Статті

Эволюция DDoS: от flood-атак до атак на уровне приложений

02 апреля, 2014. 01:04 Олег Николаев
Сложные DDoS-атаки нового поколения не могут быть обнаружены или отражены традиционными методами. Cегодня компаниям требуется новая и более эффективная система обнаружения и отражения DDoS-атак, гарантирующая непрерывную доступность критически важных бизнес ресурсов.

В последние несколько лет распределенные атаки типа «отказ в обслуживании» (Distributed Denial Of Service, DDoS) эволюционировали из относительно простых flood-атак в сложные и многоступенчатые атаки. Кроме того, вместе с традиционными атаками высокого уровня, которые направляют массированные объемы трафика с целью перегрузки сервера, бизнес также столкнулся с направленными атаками. Они используют относительно небольшой объем трафика, нацеленный на приложения, которые обрабатывают огромные объемы данных. Причем эти атаки не обнаруживаются традиционными решениями защиты от DDoS. Сбой, причиненный DDoS-атакой, может привести к огромным убыткам в бизнесе, независимо от размера компании или организации, подвергшейся нападению.

Немного истории

Первая распределенная атака типа DDoS состоялась в 2000 г. и была нацелена на сайты Amazon, eBay и другие площадки e-commerce. В качестве инструмента для осуществления масштабных атак киберпреступники использовали ботнет из множества ПК, которые генерировали огромное число запросов и загрузили серверы, обслуживающие порталы e-commerce, настолько сильно, что те уже не могли обрабатывать запросы пользователей. Общий ущерб от атак оценивается примерно в $1,7 млрд.

С тех пор DDoS-атаки очень сильно эволюционировали: от примитивного инструмента, использующего атаки с большим объемом трафика для перегрузки веб-серверов, до сложных комплексных атак уровня приложений, разработанных для прицельного удара по стратегическим бизнес-ресурсам. В 2012 г. произошла серия таких атак против банковской индустрии, с целью осуществления финансового мошенничества. Секторы образования и электронной коммерции тоже не раз становились мишенью киберпреступников.

Интернет и социальные сети содержат информацию, которая может быть полезна злоумышленникам. Это означает, что киберпреступники по-прежнему имеют доступ к множеству дешевых ботнетов и бесплатных программных средств типа Low Orbit Ion Cannon (LOIC), которые легки в применении и могут вывести из строя инфраструктуру приложений большинства компаний. В конце прошлого года стоимость одного часа DDoS-атаки на черном рынке составляла всего $5, неделя непрерывной DDoS-атаки — примерно $260, а месяц —  всего $900.

Способы осуществления и мотивы применения DDoS также эволюционировали. Этот тип атак стали чаще использовать группы «хактивистов» типа Anonymous для социальных протестов и организованной преступной деятельности, нанося финансовый ущерб атаками по заданным веб-сайтам и веб-сервисам. Кроме того, DDoS-атаки играют большую роль в изощренных гибридных атаках на организации, для которых Интернет играет критически важную роль. Гибридные атаки подразумевают использование техники DDoS для того, чтобы сбить с толку команды специалистов ИТ и ИБ и эффективно отвлечь их внимание от более уязвимых мест в защите.

2013 г. показал, что DDoS-атаки поднялись на новый уровень и привели к еще большему числу упоминаний в СМИ. В то время, как многие компании продолжают полагать, что их веб-сайты и инфраструктура приложений адекватно защищены против кибератак, другие уже приготовились к защите против более сложной структуры DDoS-атак. Согласно независимому исследованию, 64% ИТ-специалистов (имеющих более 10 лет опыта) заявили, что мощность кибератак на подъеме, при этом только 25% заявили, что имеют возможность принять соответствующие контрмеры. Всего 22% ИT-менеджеров, принимающих решения, уже внедрили защиту от DDoS.

