Средства и методы защиты от DDoS-атак

Современный бизнес становится всё более зависимым от информационных технологий. Этим пользуются злоумышленники, которые регулярно атакуют сети, сайты и всевозможные веб-приложения компаний. Чтобы достичь цели, они используют различные подходы и инструменты. Многие злоумышленники «полюбили» DDoS-атаки — их сравнительно недорого и просто организовать, при этом они могут нанести огромный ущерб жертве. Объектами DDoS-атак становятся подключенные к интернету устройства: сетевое оборудование, физические и виртуальные серверы, различные интернет-сервисы, сайты и приложения, инфраструктура интернета вещей.

Оглавление:

• Угрозы DDoS-атак для бизнеса
• Последовательность развития и методы DDoS-атак
• Классификация DDoS-атак
• Классификация средств DDoS-защиты
• Методы защиты от DDoS-атак для разных ресурсов
• Подключение защиты не гарантирует отражения атак
• Выбор поставщика: что учесть и спрашивать
• Выводы

Угрозы DDoS-атак для бизнеса

DDoS-атаки в первую очередь приводят к финансовым и репутационным издержкам: недополученной прибыли, разрывам контрактов и оттоку пользователей, многочисленных жалобам, волне негатива в СМИ и социальных сетях. Нередко DDoS-атаку используют как прикрытие в ходе целенаправленных атак. В то время как специалисты по информационной безопасности концентрируются на отражении DDoS-угрозы и восстановлении работоспособности систем, злоумышленники взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные приложения.

Узнайте больше о том, чем опасны DDoS-атаки для бизнеса.

Последовательность развития и методы DDoS-атак

Большинство атак проходят по схожему сценарию:

1. Сбор данных о жертве и их анализ. Злоумышленники цвыбирают явные и потенциальные уязвимости, выбирают методы атаки.
2. Подготовка к атаке. Создаются сети ботов (ботнеты) — устанавливается вредоносное ПО кода на компьютерах и подключенных к интернету устройствах, управление которыми можно перехватить.
3. Генерация потока вредоносных запросов. Злоумышленники запускают их с множества подконтрольных устройств.
4. Анализ результативности: если цели добиться не удалось, злоумышленник может собрать дополнительные данные и выбрать другой метод атаки (переход к п.1).

В DDoS-атаках с «амплификацией»‎ (усилением при помощи различных алгоритмов) эффект может быть настолько мощным, что для кампании не требуется ботнет. В таких случаях злоумышленнику достаточно использовать один или несколько компьютеров. Усиливающий эффект достигается за счёт того, что атакующий отправляет запросы, подменяя свой IP-адрес на адрес жертвы. При этом размер ответа, который получит жертва, может быть в разы, а то и в десятки раз больше, чем исходный запрос.

Отдельно следует упомянуть об «умных» DDoS-атаках. В этом случае в качестве конкретной цели выбираются наиболее ресурсоёмкие функции веб-приложений. На них создают чрезмерную нагрузку, вызывая таким образом отказ в обслуживании (исчерпание каналов при этом, как правило, не наблюдается). Эффект от такого воздействия может быть очень сильным, даже если атака проводилась с одного компьютера без использования ботнета (DoS-атака).

Классификация DDoS-атак

DDoS-атаки разнообразны. Чтобы эффективнее защищаться от них, рекомендуем изучить, какие виды встречаются чаще и как они отличаются по методам реализации.

Атаки можно классифицировать по используемым протоколам, механизмам воздействия и модели OSI.

Чаще всего DDoS-атаки разделяют на виды в зависимости от того, на каком уровне OSI они осуществлялись:

• сетевой уровень (L3),
• транспортный уровень (L4),
• уровень приложений (L7).

По способу воздействия атаки разделяют на следующие группы:

• с использованием уязвимостей протоколов,
• с переполнением трафика мощным потоком запросов,
• с воздействием на слабые места в архитектуре и логике работы приложений.

Подробнее о классификации DDoS-атак читайте в статье «Виды DDoS-атак».

Средства DDoS-защиты: способы классификации

Существует минимум три способа классификации средств защиты от DDoS-атак:

• по типу решения: развёртываемое локально (on-premise), облачное, гибридное;
• по уровню защиты: пакетная (на уровне L3 и L4) или на уровне приложения (L7);
• по формату подключения: симметричная или асимметричная фильтрация трафика.

