Слабые и сильные DDoS-атаки

Материал из CustisWiki
Перейти к: навигация, поиск
Виталий Филиппов, наш ведущий разработчик и эксперт по веб-технологиям, рассказал журналу Information Security о том, каким типам атак могут подвергаться сетевые ресурсы и сервисы. Что представляют собой DDoS-атаки? На что они потенциально могут быть направлены и как можно обеспечить безопасность сетей? Ответы на эти вопросы — в материале «Слабые и сильные DDoS-атаки».

DDoS (Distributed Denial of Service) — самый распространенный тип атаки на интернет-ресурсы и сервисы. Это не взлом, а попытка занять мощности сервиса ненужными запросами, чтобы он не успевал обрабатывать значимые, временно «выходя из строя». Распределенными (distributed) атаки называются потому, что ведутся «ботнетами», то есть сетями, состоящими из большого числа инфицированных машин (вплоть до нескольких сотен тысяч). Создавать ботнеты злоумышленникам сейчас нетрудно, учитывая широкое распространение уязвимостей и слабую защиту пользовательских компьютеров, серверов и другого оборудования; например, на домашние Wi-Fi-роутеры производители сами устанавливают бэкдоры (от англ. back door — чёрный ход) — программы, дающие доступ к системе и выставленные во внешнюю сеть.

Ботнеты в большинстве своем состоят из пользовательских компьютеров с ОС Windows, но зарегистрированы также ботнеты из домашних роутеров, компьютеров с ОС Mac OS, WordPress-сайтов, Linux-серверов. Ботнет не обязательно проводит атаку непосредственно сам. Существуют аmplification-атаки (атаки с усилением), заключающиеся в том, что на публичные серверы с уязвимой конфигурацией ПО отправляются маленькие запросы, заставляющие их отправлять гораздо большие ответы, но не обратно, а на атакуемый сервер. Это позволяет, имея канал относительно небольшой емкости, генерировать огромный трафик и полностью занимать канал оператора связи.

В последние годы пользуется популярностью усиление атак через UDP-протоколы (DNS, NTP и подобные) с подделкой IP-адреса отправителя (англ. spoofing — мистификация, подмена). В теории правильно настроенная сетевая инфраструктура должна отсекать пакеты с подделанными адресами, однако далеко не все сети настроены правильно и за 2013–2014 годы больше половины атак были именно этой разновидности.

Фактически сейчас существуют обширные рынки как услуг DDoS-атак, так и защиты от них. Стоимость услуг зависит от мощности атак и размеров ботнетов, но в целом цены довольно демократичны (начинаются от $100 в день), поэтому DDoS весьма популярны и часто используются как средство конкурентной или политической борьбы.

DDoS распределяются по объектам атаки, то есть атакуемым уровням инфраструктуры: они могут быть направлены на приложения, HTTP-серверы, сетевой стек операционной системы, исчерпание канала или сетевую инфраструктуру. Легче всего атаковать приложение как самый медленный элемент конструкции; сложнее всего — затруднить работу сетевой инфраструктуры или исчерпать канал. Сложность атак на HTTP-серверы и сетевой стек находится примерно посередине. Однако для их осуществления в основном используются специфические особенности реализаций различных сетевых протоколов (медленная отправка HTTP-запросов, переустановка SSL-соединений, SYN-flood), поэтому многие подобные атаки отражаются путем установки и настройки правильного ПО — например, медленных HTTP-запросов «боятся» серверы Apache и IIS, но абсолютно не боится nginx. Встречаются и комбинированные атаки — сразу на несколько уровней инфраструктуры.

Что делать? Заранее устанавливать, а затем обновлять и поддерживать продуманную систему фильтрации трафика экономически целесообразно только в случае частых, постоянно повторяющихся DDoS-атак. Высокая стоимость будет обусловлена еще и необходимостью широкого сетевого канала, так как если канал будет узкий, его емкость будет исчерпана запросами еще перед системой фильтрации. В остальных случаях следует определить мощность атаки, изучив количество и тип запросов, ситуацию с трафиком и другие показатели, и действовать в зависимости от силы нападения. Если атака направлена на приложения или ОС, а ботнет небольшой, ее вполне реально отразить силами грамотного системного администратора (настроив черные списки и др.). Если же цель атаки — исчерпание канала или сетевая инфраструктура, крайне желательно отражать ее за пределами дата-центра и лучше сразу привлекать компании, специализирующиеся на защите от DDoS.


Любые правки этой статьи будут перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion».

Репликация: База Знаний «Заказных Информ Систем» → «Слабые и сильные DDoS-атаки»