Типы DDoS-атак

2012 г. показал резкий скачок DDoS-атак типа Layer 7. Эти атаки протекают малозаметно, поскольку свой трафик они выдают за легитимный. Атаки Layer 7 или уровня приложений, скорее, ориентируются на уязвимости в самом коде приложений, чем на применение «лобовой» атаки, для достижения требуемых результатов. Цель большинства атак уровня приложений — это хорошо известное ПО, использующее HTTP, HTTPS, DNS, and VoIP (Session Initiation Protocol или SIP). Как и flood-атаки, атаки L7 требуют очень мало затрат со стороны киберпреступников. Вполне возможно парализовать крупные веб-сайты с одного ноутбука, отсылая от 40 до 60 одинаковых запросов в секунду (сокращенно PPS, или пакетов с секунду). В то же время, в flood-атаках отсылается от нескольких сотен или тысяч PPS до миллионов. Внешняя легальность — это то, что делает атаки L7 распространенными и чрезвычайно трудными для обнаружения и блокирования.

Атаки уровня приложений не всегда могут быть детектированы системой защиты, так как хакеры пользуются слабой стороной технологии обнаружения, которая применяет принцип сетевого потока и методику пороговых величин. RUDY (R-U-Dead-Yet) и Slow Loris — это два типа атак уровня приложений, которые нацелены на HTTP-протокол. Злоумышленники пытаются запустить множество запросов, которые трудно обслужить, исчерпывая ресурсы приложения и быстро парализуя веб-сайт.

Некоторое время назад хакеры начали использовать атаку DNS-усиления (отражения). Ее суть состоит в том, что киберпреступник посылает короткий запрос уязвимому DNS-серверу, который отвечает на него уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.

DNS-серверы являются привлекательной добычей, потому что они обычно очень велики, работают на широкополосном интернет-канале, и не могут быть так просто занесены в «черный» список.

Хакеры используют DNS путем подмены целевого адреса и отправки небольших запросов на DNS-сервер, который отвечает на эти ложные запросы в 10~1000 раз большим объемом трафика, тем самым бомбардируя жертву массированной волной трафика. Взятые отдельно, эти запросы к DNS являются легитимными, равно как и ответные данные; тем не менее, за счет камуфляжа злоумышленник может оставаться анонимным и управлять публично доступными DNS для отражения атак и усиления их мощности. Применяя такие методы атак в 2013 г., небольшая группа преступников смогла сгенерировать крупнейшую DDoS-атаку в истории, достигнув непрерывного потока трафика на уровне 300 Гбит/с. Хакеры атаковали spamhaus.com, организацию, которая публикует «черные» списки спамеров в Интернете.

Атака DNS-усиления (с сайта Nirlog.com)

3

 Анатомия атаки DNS-усиления

Отвлекающая DDoS-атака, которая является намного более коварным типом мультивекторных атак, использует масштабный DDoS как тактический прием отвлечения внимания ИТ-персонала, в то время как киберпреступники осуществляют хищение данных или финансовых средств. Банки и финансовые организации наиболее часто подвергаются этому типу атак. Публичный пример — кибератака, которая произошла в Bank of the West в декабре 2012 г. Зная, что команда ИТ-специалистов будет на каникулах, хакеры правильно выбрали время и контекст цели. Сперва банк подвергли DDoS-атакам, и, пока служащие банка и ИТ-персонал пытались остановить мощный поток трафика на их серверы и удержать стабильность работы онлайн-сервисов, киберпреступники успешно похитили $900 000.

Атаки уровня приложений все чаще направляются против онлайн-банкинга интернет-магазинов. Эти атаки часто прячут в шифрованном (HTTPS/SSL) трафике и они остаются невидимыми для традиционных решений. Как пример, такая атака может быть запущена путем запуска функции «add to cart» на веб-сервере, генерируя больше трафика, чем смогут обработать приложения, перегружая сайт и генерируя сообщения об ошибке для конечных пользователей, которые пытаются совершать онлайн-покупки. Эти атаки не обнаруживаются, пока не станет слишком поздно, поскольку они используют легальные каналы трафика для проникновения на веб-серверы и приложения.

Атаки «нулевого дня» являются мегатрендами DDoS, они нацелены на новейшие обнаруженные уязвимости в веб-приложениях, а не на лавинный поток данных. Огромное число веб-приложений сегодня запускается на мобильных устройствах (вспомним тренд BYOD), что подвергает компании большому риску DDoS-атак «нулевого дня».

