Распределенные атаки, направленные на отказ в обслуживании (Distributed Denial-Of-Service) набирают обороты: согласно исследованиям аналитиков Arbor Networks, в 2015 году свыше трети компаний каждый месяц подвергались атакам. При этом эксперты прогнозируют, что в будущем любая компания, имеющая свою площадку в Интернете, будет подвергаться DDoS-атакам как минимум несколько раз в году.

Стоимость проведения атаки обойдется злоумышленникам от нескольких сотен до нескольких тысяч долларов за один день, однако ущерб от атак, как правило, оказывается на порядок больше. Как оцениваются эти потери? Прежде всего, компания не имеет возможности осуществлять основную деятельность: не работает основной сайт, call-центр, системы ДБО (для банка), отсутствует доступ к критичной бизнес-информации. Все это приводит к упущенной прибыли и контрактам, а также влечет дополнительные расходы, связанные с затратами на расследование атаки, устранение ее последствий и привлечение консультантов по ИБ. Также DDoS-атака чревата потерей доверия клиентов, причем половина респондентов считают, что это самое худшее, что может случиться.

Вышеприведенные данные подтверждает совместное исследование Kaspersky Lab и B2B International, проведенное в начале этого года. Согласно результатам, успешная DDoS-атака на онлайн-ресурс компании влечет за собой убытки в среднем от 52 тысяч до 444 тысяч долларов, в зависимости от размера компании. В сумму ущерба от DDoS-атаки входят репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов, а также расходы на устранение последствий инцидента. Например, 65% компаний были вынуждены воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной IT-инфраструктуры, 46% обращались к юристам, а 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.

Подобные угрозы приводят к быстрому росту рынка решений для защиты от DDoS-атак. В компании IDC утверждают, что по итогам 2015 года этот рынок в глобальном масштабе составит 657,9 млн долларов, а к 2018 году увеличится до 944,4 млн.

Анатомия DDoS-атак

Как правило, DDoS-атаки нацелены на приложения или сетевую инфраструктуру компании с целью затруднения доступа к ресурсам/приложения или полного предотвращения доступа к ним. Типичными жертвами данных атак являются интернет-площадки, банки и страховые компании, СМИ, госучреждения, сайты игровых сообществ.

Согласно исследованиям Arbor Networks, чаще всего хакеры атакуют HTTP-сервисы, далее следуют DNS-, HTTPS-, SMTP-, SIP/VoIP-сервисы и другие. С технологической точки зрения DDoS можно разделить на три основные категории: TCP State-Exhausting, Volumetric и Application Layer.

Атаки TCP State-Exhausting нацелены на традиционную структуру сетевой безопасности — устройства связи с контролем состояний (load balancers, firewalls, application servers).

Вторая категория — атаки класса Volumetric — направлены на то, чтобы перегрузить канал связи, предоставляемый оператором связи.

В свою очередь атаки уровня приложения (Application Layer Attacks) берут под прицел определѐнные уязвимости ПО. В процессе нападения злоумышленники осуществляют медленные маломощные атаки, которые выводят из строя веб-серверы (эти атаки также называются low-and-slow). Как правило, они осуществляются с применением небольших объемов трафика. Атаки на уровне приложений генерируют постоянные обращения к ресурсам предприятия — например, к веб-сайтам, веб-приложениям, серверам и т.д. В результате приложения значительно замедляют или вовсе останавливают свою работу.

Для выполнения DDoS-атак злоумышленники предварительно заражают и берут под контроль любые подключенные к интернету устройства: ПК, планшеты, мобильные телефоны и т. д. Все эти устройства становятся частью ботнета, который затем используются для проведения DDoS-атак. Первые ботнеты сформировались более десяти лет назад в среде компьютерных игроков, на базе ресурсов игровой индустрии и сайтов электронной торговли. В течение нескольких последующих лет активность DDoS-атак постепенно росла, а 2012 года она начала расти лавинообразно, причем именно на 2012 год припало наибольшее число разрушительных DDoS-атак. Игровая индустрия до сих пор остается привлекательным объектом для нападений. В то же время за последние несколько лет сфера применения DDoS-атак заметно расширилась и теперь включает в себя финансовый, правительственный, технологический секторы, а также сферу развлечений в целом.

