазарот. Покрај тоа, според некои извештаи, Cisco не планира да инвестира во своите решенија Cisco Detector и Cisco Guard, всушност, оставајќи ја оваа ниша на Arbor Networks.

Некои карактеристики на решенијата Cisco и Arbor

Вреди да се забележат некои карактеристики на решенијата Cisco и Arbor.

  1. Cisco Guard може да се користи или заедно со детектор или независно. Во вториот случај, тој е инсталиран во режим на линија и ги извршува функциите на детектор, анализирајќи го сообраќајот и, доколку е потребно, вклучува филтри и го брише сообраќајот. Недостаток на овој режим е тоа што, прво, се додава дополнителна точка на потенцијален дефект, и второ, дополнително доцнење на сообраќајот (иако е мало додека не се вклучи механизмот за филтрирање). Препорачаниот режим за Cisco Guard е да чека команда за пренасочување на сообраќајот што содржи напад, да го филтрира и да го внесе назад во мрежата.
  2. Уредите Arbor Peakflow SP TMS можат да работат и во режим надвор од рампа или во линија. Во првиот случај, уредот пасивно чека команда за пренасочување на сообраќајот што го содржи нападот за да го исчисти и да го врати назад во мрежата. Во вториот, тој го поминува целиот сообраќај низ себе, генерира податоци врз основа на него во формат Arborflow и ги пренесува на Peakflow SP CP за анализа и откривање на напади. Arborflow е формат сличен на Netflow, но модифициран од Arbor за неговите Peakflow SP системи. Набљудувањето на сообраќајот и откривањето напади се спроведуваат од Peakflow SP CP врз основа на податоците од Arborflow добиени од TMS. Кога ќе се открие напад, операторот Peakflow SP CP дава команда да го потисне, по што TMS ги вклучува филтрите и го брише сообраќајот од нападот. За разлика од Cisco, серверот Peakflow SP TMS не може да работи независно за неговата работа бара Peakflow SP CP сервер, кој го анализира сообраќајот.
  3. Денес, повеќето експерти се согласуваат дека задачите за заштита на локалните делови од мрежата (на пример, поврзување центри за податоци или поврзување низводно мрежи) се ефективни

Нападот DoS и DDoS е агресивно надворешно влијание врз компјутерските ресурси на серверот или работната станица, извршено со цел да се доведе до неуспех. Под неуспех не подразбираме физички дефект на машината, туку недостапност на нејзините ресурси за искрени корисници - одбивање на системот да ги сервисира ( Дниски оѓ С ervice, од што потекнува кратенката DoS).

Доколку таков напад се изврши од еден компјутер, тој се класифицира како DoS (DoS), ако од неколку - DDoS (DiDoS или DDoS), што значи „Дсе дистрибуира Дниски оѓ Суслуга“ - дистрибуирано одбивање на услуга. Следно, ќе разговараме за тоа зошто напаѓачите вршат такви напади, што се тие, каква штета предизвикуваат на нападнатите и како тие можат да ги заштитат своите ресурси.

Кој може да страда од DoS и DDoS напади?

Напаѓани се корпоративни сервери на претпријатија и веб-страници, а многу поретко - персонални компјутери на поединци. Целта на ваквите акции, по правило, е една - да се предизвика економска штета на нападнатиот и да остане во сенка. Во некои случаи, DoS и DDoS нападите се една од фазите на хакирање на серверот и се насочени кон кражба или уништување на информации. Всушност, компанија или веб-страница што му припаѓа на секого може да стане жртва на напаѓачи.

Дијаграм што ја илустрира суштината на нападот DDoS:

DoS и DDoS нападите најчесто се извршуваат на поттик на нечесни конкуренти. Така, со „кршење“ на веб-страницата на онлајн продавница која нуди сличен производ, можете привремено да станете „монополист“ и да ги земете своите клиенти за себе. Со „спуштање“ на корпоративен сервер, можете да ја нарушите работата на конкурентската компанија и со тоа да ја намалите нејзината позиција на пазарот.

Нападите од големи размери кои можат да предизвикаат значителна штета обично ги вршат професионални сајбер-криминалци за многу пари. Но, не секогаш. Вашите ресурси можат да бидат нападнати од домашни аматери хакери од интерес, одмаздници од отпуштените вработени и едноставно оние кои не ги делат вашите ставови за животот.

