Для ИТ-службы атака DDoS является серьезным испытанием — нужно выявить источник атаки, выяснить ее природу и выработать механизмы защиты. При этом средства защиты должны блокировать непродуктивные запросы, инициированные нападающими и не приносящие компании доходов.

 

Интернет становится все опаснее — на наиболее популярные ресурсы все чаще организуются атаки с целью вызвать отказ в обслуживании (Denial of Service, DoS) и блокировать работу отдельных сайтов и целых информационных систем. В этой статье мы постараемся разобраться в современных методах DoS-атак — точнее, распределенных DoS-атак (Distributed DoS, DDoS), которые обычно осуществляются злоумышленниками с помощью сети зомбированных компьютеров.

ТИПЫ АТАК DDоS

Суть DDoS-атаки состоит в том, что в инфраструктуре сети жертвы находится дефицитный ресурс, исчерпание которого и вызывает отказ в обслуживании. Наиболее известные атаки недавнего времени были нацелены на исчерпание пропускной способности канала подключения сайта к Интернету. Однако развитие широкополосных технологий доступа и облачных вычислений осложняет эту задачу. Впрочем, судя по всему, трудности злоумышленников не пугают, и они стараются организовать все более мощные атаки. Весной этого года инфраструктура одного из облачных провайдеров подверглась атаке мощностью 400 Гбит/с, однако вполне возможны и более масштабные акции.

Для их организации используют так называемый метод усиления — дополнительные усилители вместо прямого «забрасывания» атакуемых серверов пакетами, генерируемыми на зомбированных компьютерах. Идея усилителя заключается в том, что на некий промежуточный сервис подчиненное злоумышленнику устройство посылает IP-пакет, в котором IP-адрес отправителя заменен на адрес жертвы. При этом выбираются такие сервисы, которые в ответ на очень короткий запрос возвращают огромное количество информации. Например, подобное поведение характерно для сервера DNS — в ответ на запрос синхронизации зон пересылается довольно объемное содержание всей зоны.

Коэффициент усиления — это отношение между размерами запроса и потока данных, поступающих от сервиса. Нападающие пытаются найти такие протоколы, которые позволяли бы значительно увеличивать поток. В частности, для этого подойдут система разрешения имен DNS, служба синхронизации времени NTP, протокол сетевого управления SNMP и некоторые другие протоколы. Например, упомянутая атака на облачного провайдера, которая в пике имела мощность до 400 Гбит/с, была организована с помощью усиления на серверах NTP. По мнению экспертов различных лабораторий, гонка продолжится — атакующие начали уже захватывать виртуальные машины в облаках и с их помощью организовывать атаки по высокоскоростным каналам и с использованием всех преимуществ облаков.

Впрочем, отмечается и другая тенденция: атаки против ключевых компонентов инфраструктуры, таких как DNS-серверы. Действительно, выведя из строя DNS, обслуживающий сайт, доступ к последнему можно перекрыть. При этом DNS-серверы оказались менее защищенными, чем сайты, которые располагаются в облачных средах. Поскольку в обычной ситуации нагрузка на DNS-сервер не очень большая, этот элемент инфраструктуры защищать от DDoS не требовалось.

Болевой точкой сайта могут оказаться устройства, установленные перед основным сервером: балансировщики нагрузки, обратные кэши и SSL-ускорители. Вполне возможно, что их функционирование тоже имеет определенные особенности, которые позволят злоумышленникам сделать сайт недоступным, не перегружая канал непродуктивной нагрузкой, с которой уже научились бороться специализированные компании.

Еще одной целью DoS-атак является выведение из строя системы управления контентом сайта (Content Management System, CMS). Cовременные сайты являются динамическими и строятся на основе системы управления контентом, традиционно состоящей из Web-сервера, сервера приложений на основе какого-нибудь сценарного языка и базы данных. Популярной связкой является LAMP — Linux, Apache, MySQL и PHP, есть также стеки продуктов на основе Python, Ruby, Java, ASP и других технологий. Наибольшее распространение получили бесплатные CMS-продукты WordPress и Joomla, которые базируются на стеке LAMP. Выводя из строя CMS, злоумышленник блокирует работу сайта. Причем иногда это делается с помощью модулей расширения для CMS, куда встраивается троянский компонент для дистанционного управления сайтом. Обычно такой компонент используется для заражения компьютеров посетителей сайта, но злоумышленники могут реализовать и альтернативный метод атаки на владельцев, уничтожив сайт изнутри.