Классификация средств защиты от DDoS по типу решения

Локальные (on-premise) решения

Преимущества:

• минимальная сетевая задержка (latency),
• можно гибко встроить решение в существующую инфраструктуру,
• есть возможность самостоятельно глубоко настраивать защиту.

Недостатки:

• высокая стоимость владения (на порядки выше, чем у облачного решения),
• нужны специалисты для настройки, обслуживания и мониторинга работы, 
• функционал фильтрации ограничивается защитой только от пакетного флуда,
• низкая пропускная способность самого решения, а также каналов связи. Например, если подключены каналы общей ёмкостью в 40 Гбит/с, то атаку в 50 Гбит/с отразить уже не удастся.

Обычно средствами DDoS-защиты on-premise пользуются крупные операторы и телеком-компании: ISP, облачные провайдеры, дата-центры с собственной службой реагирования на DDoS-атаки.

Облачные решения

Функционал DDoS-защиты облачных решений примерно тот же, что и у решения on-premise. Отличие в том, что здесь можно обезопасить компанию от атак ботами по протоколу HTTP. Также у облачных решений есть техническая поддержка и сопровождение клиентов во время DDoS-атаки.

Преимущества:

• экономия на расходах (как правило, ежемесячная абонентская плата),
• исключаются расходы на дополнительный персонал,
• высокая ёмкость фильтрации трафика,
• высокая скорость подключения — от нескольких минут,
• помимо фильтрации трафика, вы получаете помощь высококвалифицированных экспертов, которые специализируются на защите от DDoS-атак, 
• есть тестовый период (как правило, поставщики решений предлагают бесплатный демодоступ),
• фильтрация атак на веб-сайты на уровне приложения (L7).

Недостатки:

• могут быть задержки в работе: трафик идет сначала к провайдеру защиты, затем — к клиенту,
• чувствительные данные компании передаются в облако.

Тем не менее, плюсов у облачных решений сегодня больше. И именно поэтому для многих компаний такой вариант лучше, чем локально установленное средство защиты.

Гибридные решения

Гибридное решение для DDoS-защиты — это комплексный вариант с одновременным подключением продукта on-premise и облачного сервиса. Последний может подключаться в моменты пиковой нагрузки на сеть, когда ресурсов локально установленного средства защиты уже недостаточно. . Таким образом решается основная проблема on-premise — ограничение по объёму атаки.. По мере того, как стоимость гибридных решений будет снижаться, они станут доступными для небольших сервис-провайдеров.

Классификация по уровню защиты

Как правило, DDoS-атаки используют уязвимости и особенности протоколов и систем, которые работают либо на сетевом (L3) и транспортном (L4) уровне модели OSI, либо на уровне приложений и программных сервисов (L7).

Также злоумышленники сегодня часто проводят  «интеллектуальные» атаки. В таких инцидентах используются другие методы воздействия на жертву — «умные» боты. Они атакуют те части веб-приложений, которые обладают наибольшей ресурсоёмкостью при обработке поступающих запросов.

Исходя из всего этого, решения для защиты от DDoS-атак можно разделить на три категории:

• обеспечивающие защиту от пакетного флуда (путём фильтрации пакетов транспортного и сетевого уровней — L3 и L4);
• защищающие и от пакетного флуда, и от флуда на уровне приложений (L3-L7). Такие решения необходимы, в частности, для сайтов, поскольку большинство атак на них проводятся именно на уровне L7;
• способные обезопасить не только от угроз на уровнях L3-L7, но и от «интеллектуальных» DDoS-атак. Инструменты защиты от таких атак обычно входят в состав функционала интеллектуальных межсетевых экранов для веб-приложений (Web Application Firewall, WAF). Сервисы WAF способны защитить от широкого спектра атак, не ограничиваясь только DDoS. Вместе с тем такие файрволы не предназначены для защиты от DDoS-атак, направленных на переполнение каналов. Они уязвимы перед ними так же, как и серверы приложений. Поэтому для эффективной защиты от подобных угроз WAF и anti-DDoS необходимо применять в комплексе.

Продукты on-premise, как правило, ограничиваются защитой на уровнях L3 и L4. Функционал облачных решений может сильно отличаться. И чтобы понять, на что они способны, необходимо тщательно изучать документацию конкретных сервисов. Для защиты критически важных интернет-ресурсов стоит использовать WAF — это позволит максимально обезопасить ресурсы компании и обеспечить их доступность при DDoS-атаках на любом уровне.

