04.08.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

АТАКИ DDoS – ВЗГЛЯД ИЗНУТРИ

 

Сущность DDoS-атаки

Поведение сетевого трафика определяет сущность атаки DDoS: либо применяется огромное количество пакетов, которые переполняют ширину полосы пропускания канала, либо используются умышленно неполные пакеты, которые истощают ресурсы сервера. Атаки DDoS очень сложно предотвратить, поскольку злоумышленные пакеты неотличимы от легитимных, и выявить угрозу непросто: типовое сопоставление «сигнатур», выполняемое системами IDS/IPS, здесь не действует. Во многих атаках данного типа применяются поддельные исходные IP-адреса. Это затрудняет идентификацию источника при помощи инструментов мониторинга, которые действуют на базе аномалий и контролируют появление больших объемов сетевого трафика из конкретных источников.
Ниже описаны две наиболее типичные разновидности атак DDoS:

Атаки с заполнением полосы пропускания канала связи. Эти DDoS-атаки истощают ресурсы канала связи или сетевого оборудования, заполняя полосу и/или оборудование большим количеством пакетов. Выбранные в качестве цели маршрутизаторы, серверы и межсетевые экраны, каждый из которых имеет лишь ограниченные ресурсы обработки данных, под действием атаки могут стать, недоступны для обработки корректных транзакций. Самая распространенная форма атаки с заполнением полосы пропускания – это атака, при которой большое количество внешне благонадежных пакетов протокола TCP, протокола UDP или протокола управления сообщениями ICMP направляется на конкретную цель. Для того чтобы еще больше затруднить выявление такой атаки, можно подделать исходный адрес, т.е. имитировать IP-адрес, с которого, предположительно, поступил запрос, чтобы сделать идентификацию невозможной.

·         Атаки на приложения. В этих атаках DDoS злоумышленники эксплуатируют ожидаемое поведение протоколов, в частности, TCP и HTTP. Они захватывают вычислительные ресурсы, не давая им возможности обрабатывать транзакции и запросы. Пример атак данного типа на приложения: это атаки с полуоткрытыми соединениями HTTP и с ошибочными соединениями HTTP.

Атаки DDoS несут в себе все более разрушительную угрозу

Злоумышленники, применяющие DDoS-атаки, все шире используют изощренные приемы подмены IP-адреса и наиболее часто применяемые протоколы (вместо протоколов второстепенной важности, которые можно заблокировать), благодаря чему DDoS-атаки становятся еще более сложными и разрушительными. Эти атаки, в которых применяются корректные разрешенные прикладные протоколы и сервисы, очень трудно идентифицировать и устранить. Применяемые меры фильтрации пакетов или ограничения производительности обработки только упрощают задачу злоумышленника: они приводят к отключению всех ресурсов и отказу от обслуживания легитимных пользователей.

Использование ACL для защиты

Многие полагают, что маршрутизаторы, на которых применяются списки контроля доступа (ACL) для фильтрации «нежелательного» трафика, обеспечивают защиту от DDoS-атак. Действительно, списки контроля доступа могут защитить от простых и известных DDoS-атак, например, от ICMP-атак.

Однако на сегодняшний день в DDoS-атаках, как правило, используются корректные действующие протоколы, которые необходимы для работы в сети Интернет, и поэтому фильтрация протоколов становится менее эффективным средством защиты. Маршрутизаторы также могут блокировать зоны с некорректными IP-адресами, однако злоумышленники, чтобы их не обнаружили, обычно подделывают корректные IP-адреса. В целом, хотя списки ACL на маршрутизаторах служат первой линией обороны от базовых атак, они не оптимизированы для защиты от следующих сложных типов DDoS- атак:

·         SYN, SYN-ACK, FIN и других атак направленных на заполнения полосы пропускания. Списки контроля доступа не могут заблокировать атаку SYN или атаки ACK и RST на 80-й порт web-сервера, при которых поддельные IP-адреса источника постоянно меняются. Единственный возможный вариант здесь состоит в том, что заблокировать web-сервер, а именно в этом и состоит задача злоумышленника.

