Перспективные DDoS-атаки: о чём нужно знать и как готовиться?
Самошкин
вице-президент по продуктам компании G-Core Labs
По мере своего роста проекты и организации приобретают новые ресурсы, но и оказываются перед лицом новых угроз. Иногда даже незначительные по масштабу компании становятся жертвами киберпреступников.
Причины атак на цифровые ресурсы могут быть различными — от охоты за ценными сведениями и доступами до намеренного причинения репутационного и финансового ущерба. В любом случае безопасность должна стоять на первом месте.
Облачная инфраструктура, особенно публичные облака, приобрели большую популярность за прошедшие несколько лет. Тысячи компаний по всему миру, от малого бизнеса до настоящих гигантов, полагаются на облачные сервисы. Киберугрозы могут поставить под удар любой онлайн-бизнес, если не предпринимать меры для защиты.
Классификация DDoS-атак
Одной из самых распространнённых киберугроз являются DDoS-атаки, Distributed Denial of Service. Их целью является дословно "Отказ в обслуживании" — то есть такие атаки нарушают работу серверов, сайтов, сервисов посредством избыточного потока запросов. Не рассчитанные на высокие нагрузки ресурсы просто перестают работать, в результате чего доступа к ним лишаются все пользователи. Также в рамках DDoS-атак используются уязвимости на уровне сетевых протоколов и непосредственно приложений.
Термин "distributed", или "распределённые", применительно к данному виду атак предполагает, что в качестве их источника злоумышленниками скрытно используются целые сети заражённых устройств — ботнеты. Владельцы зачастую не подозревают, что с их устройств и IP-адресов осуществляются атаки. Особенно удачно для таких целей подходят IoT-девайсы, количество которых непрерывно растёт, а защищённость остаётся на низком уровне.
Несмотря на то, что почти половина всех DDoS-атак имеют смешанный характер, выделяют три основные категории.
Volumetric attacks
Объёмные атаки или флуд. Самый распространённый тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети. Его объём может доходить до нескольких терабит в секунду. В результате, неподготовленная инфраструктура не выдерживает атаки и перестаёт отвечать на запросы.
К типу volumetric attacks относятся такие категории, как, например:
- DNS amplification (усиление) — к публичному DNS-серверу от имени жертвы (в запросах прописывается IP атакуемого сервера) идут многочисленные запросы, требующие объёмных ответов. Последние, в свою очередь, перенаправляются на сервер жертвы.
- DNS flood — отправка запросов DNS-серверу с многочисленных IP-адресов. Среди полученных сервером пакетов весьма тяжело обнаружить вредоносные.
- ICMP flood — ICMP пакеты не требуют подтверждения о получении, поэтому их крайне трудно отделить от вредоносного трафика.
- SYN flood — отправка избыточного количества запросов на открытие новых сессий с целью исчерпать память таблицы соединений.
Protocol attacks
Существует разновидность атак, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объёмом трафика, сколько точечными действиями, использующими несовершенства сети. В частности, к атакам данного типа относится:
- POD (ping of death) — пинг сервера с помощью ICMP пакетов, в которых содержимое искажено или объём которых превышает максимально допустимый.
Application layer attacks
Атаки на прикладном уровне, 7 уровень OSI, направлены на веб-сервера и приложения — например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM. Цель может быть достигнута с помощью внешнего HTTP-запроса, в ответ на который система начинает исполнение такого числа внутренних запросов, на которое просто не рассчитана. К атакам на уровне приложений среди прочих относятся:
- HTTP flood — избыточное количество GET и POST запросов к серверу — например, для получения самых тяжёлых элементов сайта.
- Slowloris — бот открывает множество сессий на сервере, при этом, не отвечая на них и провоцируя таймаут. В результате, такие поддельные сессии забирают на себя ресурсы сервера и ведут к его недоступности.
Самые перспективные типы DDoS-атак
К некоторым методам злоумышленники проявляют особый интерес ввиду их высокой эффективности. Самые серьёзные инциденты как в настоящем, так и в ближайшей перспективе, связаны с несколькими типами DDoS-атак.
