Эволюция DDoS: от flood-атак до атак на уровне приложений
В последние несколько лет распределенные атаки типа «отказ в обслуживании» (Distributed Denial Of Service, DDoS) эволюционировали из относительно простых flood-атак в сложные и многоступенчатые атаки. Кроме того, вместе с традиционными атаками высокого уровня, которые направляют массированные объемы трафика с целью перегрузки сервера, бизнес также столкнулся с направленными атаками. Они используют относительно небольшой объем трафика, нацеленный на приложения, которые обрабатывают огромные объемы данных. Причем эти атаки не обнаруживаются традиционными решениями защиты от DDoS. Сбой, причиненный DDoS-атакой, может привести к огромным убыткам в бизнесе, независимо от размера компании или организации, подвергшейся нападению.
Немного истории
Первая распределенная атака типа DDoS состоялась в 2000 г. и была нацелена на сайты Amazon, eBay и другие площадки e-commerce. В качестве инструмента для осуществления масштабных атак киберпреступники использовали ботнет из множества ПК, которые генерировали огромное число запросов и загрузили серверы, обслуживающие порталы e-commerce, настолько сильно, что те уже не могли обрабатывать запросы пользователей. Общий ущерб от атак оценивается примерно в $1,7 млрд.
С тех пор DDoS-атаки очень сильно эволюционировали: от примитивного инструмента, использующего атаки с большим объемом трафика для перегрузки веб-серверов, до сложных комплексных атак уровня приложений, разработанных для прицельного удара по стратегическим бизнес-ресурсам. В 2012 г. произошла серия таких атак против банковской индустрии, с целью осуществления финансового мошенничества. Секторы образования и электронной коммерции тоже не раз становились мишенью киберпреступников.
Интернет и социальные сети содержат информацию, которая может быть полезна злоумышленникам. Это означает, что киберпреступники по-прежнему имеют доступ к множеству дешевых ботнетов и бесплатных программных средств типа Low Orbit Ion Cannon (LOIC), которые легки в применении и могут вывести из строя инфраструктуру приложений большинства компаний. В конце прошлого года стоимость одного часа DDoS-атаки на черном рынке составляла всего $5, неделя непрерывной DDoS-атаки — примерно $260, а месяц — всего $900.
Способы осуществления и мотивы применения DDoS также эволюционировали. Этот тип атак стали чаще использовать группы «хактивистов» типа Anonymous для социальных протестов и организованной преступной деятельности, нанося финансовый ущерб атаками по заданным веб-сайтам и веб-сервисам. Кроме того, DDoS-атаки играют большую роль в изощренных гибридных атаках на организации, для которых Интернет играет критически важную роль. Гибридные атаки подразумевают использование техники DDoS для того, чтобы сбить с толку команды специалистов ИТ и ИБ и эффективно отвлечь их внимание от более уязвимых мест в защите.
2013 г. показал, что DDoS-атаки поднялись на новый уровень и привели к еще большему числу упоминаний в СМИ. В то время, как многие компании продолжают полагать, что их веб-сайты и инфраструктура приложений адекватно защищены против кибератак, другие уже приготовились к защите против более сложной структуры DDoS-атак. Согласно независимому исследованию, 64% ИТ-специалистов (имеющих более 10 лет опыта) заявили, что мощность кибератак на подъеме, при этом только 25% заявили, что имеют возможность принять соответствующие контрмеры. Всего 22% ИT-менеджеров, принимающих решения, уже внедрили защиту от DDoS.
Типы DDoS-атак
2012 г. показал резкий скачок DDoS-атак типа Layer 7. Эти атаки протекают малозаметно, поскольку свой трафик они выдают за легитимный. Атаки Layer 7 или уровня приложений, скорее, ориентируются на уязвимости в самом коде приложений, чем на применение «лобовой» атаки, для достижения требуемых результатов. Цель большинства атак уровня приложений — это хорошо известное ПО, использующее HTTP, HTTPS, DNS, and VoIP (Session Initiation Protocol или SIP). Как и flood-атаки, атаки L7 требуют очень мало затрат со стороны киберпреступников. Вполне возможно парализовать крупные веб-сайты с одного ноутбука, отсылая от 40 до 60 одинаковых запросов в секунду (сокращенно PPS, или пакетов с секунду). В то же время, в flood-атаках отсылается от нескольких сотен или тысяч PPS до миллионов. Внешняя легальность — это то, что делает атаки L7 распространенными и чрезвычайно трудными для обнаружения и блокирования.