Классификация средств защиты от DDoS по формату подключения

В этом случае принято рассматривать два вида защиты: симметричную и асимметричную.

• Симметричные алгоритмы — когда через фильтр проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике).
• Ассиметричные алгоритмы анализируют только входящий трафик.

Как правило, симметричные алгоритмы более эффективны. Они анализируют оба потока трафика одновременно и принимают решения на основе более полной информации, включая данные о сетевом взаимодействии сервера и клиентов. Ассиметричные же алгоритмы не гарантируют стопроцентную фильтрацию всех атак.

Обычно симметричную защиту рекомендуют для сайтов и критически важных приложений, а асимметричную — для провайдерских сетей.

У каждого из классов защиты есть преимущества и недостатки:

	Симметричная защита	Асимметричная защита
Гибкое управление исходящим трафиком	Нет	Да
Дополнительная задержка	Выше	Ниже
Сложность подключения	Выше	Ниже
Плата за подписку	Выше	Ниже
Возможность использовать нескольких провайдеров для защиты от DDoS-атак (одного IP)	Нет	Да
Эффективность фильтрации	Выше	Ниже

Методы защиты от DDoS-атак для разных ресурсов

Выбор способов и решений для защиты во многом зависит от того, какие именно объекты нужно обезопасить.

Также важно представить себя на месте злоумышленника. Можно составить модель угроз — представить, как именно он мог бы попытаться реализовать свои замыслы. После этого нужно не только устранить все найденные уязвимости, но и тщательно протестировать сервис защиты. Только так можно убедиться, что он реально может противостоять актуальным для вас атакам.

Как правильно подключать защиту, читайте в статье «Как подготовиться к DDoS-атаке».

Сайты и веб-приложения

Первое, что нужно учесть, выстраивая защиту сайтов и веб-приложений от DDoS-атак, — есть ли у вас доступ к серверу, на котором находятся эти ресурсы. Если можете его полноценно контролировать, рекомендуем позаботиться не только о подключении внешней DDoS-защиты. Также нужно подготовить сам сервер: оптимизировать сетевой стек операционной системы так, чтобы сервер смог выдерживать высокие нагрузки.

Для защиты от DDoS очень важно обеспечить высокую производительность сервера. Он должен обрабатывать запросы, которые поступают к нему по сети. В противном случае можно добиться «хабраэффекта», когда появление новой статьи на сайте приводит к резкому увеличению нагрузки на ресурсы, которые в ней упоминаются.

Иногда для защиты от DDoS-атак требуется устранить ограничения, которые возникают при использовании сетевого стека операционной системы и веб-сервера.. В частности, рекомендуем обратить внимание на параметры, которые касаются производительности сервера на Nginx и сетевого стека Linux. Также лучше оптимизировать работу СУБД — они должны быть быстрыми.

Если на сайте используются популярные системы CMS (например, Joomla!, WordPress, Drupal), обязательно воспользуйтесь общедоступными рекомендациями по настройке их производительности. Если она будет высокой в стандартном режиме, это повысит ваши шансы справиться с DDoS-атакой.

Иногда приложение или сайт размещаются на внешней площадке. В таких случаях защиту от DDoS-атак часто доверяют её владельцу. Тогда лучше сразу у него уточнить, сможет ли он обезопасить ваш ресурс от атак на уровне приложений (L7). В любом случае можно подключить внешний сервис защиты. Главное — настроить его так, чтобы IP-адрес реального сервера был не виден злоумышленнику. У него не должно быть возможности получить данные через почтовые заголовки, открытые порты и иные сервисы.

Вот ещё несколько рекомендаций:

• когда будете подключать к интернет-сервису внешний сервис anti-DDoS, рекомендуем изменить IP-адрес. Если это невозможно, то лучше «закрыть» обработку обращений от всех IP-адресов, кроме тех, что предоставил провайдер сервиса защиты;
• если сервис критически важен, купите или арендуйте надёжный и производительный хостинг-ресурс. Причём лучше, если он будет выделенным. Так можно исключить ситуацию, когда ваше приложение станет недоступным из-за атаки на другой сервис на том же ресурсе. Также желательно обеспечить резервирование мощностей и ресурсов, чтобы снизить вероятность отказа;
• чтобы уменьшить вероятность отказа при атаке на один или несколько IP-адресов, желательно использовать все адреса, которые у вас есть. И лучше распределить их между сервисами или пользователями,
• сообщите вашему провайдеру защиты, какие IP-адреса и для каких целей используются. Эти данные помогут ему правильно выстроить «линию обороны» от DDoS-атак.