Влияние на бизнес

В настоящее время подавляющее большинство профессионалов в области ИT и информационной безопасности осведомлены о рисках для бизнеса, которые несут кибератаки. В то же время, они не подготовлены соответствующим образом. Согласно исследованию Ponemon Institute, проведенному в феврале прошлого года, 60% ИТ-специалистов ответили в анкете, что DDoS-атаки являются наиболее серьезным типом атак, которые испытывают компании. Ущерб, причиненный DDoS-атакой, может оказать огромное влияние на бизнес, независимо от его размера.

Статистика DDoS-атак уровня приложений настораживает. Gartner оценивает, что 70% всех угроз нацелены на уровень веб-приложений. Исследование Ponemon Institute обнаружило, что средний ежегодный ущерб от DDoS-атаки оценивается в $3,5 млн. Другое недавнее исследование Forrester оценивает средние финансовые затраты в $2,1 млн для каждых 4 часов простоя и $27 млн для 24 часов простоя, вызванных DDoS-атаками. Forrester указывает, что частота атак во всех отраслях примерно равна 1 разу в месяц, в то время как в финансовом секторе это случается 1 раз в неделю. Если исходить из публично доступных оценок ущерба, предоставляемых организациями, подвергшимися атакам, то финансовые компании понесли ущерб в среднем около $17 млн на каждый инцидент в 2012 г. И хотя чаще всего атакуют финансовые организации, исследование Forrester показало, что правительственные учреждения, в среднем, подвергаются более длительным атакам. Это происходит по той причине, что финансовые организации, как правило, используют более качественную защиту от кибератак.

Несмотря на эту тревожную статистику, менее чем 25% компаний внедрили решения для защиты от DDoS.

Потребность в выделенном локальном DDoS-решении

Отражение лавинных атак на уровнях 3 и 4 традиционно выполняется в облаке с помощью решения, которое проверяет обратный трафик. Эти атаки, требующие широкого канала, достаточно легко обнаруживаются и отражаются сервис-провайдером. На самом деле, заказчики могут даже не заметить каких-либо проблем. Есть, однако, много сред, где, в основном из соображений безопасности, данные просто не могут покинуть приватные сети. Кроме того, атаки уровня приложений типа «low and slow» не могут быть отражены в облаке, так как эти атаки обычно не потребляют много трафика и спрятаны в легитимном трафике.

Отражение этих атак требует отдельного локального решения в корпоративном ЦОДе. Выделенное DDoS-решение требуется по множеству причин:

•  Система защиты периметра, включающая файрвол, NG-файрвол и отдельные системы предотвращения вторжений недостаточно хорошо подходят для защиты против DDoS-атак, поскольку хорошо технически подготовленные атаки могут быстро переполнить таблицу статусов соединений и парализовать файрвол или IPS, подвергая целую сеть риску.

•  Файрволы и IPS-системы могут сами по себе стать целью для атаки «на отказ», требуя защиты.

•  Файрволы и IPS-системы не могут противостоять более изощренным атакам уровня приложений, поскольку эти решения созданы для того, чтобы пропускать именно те протоколы, которые используются во время этих атак; каждый хакер знает, что файрвол обычно пропускает HTTP- и HTTPS-трафик, ведь большинство систем требует такого доступа для соответствующей связи с веб-сервисом.

Ограничения традиционных решений для отражения DDoS-атак

Традиционные решения для обнаружения DDoS-атак ограничены по своим возможностям, они способны управлять только сетевой телеметрией, такой как сетевой поток (netflow), который не несет атрибутов уровня приложений и оставляет массивную брешь при обнаружении современных атак уровня приложений. Кроме того, все эти решения обеспечивают сигнатурное детектирование и отражение атак в режиме «on premises», что не есть эффективным против неизвестных атак нулевого дня. Далее, такие решения оценивают только входной трафик на основе сигнатурной базы угроз, оставляя уязвимости в безопасности для прохода вредоносного трафика. Один из примеров – атака DNS-усиления.

Кроме того, традиционные решения не способны различать легитимный и сгенерированный машинный (вредоносный) трафик. Таким образом, система должна быть сконфигурирована вручную для определения высокого/среднего/низкого пороговых величин, на которых трафик должен быть блокирован. Подобный подход ведет к компромиссу между низким порогом ложного положительного срабатывания и агрессивной защитой.