·         «Прокси» – поскольку списки контроля доступа не могут отличить друг от друга «благонадежные» и «злоумышленные» пакеты с флагом SYN, поступающие из одного исходного IP-адреса или «Прокси», то, пытаясь остановить атаку с подделанным IP-адресом, они вынуждены, по определению, блокировать весь трафик клиентов, поступающий из определенного исходного IP-адреса или «Прокси».

·         DNS или протокол пограничного шлюза (Border Gateway Protocol, BGP). Когда запускаются атаки на DNS-сервер или на граничный маршрутизатор, списки контроля доступа (ACL), как и в случае с атаками, использующими пакеты с флагом SYN, не могут отследить быстро меняющийся объем трафика. Кроме этого, списки ACL не в состоянии отличить поддельные адреса от корректных запросов.

·         Атаки на уровне приложений. Хотя списки ACL могут блокировать клиентские атаки, например, атаки с ошибочными соединениями HTTP и с полуоткрытыми соединениями HTTP (при условии, что есть возможность точно идентифицировать источник атаки и конкретные не подделанные источники), администратору потребуется конфигурировать сотни, а в некоторых случаях и тысячи списков ACL для каждой потенциальной цели DDoS-атаки.

Еще один вариант предотвращения DDoS-атак при помощи маршрутизаторов – применение однонаправленной проверки передачи по обратному пути (Unicast Reverse Path Forwarding, uRPF) для остановки атак с подделанными IP-адресами – как правило, оказывается неэффективной в борьбе с сегодняшними DDoS-атаками. Основополагающий принцип uRPF состоит в том, чтобы блокировать исходящий трафик, если IP-адрес не относится к подсети. Однако, поскольку злоумышленники могут подделывать IP-адреса из той же подсети, за которой они скрываются, они способны без труда обойти этот способ защиты. Кроме этого, для того чтобы uRPF была действительно эффективной, ее необходимо внедрить перед каждым потенциальным источником атаки, а реализовать такую схему на практике довольно непросто.

Использование межсетевых экранов для защиты

Межсетевые экраны играют исключительно важную роль в системе безопасности любой компании, но они не созданы именно как инструмент предотвращения DDoS-атак. Фактически, у межсетевых экранов есть ряд исходных свойств, которые не позволяют им обеспечить полную защиту от самых современных DDoS-атак.

Прежде всего, речь идет о местоположении. Межсетевые экраны находятся в слишком удаленной зоне от оператора связи на пути следования данных, и это не обеспечивает достаточную защиту линии канала связи, который соединяет оператора связи и граничный маршрутизатор корпоративной системы, из-за чего эти компоненты становятся уязвимой целью для DDoS-атак. Фактически, поскольку межсетевые экраны встраиваются по линейной схеме, они часто становятся целью злоумышленников, которые пытаются нарушить функционирование ресурсов обработки данных, чтобы вызвать сбой.

Вторая проблема – это отсутствие механизма выявления аномалий. Межсетевые экраны в первую очередь предназначены для контроля доступа в корпоративную сеть, и они отлично справляются с этой задачей. Один из путей выполнения этой задачи – отслеживание сеансов, которые инициированы из внутренней сети компании и адресованы на внешний сервис, и последующий прием только особых откликов от источников из сети Интернет. Однако такая схема не действует применительно к таким сервисам как web, DNS, и к другим сервисам, которые должны быть открыты для публичного доступа, чтобы была обеспечена возможность принимать запросы. В подобных случаях межсетевые экраны выполняют операцию, которая называется «открыванием канала»: они пропускают http- трафик на IP-адрес web-сервера. Хотя такой подход и обеспечивает некоторую защиту, поскольку разрешены лишь определенные протоколы, адресуемые на определенные адреса, он не слишком эффективен в борьбе с атаками DDoS, поскольку злоумышленники могут без труда воспользоваться разрешенным протоколом для переноса трафика атаки. Отсутствие возможностей для выявления аномалий означает, что межсетевые экраны не могут распознать ситуацию, в которой носителем атаки служат корректные разрешенные протоколы.

