У дома Подготовка за зимата Методи за защита срещу ddos ​​атаки на cisco. DDoS защита: как сами да отблъснете атака - ръководство. Какво е DDoS

Методи за защита срещу ddos ​​атаки на cisco. DDoS защита: как сами да отблъснете атака - ръководство. Какво е DDoS

DoS (от англ. Denial of Service - отказ от услуга) е атака срещу компютърна система (обикновено извършена от хакери) с цел да я доведе до повреда, тоест създаване на условия, при които легитимните потребители на системата нямат достъп до предоставени системни ресурси (сървъри), или този достъп е труден.

В момента DoS и DDoS атаките са най-популярни, тъй като позволяват почти всяка система да се провали, без да оставят правно значими доказателства. Разходите за организиране на атака са нищожни. Едночасова 10Gbit/s атака струва около $50/евро и може да бъде организирана от всеки, който посети специална хакерска услуга в Интернет. Ако атака се извършва едновременно от голям брой компютри, те говорят за DDoS атака (от англ. Distributed Denial of Service attack). IN съвременни условия DDoS атаките включват не само компютри, но и други потребителски устройства с достъп до интернет.

Първо, атакуващият сканира мрежата, използвайки специално подготвени скриптове, които идентифицират потенциално слаби възли. Избраните възли се атакуват и нападателят получава административни права върху тях. Инсталиран на заснети възли троянцикоито работят в заден план. Сега тези компютри се наричат ​​зомби компютри: техните потребители дори не подозират, че са потенциални участници DDoS атаки.

След това нападателят изпраща определени команди до заловените компютри, а те от своя страна извършват мощна DoS атака на целевата интернет услуга. В някои случаи действителната DDoS атака е причинена от неволно действие, например поставяне на популярен интернет ресурс на връзка към сайт, разположен на не много продуктивен сървър (ефект на наклонена точка). Големият поток от потребители води до излишък допустимо натоварванекъм сървъра и, следователно, отказ на обслужване на някои от тях.

Според метода на въздействие те разграничават:

DDoS атаки на мрежовия слой (L3-4)които ограничават работата на сървърното оборудване или нарушават работата софтуерпоради уязвимостта на протоколите.

DDoS атаки на ниво приложение (L7), които атакуват „слабите места” на интернет сайт, действат целенасочено, отличават се с минимален разход на ресурси, преобладават като количество и изискват сложен и скъп „противоотрова”.

Защитата срещу DDoS атаки чрез SSL криптиране донякъде напомня за сигурността на летищата в Близкия изток: винаги има много жени с покрити лица, които трябва не само да бъдат внимателно претърсени, но и да анализират поведението си. В противен случай рано или късно някой от тях ще взриви самолета. Технически се използват специфични подходи за защита срещу подобни атаки, но с адекватни настройки декриптирането на HTTPS съобщения няма да изисква толкова много ресурси. Проблемът е друг: не всеки клиент е готов да даде пълен достъп до своите криптирани канали. Възможно ли е ефективно да анализирате трафика без ключове?

„Днес много защитени ресурси се атакуват чрез HTTPS съобщения и SSL се използва, наред с други неща, за да се заобиколят мерките за сигурност“, обяснява Александър Лямин, ръководител на Qrator Labs. – За разлика от директните DDoS атаки срещу механизми за криптиране, които се случват на нива L5 и L6, атаките, използващи SSL, се случват на ниво L7. Следователно те са много подобни на действията на законните потребители.

Много злонамерени програми имат за цел да направят уязвим компютър част от мрежа от заразени машини - ботнет с единен контролен център. Такава ботнет може, при отдалечена команда, да извършва мрежови атаки без знанието на собствениците на компрометираните компютри. Ако преди ботнет мрежите се използваха основно за изпращане на спам, копаене на криптовалути и извършване на примитивни DDoS атаки, днес те се превърнаха в по-сериозна заплаха за сигурността.