Недавно появился новый тип DoS-атак — удаление данных в облачных сервисах. Как правило, учетные данные от облачных сервисов привязаны к почтовым адресам. Перехватив или подобрав почтовый пароль, злоумышленник может получить контроль над облачным сервисом и уничтожить сохраненные в нем данные. Этим летом было зафиксировано две атаки подобного типа. В первом случае злоумышленник перехватил учетные данные администраторов облачного оператора Code Space и потребовал за них выкуп. Администраторы компании попытались вернуть контроль над своими данными, и тогда атакующий начал уничтожать информацию, хранящуюся в облаке. В результате оператор был вынужден объявить, что уже не может предоставлять сервис и сворачивает свою деятельность.

Несколько другая история случилась с британской компанией Aviva. К развернутому у нее продукту для управления мобильными устройствами MobileIron были привязаны устройства всех сотрудников. Злоумышленник получил доступ к учетным данным администратора системы, разослал всем сотрудникам SMS, а затем запустил удаленное обнуление данных на всех корпоративных устройствах. Такие вредоносные действия тоже можно отнести к DoS-атакам, хотя для них есть свое название — саботаж. К счастью, пока зафиксированы только единичные случаи саботажа и атак против CMS. Они явно организуются вручную. Поскольку автоматизированных платформ для таких действий еще не создано, пока нет и потребности в автоматизированных средствах защиты от них. Тем не менее при реализации Web-проектов стоит оценивать вероятность и такого типа атак.

Отдельно стоит отметить возможность юридической DoS-атаки с помощью созданного в России реестра блокированных сайтов. Государственная дума уже выпустила несколько законов, которые позволяют заблокировать широкий круг сайтов на основании недостаточно четко сформулированных критериев, ограничивая доступ к нему со стороны пользователей. Уже много сайтов блокируются провайдерами в соответствии с этим списком, причем нередко не на законном основании, а только потому, что они расположены на тех же IP-адресах, что и заблокированный сайт. А с 1 августа вступают в силу дополнительные поправки к закону, предписывающие регистрировать блогеров, обязывающие их соблюдать достаточно жесткие условия и тем самым сильно осложняющие их деятельность. К счастью, и

эти операции по дискредитации сайтов и размещение на них «запрещенной» информации с последующим занесением сайта в реестр запрещенных пока не автоматизируется, поэтому придется справляться с атаками подобного типа самостоятельно — нужно как минимум следить за тем, что публикуют на вашем сайте пользователи, и удалять сообщения, нарушающие российское законодательство.

СТАТИСТИКА

Летом текущего года сразу несколько компаний, которые занимаются защитой от DDoS-атак, опубликовали статистику по традиционным атакам с привлечением зомби-компьютеров, усилителей и других технических ухищрений. Так, по данным компании Prolexic, которая проанализировала DDoS-активность во II квартале, средняя мощность атак увеличилась на 72%, а пиковая — на 241% по сравнению с прошлым годом. Правда, по сравнению с I кварталом, когда была зафиксирована максимальная пиковая атака в 400 Гбит/с, активность DDoS снизилась, при этом сократилась средняя продолжительность атак. Сейчас она составляет 17 часов, чего, впрочем, вполне достаточно для нанесения весьма серьезного ущерба Web-проектам — как минимум потребуются немалые расходы на восстановление работоспособности сайтов и приобретение услуг по защите от DDoS.

Arbor Networks отмечает, что во II квартале 2014 года количество небольших атак мощностью 20 Гбит/с увеличилось вдвое по сравнению с аналогичным периодом 2013 года. При этом зафиксировано около сотни атак мощностью свыше 100 Гбит/с. Эти выводы сделаны на основании анализа данных, собираемых в реальном времени специальной распределенной системой, которая осуществляет мониторинг сетевых событий в инфраструктурах 300 клиентов компании.