Подробнее в статье: «Как защитить сайт от DDoS-атак». 

Интернет-сервисы и онлайн-игры на основе TCP и UDP

Чтобы обеспечить устойчивость сервисов, которые взаимодействуют с пользователями посредством TCP и UDP, рекомендуем в первую очередь оптимизировать сетевой стек операционной системы. Для начала убедитесь, что прерывания сетевой карты распределены по разным процессорным ядрам. В большинстве современных систем это предусмотрено заранее, но дополнительная осмотрительность не помешает.

Отметим, что в защите от DDoS-атак лучше использовать сервисы, которые работают на основе протокола TCP. Он лучше приспособлен для отражения атак.

Намного больше усилий требуется, чтобы обезопасить серверы, которые работают на основе протокола UDP. Если сервер подвергается не типичной, а целевой атаке с имитацией игровых пакетов, трафик фильтроваться не будет. Исключение — если вы сообщите заранее о деталях архитектуры и функционирования сервера вашему DDoS-защитнику, продумаете вместе с ним способы отражения нетипичных атак и проверите их эффективность на нескольких тестовых атаках.

Для защиты интернет-сервисов и онлайн-игр на основе TCP и UDP нужно в первую очередь настроить драйвер сетевой карты. Когда на неё приходит фрейм, она должна инициировать системное прерывание. Такая функция «просит» процессор приостановить выполнение текущей задачи и обработать порцию входящего трафика. Однако если бы каждый фрейм вызывал незамедлительное прерывание и «отвлекал» процессор от текущих задач, то производительность падала бы даже на простейших сетевых операциях, таких как передача файла по протоколу FTP. Поэтому эти прерывания выстроены в очередь, которая скапливается на сетевой карте и обрабатывается процессором за один раз. Обычно это происходит 250-1000 раз в секунду. Чем реже, тем меньше нагрузка на CPU и выше задержка.

К счастью, большинство современных серверов имеют несколько процессорных ядер. Поскольку операционная система рассматривает каждое из них как отдельный процессор, всегда можно равномерно распределить между ними нагрузку от прерываний. Есть два способа это сделать.

• Первый и рекомендуемый — использовать аппаратные очереди. Современные сетевые карты могут обрабатывать сразу несколько очередей прерываний, обычно — от 4 до 16. В Linux они часто отключены по умолчанию. Нужно их включить, а затем равномерно распределить очереди по процессорам.
• Второй способ — можно использовать механизм управления принимаемыми пакетами (Receive Packet Steering). Это относительно новая опция , которая автоматически распределяет нагрузку между всеми ядрами. При этом неважно, есть ли на сетевой карте несколько аппаратных очередей или нет. Используйте этот способ, только если у вас больше ядер, чем аппаратных очередей (кстати, рассмотрите возможность отключения SMT/HyperThreading — во время атаки это будет весьма кстати).

Также рекомендуем почитать о том, как защитить игровой сервер от DDoS.

Сети

Обеспечение устойчивости сети — пожалуй, самый сложный случай в плане защиты от DDoS-атак. Во-первых, компаниям часто приходится защищать не только свои интернет-ресурсы. Иногда нужно думать о ресурсах клиентов, которые также размещаются внутри той же сети. Во-вторых, у владельцев сети обычно накапливается большое количество IP-адресов. Это позволяет злоумышленникам организовывать относительно слабые атаки, которые синхронно запускаются на множество адресов и замедляют работу всей инфраструктуры.

Первое, о чём следует позаботиться, — чтобы пограничный (Edge) маршрутизатор был достаточно производительным. Необходимо уточнить его пропускную способность, оценить текущую нагрузку и по возможности провести ряд стресс-тестов. Для такой задачи подойдет утилита hping3.

Второй важный момент — убедитесь, что принадлежащие вам IP-адреса нельзя определить путем трассировки (traceroute) как извне, так и изнутри сети. Адреса, которые можно определить таким способом, должны быть защищены средствами ACL (если нужна помощь, обратитесь к провайдеру защиты).