Третья причина, по которой межсетевые экраны не могут обеспечить полнофункциональную защиту от DDoS-атак – это отсутствие ресурсов борьбы с подделанными IP-адресами. Если выявлена DDoS-атака, межсетевые экраны могут заблокировать конкретный поток трафика, связанный с атакой, но не могут применить меры «антиспуфинга» на пакетной основе, чтобы отделить благонадежный трафик от плохого, а именно эта операция важна для защиты от DDoS-атак, в которых используется большой объем подделанных IP-адресов.

Использование системы обнаружения вторжений (IDS) для защиты

Хотя системы IDS отлично могут выявлять атаки на уровне приложений, у них есть и слабая сторона: они не могут выявить DDoS-атаку, в которой используются корректные пакеты, а на сегодняшний день в большинстве атак используются именно корректные пакеты. Хотя в системах IDS предусмотрены определенные механизмы, действующие на базе аномалий, которые необходимы для выявления данных атак, требуется их масштабная подстройка вручную, и они не идентифицируют конкретные потоки трафика атак.

Другая потенциальная проблема использования систем IDS в качестве платформы для защиты от атак DDoS состоит в том, что они только выявляют атаку, но не предпринимают никаких действий для устранения ее последствий. В решениях на базе IDS могут быть рекомендованы фильтры для маршрутизаторов и межсетевые экраны, но, как уже было сказано выше, не обеспечивается эффективное устранение современных DDoS-атак.

В общем, системы IDS – это оптимальный инструмент выявления атак на уровне приложений на основе сигнатур. Поскольку сложные DDoS-атаки выявляются по аномальному поведению на 3-м и 4-м уровнях, современная технология IDS не приспособлена для выявления и устранения DDoS-атак.

Описание компонентов входящих в состав решения защиты от DDoS-атак

Cisco Traffic Anomaly Detector — это устройство мониторинга, которое выявляет признаки, указывающие на присутствие DDoS-атак. Cisco Traffic Anomaly Detector обрабатывает весь входящий трафик защищаемого сегмента. Подключение детектора производится к SPAN порту маршрутизатора (коммутатора) или с использованием разветвителя. Что позволяет в непрерывном режиме производить анализ всего входящего трафика. Этот анализ включает сопоставление текущего поведения трафика с базовыми пороговыми параметрами, для выявления аномального поведения трафика. Если аномальное поведение обнаружено и выглядит как возможная атака, детектор посылает в Cisco Guard сигнал о начале анализа и устранения атаки.

Cisco Guard – это устройство очистки трафика, имеющее возможность идентифицировать и блокировать злоумышленный трафик. Cisco Guard, основан на архитектуре уникального запатентованного процесса множественной верификации (multiverification process, MVP), применяющего усовершенствованные ресурсы выявления аномалий для динамического применения интегрированных приемов идентификации источников и антиспуфинга в сочетании с высокоэффективной фильтрацией, позволяющей идентифицировать и блокировать конкретные потоки трафика атаки и, одновременно с этим, обеспечивать пропуск благонадежных транзакций. В сочетании с интуитивным графическим интерфейсом и мощной многоуровневой системой мониторинга и отчетности, которая предоставляет полный обзор всех действий, сопровождающих атаку, Cisco Guard обеспечивает наиболее полную защиту компании от DDoS-атак.

Cisco DDoS Multidevice Manager – опциональное программное обеспечение, обеспечивающее всесторонний и консолидированный взгляд на инфраструктуру отражения DDoS-атак. Позволяет производить анализ в режиме реального времени на основе собранной статистики, производить активацию функций обнаружения аномалий и отражения атак, обработку всех событий  со всех устройств и записывать в один журнал регистрации.

