Кибер-атаки из развлечения школьников стали не только инструментом «конкурентной» борьбы, но и становятся инструментом политической борьбы. Эта реальность с которой так или иначе должны считаться не только коммерческие организации, но государственные институты. Мы расскажем о видах атак и о том, как защитить свою ИТ инфраструктуру.

Суть DDos-атак не изменилась, но нужно защищаться

ИТ-сфера развивается, усложняется, поэтому и усложняются атаки. Технически, DDos-атака как была так и осталось комплексом действий, где цель - “забить” канал связи, при котором будет недоступен сайт/сервис. Это возможно при разных сценариях. Только если раньше атаковались сервера, находящиеся у клиента, теперь атакуются мощности провайдеров. Но у провайдеров (ЦОДов) гораздо больше возможностей защиты. Из-за усложнения ИТ-инфраструктуры меняются составляющие “архитектуры атаки” через которые идет атака. Как правило, сеть любого предприятия состоит из разного рода решений: свичи, роутеры, все они разные по уровню защиты, и поэтому они могут подвергнуться атаке.

Раньше для этого взламывались рабочие компьютеры – но это затратно и не так эффективно. Последний тренд, о котором сообщают ИТ-инженеры по кибер-безопасности - атака через элементы виденаблюдения. Взламываются регистраторы и IP камеры так как чаще всего эти устройства работают на Open Source решениях и уязвимы для злоумышленников. Затем эта ботнет-сеть начинает атаковать какой-то адрес. Такой распределенной сетью, которая атакует (шлет запросы) могут быть любые «вещи с подключением к интернету» ведь той же IP камере, или холодильнику с подключением к сети, все равно, куда слать запрос. Любые датчики, подключенные к интеренету, если они инфицированы - могут быть очень опасной вещью. Таким образом «интернет вещей», который сулит блага цивилизации может обернуться уязвимостью всей огромной современной ИТ-инфраструктуры.

Системы безопасности уже давно могут собирать разные событие в общие лог-файлы, но вопрос в том, что с этим делать - как это интерпретировать? При правильной архитектуре системы безопасности - система может собрать все разрозненные события в одну общую картину, которая сразу проясняет клиенту что и откуда у него было атаковано. Например, кто-то сканировал порты заказчика, а потом началась атака для доступа к данным и т.д. - Такими возможностями «понимания» событий защиты для своих клиентов обладают провайдеры и ЦОДы.

Для справки, основные виды DDos:

UDP-флуд — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть. Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимност

HTTP-флуд - это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов. Данная flood атака может быть нацелена как на корень сервера, так и на его скрипт, занятый выполнением ресурсоемких задач. Распознание данной атаки возможно путем выявления быстрого роста количества запросов к одному или нескольким скриптам на сервери и быстрому росту логов сервера.

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Причины и возможные сценарии ддос-атак

Кибер-атака - это целый комплекс мероприятий, который требует тщательной подготовки: социнженерия, сканирование сети, выявление слабых мест. Как правило ддос-атака если это целенаправленный заказ кого-то из недоброжелателей, и скорее всего, это часть какого общего плана по дестабилизации: например вышибить сайт из поискового индекса.

Все зависит от цели атаки. В случае с коммерческими сайтами-агрегаторами, целью атаки может быть недельный (!) перерыв в доступе к сайту – чтобы сайт «ушел» из поискового индекса. Например, недавно был атакован сайт нашего клиента - Avtobazar.ua. На восстановление  прежних, до атаки, позиций в поисковиках у администраторов сайта ушло бы много времени (до 1 месяца) что для сайта-агрегатора -  равносильно катастрофе. Ведь основной контент (объявления о купле-продаже автомобилей) генерят сами пользователи. После вышеописанных атак, администрация сайта Автобазар приобрела у провайдера, в датацентре Космонова, самую продвинутую защиту от DDos, и, очевидно, не жалеет об этом.

Есть такой сценарий DDos атаки, посылающая сторона разбивает пакет «данных» на 10 частей, принимающая сторона принимает 1 пакет, ожидает и резервирует место под еще 9 частей, чтобы показывать полученный пакет – и по этой причине память на сервере заканчивается. На самом пакет таких «данных» состоит из нескольких килобайт и призван блокировать работу сервера.

Существует много атак связанных с шифрованием, которые требуют у жертвы очень много затрат процессорного времени и мощности. Злоумышленник может отправить запрос на установление шифрованного соединения и больше ничего не делать, а принимающая сторона начинает  считать хеши, принимать ключи -  тратить свои мощности на фейковые запросы.

Важна правильная настройка ИТ безопасности

Также никто не может исключать человеческий фактор, сводящий на нет все усилия по защите ИТ-периметра. Очень часто дело не в качестве решений по безопасности, а в правильном их использовании и настройке. Другими словами, даже приобретя хорошее дорогостоящее решение по защите, само по себе инструмент должен использоваться в правильном варианте ИТ-инфраструктуры.

Атаки есть простые, есть сложные, есть дешевые, а есть дорогие, все зависит от конкретного сайта или сервиса, который хотят атаковать.  В самом простом случае - у клиента забивают канал, в случае сложной атаки - у клиента страдает что-то программно. Также часто хакеры, которые продают DDos-атаки что-то атакуют, чтобы показать «свои возможности» перед потенциальными заказчиками.

Как уже говорилось, DDos-атака может быть частью общего плана злоумышленников – как отвлекающий фактор. Например, взламывается счета компании, выводятся деньги, а затем ддосом ложится сеть, чтобы компании - жертве взлома, было не до того, чтобы не могли ничего сделать - не смогли бы «догнать» свои украденные деньги.