Атаки уровня приложений не всегда могут быть детектированы системой защиты, так как хакеры пользуются слабой стороной технологии обнаружения, которая применяет принцип сетевого потока и методику пороговых величин. RUDY (R-U-Dead-Yet) и Slow Loris — это два типа атак уровня приложений, которые нацелены на HTTP-протокол. Злоумышленники пытаются запустить множество запросов, которые трудно обслужить, исчерпывая ресурсы приложения и быстро парализуя веб-сайт.
Некоторое время назад хакеры начали использовать атаку DNS-усиления (отражения). Ее суть состоит в том, что киберпреступник посылает короткий запрос уязвимому DNS-серверу, который отвечает на него уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
DNS-серверы являются привлекательной добычей, потому что они обычно очень велики, работают на широкополосном интернет-канале, и не могут быть так просто занесены в «черный» список.
Хакеры используют DNS путем подмены целевого адреса и отправки небольших запросов на DNS-сервер, который отвечает на эти ложные запросы в 10~1000 раз большим объемом трафика, тем самым бомбардируя жертву массированной волной трафика. Взятые отдельно, эти запросы к DNS являются легитимными, равно как и ответные данные; тем не менее, за счет камуфляжа злоумышленник может оставаться анонимным и управлять публично доступными DNS для отражения атак и усиления их мощности. Применяя такие методы атак в 2013 г., небольшая группа преступников смогла сгенерировать крупнейшую DDoS-атаку в истории, достигнув непрерывного потока трафика на уровне 300 Гбит/с. Хакеры атаковали spamhaus.com, организацию, которая публикует «черные» списки спамеров в Интернете.
Атака DNS-усиления (с сайта Nirlog.com)
Анатомия атаки DNS-усиления
Отвлекающая DDoS-атака, которая является намного более коварным типом мультивекторных атак, использует масштабный DDoS как тактический прием отвлечения внимания ИТ-персонала, в то время как киберпреступники осуществляют хищение данных или финансовых средств. Банки и финансовые организации наиболее часто подвергаются этому типу атак. Публичный пример — кибератака, которая произошла в Bank of the West в декабре 2012 г. Зная, что команда ИТ-специалистов будет на каникулах, хакеры правильно выбрали время и контекст цели. Сперва банк подвергли DDoS-атакам, и, пока служащие банка и ИТ-персонал пытались остановить мощный поток трафика на их серверы и удержать стабильность работы онлайн-сервисов, киберпреступники успешно похитили $900 000.
Атаки уровня приложений все чаще направляются против онлайн-банкинга интернет-магазинов. Эти атаки часто прячут в шифрованном (HTTPS/SSL) трафике и они остаются невидимыми для традиционных решений. Как пример, такая атака может быть запущена путем запуска функции «add to cart» на веб-сервере, генерируя больше трафика, чем смогут обработать приложения, перегружая сайт и генерируя сообщения об ошибке для конечных пользователей, которые пытаются совершать онлайн-покупки. Эти атаки не обнаруживаются, пока не станет слишком поздно, поскольку они используют легальные каналы трафика для проникновения на веб-серверы и приложения.
Атаки «нулевого дня» являются мегатрендами DDoS, они нацелены на новейшие обнаруженные уязвимости в веб-приложениях, а не на лавинный поток данных. Огромное число веб-приложений сегодня запускается на мобильных устройствах (вспомним тренд BYOD), что подвергает компании большому риску DDoS-атак «нулевого дня».
Влияние на бизнес
В настоящее время подавляющее большинство профессионалов в области ИT и информационной безопасности осведомлены о рисках для бизнеса, которые несут кибератаки. В то же время, они не подготовлены соответствующим образом. Согласно исследованию Ponemon Institute, проведенному в феврале прошлого года, 60% ИТ-специалистов ответили в анкете, что DDoS-атаки являются наиболее серьезным типом атак, которые испытывают компании. Ущерб, причиненный DDoS-атакой, может оказать огромное влияние на бизнес, независимо от его размера.
Статистика DDoS-атак уровня приложений настораживает. Gartner оценивает, что 70% всех угроз нацелены на уровень веб-приложений. Исследование Ponemon Institute обнаружило, что средний ежегодный ущерб от DDoS-атаки оценивается в $3,5 млн. Другое недавнее исследование Forrester оценивает средние финансовые затраты в $2,1 млн для каждых 4 часов простоя и $27 млн для 24 часов простоя, вызванных DDoS-атаками. Forrester указывает, что частота атак во всех отраслях примерно равна 1 разу в месяц, в то время как в финансовом секторе это случается 1 раз в неделю. Если исходить из публично доступных оценок ущерба, предоставляемых организациями, подвергшимися атакам, то финансовые компании понесли ущерб в среднем около $17 млн на каждый инцидент в 2012 г. И хотя чаще всего атакуют финансовые организации, исследование Forrester показало, что правительственные учреждения, в среднем, подвергаются более длительным атакам. Это происходит по той причине, что финансовые организации, как правило, используют более качественную защиту от кибератак.
