Трохи про типи DDoS-атак та методи захисту

Згідно проведеним исследованияммасштаби DDoS-атак зросли приблизно в 50 разів за останні кілька років. При цьому зловмисники «мітять» як локальні інфраструктури, так і публічні хмарні майданчики, на яких зосереджуються рішення клієнтів.

«Успішно реалізовані атаки мають безпосередній вплив на бізнес-клієнтів і мають деструктивні наслідки», – коментує Даррен Ансті (Darren Anstee), представник компанії Arbor Networks, що поставляє рішення для забезпечення безпеки в мережах.

При цьому частота атак також збільшується. В кінці 2014 року їх число становило 83 тис., а в першому кварталі 2015 року цифра збільшилася до 126 тис. Тому в нашому сьогоднішньому матеріалі ми б хотіли розглянути різні види DDoS-атак, а також способи захисту від них.


/ Flickr / Kenny Louie / CC

DoS-атака (Denial of Service, відмова в обслуговуванні) являє собою бомбардування серверів жертви окремими пакетами з підробленими зворотною адресою. Збій в цьому випадку є результатом переповнення (забивання трафіком) орендованої клієнтом смуги або підвищеної витрати ресурсів на атакується системі.

Зловмисники при цьому маскують зворотну адресу, щоб виключити можливість блокування по IP. Якщо атака є розподіленою і виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаці. Давайте поглянемо на декілька поширених типів.

TCP SYN Flood
Мета атаки SYN Flood – викликати перевитрата ресурсів системи. На кожний вхідний SYN-пакет система резервує певні ресурси в пам'яті, генерує відповідь SYN+ACK, що містить криптографічну інформацію, здійснює пошук у таблицях сесій і т. д. – тобто витрачає процесорний час. Відмова в обслуговуванні настає при потоці SYN Flood від 100 до 500 тис. пакетів за секунду. А зловмисник, маючи хоча б гігабітний канал, одержує можливість спрямувати потік до 1,5 млн пакетів в секунду.



Захист від атак типу SYN Flood здійснюється засобами DPI-систем, які здатні аналізувати і контролювати проходить через них трафік. Наприклад, такий функціонал надає рішення СКАТ від VAS Experts. Система спершу виявляє атаку за перевищення заданого порогу непідтверджених клієнтом SYN-запитів, а потім самостійно, замість захищеного сайту, на них відповідає. TCP-сесія організується з захищаються сайтів після підтвердження запиту клієнтом.

Fragmented UDP Flood
Ця атака здійснюється фрагментованими UDP пакетами невеликого розміру, на аналіз і складання яких платформі доводиться виділяти ресурси. Захист від такого типу флуду теж надають системи глибокого аналізу трафіку, відкидаючи неактуальні для підзахисного сайту протоколи або обмежуючи їх по смузі. Наприклад, для веб-сайтів робочими протоколами є HTTP, HTTPS – в цьому випадку неактуальні протоколи можна просто виключити або обмежити по смузі.

Атака з використанням ботнету
Зловмисники зазвичай намагаються заполонити смугу жертви великою кількістю пакетів або сполук, перевантажуючи мережеве обладнання. Такі об'ємні атаки проводяться з використанням безлічі скомпрометованих систем, які є частиною боднет.



У цьому прикладі (зображення вище), зловмисник контролює кілька «машин-зомбі» для проведення атак. «Зомбі» спілкуються з головною машиною по захищеному прихованого каналу, причому управління часто здійснюється за IRC, P2P-мереж і даже з допомогою Twitter.

При проведенні атаки такого типу користувачу немає потреби приховувати IP-адресу кожної машини, і завдяки великому числу беруть участь в атаці комп'ютерів, такі дії ведуть до значної навантаженні на сайт. Причому зазвичай зловмисники вибирають найбільш ресурсомісткі запити.

Для захисту від ботнет-атак застосовуються різні поведінкові стратегії, задача яких – виявляти несподівані відхилення і сплески трафіку. Ще один варіант, який пропонує компанія VAS Experts, – використання тесту Тюрінга (сторінки з CAPTCHA).

У цьому випадку до роботи з сайтом допускаються тільки ті користувачі, які вдало пройшли перевірку на «людяність». При цьому сторінка з капчею розташовується на окремому сервері, здатного впоратися з потоком запитів ботнету будь-якого розміру.