В то же время российская компания Qrator отмечает, что во II квартале 2014 года число атак уменьшилось — с 4375 в прошлом году до 2715 в текущем, причем значительно возросло количество задействованных в них зомби-компьютеров — со 136 644 до 420 489 машин в среднем на атаку. Кроме того, увеличилась максимальная продолжительность атак — с 21 до 90 дней. Эксперты Qrator зафиксировали уменьшение доли атак с использованием метода усиления — в 2013 году этот показатель составлял более 50%. Однако Александр Лямин, генеральный директор компании Qrator, считает, что в текущем году можно ожидать атак мощностью до 600 Гбит/с, для чего тоже будет задействован метод усиления. Он же предупреждает о переходе злоумышленников на более эффективные методы DDoS, которые не требуют использования большого числа зомби-машин.

ЗАЩИТА ОТ DDоS

Там, где используются автоматизированные средства атаки, всегда могут быть разработаны и автоматизированные средства защиты. В частности, некоторые производители выпускают специальные устройства, способные блокировать непродуктивные запросы. Такие устройства есть в арсенале компаний Cisco, Arbor Networks, CloudShield и других вендоров. Подобные решения осуществляют фильтрацию паразитного трафика на высоких скоростях и предназначены в основном для провайдеров — они должны устанавливаться не перед корпоративным сайтом, а как можно ближе к источнику непродуктивных запросов. В частности, защиту с помощью подобных устройств может предложить оператор, подключающий сайт к Интернету. Поэтому хостинг следует заказывать у того провайдера, который обеспечивает защиту от DDoS-атак.

Компании могут воспользоваться услугами специальных сервисов по защите от DDoS, предварительно очищающих трафик от посторонних запросов. Такие услуги в России предоставляют, например, «Лаборатория Касперского», Qrator и другие. Системы защиты сервиса контролируют запросы, поступающие на сайт клиента, и стараются отсеять те из них, что очень похожи на посторонние. Компания Qrator, например, заключила партнерские соглашения с крупнейшими российскими операторами и установила на их технологических площадках собственное оборудование. Это позволяет фильтровать трафик не перед сайтом клиента, а на дальних подступах к нему. Такая распределенная сеть фильтрации помогает защититься от наиболее мощных распределенных атак. Хостинг-провайдер не в состоянии обеспечить подобный уровень фильтрации — в случае очень сильной атаки хостеры зачастую сами выключают сайт, на который производится атака, чтобы сохранить доступность остальных.

Впрочем, не стоит забывать и о противодействии саботажу. Хотя такие атаки только начали появляться, о защите от них уже стоит подумать. Рекомендация проста — нужна надежная аутентификация администраторов облачных сервисов и управляемых через Web средств защиты. В частности, Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.», дает такие рекомендации: «Очень важно сделать процедуру аутентификации пользователя более защищенной. Один из вариантов — использовать для этого специальные персональные устройства, внутри которых хранится идентификатор пользователя. В этом случае, в отличие от связки логин-пароль, чтобы воспользоваться учетной записью, нужно обладать самим устройством и знать пароль к нему. Важным моментом является невозможность клонировать такое устройство с идентификатором пользователя внутри». Не стоит забывать и про защиту почты, на которую регистрируются учетные записи пользователей облачных сервисов. Не рекомендуется для этого использовать Web-почту — лучше специально создать небольшой собственный почтовый домен и на нем настроить более сложные механизмы аутентификации.

Надо помнить и о юридической DoS-атаке, которая может протекать по такому сценарию: после взлома CMS создается дополнительный сайт, который наполняется запрещенной информацией, о наличии которой сообщается в Роскомнадзор. В результате IP-адрес сайта попадает в черный список, из-за чего у пользователей возникают проблемы с доступом, в том числе и к основному сайту. Для защиты от такого сценария нужно контролировать CMS — как минимум иметь собственную установленную систему, а не арендованную на совместно используемом сервере. При размещении CMS в облаке стоит предусмотреть механизмы контроля конфигурации и поиска постороннего кода.

В целом же следует помнить, что DoS-атака — это не только целенаправленное переполнение каналов, но и результат неправильного управления вычислительными ресурсами сайта, поэтому не следует допускать появления в его архитектуре узких мест.

Валерий Коржов — независимый эксперт.