Например ботнет може да подмени криптирана връзка и да извърши SSL атака. Криптирането на всеки комуникационен канал може да скрие наличието на злонамерена активност от системите за сигурност и администраторите на сайта за известно време. В резултат на това това може да доведе до изтичане на поверителни данни или прекъсване на сайта.
„L7 атаките във всеки случай завършват в корпоративната мрежа“, коментира Александър Лямин. – Тъй като първите пакети на HTTPS заявка от нападател са чисто служебни пакети, те винаги изглеждат легитимни. Фундаментално е невъзможно да се разберат намеренията на отдалечения клиент на този етап.“

Обикновено злонамерените действия започват на втория или следващите етапи. За да ги откриете, трябва да пуснете потребителя в мрежата. Следователно основната задача на инструментите за защита е не толкова да предотвратят SSL DDoS атаки, а да минимизират възможните щети. Тъй като всеки потребител има свой собствен частен канал, е напълно приемливо да отделите допълнително време за анализиране на действията, преди да решите да блокирате конкретен потребител.

Всяка защита срещу DDoS атаки чрез SSL криптиране изисква използването на инструменти, които могат да анализират поведението на потребителите въз основа на техните криптирани заявки. Те могат пряко или косвено да получават информация за случващото се в криптирания канал. В същото време е необходимо допълнително да се осигури автоматично филтриране на потребителско ниво, за да се откриват атаки в реално време.


С ключ

IN общ случайЗа защита срещу DDoS атака с помощта на SSL криптиране винаги е необходимо известно ниво на дешифриране на съдържанието на канала. В някои случаи дешифрирането може да се извърши от клиента - тогава той сам решава какви данни да бъдат разрешени за предаване. За целта обаче от страна на клиента трябва да се инсталира защита срещу троянски коне, бекдори, руткитове и други зловреден софтуер, способен тайно да завладее контрола върху компютър или да го направи част от ботнет.
Следователно най-разпространеният и практичен метод за защита е постоянното взаимодействие на инструментите за сигурност със сървъра на компанията. При тази схема е достатъчно да направите нови настройки на сървъра и той ще предостави цялата необходима информация за това какво се случва в криптирания канал. Ако възникнат опасения относно поведението на конкретен клиент, сървърът прехвърля своята сесия за контрол на доставчика на сигурността или хардуерни и софтуерни системи от страна на клиента.

Без ключ

Опитът показва, че много клиенти на дребно и медии избират да разкрият ключове за криптиране на своя доставчик на сигурност. Това се счита за приемлив риск, тъй като те използват SSL криптиране само за изолиране на клиенти един от друг и предотвратяване на прихващане на данни от слабо защитени мрежови сегменти - например чрез Wi-Fi. Финансови организации, напротив, предпочитат да конфигурират сървърите по такъв начин, че само индиректна информация да е достъпна за доставчика.

Днес DDoS атаките остават едно от основните средства състезаниев политиката, бизнеса и финансовия сектор. Както и преди, те парализират работата на уебсайтове и ключови услуги, причинявайки щети за милиони долари. Разликата е, че съвременните атаки за отказ на услуга са станали технически по-сложни и мощни. Те са по-трудни за разпознаване навреме традиционни средствазащита, така че разработчиците трябва постоянно да търсят и оптимизират нови алгоритми, да използват облачни технологии и методи за анализ на големи данни.

Когато избирате решения за защита срещу DDoS атаки, трябва да се уверите, че те могат да филтрират трафик на ниво L7 и имат реална способност да разграничават действията на законните потребители от дейността на напреднал ботнет. Допълнително предимство ще бъде възможността за работа с криптиран трафик без разкриване на секретни ключове, но само няколко могат да направят това въз основа на косвена информация за поведението на клиента в канала.

Тъй като DDoS атаките стават все по-чести, е време да разгледаме основните начини за защита и борба с тях.

DDoS е метод за атака, използван за отказ на достъп на законни потребители на онлайн услуга. Атаката може да бъде срещу банка или сайт за електронна търговия, SaaS приложение или друг тип мрежова услуга. Някои атаки могат дори да са насочени към VoIP инфраструктури.

Нападателят използва нетривиално количество изчислителни ресурси, които или е изградил сам, или, по-често, получени от уязвими компютри по целия свят, за да изпрати фалшив трафик към сайта, избран за атаката.