Понекогаш ударот се изведува со цел да се изнуди, додека напаѓачот отворено бара пари од сопственикот на ресурсот за да го спречи нападот.

Серверите на државните компании и познатите организации често се напаѓани од анонимни групи висококвалификувани хакери со цел да влијаат на официјални лица или да предизвикаат негодување во јавноста.

Како се извршуваат нападите

Принципот на работа на DoS и DDoS нападите е да се испрати голем проток на информации до серверот, кој максимално (колку што дозволуваат можностите на хакерот) ги вчитува компјутерските ресурси на процесорот, RAM меморијата, ги затнува комуникациските канали или го пополнува просторот на дискот. . Нападнатата машина не може да ги обработи дојдовните податоци и престанува да одговара на барањата на корисниците.

Вака изгледа нормалното работење на серверот, визуелизирано во програмата Logstalgia:

Ефективноста на единечните DOS напади не е многу висока. Покрај тоа, напад од персонален компјутер го изложува напаѓачот на ризик да биде идентификуван и фатен. Дистрибуираните напади (DDoS) извршени од таканаречените зомби мрежи или ботнети обезбедуваат многу поголем профит.

Вака веб-страницата Norse-corp.com ја прикажува активноста на ботнетот:

Зомби мрежа (ботнет) е група на компјутери кои немаат физичка врска едни со други. Заедничко им е тоа што сите се под контрола на напаѓач. Контролата се врши преку тројанска програма, која засега може да не се манифестира на кој било начин. При извршување на напад, хакерот им дава инструкции на заразените компјутери да испраќаат барања до веб-страницата или серверот на жртвата. А тој, не можејќи да го издржи притисокот, престанува да одговара.

Еве како Logstalgia покажува DDoS напад:

Апсолутно секој компјутер може да се приклучи на ботнет. Па дури и паметен телефон. Доволно е да се фати тројанец и да не биде откриен на време. Патем, најголемиот ботнет се состоеше од речиси 2 милиони машини ширум светот, а нивните сопственици немаа поим што прават.

Методи на напад и одбрана

Пред да започне напад, хакерот сфаќа како да го изврши со максимален ефект. Ако нападнатиот јазол има неколку ранливости, ударот може да се изврши во различни насоки, што значително ќе ја комплицира контраакцијата. Затоа, важно е секој администратор на серверот да ги проучи сите свои „тесни грла“ и, доколку е можно, да ги зајакне.

Поплава

Поплавата, во едноставни термини, е информација што не носи никакво значење. Во контекст на DoS/DDoS нападите, поплава е лавина од празни, бесмислени барања од едно или друго ниво, кои примачот е принуден да ги обработи.

Главната цел на користењето на поплави е целосно да се затнат комуникациските канали и да се засити пропусниот опсег до максимум.

Видови поплави:

  • MAC flood - влијание врз мрежните комуникатори (блокирање на пристаништа со текови на податоци).
  • ICMP поплави - преплавување на жртвата со барања за ехо за услуги користејќи зомби мрежа или испраќање барања „во име“ на нападнатиот јазол, така што сите членови на ботнетот истовремено му испраќаат ехо одговор (напад на Штрумф). Посебен случај на ICMP flood е ping flood (испраќање барања за пинг до серверот).
  • SYN flood - испраќање бројни SYN барања до жртвата, прелевање на редот за поврзување TCP со создавање голем број на полуотворени (чекајќи потврда на клиентот) конекции.
  • UDP flood - работи според шемата за напад на Smurf, каде што се испраќаат UDP датаграми наместо ICMP пакети.
  • HTTP flood - преплавување на серверот со бројни HTTP пораки. Пософистицирана опција е HTTPS flooding, каде што испратените податоци се претходно шифрирани и пред нападнатиот јазол да ги обработи, мора да ги дешифрира.


