Сучасні тенденції розвитку DDoS-атак і захист від них за допомогою DefencePro Radware

  
 
У нинішній час, коли політичне і економічне напруження в країнах наростає, інформаційна війна вже давно йде повним ходом на просторах Інтернету і на одному з перших місць стоять усіма добре відомі DDoS-атаки.
 
У першу чергу їм піддаються державні та новинні web-ресурси, які в тій чи іншій мірі освітлюють події, що відбуваються не тільки у вищезгаданих країнах, але й по світу в цілому.
 
Давайте більш детально розглянемо, які DDoS-атаки зараз стають найбільш популярними і тенденції їх розвитку в наступні роки. Під хабракатом мої думки з приводу атак і огляд рішення захисту від Radware
 
 

Зростання кількості векторів у DDoS-атаках

 
Перше, чим відрізняються DDoS-атаки 2013/2014 років від попередніх, так це те, що використовується декілька векторів уразливості. Так як для ураження цілі і нанесення результуючого збитку достатньо всього одного вектора, саме тому ймовірність успішності атаки зростає, якщо використовувати безліч векторів в одній атаці. Крім того, така тактика збиває з пантелику IT-персонал атакованої організації.
 
Розглядаючи DDoS-атаки в цілому, в 2014 році продовжать переважати атаки, націлені на веб-ресурси, як найбільш швидкодіючий вектор. Починаючи з 2013 року простежується чітке зростання DDoS-атак на додатки як результат наявності розгорнутих за останній роки в організаціях систем захисту від мережевих DDoS-атак, що відображено на малюнку 1. До того ж мережевим атакам значно легше протистояти, і вони ніколи не належали до категорії важко розкритих атак.
  
 
Рис.1. Процентний розподіл векторів DDoS-атак з 2011 по 2013
 
Як згадувалося вище багато засобів відбиття атак досить розвинулися і організації можуть досить тривалий час протистояти DDoS-атакам, направленим на мережу і додатки без шкоди IT-інфраструктурі. Але зловмисники можуть використовувати безліч векторів атаки в пошуку тих, які не передбачені рішеннями відображення DDoS-атак, розгорнутими в організації. Більше половини випадків — це DDoS-атаки з п'ятьма і більше векторів, як зазначено на малюнку 2.
  
 
Рис.2. Кількість векторів атак, що використовуються в одній DoS / DDoS кампанії атаки
 
Дуже часто атакуючі не використовуватимуть відразу весь арсенал, даючи можливість жертві обробляти вектора атаки послідовно. Коли один вектор атаки буде заблокований, атакуючий зловмисник запустить наступний. Під час же масивної атаки організація може блокувати чотири або п'ять атакуючих векторів, але буде один вектор атаки, який не зможе бути відображений і завдасть підсумковий збиток.
 
 

Цілі сучасних DDoS-атак

У більшості випадків результат DDoS-атаки — це непрацюючий або повільно відповідає на запити веб-сервер. Але насправді DDoS-атаки націлені не тільки на веб-сервера. Малюнок нижче відображає основні цілі DDoS-атаки — це Інтернет-канал, а також міжмережевий екран. Нижче на малюнку 3 представлені всі мережеві компоненти, які піддаються DDoS-атакам.
 
 
Рис.3. Атакуються мережеві компоненти
 
 

Періоди між атаками значно скоротилися

 
Ні для кого не секрет, що атакуюча сторона і фахівці в області інформаційної безпеки грають у постійну гру «кішки-мишки». Це нескінченне кільце: атакуючі розробляють нові атаки, фахівці безпеки розробляють засоби протидії, а атакуючі в свою чергу винаходять нові методи обходу систем захисту.
 
Але в 2013-2014 році цикли винаходи методів обходу систем захисту значно скоротилися. Один з основних векторів, який привів до цього — це атаки типу HTTP-флуд. Вони починаються, коли атакуючий направляє велику кількість HTTP GET / POST запитів, виснажуючи ресурси сервера.
 
 

Атаки з використанням SSL продовжують загрожувати організаціям

 
Хоча HTTP-атаки і залишаються найбільш поширеними, SSL-шифровані атаки як і раніше є небезпечними, оскільки їм важко протистояти.
 
Шахрайство, хакерська активність, а також довгий список вимог приватності привів до використання організаціями HTTPS-протоколу і шифрованих комунікацій за замовчуванням. Згідно ряду досліджень ринку, більше 90% підприємств використовують HTTPS для будь-якого публічно доступного взаємодії по web. Зазвичай HTTPS-повідомлення расшіфровуются на дуже пізній стадії всередині мережі організації. Це показано на малюнку 4, де розшифровка відбувається на балансувальників навантаження, глибоко всередині мережі організації.
 