Например, ако уебсайтът на една банка може да обслужва 1000 души едновременно и нападателят изпраща 10 000 фалшиви заявки в секунда. В този случай никой от реалните потребители няма да има достъп до сайта. Има много причини за DDoS атаки: изнудване, активизъм, конкуренция между конкуренти на марката и проста скука.

DDoS атаките се различават по сложност и размер. Нападателят може да накара фалшива заявка да изглежда като случаен боклук в Интернет. Можете също така да извършите по-обезпокоителна, но ефективна атака - изпращане на данни, които изглеждат точно като истински уеб трафик. Освен това, ако атакуващият има достатъчно изчислителни ресурси на свое разположение, той може да изпрати достатъчно трафик, за да претовари напълно честотната лента на сайта на жертвата.

Най-простите видове атаки се считат за DDOS атаки Слой 3 и 4 (IP и udp/TCP в OSI стека). Оказва се, че сървърът получава толкова много „наводнение“, че просто вече не може да обработва реален мрежов трафик, тъй като атаката изпраща много данни през мрежова връзкакъм целта. За по-сложна атака се счита атаката от 7-ия слой, която „имитира“ реални потребители и се опитва да използва уеб приложения, да търси съдържание в сайт или да извършва други сложни действия (използвайте бутона „Добавяне към картата“ или друг ресурс функции).

Има четири основни вида защита срещу DDoS атаки:

Направете DDoS защита сами.

Това е най-простото и най-малкото ефективен метод. Обикновено някой ще напише някои Python скриптове, които се опитват да филтрират лошия трафик, или предприятието ще се опита да използва съществуващата си защитна стена, за да блокира трафика. В началото на 2000-те, когато атаките бяха доста прости, това можеше да работи. Но днес, когато атаките са твърде силни, големи и сложни за този тип защита. Защитната стена няма да издържи натоварването дори на най-простата атака.

Специализирано оборудване.

Подобно е на „Направи си сам“ по това, че предприятието върши цялата работа, за да спре атаката, но вместо да разчита на скриптове или съществуваща защитна стена, те купуват и внедряват специализирани устройства за предотвратяване на DDoS. Това е специализиран хардуер, който се намира в корпоративния център за данни пред обикновени сървъри и рутери и е специално проектиран да открива и филтрира злонамерен трафик. Въпреки това има някои фундаментални проблемис тези устройства:

Те са скъпи продукти, които може да не работят, докато не бъдете атакувани. Те също могат да бъдат скъпи за работа. Тези устройства изискват квалифицирани инженери по мрежата и сигурността, за да работят, тъй като нямат магически бутон „ “.

Те трябва постоянно да се актуализират работна групаза да сте в крак с най-новите заплахи. DDoS тактиките се променят почти ежедневно. Вашият екип трябва да е готов да актуализира тези устройства до най-новите версииатаки.

Те не могат да се справят с обемни атаки. Малко вероятно е едно предприятие да има достатъчно честотна лента, за да се справи с много големите DDoS атаки, които се случват днес. Този хардуер е безполезен, когато атаката надхвърли капацитета на мрежата.

Доставчик на интернет услуги (ISP).

Някои фирми използват своя интернет доставчик, за да осигурят смекчаване на DDoS. Тези доставчици имат по-висока честотна лента от предприятието, което може да помогне при атаки с голям обем, но има три ключови проблема с тези услуги:

Липса на основна компетентност: Интернет доставчиците се занимават с продажба на честотна лента и не винаги инвестират необходимия капитал и ресурси, за да изпреварят най-новите DDoS атаки. Това може да увеличи разходите за услугите, които трябва да предоставят, така че те го правят възможно най-евтино.

Защита от един доставчик: Повечето предприятия днес имат множество хостове в два или повече мрежови доставчика, за да премахнат точката на повреда на един доставчик. Наличие на двама или повече доставчици – най-добри практикиза увеличаване на времето за работа. Решенията за намаляване на DDoS на ISP защитават само техните мрежови връзки, а не други връзки, които имате, така че сега имате нужда от услуги за намаляване на DDoS от различни доставчици, удвоявайки разходите си.

Липса на облачна защита. Подобно на горния случай, много уеб приложения в наши дни са разделени между корпоративни центрове за данни и облачни услуги като Amazon AWS, GoGrid, Rackspace и др. Доставчиците на интернет услуги не могат да осигурят трафик от тези облачни услуги.

