DDoS: ІТ-маніяки на вістрі атаки

Безпека онлайн-проектів, корпоративних ІТ-ресурсів, дата-центрів – один із ключових пріоритетів, потребує постійної уваги та розвитку. Термін «DDoS» багатьом знайомий на власному досвіді або хоча б за повідомленнями в пресі. На жаль, це явище отримало широке поширення. При DDoS-атаці відбувається розподілене напад на ІТ-систему організації для того, щоб довести її до відмови. У такому разі легальні користувачі системи не можуть отримати доступ до її ресурсів, або цей доступ ускладнений.


DDoS-атакам піддаються інтернет-проекти та сайти по всьому світу. Так в 2015 році компанією Wallarm було зафіксовано більше 100 млн атак на веб-ресурси своїх клієнтів. Нерідко такі атаки замовляють конкуренти. Інша причина організації атак – вимагання шляхом шантажу.


За даними Qrator Labs, за 2015 рік зростання кількості атак в Росії склав 100%.

Між тим, за інформацієюQrator, в Росії до 2015 року кількість DDoS-атак збільшилися вдвічі порівняно з 2014 роком. У 84% випадків спостерігається чергування DDoS-атак та спроб злому сайтів. У світі також почастішали подібні інциденти. Експерти Solar JSOC пов'язують зростання кількості DDoS-атак протягом всього 2015 року, перш за все, із загостреним до кінця року конкурентною боротьбою.


Збільшення частоти DDoS-атак у світі (дані Ponemon Institute, 2016 рік).

Мішенню таких атак стають різні організації.

Проаналізувавши статистичні дані за 2 квартал 2016 року, фахівці провайдера захисту DDoS-GUARD прийшли до іншого висновку: активність хакерів помітно знизилася, але діяти вони стали жорсткішими. DDoS-атак зафіксовано на 57% менше, ніж у попередньому кварталі — всього 12583. Але якість атак, потужність і складність помітно зросли. Виходячи з цього, можна припустити, що навесні і на початку літа більша частина DDoS-атак була організована і здійснена професійними хакерами.

Кого атакують?
За даними DDoS-GUARD, у другому кварталі 2016 року, порівняно з минулим кварталом, атакувати ресурси з Китаю та Росії стали трохи менше, але трійка лідерів залишилася незмінною:

Китай — 41%
Росія — 30%
США — 29%
Для компаній з банківського, телекомунікаційного та державного секторів протидія атакам DDoS залишається гострим питанням. Головна мішень зловмисників — компанії зі сфери електронної комерції, банки, соціальні мережі і навітьігрові ресурси. Також в 2015 році в ряду найбільш частих цілей виявилися туристичні компанії і агентства нерухомості. За даними дослідження 42Future, 25% найбільших рітейлерів стикалися з DDoS за останній рік. Кількість атак на сайти рітейлерів зросла приблизно на 70% порівняно з 2014 роком.

Зростання середньої кількості DDoS-атак на сайти різних галузей в 2015 році
Amplified DDoS
All DDoS
Інтернет-магазини
25
70%
Соціальні мережі
73%
159
Купони
-25%
-10%
Forex
-53%
-62%
Платіжні системи
74%
37
Ігри
42
110
Торгові майданчики
-15%
-18%
Банки
121
61%
ЗМІ
-29%
17
Агрегатори контенту
-43%
-28%
Промо сайти:
Агентства нерухомості
113
144
Рекламні агентства
-40%
-16%
Микрофинансы
-30%
-36%
Турфірми
-1
145%
Таксі
116
108
Медицина
-20%
-54%
Інші промо-сайти
-58%
-34%
У всьому світі ці атаки призводять до серйозного матеріального збитку.


Середній збиток від одного DDoS атаки в різних галузях, тис. доларів (даніPonemon Institute, 2016 рік).

У Qrator Labs виділяють наступні категорії ресурсів – мішеней для цілеспрямованих атак:

1. Електронна комерція і перш за все інтернет-рітейлери. Фрод з бонусними балами, полювання за клієнтськими базами.
2. Платіжні системи і агрегатори, фінансові брокери та інші фінансові установи. Спроба отримати доступ до бази даних з можливістю зміни балансів.
3. Ігрова індустрія. Фрод з внутрішньою економікою ігор, краху вихідних кодів і т. д.
4. Рекламні мережі. Шахрайство з внутрішніми балансами рахунків і фрод з кількістю показів.
5. ЗМІ. Порушення доступності та працездатності ресурсів.

При цьому злом веб-додатків нерідко стає сходинкою до доступу до внутрішньої інфраструктури компанії.


Найбільш серйозні види фінансового збитку компаній від DDoS-атак – втрата прибутку, порушення в роботі, зниження продуктивності користувачів, проблеми технічної підтримки, збиток або псування ІТ-ресурсів (дані досліджень HPE (червоний) і Emerson Network Power (синій), 2016 рік).

Метою зловмисників можуть бути і обчислювальні ресурси, які вони в подальшому використовують для подальших DDoS-атак, в якості проксі-сервера, майнінгу криптовалют, і т. д.