 
Рис.4. Обхід систем захисту організації при використанні SSL-шифрованих DDoS-атак
 
Зловмисники використовують цю функцію зашифрованих повідомлень як техніки обходу рішень безпеки (анті-DoS/DDoS, брандмауера і IPS / IDS), які в результаті залишаються сліпими до атаки. На це можна запропонувати переміщення функціоналу SSL-терминирования на периметр мережі організації. Проте, таке рішення може призвести до спотворення сегментації мережі, так як концепція сегментації мережі має вирішальне значення для задоволення вимог різних нормативів безпеки, таких як PCI-DSS. Також мережеві сегменти, які мають справу з конфіденційними даними, можуть бути предметом жорстких обмежень та аудиту.
 
Ще однією цікавою особливістю на підставі SSL DoS / DDoS-атак є асиметрична природа шифрування SSL, особливість якого в тому, що розшифровка повідомлення займає майже в десять разів більше ресурсів, ніж його шифрування.
Використовуючи цю асиметричну особливість, зловмисники можуть створити дуже руйнівну атаку з відносно низькими ресурсами. Використовуючи методи обходу систем захисту, описані вище, атакуючим, використовуючи спеціальні інструменти, вдається доставити шкідливі повідомлення глибоко всередину мережі, де сервери і різні модулі більш уразливі до високого обсягом трафіку для спостереження неприйнятних затримок або повного відключення. SSL-шифровані атаки — це новий тренд, який буде зростати з роками і за прогнозами в 2017 році більше половини DDoS-атак будуть SSL-шифрованими.
Можна й далі довго продовжувати про тенденції зловмисників в області DDoS-атак, що багато збільшить статтю, але давайте розглянемо рішення, які в силі їм протистояти.
 
 

Огляд продукту DefencePro Radware як способу захисту від сучасних DDoS-атак

 
Система DefencePro об'єднує в одному рішенні класичний IPS і автоматичний захист від DDoS атак, працюючу без втручання оператора при відбитті атаки. Відмінними рисами є висока продуктивність (атака може досягати 25 000 000 пакетів в секунду, і автоматично відбивається за 18 секунд!) І відсутність шкоди роботі легітимних користувачів під час атаки. У пристроях всієї лінійки DefencePro відбувається апаратне прискорення мережевого трафіку за рахунок спеціалізованих ASIC і FPGA процесорів.
 
У модельному ряді є пристрої без вбудованого IPS, а також з вбудованим IPS, який в здебільшого покладається на високопродуктивний контекстний процесор для апаратного прискорення сигнатурного аналізу мережевих пакетів.
 
Обробка мережевого трафіку здійснюється поетапно з використанням різних механізмів захисту. При цьому сумарний час затримки мережевого пакету для всіх лінійок DefencePro не перевищує 60 мікросекунд.
 
Вбудовані механізми захисту системи Radware DefencePro наступні:
• Behavioral DDoS Protection
• TCP SYN Flood Protection
• Connection Limit
• HTTP Mitigator
• Behavioral Server-Cracking Protection
• Bandwidth Management
• Signature Protection
• Stateful Inspection
• Anti-Scanning Engine Protection
• Stateful Firewall (ACL)
 
А також доступні дії:
• Drop packet
• reset (source, destination, both)
• suspend (source, src port, destination, destination port or any combination)
• Challenge-Response for HTTP and DNS attacks
 
Переваги DefencePro — це в першу чергу можливість ліцензійного збільшення продуктивності в міру необхідності без заміни обладнання, зупинки послуги без будь-якої переконфігурації пристрою. Також DefencePro йде з рівнем технічної підтримки, куди включена допомогу командою ERT (Emergency Response Team) від Radware. Дана команда — група фахівців, які в разі великих DDoS-атак підключається до пристрою і в режимі реального часу виконує управління для відбиття атаки.
 
Ще одна важлива перевага Radware DefencePro — це сервіс перенаправлення всього вхідного трафіку при DDoS-атаці, яка перевищує пропускну здатність Інтернет-каналу компанії, в хмару Radware, після якого в організацію повертається вже очищений трафік. Даний сервіс має ім'я Defence Pipe, і його робота наочно відображена на малюнку 5.
 
 
Малюнок 6. Перенаправлення всього трафіку при DDoS-атаці, що перевищує пропускну спроможність Інтернет-каналу, в хмару Radware на очищення
 
Лінійка пристроїв Radware DefencePro складається з наступних серій:
• x420
 
 
• x412
 
  
• x16
 
 
• x06
 
  
У свою чергу в кожну серію пристроїв входять кілька моделей, які зображені на малюнку 6.
 
 
Рис.6. Лінійка пристроїв Radware DefencePro
 
Разом, DDoS-атаки були і будуть в найближчі роки найбільш популярним інструментом для нанесення економічного збитку від простоять онлайн-сервісів, а також для зниження репутації політичних формувань шляхом відмови в обслуговуванні офіційних веб-сайтів. Дані атаки особливо отримали інкремент розвитку при наростанні політичного напруження в світі, що робить їх більш витонченими і непередбачуваними. Всі ці зазначені вище фактори змушують організації рано чи пізно розглядати питання придбання систем захисту від таких атак щоб не терпіти фінансові збитки і політичну репутацію в сучасному високо конкурентному світі.
 
 Контактна інфа З усіх питань radware@muk.ua
  
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.