Доставчик на защита на облачен сървър.

Тези доставчици на услуги са експерти в предоставянето на смекчаване на DDoS от облака. Това означава, че са се натрупали голяма сумамрежова честотна лента и честотна лента в множество сайтове в интернет. Тези ресурси могат да приемат всякакъв тип мрежов трафик, независимо дали използвате множество доставчици, собствен център за данни или произволен брой облачни доставчици. Те могат да събират трафик вместо вас и да изпращат само „чист“ трафик към вашия център за данни.

Доставчиците на сигурност на облачен сървър имат следните предимства:

Експертиза: Тези доставчици обикновено имат мрежови инженери и инженери по сигурността и изследователи, които следят най-новите DDoS тактики, за да защитят по-добре своите клиенти.

По-голяма честотна лента: Тези доставчици имат много по-голяма честотна лента от предприятията, които могат да се справят сами с най-големите атаки.

Няколко вида оборудване за ограничаване на DDoS атаки са изключително сложни. Има нужда от множество слоеве на филтриране, за да можете да сте в крак с най-новите заплахи. Доставчиците на облак трябва да използват различни технологии, както търговски (COTS), така и свои собствени методи за защита срещу атаки.

Доставчиците на защита на облачен сървър са логичният избор за бизнеса за техните нужди от DDoS защита. Това е най-рентабилното и мащабируемо решение за поддържане на бързия напредък в инструментите и техниките за DDoS атакуващи.

Предназначен е за ползватели на услугите Dedicated Server и Hosted Server, както и за клиенти, наемащи сървърни шкафове.
В тази статия ще опишем подробно как ще бъде осигурена защита.

DDoS атаки: бърза справка

Съкращението DDoS означава Distributed Denial of Service – разпределена атака за отказ на услуга. DDoS атаката е прекъсване на функционирането на атакуваната машина чрез изпращане на заявки към нея от множество хостове.

Обикновено DDoS атаките се извършват чрез ботнет - мрежа от компютри, на които е инсталиран зловреден софтуер (това се нарича зомбиране).

Някои видове атаки могат да бъдат извършени без ботнет (например UDP flood).

Няма да се спираме по-подробно на класификацията на DDoS атаките - заинтересованият читател може лесно да намери много материали по тази тема в Интернет. От много по-голям интерес за нас са съществуващите техники за защита от DDoS. Ще ги разгледаме по-долу.

Методи за защита от DDoS

Методите за защита срещу DDoS атаки са разделени на две големи групи: методи за превенция и методи за реагиране.

За предотвратяване на DDoS атаки обикновено се използват хардуерни методи за защита на мрежовия периметър - защитна стена в комбинация със система за откриване на проникване (IDS). Те обаче не осигуряват защита в тесния смисъл на думата.

Напълно възможно е да се организира DDoS атака в рамките на пакети, разрешени от защитната стена. Що се отнася до IDS, те обикновено работят в рамките на подпис и Статистически анализ, сравнявайки входящите пакети със съществуващите модели на трафик. Ако атака се извърши чрез изпращане на обикновени мрежови пакети, които не са индивидуално злонамерени, не всички IDS ще могат да я открият.

Освен това както защитните стени, така и IDS често са устройства за контрол на сесии, така че самите те могат да станат обект на атака.

Ефективно средство за минимизиране на времето за престой по време на DDoS атаки е множеството резервиране - организиране на клъстери от сървъри, разположени в различни центрове за данни и свързани към различни комуникационни канали. Ако един от компонентите на такава система се повреди, клиентите ще бъдат пренасочени към работещи сървъри. Този метод има само един недостатък: изграждането на разпределен клъстер с множество излишъци изисква много големи финансови разходи.

Методите за реагиране се използват в ситуация, в която атака вече е започнала и трябва да бъде спряна (или, поне, минимизирайте последствията от него).
Ако целта на атаката е една машина, тогава можете просто да промените нейния IP адрес. Нов адрестогава може да се дава само на най-доверените външни потребители. Това решение трудно може да се нарече идеално, но е доста ефективно.

