Мало кто сегодня не знает, что такое Distributed Denial Of Service или DDoS-атака. Это киберугроза, подразумевающая «распределённый отказ в-обслуживании», то есть полное или частичное блокирование того или иного веб-сайта, хорошо знакомо не только IT-директорам и специалистам по информационной безопасности, но и рядовым пользователям, которые в результате кибератаки не смогли воспользоваться тем или иным веб-ресурсом. Но такой опыт ещё не означают, что в случае реальной угрозы специалисты применяют самые эффективные средства. Причина этого довольно проста: о DDoS-атаках многие рассуждают, не вникая в суть проблемы, что порождает массу мифов не только относительно природы подобных кибератак, но и способах борьбы с ними.

Ещё одна причина и проблема – уровень компетенции защитников. Сегодня профессиональных поставщиков услуг по защите от DDoS-атак на российском и украинском рынках практически нет. Компании-интеграторы, провайдеры и хостеры, не всегда обладая достаточной компетенцией в нейтрализации таких специфических атак, обычно предлагают типовое оборудование или традиционные решения по информационной безопасности. В свою очередь, владельцы веб-ресурсов в большинстве случаев реально не представляют всей опасности DDoS-атак и, соответственно, не могут понять, как и чем защищаться.

Кроме того, даже при наличии на рынке ряда профессиональных решений защиты очень мало организаций сегодня обращается к ним, выбирая зачастую путь «самолечения». А этот путь в лучшем случае приводит к временному решению проблемы, а в худшем – оканчивается поражением и порождает миф о том, что от DDoS-атаки нет защиты.

Нередко компании игнорируют специализированные решения для защиты от DDoS-атак в связи с тем, что полагаются на другие средства защиты, в частности на брандмауэры, системы IDS\IPS, резервирование ресурсов или специальную настройку системы, например, включение гео-фильтрации. Но все они не спасают от хорошо спланированных атак или же обходятся крайне дорого.
Сетевые провайдеры в качестве защиты практикуют перенаправление атакующего трафика, т.е. временно отключают атакованный ресурс, чем не столько решают проблему, сколько помогают злоумышленникам, так как доступ всех пользователей к сайту становится невозможным.

О типах кибератак

Хочется опровергнуть заблуждения относительно мощности кибератак. Расхожее мнение заключается в том, что слабые DDoS-атаки не представляют большой опасности и с ними вполне можно справиться самостоятельно; настоящую же угрозу несут только мощные атаки. Но аналитические данные «Лаборатории Касперского» и статистические отчёты Radware, доказывают, что на территории России или Украины мощные кибератаки, превышающие 10 Гбит/с, достаточно редки. В минувшем году их набралось менее 9% от всего несметного числа DDoS-атак. А в первом полугодии 2012 года, например, максимальная мощность атаки из числа отражённых защитным сервисом Kaspersky DDoS Prevention, составила всего 2,9 Гбит/с, тогда как средняя мощность атак была вообще 109Мбит/с. Хотя и этого вполне хватило для того, чтобы прекратить работу немалого количества сайтов.

Условно все DDoS-атаки можно разделить на два типа: первые отличаются тем, что для «обрушения» сайта они намеренно переполняют канал связи или затрудняют работу сетевого оборудования паразитным трафиком, а вторые для достижения цели атакуют сервер, перегружая его мощности так, что он оказывается не в состоянии обрабатывать запросы от реальных пользователей. И стоит сказать, что злоумышленники чаще всего предпочтение отдают атакам первого типа. Почему? Да потому что они технически просты и берут своей массовостью, а не хитростью – в результате при минимальных усилиях, финансовых и временных затратах, просто забив канал «мусорными» запросами, киберпреступники получают желаемый результат. Эксперты из Prolexic Technologies отмечают, что рост количества подобных атак за прошлый год составил 25%.

Сложные по своей конструкции атаки, во время которых запросы имитируют поведение реальных пользователей, составляют около 10% от всех DDoS-атак. Почти в половине случаев такие «умные» боты пытаются обратиться к какой-то одной странице сайта, обычно это поисковая или заглавная страница. Примерно четверть интеллектуальных DDoS-атак связаны с «штурмом» формы авторизации. Третье место с рейтингом чуть более 10% занимают атаки с использованием многочисленных попыток скачивания картинки или какого-либо файла с сайта.

Сколько стоит «отказ в обслуживании»?

Для многих остается открытым вопрос, почему DDoS так популярен. Во многом это объясняется финансовой доступностью таких атак. По оценкам экспертов из Group IB, в России, например, стоимость заражения 1 тысячи машин составляет всего 20 долларов, а проведение DDoS-атаки до 20 Гбит/с в течение 24 часов – от 200 до 500 евро. То есть, за эти деньги любой человек может получить реально работающий сервис для совершения киберпреступления. Помимо технической простоты и ценовой доступности для заказчика атаки существенную роль в популяризации DDoS играют трудности в части доказательств факта преступления. К тому же существует проблема несоответствия тяжести самого преступления и ответственности, к которой могут привлечь злоумышленников.

Учитывая все эти обстоятельства, вряд ли можно рассчитывать на то, что злоумышленники откажутся от такого «удобного и экономически выгодного» инструмента, как DDoS. Скорее наоборот – эксперты во всём мире ожидают роста количества DDoS-атак в ближайшем будущем и советуют рассматривать их как реальные киберугрозы для бизнеса и репутации организаций. Причём в зависимости от размеров компании и сферы, в которой она работает, эти угрозы могут варьироваться от простого недовольства клиентов и снижения их лояльности до срыва важных сделок, потери имиджа и простоя критических сервисов.