За даними DDoS-GUARD, у другому кварталі 2016 роки помічено значне посилення атак на інтернет-магазини та ігрові проекти. Сервери популярних онлайн-ігор — улюблена мета хакерів.

Як атакують?
DDoS-атаки стають складнішими і витонченішими. Зниження пікових швидкостей DDoS-атак, що спостерігалось в 2015 році, компенсувалося зростанням їх складності. Збільшення технічної складності атак робить захист від DDoS класичним прикладом «змагання броні і снаряда», тому оновлювати свою систему захисту компаніям потрібно регулярно, відзначають експерти. Хакери комбінують різні підходи, вдаючись одночасно до DDoS-атак і атак на уразливості додатків. У 84% випадків DDoS атака супроводжується спробами злому сайту.


У світі DDoS-атаки все частіше стають основною причиною незапланованих простоїв в ЦОД (даніPonemon Institute, 2016 рік).

Крім того, якщо раніше зловмисники, як правило, обмежувалися одним видом DDoS, то сьогодні атаки стають комплексними, можуть бути спрямовані відразу на кілька мережевих рівнів та елементів інфраструктури. Почастішали атаки на рівень додатків (L7), які часто супроводжують DDoS-атаки на канальний рівень (L2). При цьому хакери використовують інтелектуальні автоматизовані засоби. Протистояти цьому можна різними способами.


Зміна середньої вартості DDoS-атак (дані Ponemon Institute, 2016 рік).

Одна з тенденцій — атаки типу Amplification. На сервер, який містить вразливість, відправляється запит, який цим сервером багаторазово тиражується і спрямовується на веб-ресурс жертви. В якості серверів, мимоволі беруть участь в таких атаках, можуть використовуватися DNS, NTP, SSDP-сервери і інші.

При атаках типу Amplification ботнети для генерації першої хвилі сміттєвого трафіку використовуються рідко. Зазвичай для цих цілей орендуються сервери, або використовується чужі зламані. За Amplification-атакою може слідувати атака на додатки (L7).


Організація атаки типу Amplification обходиться недорого, зловмисникові досить генерувати запити зі швидкістю в декілька Гбіт/сек і направляти їх на сервер з уразливістю, який збільшить цю швидкість на кілька порядків (дані Qrator Labs).

Фактичні витрати зловмисника на інфраструктуру, необхідну для організації атаки в кілька десятків разів менше, ніж потрібні компанії-жертви, щоб самостійно нейтралізувати таку атаку.

Підхід DD4BC (комбінування атак різних класів) також набирає популярність. Слідом за прекратившейся DDoS-атакою швидше за все буде зроблена спроба злому сайту і навпаки.

Крім того, хакери використовують засоби сканування інтернету в пошуках ресурсів з відомими уразливими місцями. Сьогодні практично кожен сайт щодня обходиться перевіряючим ботом. Будь-який ресурс, у тому числі маловідомий і практично не відвідуваний, може бути зламаний автоматизованими інструментами.


Розподіл DDoS-атак за типами (за даними «Лабораторії Касперського»).

За даними Wallarm, 31% сайтів містять критичні уразливості. Такий сайт може бути зламаний навіть не висококваліфікованим фахівцем. Збільшується кількість атак на хмарні інфраструктури (AWS, Служб тощо). Зловмисники користуються частими помилками в адмініструванні хмарних ресурсів.

Все більша кількість компаній з різних галузей переводить свої сайти на захищену передачу даних по протоколу HTTPS. Слідом за цим хакери приділяють більше уваги атак на додатки, що працюють за цим протоколом. Загальне збільшення кількості DDoS і стабільний щорічний ріст зашифрованого трафіку (в 2015-му році він виріс у світі приблизно в два рази) говорять про те, що в 2016 році кількість DDoS-атак на HTTPS-сервіси зросте відповідно.

За даними DDoS-GUARD, у другому кварталі 2016 року максимальний рівень паразитного трафіку по UDP склав 217,7 Гбіт/с, що на 71% вище, ніж за перший квартал 2016. Найсильніша DDoS-атака по протоколу TCP досягла позначки в 119,8 Гбіт/с, що на 49% більше, ніж за перший квартал. Середня потужність всіх атак теж зросла — на 10% — і склала 1,15 Гбіт/с.


Розподіл атак за типами протоколів за даними DDoS-GUARD за другий квартал 2016 року.

Якщо говорити про пакетні і об'ємний атаки, то їх обсяг за звітний період зріс у 12 разів і в середньому склав склав 450 603 пакетів в секунду. Тренди весняно-літнього сезону:

1) мультивекторность, тобто атака відразу на кілька протоколів одного інтернет-ресурсу,
2) комбінація малопотужного тривалого флуду з короткочасними голчастим атаками великого обсягу,
3) використання соціальних мереж для генерації паразитного трафіку.

Кількість інцидентів, пов'язаних з атаками на мережеву інфраструктуру (на сервери DNS, а також напади, пов'язані з помилками BGP), також буде рости в найближчі кілька років.