Социальная инженерия как средство взлома

Очень часто злоумышленникам не нужно ничего взламывать, средством «взлома» служит  социальная инженерия – просчет поведения людей. Например, рядом с офисом «теряется» флешка, кто-то из сотрудников находит ее, приносит на работу, вставляет флешку - и вуаля - не нужно ничего взламывать – сеть компании заражена изнутри, в обход всех систем защиты. И сеть огромного предприятия не работает. Особенность таких «заражений» в том, что их очень сложно вылечить, так как заражено вообще все. Устройства сети постоянно перезаражают друг друга. Администратор только вылечил какой-то хост, как он тут же перезаражается. Например, таким образом была заражена сеть супермаркетов электроники и МБТ/КБТ. ИТ-отделу пришлось срочно разбивать на карантинные сектора всю сеть, и поочередно «лечить» все устройства - на 2 дня была парализована работа всей огромной компании. Можно посчитать убытки, ведь для того, что очистить даже самую удаленную кассу, администраторам нужно было физически поехать и очищать устройство от вируса.

Также опасными могут так называемые zero day уязвимости – те «дыры», которые еще неизвестны производителю как уязвимости. И открывая PDF-файл из интернета, вы не можете быть уверены, что это не будет чревато для вашей ит-системы. Тот же Microsoft постоянно шлет патчи по закрытию уязвимости, но здесь все может зависеть от элементарного головотяпства, когда администраторы просто не считают нужным ставить обновления на свой парк машин, которые остаются уязвимыми для внешних и внутренних угроз.

Основные виды защиты от DDos в датацентре Космонова

Провайдеры могут предоставлять разные уровни защиты своих клиентов от DDos-атак на их сайты/сервисы/данные. В чем преимущество защиты ваших данных у провайдера? Так как провайдер  специализируется на хранении данных, у него широкий канал, и еще и не один, и он всячески резервирует свои каналы, поэтому «забить» канал у провайдера - не так просто. Опишем, как работает наша система защиты от DDos-атак в датацентре Космонова.

Первый уровень защиты: блокировка IP адреса на который идет атака. При этом варианте происходит полная блокировка всего трафика на конкретный клиентский IP - сайт клиента будет недоступен до защиты, или до завершения атаки. Но другие IP адреса клиентской инфраструктуры подхватывают работу и полностью восстанавливают доступ к сайту/сервису/данным клиента. Данные передаются в коллектор, где на основании основных параметров (количество полученных пакетов в секунду, или объем трафика – мбит/сек) может быть принято решение о полной блокировке всего трафика на конкретный клиентский IP. Блокировку можно оперативно установить или снять вручную.  Эта услуга по защите идет бесплатно для всех наших клиентов.

Второй вариант защиты: блокировка всего трафика на конкретный клиентский IP по конкретному порту/портах, эта услуга удорожает стоимость канала связи для клиента, жертва не доступна со всего интернета по запрещённому  порту, при этом остальные клиентские адреса продолжают нормальную работу.

И, наконец третий и самый продвинутый вариант: специальные программно-аппаратные решения анализируют входящие запросы для распознавания атаки. На первом этапе происходит фильтрация запросов, которые не проходят алгоритм авторизации браузера. Затем включается множественные алгоритмы различной проверки входящего трафика. Эти устройства ставятся в разрыв сети, которые без задержек анализируют трафик. При этом эта защита прозрачно пропускает поисковых ботов и заявленные скрипты автоматизации. Эта услуга состоит из разовых затрат на аудит и оптимизации порогов ежемесячной защиты. Естественно этот вариант защиты является самым дорогим.

Возможности продвинутой защиты от DDos-атак в датацентре Космонова:

- Трафик атаки датацентр Космонова может выдержать около - 2Мппс.

- Возможна блокировка по не прохождению авторизации браузера - если не выполнен скрипт - адрес блокируется, блокировка по выполнению определенного запроса Request URI/Referer/Useragent,

- блокировка по  количеству запросов в минуту с одного адреса

- Stateless ICMP / UDP флуд – до 100Гбит в сек

- Stateful SYN флуд – 10M Пакетов в секунду;

- HTTP флуд –  2М запросов/новых посетителей в секунду;

- Мощность HTTP балансировщика нагрузки – 1M запросов в секунду или 8Гбит трафика;

- Возможность настраивать через вебинтерфейс stateless-фильтры вручную  или в результате работы алгоритмов обнаружения атаки;

- Возможность настраивать маршрутизацию системы, используемые блоки,  bgp взаимодействие;

- Возможность настраивать параметры HTTP защиты, алгоритма анализа клиентов, capcha страницы, исключений, белых и черных списков для одного адреса или для IP диапазона;

- Возможность активировать через вебинтерфейс stateful firewall с SYN прокси вручную или с помощью алгоритма обнаружения атак;

- Возможность включать из вебинтерфейса функцию балансировки нагрузки между несколькими серверами;

- Отсутствие единой точки отказа – все компоненты резервированы – ноды, контроллеры, блоки питания и сетевые компоненты;

- Вебинтерфейс отображает консоль администратора в котором видны все показатели системы, доступность и загруженность узлов и каналов, расширенный модуль статистики отображающий трафик в представлении протоколов и разных типов атак, которые он может подавлять.

- Возможность системы работать в режиме Web Application firewall для определения сигнатурным методом атак на вебсервера и их предотвращения

Типы атак, защиту от которых предоставляет ЦОД Космонова:

• ICMP/UDP атаки
• ICMP flood, UDP flood, DNS/NTP flood
• TCP атаки
• SYN Flood, SYN-ACK Flood, Fake Session, Session Attack, Misused Application
• TCP-HTTP Based
• HTTP GET Flood, POST flood, Recursive GET, Random Recursive GET, Faulty Application);

Вопросы о защите вашей ИТ инфраструктуры вы можете направить специалистам компании Космонова: b2b@cosmonova.net