Защита от DDoS в облаке провайдера
Сегодня любой уважающий себя облачный провайдер готов предложить услугу защиты от DDOS-атак на ресурсы, которые располагаются на его площадке. Но так ли она необходима и не является ли навязанной? Занимаетесь ли вы электронной коммерцией, размещаете сайт компании или арендуете ресурсы по модели SaaS, PaaS или IaaS для организации инфраструктуры на мощностях облачного провайдера, вы всегда будете потенциально уязвимы к данному типу атак. Поэтому предоставление услуг по противодействию DDoS становится все актуальнее и является обязательным пунктом в списке мероприятий по повышению доступности вашего сервиса.
Скрытая угроза
Трудно определить общие потери бизнеса от DDoS-атак с момента их появления как класса, но нулей в этом числе будет действительно много. Даже владельцу интернет-магазина трудно объективно посчитать убытки от потери доступности сервиса. Кроме неполучения новых заказов нельзя сбрасывать со счетов и репутационные риски, которые гарантированно лишат некоторого количества существующих и потенциальных клиентов, не говоря уже о снижении престижа компании. А теперь представьте масштаб бедствия, если подобная атака будет направлена на платежную систему банка, крупный новостной портал или производственную систему.
Что такое DDoS и какие основные виды атак существуют?[Что такое DDoS]
Но давайте по порядку. Аббревиатура DoS, или Denial of Service, переводится как «отказ в обслуживании» и означает тип атак, направленных на прекращение работоспособности узла в Сети путем массированного «обстрела» цели таким количеством запросов, которое «жертва» не может обработать. Из-за этого перестают обрабатываться и «легитимные» обращения и ресурс теряет доступность.
Дополнительная буква D в начале аббревиатуры делает эту атаку распределенной (Distributed) и означает отправку подобных запросов с различного числа узлов, обычно — с зараженных систем ничего не подозревающих жертв. Злоумышленник заражает некоторое количество хостов, и они становятся спящей ячейкой так называемого ботнета, которая по команде начинает выполнять определенные действия в отношении атакуемой системы. Подобные ботнеты могут состоять из десятков тысяч единиц и способны вывести из строя цель на достаточно продолжительное время.
Целью DDoS-атак чаще всего становятся сайты, но выбор жертв этим не ограничивается и атаки происходят на корпоративные сети, производственные предприятия, банковские транзакционные узлы и любые ресурсы, доступные из сети Интернет.
Так для чего злоумышленники занимаются подобным видом атак? Чаще всего — из хулиганских побуждений, поэтому от DDoS никто не застрахован. Также атаки производятся по заказу конкурентов или иных заинтересованных лиц, а услуги по их организации выросли до целой подпольной индустрии с собственным рынком. Последствия от DDoS могут быть ощутимы для бизнеса, поэтому крайне важно уметь противостоять этим угрозам, благо услуга защиты от действий злоумышленников стоит недорого и предоставляется большинством добросовестных провайдеров.
Так как разновидностей подобных атак великое множество, давайте кратко рассмотрим некоторые из них:
- SYN-Flood. Один из самых распространенных видов DDoS на сегодняшний день, который основан на особенностях TCP-протокола, а в частности на синхронизации номера последовательности, который называется SYN-флагом, позволяющим отследить цепочку данных от клиента к серверу в пределах сессии. Когда на сервер приходит запрос с флагом SYN, то он либо отклоняет его, либо подтверждает начало установления сессии и отправляет клиенту ответ в виде флага ACK. Злоумышленник отправляет на сервер тысячи SYN-флагов, но подменяет в подобных запросах обратный адрес, вынуждая сервер отвечать ACK на каждый запрос. А поскольку ответы уходят в никуда, то сервер пытается отослать ответ снова и снова, после чего принятие любых запросов на открытие сессии становится невозможным. Данный алгоритм атаки можно контролировать на уровне глубокой инспекции трафика, что используют некоторые облачные провайдеры, предоставляя услугу по защите сервиса клиента в рамках противодействия DDoS.
- Собрат TCP по транспортному уровню — UDP — еще больше уязвим для DDoS-атак, так как сессия при использовании данного протокола вообще не устанавливается. При использовании UDP-Flood атакованная цель подвергается бомбардировке из огромного числа запросов, что в итоге задействует 100% ресурсов «жертвы» и ведет к их недоступности. Такие атаки тоже успешно нейтрализуется сервисом защиты от DDoS со стороны поставщика услуг.