Архитектура MVP Cisco Systems

Решение нового поколения Cisco Guard, обеспечивающее защиту от DDoS-атак, основано на уникальной архитектуре процесса мульти-верификации (Multiverification Process, MVP). Эта архитектура интегрирует различные методы выявления подлиности IP-адреса, анализа и ответных действий, чтобы идентифицировать и отделять злоумышленный трафик от благонадежного трафика.

Этот процесс состоит из пяти модулей или этапов:

·         Фильтрация – в этот модуль включены статические и динамические фильтры. Статические фильтры, которые блокируют трафик атаки, не пропуская его цели, могут быть конфигурированы пользователем. Компания Cisco System поставляет эти фильтры с предварительно заданными параметрами, действующими по умолчанию. Динамические фильтры вводятся в действие другими модулями на базе наблюдаемого поведения и подробного анализа трафика. При этом в реальном времени формируются обновления, которые повышают уровень верификации, применяемой к подозрительным потокам, или блокируют источники и потоки, которые по результатам верификации признаны злоумышленными.

Архитектура MVP Cisco Systems

·         Активная верификация – этот модуль проверяет все пакеты, на наличие поддельнного IP-адреса, поступающие в систему. В Cisco Guard применяется ряд уникальных механизмов аутентификации источников, которые не позволяют поддельным пакетам достигнуть своей цели. Кроме этого, в модуле активной верификации есть ряд механизмов, которые помогают правильно идентифицировать благонадежный трафик и фактически устраняют риск уничтожения корректных пакетов.

·         Распознавание аномалий – этот модуль выполняет мониторинг всего трафика, который не был остановлен модулями фильтрации и активной верификации, и сопоставляет этот трафик с базовым поведением, зафиксированным в течение определенного периода времени. Ведется контроль за отклонениями, которые указывают на источник появления злоумышленных пакетов. Базовый принцип, на котором основана работа этого модуля, таков: закономерности поведения трафика, поступающего от источника, в котором расположился «злоумышленник», существенно отличаются от поведения благонадежных источников в режиме нормальной работы. Этот принцип применяется для идентификации источника и типа атаки, а также для формирования рекомендаций по блокировке трафика или проведению более детального анализа подозрительной информации.

·         Анализ протоколов – в этом модуле обрабатываются тот трафик, который был признан подозрительным на этапе распознавания аномалий. Задача состоит в идентификации атак, связанных с конкретными приложениями, например, атак с ошибочными соединениями HTTP. Затем выявляются любые транзакции по протоколу, в которых есть аномалии поведения, в частности, неполные транзакции или ошибки.

·         Нормирование – в этом модуле заложены другие ответные меры. Он не допускает, чтобы потоки с аномалиями поведения заполняли целевой объект во время более подробного мониторинга. Этот модуль формирует трафик по каждому конкретному потоку, применяя соответствующие меры к источникам, которые потребляют чрезмерный объем ресурсов (например, по полосе пропускания или количеству соединений) на протяжении слишком длительного периода.

Важно отметить, что в периоды между атаками Cisco Guard находится в режиме «обучения», выполняет пассивный мониторинг закономерностей поведения трафика и потоков, адресованных различным защищаемым ресурсам. Этим путем Cisco Guard изучает нормальное поведение трафика и формирует базовый профиль. Позднее эта информация используется для подстройки правил политики в целях распознавания и фильтрации известных и неизвестных атак, при работе сети в режиме реального времени.

Типовое решение по выявлению и устранению DDoS-атак в компании или хостинг-центре обработки данных

Возможными направлениями развития внедренной системы  могут быть следующие: интеграция решения с межсетевым экраном, другими средствами защиты и последующая модернизация решения.