DNS reflected Amplification
Подвид volumetric атак, суть которых — в комбинации двух вредоносных факторов. Во-первых, имитируя запрос с сервера жертвы путём подстановки его IP в запрос, атакующий использует публичный DNS-сервер как рефлектор, то есть, "отражатель". Тот, получив запрос якобы от атакуемого сервера, возвращает ответ ему же, "отражая" запрос.
Более того, запросить можно не только IP-адрес домена, а намного больше данных, в связи с чем ответ DNS-сервера станет гораздо более объёмным. Наконец, трафик можно довести до предела, осуществляя запросы через ботнет. Таким образом, с высокой вероятностью достигается перегрузка пропускной полосы сервера жертвы.
Самый известный случай применения DNS reflected amplification — атака на github в феврале 2018 — самая крупная из известных DDoS-атак. Поток трафика достигал 1,35 Тб/с, а коэффициент усиления (амплификация) — 51 000.
Generated UDP Flood
Generated UDP Flood сочетает генерацию избыточного объёма трафика и элементы атаки уровня протоколов.
Атака с помощью UDP-пакетов, отправляемых с подставных IP-адресов, направлена на IP-адрес и порт сервера. Правильно подобрав параметры пакетов и интенсивности их отправки, можно сымитировать легитимный трафик. Выявить "мусорные" запросы становится крайне трудно.
Такой атаке подвергся сервер MMORPG Albion Online. В качестве решения для устранения угрозы был выбран программный комплекс G-Core Labs, сочетающий такие методы, как:
- Rate-limiting — ограничение трафика;
- Regexp-filtering — фильтрация пакетов, совпадающих с regexp в payload;
- Whitelisting — добавление IP игрока в белый список при прохождении авторизации;
- Blacklisting — добавление в чёрный список адресов, не прошедших валидацию;
- IP Geolocation Filter — блокировка IP-адресов по геолокации;
а также ряд методов, не имеющих аналогов. Например, G‑Core Labs' Challenge Response (CR) — протокол, интегрируемый на стороне клиента и позволяющий валидировать его IP-адрес.
HTTP GET/POST Flood
Атака уровня приложений. В данном случае на сервер отправляется непрерывный поток GET и POST запросов, легитимных на первый взгляд. Проблема в том, что атакующий не дожидается ответов, а направляет запросы постоянно, вследствие чего ресурсы сервера исчерпываются в процессе их обработки.
Согласно открытым источникам, от подобной атаки в ноябре 2016 пострадали сайты ряда крупных российских банков. HTTP flood использовали в самом начале, чтобы точно определить частоту запросов и объём трафика, необходимый для отказа в обслуживании. Метод выступил как вспомогательный, после чего в ход пошли другие инструменты.
Burst attack (Hit-and-run)
Один из подвидов Volumetric атак, hit and run работает особым образом, непохожим на большинство других атак. Это непродолжительные всплески трафика, объёмом сотни гигабит в секунду, длительностью 20-60 минут, а в ряде случаев — менее минуты. Они многократно повторяются в течение длительных периодов времени — дней и даже недель — с интервалами, в среднем, 1-2 суток.
Подобные атаки стали популярными ввиду своей дешевизны. Они эффективны против защитных решений, активируемых вручную. Опасность hit and run заключается в том, что последовательная защита требует непрерывного мониторинга и готовности систем реагирования.
Основными жертвами атак hit-and-run становятся сервера онлайн-игр и сервис-провайдеры. С ними сталкиваются 42% организаций.
SYN Flood
Очередной пример класса Volumetric атак. Стандартное соединение с сервером по протоколу TCP производится методом трёх рукопожатий. На первом этапе клиент отправляет пакет с флагом SYN для синхронизации. Сервер отвечает пакетом SYN-ACK, уведомляя клиента о получении первого пакета и предлагая отправить завершающий, третий, для подтверждения соединения. Клиент же не отвечает пакетом ACK, продолжая флуд, и, тем самым, перегружая ресурсы сервера.
SYN flood атакам, а также их близким аналогам подвергались крупнейшие компании, такие как Amazon, SoftLayer (IBM), Eurobet Italia SRL, Korea Telecom. Одним из серьёзных инцидентов стало выведение из строя сайта спортивных ставок Eurobet в октябре 2019. Позднее в том же месяце жертвами TCP SYN-ACK reflection стали ряд финансовых и телекоммуникационных компаний в Италии, Южной Корее и Турции.