- ICMP-Echo. Этот вид нападения также называют smurf-attack. При использовании данного метода на атакуемый узел направляется широковещательный запрос с адресом отправителя жертвы. Так как данный запрос действует на целый сегмент сети, то все узлы, находящиеся в этом сегменте, направят ответ именно на атакуемый хост, что кратно усилит действие атаки.
Это всего три примера из великого множества алгоритмов выведения из строя потенциальных жертв DDoS-атак. Существуют угрозы с использованием DNS-серверов, использующих принцип ICMP-Echo с той разницей, что это «эхо» генерируют серверы доменных имен. Огромное количество HTTP-атак, когда на мелкие запросы атакуемый сервер забивает собственный канал более крупными ответами, что регламентировано самим дизайном протокола. Или когда, используя тот же HTTP, злоумышленник отправляет POST-запросы, а сервер открывает бесчисленное множество соединений, так как должен ожидать завершения таймаута на закрытие соединения и в итоге их количество сделает невозможным создание новых.
Как будем защищаться?[Способы защиты]
Так какие возможности доступны нам для защиты от действий злоумышленников? Частично противостоять DDoS можно самостоятельно. Децентрализация сервиса, ограничение обработки трафика по территориальному признаку, настройки лимитов и буферов в nginx, тонкие настройки ОС и прочие методы достаточно действенны, но от серьезной атаки, увы, не защитят. Поэтому с каждым годом становятся все популярнее услуги провайдеров, направленные на противодействие DDoS. Для эффективной борьбы с подобными атаками в комплексе мер используются также системы глубокого анализа трафика, или DPI — Deep Packet Inspection, которые имеют целый ряд преимуществ, абсолютно недоступных другим решениям.
Кроме глубокого анализа трафика, способного на ранних стадиях выявить и предотвратить начало атаки, провайдер может тонко настроить политики использования канала на уровне протоколов, что будет гарантированно держать часть полосы пропускания для обеспечения бесперебойного доступа к ресурсу либо ограничению нетипичных для него видов трафика. Кроме этого, обычно используются фаерволы достаточного для нейтрализации данных видов атак уровня.
Как показывает практика, лишь комплексное обеспечение безопасности способно понизить шанс потенциальной атаки до околонулевых значений и без систем DPI добиться подобного, увы, практически невозможно, так как интенсивность атак постоянно растет и доходит до десятков миллионов запросов в секунду, алгоритмы, задействующие легитимные запросы DNS в своей цепочке, крайне трудно определяются, а синхронность «атаки» ботнета за счет децентрализованного управления через пиринговые сети приближается к долям секунды.
Эволюция не «по Дарвину»[Эволюция]
По статистике Лаборатории Касперского, общее количество DDoS-атак в 2018 году по отношению к 2017-му сократилось, но увеличилась их средняя продолжительность до 218 минут к 4 кварталу 2018 года. Львиную долю — больше половины — заняли SYN-Flood-атаки, а уменьшение общего их числа на фоне увеличения продолжительности, скорее всего, говорит о росте целевых нападений на фоне общего количества атак.
Последнее время атаки подобного плана вышли на уровень открытой монетизации. Появились целые сервисы по организации DDoS, где каждый желающий может в автоматизированном режиме заказать нападение на выбранный ресурс и стоить это будет смехотворные 20-30 долларов. Настоящий DDoS-As-A-Service. Один из таких сервисов — 0x-booter — имеет в своем распоряжении ботнет размером более 15 000 узлов и суммарную полосу для атаки в 400 гигабит в секунду.
Вместо заключения
Только задумайтесь: сейчас любая домохозяйка имеет возможность вывести из строя не понравившийся незащищенный ресурс на время, ограниченное лишь кошельком злоумышленника. DDoS сейчас — как насморк: мы можем бороться со следствием, но пока никто не способен глобально ликвидировать причину. Панацеи от обогащения ботнетов и последующих атак с их стороны не существует, и нам остается наращивать скорость реакции на эволюцию существующих и возникновение новых угроз, стараясь опережать злоумышленников в этой бесконечной гонке информационных вооружений.