Несмотря на эту тревожную статистику, менее чем 25% компаний внедрили решения для защиты от DDoS.
Потребность в выделенном локальном DDoS-решении
Отражение лавинных атак на уровнях 3 и 4 традиционно выполняется в облаке с помощью решения, которое проверяет обратный трафик. Эти атаки, требующие широкого канала, достаточно легко обнаруживаются и отражаются сервис-провайдером. На самом деле, заказчики могут даже не заметить каких-либо проблем. Есть, однако, много сред, где, в основном из соображений безопасности, данные просто не могут покинуть приватные сети. Кроме того, атаки уровня приложений типа «low and slow» не могут быть отражены в облаке, так как эти атаки обычно не потребляют много трафика и спрятаны в легитимном трафике.
Отражение этих атак требует отдельного локального решения в корпоративном ЦОДе. Выделенное DDoS-решение требуется по множеству причин:
• Система защиты периметра, включающая файрвол, NG-файрвол и отдельные системы предотвращения вторжений недостаточно хорошо подходят для защиты против DDoS-атак, поскольку хорошо технически подготовленные атаки могут быстро переполнить таблицу статусов соединений и парализовать файрвол или IPS, подвергая целую сеть риску.
• Файрволы и IPS-системы могут сами по себе стать целью для атаки «на отказ», требуя защиты.
• Файрволы и IPS-системы не могут противостоять более изощренным атакам уровня приложений, поскольку эти решения созданы для того, чтобы пропускать именно те протоколы, которые используются во время этих атак; каждый хакер знает, что файрвол обычно пропускает HTTP- и HTTPS-трафик, ведь большинство систем требует такого доступа для соответствующей связи с веб-сервисом.
Ограничения традиционных решений для отражения DDoS-атак
Традиционные решения для обнаружения DDoS-атак ограничены по своим возможностям, они способны управлять только сетевой телеметрией, такой как сетевой поток (netflow), который не несет атрибутов уровня приложений и оставляет массивную брешь при обнаружении современных атак уровня приложений. Кроме того, все эти решения обеспечивают сигнатурное детектирование и отражение атак в режиме «on premises», что не есть эффективным против неизвестных атак нулевого дня. Далее, такие решения оценивают только входной трафик на основе сигнатурной базы угроз, оставляя уязвимости в безопасности для прохода вредоносного трафика. Один из примеров – атака DNS-усиления.
Кроме того, традиционные решения не способны различать легитимный и сгенерированный машинный (вредоносный) трафик. Таким образом, система должна быть сконфигурирована вручную для определения высокого/среднего/низкого пороговых величин, на которых трафик должен быть блокирован. Подобный подход ведет к компромиссу между низким порогом ложного положительного срабатывания и агрессивной защитой.
Если порог выставлен слишком высоко, это создает проблему ложного позитивного срабатывания, что приводит к блокированию больших объемов легального трафика. Если порог занижен, то потенциально вредоносный трафик будет разрешен, что приведет к взлому. Нехватка инструментов защиты на уровне Layer 7 и неспособность реализовать мониторинг защищенных ресурсов делают традиционные DDoS-решения неэффективными против современных атак, которые осуществляются вне границы сигнатурного периметра. Статический порог не отвечает требованиям защиты. Имеется также административная проблема, связанная с поддержкой набора сигнатур и ручной настройки порога.
Вкратце, обеспечение полного спектра средств защиты против современных DDoS-атак требует отдельного решения с малым временем ожидания, расположенного локально на периметре ЦОДа. Такое решение оценивает производительность каждого приложения, от layer 7 до сетевых ресурсов, требуемых для гарантии их доступности, осуществляя мониторинг как входящего, так и исходящего трафика. Это наиболее эффективный подход для предотвращения известных и неизвестных атак, различающих легитимный и вредоносный трафик, и минимизирующий ложные позитивные срабатывания. В этом случае даже не требуется ручная настройка сигнального порога, который был всегда необходим, а ведь он создает постоянную операционную нагрузку, и всегда запаздывает в сравнении с реальными изменениями в шаблоне трафика. Подобный инновационный эвристический подход более подробно описан ниже.