Как показывает статистика «Лаборатории Касперского», жертвами DDoS-атак чаще всего становятся ресурсы интернет-торговли: всевозможные онлайн-магазины, аукционы, площадки с объявлениями о продаже и т.п. Оно и понятно – у маленьких частных магазинчиков нет финансовых и технологических ресурсов для адекватной защиты от подобных киберугроз.

Значительная доля внимания злоумышленников также приходится на бизнес-ресурсы, так или иначе связанные с реальными деньгами: порталы электронных торговых площадок, сайты банков и др. Причём в последнее время киберпреступники начинают интересоваться этой группой интернет-ресурсов всё активнее – по данным Prolexic Technologies, в первом квартале 2012 года количество DDoS-атак в финансовом секторе увеличилось почти в 3 раза. 

DDoS как средство протеста

Разумеется, в этой статистике не могли не отразиться политические настроения, которые всё чаще стали выражаться не только на площадях и митингах, но и в просторах Интернета. В частности, небезызвестная во всём мире группа Anonymous отличилась и приобрела всеобщую известность благодаря именно таким атакам. Как когда-то главным оружием недовольных был булыжник, так сегодня для Anonymous и протестующих групп таким «инструментом» стал LOIC (программа для осуществления сетевых атак) и социальный DDoS. По сути социальный DDoS – условное название подвида DDoS-атаки, отличительная особенность которого заключается в том, что атака осуществляется не роботами и ботами, а большой группой интернет-пользователей в знак гражданского протеста. В последнее время такие атаки участились, появились даже средства для их автоматизации, что заставляет рассматривать социальный DDoS не как исключительный случай, а как реальную угрозу. Как реализованный пример такого рода угроз можно считать атаку правительственных сайтов республики Сальвадор во второй половине 2011 года, осуществлённую той самой группой Anonymous, или неоднократные атаки сайта ЦРУ в первом полугодии 2012 года.

Что касается Украины, то здесь ситуация вполне соответствует мировым тенденциям. Так, в первой половине этого года больше всего пострадали украинские бизнес-сайты, атаки на которые составили примерно треть всех DDoS-активностей. На втором месте оказались отечественные СМИ, на третьем с очень небольшим отставанием ― интернет-торговля. Атаки на блоги и форумы, а также государственные ресурсы заняли четвёртое и пятое места соответственно.

Способы защиты

Если не всех, то определённо большой части таких атак можно было бы избежать, будь у компаний профессиональное решение по защите от DDoS-атак. «Лаборатория Касперского» уже несколько лет предлагает на российском рынке продукт Kaspersky DDos Prevention (KDP), который теперь доступен и в Украине. Этот сервис представляет собой уникальную для рынка мощную систему распределённой фильтрации трафика, которая осуществляется по высокоскоростным каналам связи с помощью высокопроизводительных серверов, расположенных в разных географических точках. Благодаря такому распределению ресурсов сервис Kaspersky DDoS Prevention отражает атаки практически любой мощности, даже в том случае, если злоумышленники целенаправленно пытаются воздействовать на какой-то из элементов защитной системы.

Система KDP представляет собой программно-аппаратный комплекс, состоящий из нескольких компонентов: сенсора, подсистемы управления (коллектора) и центров очистки трафика, портала. Специальный сенсор, который размещается непосредственно у защищаемого ресурса, получает и агрегирует информацию о его трафике. Эти данные оперативно передаются подсистеме управления – коллектору, который является самым многофункциональным элементом KDP и отвечает за анализ получаемой с сенсоров статистики и построение профиля легального пользовательского трафика. Благодаря применению уникальных технологий «Лаборатории Касперского» коллектор умеет выявлять аномалии, выходящие за рамки пользовательского профиля, и принимать решения о необходимости фильтрации опасного трафика путём перенаправления всех запросов, адресованных защищаемому ресурсу, на центр очистки. Получая команды от коллектора, центр очистки фильтрует опасный трафик DDoS-атаки, оставляя только легальные обращения. А с помощью веб-портала клиент Kaspersky DDoS Prevention может контролировать параметры работы системы, анализировать показатели трафика ресурса и возникающие аномалии.

Среди преимуществ Kaspersky DDoS Prevention можно назвать комплексную систему фильтрации, основанную на различных критериях. В частности, решение анализирует отклонение статистических параметров трафика от типовых значений, проверяет запросы по чёрным и белым спискам, отслеживает соблюдение или несоблюдение спецификаций прикладных протоколов, а также изучает индивидуальные особенности поведения ботов. Такой набор статистических, сигнатурных, поведенческих и других методов очистки трафика позволяет защищать интернет-ресурсы от сложных интеллектуальных атак, в том числе от атак типа low rate. Кстати, модульная структура центров очистки делает возможным обновление функционала системы даже во время отражения атаки.

Помимо всего прочего, сервис Kaspersky DDoS Prevention выгодно отличает индивидуальная настройка системы и индивидуальный подход к защите каждого конкретного ресурса: исходя из особенностей портала или сервиса, в системе создаются специальные профили фильтрации трафика. Гарантией же постоянной работы защитной системы выступает команда профессионалов «Лаборатории Касперского», более 5 лет изучающая методы и способы защиты от DDoS-атак и обеспечивающая поддержку клиентам в режиме 24х7.

Автор статьи – руководитель проекта Kaspersky DDoS Prevention, «Лаборатория Касперского»