В някои случаи техниките за филтриране помагат. Чрез анализиране на злонамерен трафик можете да откриете определен подпис в него. Въз основа на резултатите от анализа можете да създадете ACL на рутера или правила за защитна стена.
Освен това, повечето оттрафикът на атака често идва от конкретен интернет доставчик или основен рутер. В такава ситуация възможно решениеблокира посоката, от която идва съмнителен трафик (трябва обаче да се има предвид, че легитимният трафик в този случай също ще бъде блокиран).

Ако нито един от методите, изброени по-горе, не помогне и нищо повече не може да се направи, се използва така нареченият blackholing - пренасочване на трафика към несъществуващ интерфейс (в " Черна дупка"). По правило това води до факта, че атакуваният сървър е недостъпен от външната мрежа за известно време. Само поради тази причина, blackholing трудно може да се нарече по пълен начинзащита: по същество само помага на организаторите на атаката бързо да постигнат целта си - да направят атакувания ресурс недостъпен.

IN последните годиниШироко разпространени са интегрираните софтуерни и хардуерни решения за защита от DDoS. Предимството им е, че могат да блокират злонамерен трафик, без да създават проблеми с достъпността на атакуваната услуга за легитимни потребители. На пазара се предлагат хардуерни и софтуерни системи за DDoS защита на Cisco, Arbor Networks, F5, Juniper и др.

Нашата услуга за DDoS защита също е реализирана на базата на специализиран софтуерно-хардуерен комплекс. Осигурява се съвместно с нашите партньори - фирма Сървиспайп.

DDoS система за защита

Използваната система за защита от DDoS включва не една, а няколко хардуерни и софтуерни системи, включително Arbor Pravail и F5. Почистването и анализирането на трафика се извършва директно в мрежата с помощта на специализирани софтуерни инструменти.

Тази система осигурява защита срещу следните видовеатаки:

  • TCP наводнение;
  • SYN наводнение;
  • нелегитимни комбинации от TCP флагове;
  • атаки срещу TCP сесии като TCP Idle, Slow TCP и други;
  • атаки срещу HTTP сесии (Slowloris, Pyloris и др.);
  • HTTP наводнение;
  • DNS наводнение;
  • DNS кеш отравяне;
  • UDP наводнение;
  • ICMP наводнение;
  • IP, TCP и UDP атаки с фрагменти;
  • атаки срещу VoIP и SIP.

Ако бъдат открити атаки, могат да се използват следните контрамерки:

  • Invalid packet List – филтриране на пакети, които не отговарят на RFC;
  • създаване на черни и бели списъци с IPv4 и IPv6 адреси;
  • GeoIP Filter Lists - филтриране на трафика по държава (блокира трафика от страните, от които идва най-голямото число DDoS атаки).
    GeoIP Policing - контрол на трафика по държави (мониторинг на входящия трафик и ограничаване на трафика от страни, от които идва най-голямото число DDoS атаки);
  • Гъвкаво откриване на зомбита - идентифициране на зомбита и създаване на профили на легитимен трафик;
  • TCP SYN Authentication - противодействие на TCP flood чрез клиентско удостоверяване;
  • DNS автентификация - противодействие на DNS flood чрез клиентска автентификация;
  • DNS Scoping - валидиране на DNS заявки чрез регулярни изрази;
  • DNS Malformed - проверка на DNS заявки за съответствие с RFC;
  • DNS Rate Limiting - ограничаване на броя на DNS заявките от един IP адрес (подходящо само за ресурси с нисък трафик: в нашата страна доставчиците много често използват NAT. Доста типичен случай е, когато „сивата“ /16 подмрежа има достъп до интернет през един IP и всички DNS заявки идват от един адрес);
  • DNS NXDomain Rate Limiting - валидиране на DNS отговори. Тази контрамярка е предназначена за атаки, при които кешът на DNS сървърите се запълва с невалидни записи; насочен е към проследяване на заявки с несъществуващо DNS име;
  • DNS Regular Expression - филтриране на DNS заявки с помощта на регулярни изрази;
  • Нулиране на TCP връзка - предотвратява твърде дългото време на TCP връзките;
  • Payload Regular Expression - филтриране на трафика с помощта на регулярен израз по отношение на Payload пакетите;
  • HTTP Malformed - блокиране на HTTP трафик, който не отговаря на RFC;
  • HTTP Rate Limiting - ограничаване на броя HTTP заявки от един IP адрес;
  • HTTP Scoping - валидиране на HTTP заявки чрез регулярни изрази;
  • SSL Negotiation - блокиране на SSL трафик, който не отговаря на RFC;
  • AIF и HTTP/URL регулярен израз - прилагане на AIF подписи към проверявания трафик;
  • SIP Malformed - блокиращ SIP трафик, който не отговаря на RFC;
  • Ограничаване на SIP заявки - ограничаване на броя на SIP заявки от един IP адрес.