Також хотілося б згадати про атаках, які з'явилися відносно недавно. Мова йде про атаки на IoT-пристрої з метою їх «захоплення» і включення в ботнет для здійснення DDoS-атак.

Згідно отчету компанії Symantec, 2015 рік побив рекорди за кількістю атак на IoT, а в інтернеті з'явилося вісім нових сімейств шкідливих програм. Почастішали Атаки з ряду причин. По-перше, багато розумні пристрої постійно доступні з Мережі, але при цьому не володіють надійними засобами захисту – не дозволяє обчислювальна потужність. Більш того, користувачі часто не оновлюють програмне забезпечення, лише підвищуючи ризик злому.

Зловмисники використовують просту тактику: сканують всі доступні IP-адреси і шукають відкриті порти Telnet або SSH. Коли такі адреси знайдені, вони намагаються виконати вхід з допомогою стандартного набору логінів і паролів. Якщо доступ до обладнання отримано, на нього завантажується файл скрипта (.sh), що підкачує тіло бота, запускає його і закриває доступ до пристрою, блокуючи порти Telnet і вносячи зміни в iptables, щоб виключити можливість перехоплення системи іншим хробаком.

Щоб мінімізувати ризик або уникнути злому IoT-пристроїв, необхідно виконати простих дій: відключити невживані мережеві функції пристрою, відключити Telnet-доступ і звернутися до SSH, по можливості перейти на дротове з'єднання замість Wi-Fi, а також регулярно проводити оновлення програмного забезпечення.

Smurf-атаки
Атакуючий посилає підроблений пакет ІСМР Echo за адресою широкомовної розсилки. При цьому адреса джерела пакету замінюється адресою жертви, щоб «підставити» цільову систему. Оскільки пакет Есһо посланий широкомовній адресою, всі машини підсилює мережі повертають жертву свої відповіді. Пославши один пакет ІСМР в мережу з 100 систем, атакуючий ініціює посилення DDoS-атаки в сто разів.

Щоб запобігти ефект посилення, фахівці з мережної безпеки радять заборонити операції прямої широкомовної розсилки на всіх граничних маршрутизаторів. Також додатково варто встановити в ОС режим «тихого» відкидання широкомовних ехо-пакетів ІСМР.

DNS-атака з посиленням
Атака з посиленням – це найбільш распространенная DDoS-атака, яка використовує рекурсивні сервера імен. Вона схожа на Smurf-атаку, тільки в цьому випадку зловмисник посилає невеликі запити DNS resolver, як би примушуючи його відправляти відповіді на підмінений адресу.

Що стосується конкретного прикладу, то в лютому 2007 року був проведений ряд атак на кореневі DNS-сервери, від яких безпосередньо залежить нормальне функціонування всієї Мережі. Популярні практики захисту від таких атак можна знайти на сайт Cisco.

TCP Reset
TCP Reset виконується шляхом маніпуляцій з RST-пакетами при TCP-з'єднання. RST-пакет – це заголовок, який сигналізує про те, що необхідно перепідключення. Зазвичай це використовується в тому випадку, якщо була виявлена яка-небудь помилка чи потрібно зупинити завантаження даних. Зловмисник може переривати TCP-з'єднання, постійно пересилаючи RST-пакет з валідними значеннями, що робить неможливим встановлення з'єднання між джерелом і приймачем.

Запобігти цей тип атаки можна – необхідно моніторити кожен переданий пакет і стежити, що послідовність цифр надходить в потрібному порядку. З цим справляються системи глибокого аналізу трафіку.

Зараз основною метою злому пристроїв є організація DDoS-атак або заподіяння шкоди шляхом обмеження доступу користувачів до сайту в інтернеті. Тому самі оператори зв'язку, інтернет-провайдери і інші компанії, в тому числі VAS Experts, також пропонують і організують рішення по захисту від DDoS – моніторинг трафіку в реальному часі для відстеження аномалій і сплесків завантаженості смуги, функцію Carrier Grade NAT, яка дозволяє «заховати» пристрій абонента від зловмисників, закривши доступ до нього з інтернету, а також інші інтелектуальні і навіть самонавчальні системи.

Додаткове читання по темі DPI (Deep packet inspection):

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.