Како да се заштитите од поплави

  • Конфигурирајте ги мрежните прекинувачи за да ја проверите валидноста и да ги филтрирате MAC адресите.
  • Ограничете ја или оневозможете ја обработката на барањата за ехо на ICMP.
  • Блокирајте пакети кои доаѓаат од одредена адреса или домен што дава причина да се сомневаме во несигурност.
  • Поставете ограничување на бројот на полуотворени врски со една адреса, намалете го времето на нивното задржување и издолжете го редот на TCP конекции.
  • Оневозможете UDP услугите да примаат сообраќај однадвор или ограничете го бројот на UDP врски.
  • Користете CAPTCHA, одложувања и други техники за заштита на бот.
  • Зголемете го максималниот број на HTTP конекции, конфигурирајте го кеширањето на барањата користејќи nginx.
  • Проширете го капацитетот на мрежниот канал.
  • Ако е можно, посветете посебен сервер за ракување со криптографијата (ако се користи).
  • Направете резервен канал за административен пристап до серверот во итни ситуации.

Преоптоварување со хардверски ресурси

Постојат типови на поплави кои не влијаат на каналот за комуникација, туку на хардверските ресурси на нападнатиот компјутер, вчитувајќи ги до нивниот полн капацитет и предизвикувајќи замрзнување или паѓање. На пример:

  • Создавање скрипта што ќе објави огромна количина бесмислени текстуални информации на форум или веб-страница каде што корисниците имаат можност да оставаат коментари додека не се пополни целиот простор на дискот.
  • Истото, само логовите на серверот ќе го полнат уредот.
  • Вчитување на сајт каде што се врши некаква трансформација на внесените податоци, континуирано обработување на овие податоци (испраќање т.н. „тешки“ пакети).
  • Вчитување на процесорот или меморијата со извршување на код преку интерфејсот CGI (поддршката CGI ви овозможува да извршите која било надворешна програма на серверот).
  • Активирање на безбедносниот систем, правење на серверот недостапен однадвор итн.


Како да се заштитите од преоптоварување хардверски ресурси

  • Зголемете ги перформансите на хардверот и просторот на дискот. Кога серверот работи нормално, најмалку 25-30% од ресурсите треба да останат слободни.
  • Користете системи за анализа на сообраќај и филтрирање пред да го пренесете на серверот.
  • Ограничете ја употребата на хардверски ресурси по компоненти на системот (поставете квоти).
  • Чувајте ги датотеките за евиденција на серверот на посебен диск.
  • Дистрибуирајте ресурси низ неколку сервери независни еден од друг. Така што ако еден дел пропадне, другите остануваат оперативни.

Ранливост во оперативните системи, софтверот, фирмверот на уредот

Има неизмерно повеќе опции за извршување на овој тип на напад отколку користење на поплави. Нивната имплементација зависи од квалификациите и искуството на напаѓачот, неговата способност да најде грешки во програмскиот код и да ги користи во негова корист и на штета на сопственикот на ресурсите.

Штом хакер ќе открие ранливост (грешка во софтверот што може да се користи за да се наруши работата на системот), се што треба да направи е да создаде и изврши експлоатација - програма што ја искористува оваа ранливост.

Искористувањето на ранливостите не е секогаш наменето да предизвика само одбивање на услугата. Ако хакерот има среќа, тој ќе може да стекне контрола над ресурсот и да го користи овој „дар на судбината“ по своја дискреција. На пример, користете го за дистрибуција на малициозен софтвер, крадење и уништување информации итн.

Методи за спротивставување на искористувањето на софтверските пропусти

  • Навремено инсталирајте ажурирања кои покриваат пропусти на оперативните системи и апликациите.
  • Изолирајте ги сите услуги наменети за решавање на административни задачи од пристап од трети страни.
  • Користете средства за континуирано следење на работата на оперативниот систем на серверот и програмите (анализа на однесување, итн.).
  • Одбијте потенцијално ранливи програми (бесплатни, самостојно напишани, ретко ажурирани) во корист на докажани и добро заштитени.
  • Користете готови средства за заштита на системите од DoS и DDoS напади, кои постојат и во форма на хардверски и софтверски системи.