Описание работы системы защиты от DDoS-атак

Ниже приведено последовательное описание этапов работы системы защиты от DDoS-атак:

1-й этап. «Обучение» контрольным характеристикам

В начале своей работы компоненты системы защиты от DDoS-атак должны построить контрольные характеристики для нормальной структуры трафика в конкретной зоне, на основании которых можно было бы определять аномалии структуры трафика при DDoS-атаке.

2-й этап. Обнаружение

После завершения процесса обучения, Cisco Traffic Anomaly Detector переводится в режим мониторинга трафика, идущего в зону сети компании. Cisco Traffic Anomaly Detector выполняет мониторинг зеркального трафика канала в непрерывном режиме. При обнаружении трафика, который в соответствии с политиками детектора определяется как аномальный (т.е. трафик, характеристики которого превышают определенные пороговые значения),  Cisco Traffic Anomaly Detector отправляет уведомление  администратору безопасности. Если подлинность тревоги подтверждена, администратор в ручном режиме активирует Cisco Guard и переводит атакуемую зону в режим защиты. Также имеется возможность настроить Cisco Traffic Anomaly Detector на автоматическую активацию Cisco Guard сразу же после обнаружения атаки.

3-й этап. Изменение маршрута трафика

После получения запроса на перевод атакуемой зоны в режим защиты средство очистки трафика направляет объявление по BGP-протоколу на маршрутизатор, расположенный выше по сети, информируя его о том, что адресом BGP Next-Hop будет он сам. Администратор может включить такое перенаправление трафика и вручную. Вне зависимости от того, какая из этих схем использована, граничный маршрутизатор вставляет объявление по BGP-протоколу в свою таблицу маршрутизации и направляет на средство очистки весть трафик: как «злонамеренный», так и «благонадежный».

4-й этап. «Чистка»

Cisco Guard анализирует аномалии трафика, идущего в зону и перенаправленного на него – ищет аномалии, заключающиеся в нарушениях потоком пороговых значений политики. При обнаружении такого нарушения Cisco Guard анализирует результаты и создает набор фильтров, которые непрерывно адаптируются в соответствии с трафиком и типом DDoS-атаки на зону. Фильтры производят тщательную многоуровневую проверку с целью идентификации и отделения «плохих» потоков от легитимных транзакций. После прохождения процесса очистки, очищенный трафик возвращается в зону и направляется в исходный пункт назначения.

5-й этап. Возврат трафика

Очищенный трафик с Cisco Guardвозвращается в зону. Доступны различные методы в зависимости от того, на каком уровне построена топология опорной сети (уровень 2 или уровень 3). Они гарантируют, что возвращенный трафик не вернется обратно на Cisco Guard. Примеры этих методов включают маршрутизацию на основе политики (PBR), виртуальную маршрутизацию/коммутацию (VRF), схемы инкапсуляции GRE и виртуальные частные сети на основе MPLS.

6-й этап. Завершение очистки трафика

Динамические фильтры устройства Cisco Guard имеют ограниченный жизненный цикл и стираются после отражения DDoS-атаки. По умолчанию Cisco Guard продолжает работать в режиме защиты до тех пор, пока пользователь не отключит его. Как вариант, Cisco Guard можно настроить на отключение режима защиты в том случае, если динамические фильтры не используются, и никаких динамических фильтров не было добавлено за заданный период времени. После выхода устройства Cisco Guard из режима защиты оно отзывает прежнее объявление по BGP-протоколу, и трафик возвращается на обычный путь.

Заключение:

Технология и архитектура от компании Cisco System – это инновационный подход с тщательно проработанными механизмами анализа трафика, который не позволяет реализовать цель DDoS-атак – нарушить бизнес-процессы компаний. Помимо простой фильтрации, в решении Cisco предусмотрена очистка данных для удаления злоумышленного трафика и пропуска легитимных пакетов, с обеспечением устойчивой непрерывной работы и деловой активности.

 

Заказать Ddos-атаку, можно по ссылке: << Ддос-сервис, заказать атаку >>.{jcomments on}