Подключая защиту сети через BGP, помните, что злоумышленник может легко провести трассировку до провайдера, который занимается DDoS-фильтрацией трафика Также преступник может узнать стыковой IP-адрес, который, как правило, не защищён и уязвим для DDoS-атак. Следовательно, стыковые IP-адреса желательно закрывать с помощью ACL (это должен сделать провайдер), а также скрывать данные от трассировки как извне, так и изнутри сети.

Подробнее по этой теме: «Как защитить сеть от атак». 

Подключение защиты не гарантирует отражения атак

То же самое можно сказать о работоспособности интернет-ресурсов в случае, если DDoS-атака уже произошла. И зачастую проблема кроется не в «плохой» защите, а в неудачной архитектуре интернет-сервиса или других его особенностях.

В 2017 году мы впервые представили сообществу термин «защищаемость от DDoS» и рассказали о параметрах, которые на неё влияют. Если коротко, защищаемость — это способность интернет-сервиса быть эффективно защищённым от атак с минимальными затратами ресурсов.

Защищаемость от DDoS-атак можно и нужно закладывать в решение ещё на стадии проектирования его архитектуры. Такой подход позволит повысить доступность продукта и снизить расходы на защиту от атак. 

Выбор поставщика: что учесть и спрашивать

Сервисы защиты от DDoS-атак сегодня предлагают многие компании — как специализирующиеся на информационной безопасности, так и другие: ISP, хостинг-провайдеры, дата-центры. Функциональные возможности их решений и качество защиты могут серьёзно различаться.

Следует помнить, что защита от DDoS не терпит поспешных решений. Выбирая провайдера, лучше выяснить:

• где расположены точки фильтрации, насколько они близки по географии к вашим площадкам и точкам присутствия ваших клиентов. Рекомендуем проверить связность с транзитными операторами и провести пинг-тест до защищаемых провайдером ресурсов из разных мест (для этого можно воспользоваться bgp.he.net, ping.pe и подобными сервисами);
• давно ли провайдер занимается защитой от DDoS-атак, специализируется ли он на таких услугах. Постарайтесь изучить отзывы в интернете и оценить, участвует ли он в жизни ИБ-сообщества, предлагает ли что-то новое. Это поможет оценить, насколько хорошо провайдер отслеживает ситуацию по киберпреступности и готов ли противостоять новым угрозам;
• как работает техническая поддержка провайдера. Следует выбирать поставщика услуг, который обеспечивает защиту круглосуточно и без выходных (злоумышленники часто начинают атаки поздно вечером или ночью, рассчитывая на то, что поддержка «спит»). Желательно иметь несколько разных каналов для общения с провайдером, чтобы быстро решать срочные вопросы;
• если для вас и ваших клиентов важны импортозамещение и отсутствие трансграничного перемещения данных (подобные требования связаны, в частности, с 152-ФЗ «О персональных данных»‎), то необходимо заранее спросить у провайдера о его технологиях. Например, как именно работает его решение и будет ли он отправлять трафик за границу, пусть и в зашифрованном виде;
• есть ли у провайдера список известных клиентов. Если в этом нём есть ваши партнёры,можно связаться с ними и получить реальные отзывы о нём;
• лучше протестировать сервис до покупки и оценить, как именно работает защита и техническая поддержка. Для этого подойдут если не полное стресс-тестирование, то хотя бы имитация простых атак. Их можно организовать с помощью бесплатных инструментов и средств мониторинга ваших ресурсов;
• узнайте, требует ли провайдер дополнительную оплату за объём атак или их количество. Настоятельно не рекомендуем соглашаться на такие условия — от вас никак не зависит, кто и насколько плотно будет вас атаковать.

Выводы

Защита от DDoS — сложная, комплексная работа. Это настоящая проверка на профессионализм не только специалистов провайдера сервиса anti-DDoS, но и ваших собственных ИТ-сотрудников: системных администраторов, программистов и, конечно же, специалистов по информационной безопасности.

Помните, что сервис anti-DDoS должен гармонично вписываться в ваши процессы управления информационной безопасностью. Если это не так, то он не будет эффективно работать.

И, конечно же, нужно понимать, что мир, бизнес и ИТ не стоят на месте. Ваши системы постоянно обновляются. Злоумышленники также придумывают новые способы атак. Поэтому рекомендуем регулярно проверять и тестировать как ваши ресурсы, так и сервисы защиты. ЛУчше своевременно адаптировать их к изменениям, которые происходят в ландшафте ИТ и ИБ. И здесь нужны усилия двух сторон: и владельца интернет-ресурсов, и его провайдера защиты.