Розподіл DDoS-атак по тривалостіза даними «Лабораторії Касперського». Близько 70% атак припадає на короткочасні акції тривалістю 4 години і менш. При цьому істотно знизилася максимальна тривалість атаки.


Зміна середньої і максимальної тривалості атак за даними DDoS-GUARD.

За прогнозом Qrator Labs, в 2016 році 5-10% автономних систем провайдерів доступу в інтернет буде відчувати проблеми з доступністю своїх сервісів. Також зросте кількість значущих інцидентів BGP, що призводять до недоступності сотень і навіть тисяч мереж.

У перспективі серйозну загрозу буде предтавлять «інтернету речей» (IoT). Всі пристрої, підключені до інтернету, потенційно можуть стати частиною інфраструктури зловмисників і бути задіяні в DDoS-атках.

Як захиститися?
При побудові системи мережевої безпеки важливо враховувати сучасні загрози і особливо спрямовані і DDoS-атаки. Багато власників веб-ресурсів знайомі з DDoS-атаками не з чуток, вкладають великі гроші в хостинг і захист своїх сервісів від DDoS, і досягли хороших результатів у відображенні таких атак. У разі атак на канальний рівень компанії звичайно розраховують на захист, що надається провайдером. Для віртуалізованих серверів по суті діють ті ж правила захисту, що і для фізичних. Для захисту від атак на ІТ-інфраструктуру часто використовують локальні рішення.


Превентивні заходи захисту від DDoS в дата-центрах і їх результати (червоний – незапланований простий у результаті атаки, синій – вдалося уникнути простою (даніPonemon Institute, 2016 рік). Найбільш поширені заходи охоплюють рівень управління, включають кошти резервування, інтелектуальні аналітичні інструменти та засоби боротьби з загрозами, передбачають наявність плану реагування на інциденти та розгортання засобів захисту від DoS.

Між тим засоби, що забезпечують тільки захист від DDoS, сьогодні виявляються недостатніми. Вибудовувати захист від DDoS слід одразу на всіх рівнях. Компаніям з комплексним підходом до організації системи протидії атакам підвищеної складності вдається досить успішно нейтралізувати дані ризики.

Наприклад, для забезпечення доступності сайту на рівні 95-99,5% можна пропускати весь трафік через мережу очищення трафіку, забезпечувати захист ресурсу на транспортному та мережевому рівнях, де відбувається фільтрація та аналіз вхідного трафіку, блокування IP-адрес, а також формування звітів про інциденти.

Таким чином, тільки одночасне використання різнопрофільних засобів захисту (що включають захист від DDoS атак і на додатки, а також засоби моніторингу BGP), може ефективно протистояти DDoS. Захищатися від погроз безпеки слід з допомогою комбінованих інтегрованих рішень.

Захист від DDoS-атак на рівні додатків вимагає максимальної експертизи і швидкості реакції на зміну вектора атаки, для чого використовуються автоматизовані системи, в тому числі які працюють на основі алгоритмів машинного навчання. Для протидії складним, комплексним DDoS-атакам і зломів необхідно використовувати професійні рішення.

Якщо власник ЦОД не володіє достатнім досвідом і спеціальними технічними засобами, DDoS-атака може викликати недоступність його мережевих пристроїв і ІТ-інфраструктури його клієнтів. Впровадження захисту від DDoS-атак в ЦОД – необхідний захід для забезпечення стабільної та надійної роботи додатків і ресурсів замовників.

Висновок
Поступово відходять у минуле спроби самостійно впоратися з атаками канального рівня (L2). Адже для цього необхідно організувати й утримувати дорогий канал зв'язку і розподілену інфраструктуру (в декількох дата-центрах). Тому компанії воліють покладатися на своїх інтернет-провайдерів або починають використовувати професійні сервіси протидії DDoS, здатні впоратися з многовекторными атаками в режимі реального часу.

Провайдери, як правило, володіють достатніми можливостями і кваліфікацією, щоб не тільки забезпечити безпеку власних сервісів, але і запропонувати різні рішення для захисту даних клієнтів, організації безпечного доступу і зберігання інформації.

Спектр пропонованих російськими провайдерами сервісів безпеки сьогодні досить широкий. Причому захист від DDoS-атак – одна з найпоширеніших послуг поряд з такими сервісами як міжмережевий екран, шифрування каналу доступу (VPN).


За даними опитування російських провайдерів (21 компанія), проведеногоOSP Data в 2015 році, 85% з них в тому або іншому вигляді надають клієнтам послугу захисту від DDoS.

Аналітика і захист від DDoS-атак – популярна послуга, що забезпечує досить ефективний захист розміщуються в дата-центрах провайдера фізичних і віртуальних серверів (VPS/VDS), тим більше щокоштує вона недорого. Для цього провайдерів і хостерів використовують сучасні партнерські рішення. Аналіз мережевого трафіку проводиться в режимі 24/7, а захист дозволяє стабільно витримувати потужні атаки — до 1500 Гбіт/сек.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.