Како да се утврди дека некој ресурс бил нападнат од хакер

Ако напаѓачот успее да ја постигне целта, невозможно е да не се забележи нападот, но во некои случаи администраторот не може точно да одреди кога започнал. Тоа е, понекогаш поминуваат неколку часа од почетокот на нападот до забележливи симптоми. Меѓутоа, при скриено влијание (додека серверот не се спушти), се присутни и одредени знаци. На пример:

  • Неприродно однесување на серверските апликации или оперативниот систем (замрзнување, прекинување со грешки итн.).
  • Оптоварувањето на процесорот, RAM и меморијата нагло се зголемува во споредба со оригиналното ниво.
  • Обемот на сообраќај на една или повеќе пристаништа значително се зголемува.
  • Има повеќе барања од клиенти до исти ресурси (отворање на истата веб-страница, преземање на истата датотека).
  • Анализата на дневниците на серверот, заштитниот ѕид и мрежните уреди покажува голем број монотони барања од различни адреси, често насочени кон одредена порта или услуга. Особено ако страницата е наменета за тесна публика (на пример, руски јазик), а барањата доаѓаат од целиот свет. Квалитативната анализа на сообраќајот покажува дека барањата немаат практично значење за клиентите.

Сето горенаведено не е 100% знак за напад, но секогаш е причина да се обрне внимание на проблемот и да се преземат соодветни заштитни мерки.

Оваа организација, покрај регистрацијата на имиња на домени во зоната .tr, обезбедува и 'рбетна комуникација на турските универзитети. Одговорноста за нападот ја презедоа хактивистите од Анонимуси, обвинувајќи го турското раководство за поддршка на ИСИС.

Првите знаци на DDoS се појавија утрото на 14 декември. Проблемот го погоди и координативниот центар RIPE, кој обезбедува алтернативна NS инфраструктура NIC.tr. Претставниците на RIPE забележаа дека нападот е изменет на таков начин што ќе ги заобиколи безбедносните мерки на RIPE.

Нападите од големи размери DDoS стануваат најефективниот начин за нарушување на веб-услугите - цената на нападите постојано се намалува, што овозможува зголемена моќност: за само две години, просечната моќност на нападот DDoS се зголеми за четири пати на 8 Gbps. Во споредба со просечните вредности, нападот на националниот домен зона на Турција изгледа импресивно, но експертите нагласуваат дека DDoS нападите на ниво од 400 Gbps наскоро ќе станат норма.

Уникатноста на турскиот напад е во тоа што напаѓачите ја избраа вистинската цел: со концентрирање на релативно мал број IP адреси, тие беа во можност практично да ја осакатуваат инфраструктурата на цела земја со само 40-гигабитен напад.

Турскиот национален центар за одговор на кибер инциденти го блокираше целиот сообраќај што доаѓа до серверите NIC.tr од други земји, поради што сите 400.000 турски веб-локации станаа недостапни и сите е-пораки беа вратени на нивните испраќачи. Подоцна, центарот одлучи да ја смени тактиката, селективно блокирајќи ги сомнителните IP адреси. DNS серверите за домени во зоната .tr беа реконфигурирани да дистрибуираат барања помеѓу јавни и приватни сервери, со помош од турските интернет провајдери Superonline и Vodafone.

Нападнатите домени се вратија онлајн истиот ден, но многу сајтови и услуги за е-пошта продолжија да функционираат наизменично неколку дена. Не беа погодени само локални компании и владини организации, туку и многу национални веб-ресурси кои избраа име на домен во зоната .tr; вкупно ова е околу 400 илјади веб-страници, од кои 75% се корпоративни. Турскиот национален домен го користат и образовните институции, општините и војската.

Сè додека „анонимните“ не дадоа изјава, многумина ги обвинија Русите за нападот DDoS - поради тензичните односи меѓу Турција и Русија. Едно време, од слични причини, руски хакери беа осомничени за вмешаност во големи сајбер напади врз Естонија (2007), Грузија (2008) и Украина (2014). Некои експерти сметаа дека турскиот DDoS е одговор на Русите на DDoS напад од турски сајбер групи на рускиот сајт за вести Спутник.

Изјавата на Анонимус ја лиши од каква било основа хипотезата за „руска трага“. Хактивистите, исто така, се закануваат дека ќе ги нападнат турските аеродроми, банките, владините сервери и воените организации доколку Турција не престане да му помага на ИСИС.



ПОВРЗАНИ СТАТИИ