Как работи

За клиенти, поръчващи услугата DDoS защита, предоставяме защитени IP адреси (един адрес е включен в основната тарифа, допълнителни адресиможе да се поръча чрез контролния панел). Обособяваме и специална лента за защитено движение. Трафикът от Интернет отива към защитени адреси през мрежа от наши партньори, където преминава през процедура на почистване.
Целият нелегитимен трафик се премахва в мрежата на партньора. Клиентите получават само изчистен трафик. След това изходящият трафик влиза в интернет през инфраструктурата Selectel.

Маршрутът на разчистения трафик е показан на следната диаграма:

Предимства

Сред предимствата на нашата система за защита от DDoS на първо място трябва да подчертаем следното:

  • бърза връзка: пълната настройка на DDoS защитата отнема 1 - 2 работни дни;
  • достъпни цени и прозрачна тарифна схема: на заплащане подлежи само входящият разрешен трафик;
  • няма нужда от сложна конфигурация от страна на клиента: просто регистрирайте защитен IP адрес с псевдоним или на loopback интерфейс;

Услугата вече е достъпна за поръчка в контролния панел (секция „Мрежови услуги“).
При поръчка ще трябва да попълните специален въпросник и да посочите следното:

  • основната цел на използване на сървъра;
  • броя на IP адресите, които трябва да бъдат защитени;
  • желаните мерки за защита от DDoS.

Въз основа на предоставената информация ще изградим оптимална стратегия за защита, съобразена със спецификата на конкретни проекти.

За най-популярните случаи на използване на сървър (уеб сървър, сървър на приложения, DNS сървър) сме подготвили специални шаблони за защита, подходящи за повечето клиенти.

“DDoS Protection” е нова услуга и за нея по-нататъчно развитиеза нас е много важно да получим обратна връзкаот клиенти. Ще сме благодарни за всякакви коментари, предложения и пожелания. Повечето интересни идеиЩе се опитаме да вземем това предвид в бъдещата работа.

Ако не знаете какво представляват DDoS атаките, ви предлагаме първо да прочетете страницата за DDoS атаките.


DDoS защитата, която предлагаме, се състои от прокси, което се намира между вашия сървър и останалия свят. Вашите посетители вече не взаимодействат директно с вашия сървър, а само чрез нашия център за филтриране на трафика. Нашата система пренасочва законните заявки към вашия сървър по напълно прозрачен начин. Никой няма да забележи работата й.

На практика след закупуване получавате защитен IP адрес, който давате на вашите потребители, като реалният IP адрес трябва да се пази в тайна.


Нашият филтриращ център, базиран на специализирана хардуерна платформа, ще пренасочи само чист трафик, идващ от вашите потребители към вашия сървър, като блокира злонамерен трафик.


Дори няма да забележите атака срещу вашия сайт, защитата се активира автоматично веднага щом системата открие ненормален трафик.


Предоставяме защита от два центъра за данни, разделени географски. Можете да използвате център в Европа или на източното крайбрежие на Съединените щати. Съветваме ви да изберете центъра за данни, който е най-близо до вашите сървъри, за да минимизирате закъсненията и да осигурите качествена услуга.



Опитайте да работите с нас и закупете един от нашите планове за защита срещу DDoS, като щракнете върху бутона по-долу.

Ново в сайта

>

Най - известен

© 2024. Зеленчуци. Горски плодове. Зърнени храни. Дървета и храсти. Селско стопанство. Цветя. Пейзаж.

ПОПУЛЯРНИ РАЗДЕЛИ