Juniper DDoS Secure — защита от атак DDoS
Компания Juniper Networks выпустила решение DDoS Secure, которое прошло «проверку боем» и показало высокие результаты в обнаружении и отражении DDoS-атак. На сегодня продукт помог избежать ущерба на сумму порядка $60 млрд для компаний, работающих в сфере массовой информации, онлайн-розницы, онлайн-игр, финансов, образования и правительственных органов.
В противоположность традиционным решениям, DDoS Secure использует несигнатурные технологии для обнаружения и отражения атак уровня приложений. Программа инспектирует весь входящий и исходящий трафик на периметре ЦОДа, а также осуществляет мониторинг производительности приложений с каждым входящим клиентским запросом. Перед использованием порогового метода или настройки для отражения атак, DDoS Secure применяет специальный алгоритм, CHARM, для количественной оценки рисков в режиме реального времени, связанной с двухсторонним трафиком. Продукт анализирует ресурсы целевого приложения, когда последнее прибывает под атакой. Если приложение атакуют, он поднимает порог CHARM, требуемый для доступа к приложениям, блокируя наиболее рисковый трафик. Путем корреляции входящих рисков и исходящей реакции, DDoS Secure способен обнаруживать невидимые атаки, которые типично обходят традиционные сигнатурные решения защиты от DDoS.
DDoS Secure является самообучающимся и не требует настройки или определения пороговой величины. Он осуществляет мониторинг того, как приложение реагирует и анализирует каждое нападение. Этот инновационный эвристический подход позволяет технологиям определять, как должен выглядеть нормальный трафик и нормальная реакция со стороны приложения. Когда происходит новая атака, DDoS Secure обновляет алгоритм для включения характеристик новой атаки, создавая высокоинтеллектуальную систему обороны от DDoS, которая включает динамические обновления. В случае атаки DNS-усиления, DDoS Secure применяет интеллектуальный подход в отношении DNS-ресурса с целью отбить атаку еще до того, как она парализует DNS-сервер. Специальные фильтры DDoS Secure отсеивают периодически повторяющиеся запросы DNS-системы для одной и той же информации, тем самым предотвращая атаку DNS-усиления и защищая цели злоумышленников от зловредных запросов, влияющих на их доступность.
При подготовке статьи использованы материалы Juniper Networks
Функционал Juniper DDoS Secure в сравнении с конкурирующим продуктом Arbor Networks Pravail APS
Функциональность продукта |
Juniper DDoS Secure |
Arbor Networks Pravail APS 1 |
Технология детектирования и отражения атак |
||
Несигнатурный метод |
Да |
Нет |
Эвристический подход: дифференцирует легитимный пользовательский и машинный трафики |
Да |
Нет |
Автоматически обнаруживает и отражает атаки «нулевого дня», известные и неизвестные угрозы |
Да |
Нет |
Простота использования: система автоматически раскрывает уязвимости в стеке приложений |
Да |
Нет |
Высокий уровень защиты с низким процентом ложных позитивных срабатываний |
Да |
Нет |
Процесс с обратной связью: двунаправленный контроль (входящий и исходящий) трафика |
Да |
Нет |
Типы защиты против атак уровня приложений |
||
Атаки отражения и усиления DNS |
Да |
Нет |
Атаки HTTPS (SSL v3 и TLS v1 & v2) |
Да |
Да |
Атаки HTTP, VoIP/SIP |
Да |
Да |
Гибкое высокопроизводительное развертывание |
||
Гибкое развертывание: физические и виртуальные копии |
Да |
Нет (отсутствуют средства отражения атак в виртуальном устройстве) |
Продвинутая кластеризация для наиболее требовательных ЦОДов, масштабируемых до 160 Гбит/с |
Да |
Нет |
Сервис стабилизации для событий, напоминающий DDoS, однако вызванных лишь высоким процентом посетителей |
Да |
Нет |
Централизованное протоколирование, мониторинг и отчетность |
||
Отчетность в режиме реального времени и видимость событий |
Да |
Да |
Интеграция с SIEM-системой |
Да |
Нет |
Легкость в использовании, низкая совокупная стоимость владения |
||
Система автоматически транслирует данные конфигурации и информацию об активных злоумышленниках в рамках всех устройств DDoS Secure в сети |
Да |
Нет |
Автоматическое обновление системы, не требующие человеческого участия («инсталлируй и забудь») |
Да |
Нет |
Самообучение, не требует настройки |
Да |
Нет |
Инсталляция за 10 минут |
Да |
Нет |
Уровень эффективности 80% уже в течение 10 минут после инсталляции; эффективность на уровне 99,999% через 6 часов |
Да |
Нет |