Slowloris
Представитель DDoS-атак уровня приложений. Session attack или Slowloris нацелена на "изматывание" сервера жертвы. Злоумышленник открывает множество соединений и держит каждое из них открытым как можно дольше до момента таймаута.
Подобные атаки нелегко обнаружить, так как соединение TCP уже установлено, HTTP запросы выглядят легитимными. Через некоторое время такая тактика позволяет занять все соединения, исключив доступ реальных пользователей к серверу.
Slowloris приобрела широкую известность в ходе президентских выборов в Иране, когда атакующие предприняли попытку отключить сайты, принадлежащие правительству страны.
Как защититься от DDoS атак: 3 составляющих безопасности системы
Очевидно, что кибербезопасность — узкая компетенция и её едва ли удастся закрыть так же легко, как HR или бухгалтерию, какой бы продвинутой ни была компания. Важно заботиться о том, чтобы ваши сервис-провайдеры и поставщики инфраструктуры были глубоко погружены в вопросы кибербезопасности и зарекомендовали себя как настоящие профессионалы.
Надёжная защита обеспечивается соблюдением 3 условий:
- Использование проверенного решения для непрерывной защиты от DDoS-атак;
- Разработка плана действий на случай угрозы — DDoS Response Plan;
- Проведение регулярного healthcheck системы и устранение уязвимостей приложений.
Проверенное решение для защиты от DDoS
Если рассматривать облачную инфраструктуру, то в данной сфере защита требует особого внимания.
Сервер — одна из основ любого веб-сервиса, приложения, сайта. Если на него совершена атака, которая привела к потере доступа пользователей к ресурсам, последствия могут быть плачевными. Это финансовые и репутационные риски, компрометация конфиденциальной информации, уничтожение ценных ресурсов, судебные риски.
Чтобы сохранить активы в безопасности, важно использовать проверенные средства онлайн-защиты. Они должны включать такие элементы, как:
- Средства непрерывного мониторинга трафика и выявления подозрительной активности;
- Black- и whitelisting IP-адресов;
- Систему оповещения об угрозах;
- Систему нейтрализации атак.
Особенно важно в процессе ликвидации угрозы не заблокировать пользовательский трафик вместе с вредоносным.
Показательным примером эффективной точной настройки служит сервис защиты от DDoS-атак компании G-Core Labs. Этот сервис полезен любому онлайн-бизнесу: медиа-ресурсам, разработчикам и издателям игр, телеком-компаниям, страховому бизнесу и банкам, а особенно — интернет-магазинам.
Интеллектуальная фильтрация трафика на основе анализа статистических, сигнатурных, технических и поведенческих факторов даёт возможность блокировать даже единичные вредоносные запросы, не затрагивая рядовых пользователей.
DDoS Response Plan
План реагирования призван ограничить ущерб, причиняемый DDoS-атакой. Это должна быть чёткая последовательность действий и мер, незамедлительно принимаемых при возникновении угрозы.
Подробный план должен включать, как минимум, такие меры, как:
- Установление полного перечня ресурсов, подвергшихся атаке;
- Локализация угрозы и предотвращение её распространения;
- Оповещение ответственных и заинтересованных лиц об инциденте;
- Идентификация характера угрозы, обнаружение цифровых следов;
- Определение методов и средств, лежащих в основе атаки;
- Полное сканирование IT-инфраструктуры, оценка ущерба;
- Контроль исходящего трафика и предотвращение утечек информации;
- Устранение угрозы;
- Подготовка к противодействию аналогичным атакам в будущем.
Регулярный Healthcheck системы и устранение уязвимостей приложения
Чтобы DDoS-атака не застала врасплох и нанесла минимальный урон, следует постоянно совершенствовать защитные механизмы. Правило касается не только инструментов, предназначенных для отражения атак, но и защищаемой инфраструктуры и приложения.
- Уязвимости на этапе аутентификации;
- Вредоносные вставки кода;
- Cross-site scripting;
- Уязвимости шифрования;
- Логические ошибки, несовершенная структура данных;
Всё это перечень потенциальных угроз. Сканирование систем на предмет уязвимостей и постоянное обновление кода приложений поможет поддерживать устойчивость ресурсов компании к большинству известных киберугроз.