Введение
По данным компаний Akamai и Arbor Networks в первом квартале 2016-ого года был зафиксирован рекорд по количеству мощных DDoS-атак — 19, мощность каждой превысила 100 Гбит/с. В среднем активность DDoS-атак выросла чуть менее, чем вдвое, если сравнивать показатели год к году, а пик мощности атаки почти достиг 600 Гбит/с.
Аналитики отрасли говорят о том, что ситуация ухудшается и положительной динамики ожидать не приходится. Сегодня все шире распространяются бесплатные или недорогие онлайн-сервисы, которые позволяют легко и быстро организовать DDoS-атаку. Широко известен LizardStresser от хакерской группы Lizard Squad. На его основе построен не один десяток ботнетов. При том, что хакеры усиливают свои мощности, большинство интернет-ресурсов «ложится» от самой простой атаки,
не превышающей по мощности и 1 Гбит/с.
Методы атак при этом известны. Хакеры используют особенности сетевых протоколов. С помощью чужих серверов организуется атака на жертву, которая забивает канал связи и уводит его в оффлайн. Наиболее популярный метод – DNS-усиление, доля которого составляет почти 1/5 от всех атак. За ними идут NTP-, CHARGEN- и SSDP-усиление. Более половины атак при этом сочетают в себе все эти методы, не оставляя жертве практически никаких шансов для отражения атаки. Единственной позитивной динамикой обладает время атак – он в среднем сократилось на 1/3 по сравнению с 2015-ым годом. Эти рекордные показатели, как по количеству, так и по мощности все больше беспокоят владельцев бизнеса, которые зависят от интернет-ресурсов.
Именно поэтому набирает популярность аналитическая DDoS-защита.
Как организовать защиту от DDoS-атак
Организовать качественную DDoS-защиту в рамках собственной инфраструктуры может позволить себе далеко не каждый бизнес, тем более малый. Это затраты и прямые, и косвенные (на поиск квалифицированных кадров). Именно поэтому бизнес все чаще обращается к провайдерам защиты от DDoS-атак и отдает эту функцию на аутсорс.
К примеру, наша компания RUVDS предлагает клиентам аналитическую защиту от DDoS-атак по цене, за которую вы не сможете даже провести собеседование потенциального сотрудника.
Виды атак
Приведем список потенциальных типов атак и их классификацию.
Переполнение канала:
- DNS амплификация и флуд
- NTP амплификация и флуд
- ICMP флуд и фрагментированный ICMP-флуд
- Ping флуд
- UDP флуд и флуд с помощью ботнета, фрагментированный UDP флуд
- VoIP флуд
- Флуд медиа-данными
- Атака широковещательными ICMP ECHO пакетами и UDP пакетами
Атаки на уязвимость сетевых протоколов:
- Атаки с модификацией поля TOS
- ACK / PUSH ACK флуд
- RST/FIN флуд
- SYN и SYN-ACK флуд
- TCP null/ IP null атака
- Атака поддельными TCP сессиями, в том числе с несколькими ACK
- Атака с подменой адреса отправителя адресом получателя
- Атака с помощью перенаправления трафика высоконагруженных сервисов
- Ping смерти
Атаки на уровне приложений:
- HTTP флуд, одиночными запросами, одиночными сессиями
- Атака с целью отказа приложения
- Атака фрагментированными HTTP пакетами
- Сессионная атака. Атака медленными сессиями
- DDoS атаки “нулевого” дня
Как видите, угроз немало, а сам список не окончательный. Однако 99% атак, которые происходят каждый день, подпадают под данную классификацию, а значит, их можно отразить.
Что представляет собой данная защита от подобных атак?
Провайдер помещает IP адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке производится сопоставление трафика, идущего к клиенту, по отношению к известным шаблонам атак. В итоге клиенту доходит уже чистый, отфильтрованный трафик, таким образом, что пользователи ресурса и не узнают, что была предпринята атака.
Для организации такого сервиса в первую очередь создается гео-распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика для конечного клиента. Емкость подобной сети превышает 1500 Гбит/с.
Сначала в борьбу вступают аппаратные средства защиты – производится анализ сигнатуры, статистики и поведения, проверяется соблюдения требований используемых трафиком протоколов (суть уровень защиты L2, L3, L4).
После этого начинается более тонкая аналитическая работа на уровнях L5-L7. Система производит интеллектуальную фильтрацию, проводится анализ атак на протоколы HTTP, HTTPS, поведенческий и корреляционный анализ.
Принимая во внимание список самих атак, эти три этапа защиты превращаются в неподъемную задач для рядового владельца интернет-ресурса.
Что делать?
Выход из данной ситуации есть – переход в облако. Так как основной бизнес провайдера облачной инфраструктуры – информация, он уже позаботился о ее защите, начиная от надежности связи и антивирусах, заканчивая DDoS-защитой себя и своих клиентов. Именно это позволяет провайдеру оказывать услуги по защите по минимальной цене, ведь он, с одной стороны, уже вложился в ее организацию и стремится окупить затраты, с другой стороны знает, что если цена не будет конкурентной, он потеряет клиента по своему основному бизнесу – аренде виртуальных серверов. То есть здесь мы видим полное совпадение интересов клиента и провайдера. А значит в данном случае это наиболее выгодный и правильный метод защиты вашего интернет-ресурса от большинства видов атак.
Судите сами, всего за 400 рублей в месяц можно спать спокойно и забыть о хакерах. Это ли не прекрасно?
Автор: RUVDS.com