В последние годы DDoS-атаки стали заметно изощреннее, в то же время для конечного потребителям они стали проще в реализации. Например, теперь злоумышленники имеют возможность арендовать ботнеты через интернет за небольшую сумму, воспользовавшись услугами подрядчиков для управления атакой. При этом для успешной реализации DDoS-атаки не требуются особые знания.

Эксперты отмечают, что многие DDoS-атаки демонстрируют постоянное изменение тактик, и это наталкивает на мысль, что большинство таких атак — лишь разведка боем. Тем самым киберпреступники пытаются найти слабое место в защите организации. Кроме того, DDoS-атаки часто служат отвлекающим маневром от других, более агрессивных действий хакеров. Например, параллельно может осуществляться незаметное внедрение вредоносного ПО через совершенно иные интернет-ресурсы организации.

Рецепты противодействия

Для защиты от DDoS-атак обычно используются брандмауэры и системы IDS/IPS. Однако они находятся непосредственно перед ресурсом, который подлежит защите, и не могут противодействовать атакам на переполнение канала связи. В определенных случаях может помочь правильная настройка системы, однако это работает только в случае небольших и плохо подготовленных атак.

Со стороны провайдеров может применяться маршрутизация в «черные дыры», она заключается в перенаправлении трафика, на который осуществляется атака. Проблема в том, что вместе с ним перенаправляются и легальные запросы. Таким образом, киберпреступники все же достигают своей цели, поскольку ресурс становится недоступным для пользователей.

Относительно эффективным является многократное резервирование ресурсов, однако это крайне дорогой способ, а потому недоступный для большинства организаций.

Стоит отметить, что ИТ-отделы компаний не всегда могут сказать, кто атаковал и какие атаки были зафиксированы на протяжении определенного периода времени. Иногда ИТ-специалисты замечали, что стали жертвой удачной DDoS-атаки только спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от интернет-провайдера.

Исследования говорят, что в 21% случаев компании узнают об атаке после жалоб пользователей, пытающихся получить доступ к услугам. Еще 14% специалистов регистрируют такого рода активность киберпреступников по перебоям в работе собственной инфраструктуры. И такой же процент опрошенных отметил сбой корпоративных интернет-приложений. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут.

Двойной удар

Наш опыт свидетельствует о том, что наиболее оптимально использовать гибридный подход для противодействия DDoS-атакам, когда защита установлена как на стороне клиента, так и на стороне провайдера. Рассмотрим данный подход более подробно.

Чтобы решить проблему переполнения канала, необходимо использовать защитные системы на стороне провайдера. Поскольку у последнего намного более широкая полоса пропускания входящего канала, переполнить его канал гораздо труднее. Технология очистки трафика на стороне провайдера состоит из двух этапов: вначале решение анализирует трафик (по BGP/flow/SNMP/NetFlow/sFlow, etc.) с разных участков сети провайдера – с границы, опорной сети, сети агрегации. В случае детектирования атаки зараженный трафик отправляется в центр очистки, где проходит через целый ряд различных систем. Уже чистый трафик отправляется далее к клиенту. Услуга может предоставляться на базе регулярной абонентской платы или в режиме «скорой помощи», когда заказчик обращается к провайдеру услуги при детектировании атаки на свои серверы.

Однако есть одна сложность: необходимо найти провайдера, который предоставляет услугу защиты от DDOS-атак. Кроме того, в дальнейшем у клиента появляется зависимость от одного провайдера.

В последнее время, из-за появления атак, нацеленных на веб-серверы, возникает необходимость в защите на «последней миле», то есть на стороне заказчика. В результате анализируются все проходящие пакеты и могут детектироваться все возможные DDoS-атаки. Подобные атаки сложно обнаружить на стороне провайдера из-за их малой мощности.

В рамках такой защиты на стороне клиента устанавливается программно-аппаратный комплекс для фильтрации DDOS-атак в его инфраструктуре, например, от Arbor или Fortinet. Такие решения компании придется администрировать своими силами, что потребует расходов на содержание и обучение дополнительного персонала.

Потому мы считаем что на сегодняшний день оптимальным решением по защите от DDoS является подход, которых совмещает в себе следующее: очистка на уровне провайдера для отсечения лавинообразных атак и решение для защиты на стороне конечного заказчика.

Автор статьи — руководитель направления информационной безопасности ITbiz Solutions