Если порог выставлен слишком высоко, это создает проблему ложного позитивного срабатывания, что приводит к блокированию больших объемов легального трафика. Если порог занижен, то потенциально вредоносный трафик будет разрешен, что приведет к взлому. Нехватка инструментов защиты на уровне Layer 7 и неспособность реализовать мониторинг защищенных ресурсов делают традиционные DDoS-решения неэффективными против современных атак, которые осуществляются вне границы сигнатурного периметра. Статический порог не отвечает требованиям защиты. Имеется также административная проблема, связанная с поддержкой набора сигнатур и ручной настройки порога.

Вкратце, обеспечение полного спектра средств защиты против современных DDoS-атак требует отдельного решения с малым временем ожидания, расположенного локально на периметре ЦОДа. Такое решение оценивает производительность каждого приложения, от layer 7 до сетевых ресурсов, требуемых для гарантии их доступности, осуществляя мониторинг как входящего, так и исходящего трафика. Это наиболее эффективный подход для предотвращения известных и неизвестных атак, различающих легитимный и вредоносный трафик, и минимизирующий ложные позитивные срабатывания. В этом случае даже не требуется ручная настройка сигнального порога, который был всегда необходим, а ведь он создает постоянную операционную нагрузку, и всегда запаздывает в сравнении с реальными изменениями в шаблоне трафика. Подобный инновационный эвристический подход более подробно описан ниже.

Juniper DDoS Secure — защита от атак DDoS

Компания Juniper Networks выпустила решение DDoS Secure, которое прошло «проверку боем» и показало высокие результаты в обнаружении и отражении DDoS-атак. На сегодня продукт помог избежать ущерба на сумму порядка $60 млрд для компаний, работающих в сфере массовой информации, онлайн-розницы, онлайн-игр, финансов, образования и правительственных органов.

В противоположность традиционным решениям, DDoS Secure использует несигнатурные технологии для обнаружения и отражения атак уровня приложений. Программа инспектирует весь входящий и исходящий трафик на периметре ЦОДа, а также осуществляет мониторинг производительности приложений с каждым входящим клиентским запросом. Перед использованием порогового метода или настройки для отражения атак, DDoS Secure применяет специальный алгоритм, CHARM, для количественной оценки рисков в режиме реального времени, связанной с двухсторонним трафиком. Продукт анализирует ресурсы целевого приложения, когда последнее прибывает под атакой. Если приложение атакуют, он поднимает порог CHARM, требуемый для доступа к приложениям, блокируя наиболее рисковый трафик. Путем корреляции входящих рисков и исходящей реакции, DDoS Secure способен обнаруживать невидимые атаки, которые типично обходят традиционные сигнатурные решения защиты от DDoS.

DDoS Secure является самообучающимся и не требует настройки или определения пороговой величины. Он осуществляет мониторинг того, как приложение реагирует и анализирует каждое нападение. Этот инновационный эвристический подход позволяет технологиям определять, как должен выглядеть нормальный трафик и нормальная реакция со стороны приложения. Когда происходит новая атака, DDoS Secure обновляет алгоритм для включения характеристик новой атаки, создавая высокоинтеллектуальную систему обороны от DDoS, которая включает динамические обновления. В случае атаки DNS-усиления, DDoS Secure применяет интеллектуальный подход в отношении DNS-ресурса с целью отбить атаку еще до того, как она парализует DNS-сервер. Специальные фильтры DDoS Secure отсеивают периодически повторяющиеся запросы DNS-системы для одной и той же информации, тем самым предотвращая атаку DNS-усиления и защищая цели злоумышленников от зловредных запросов, влияющих на их доступность.

При подготовке статьи использованы материалы Juniper Networks

Функционал Juniper DDoS Secure в сравнении с конкурирующим продуктом Arbor Networks Pravail APS

Функциональность продукта

Juniper DDoS Secure

Arbor Networks Pravail APS 1

Технология детектирования и отражения атак

Несигнатурный метод

Да

Нет

Эвристический подход: дифференцирует легитимный пользовательский и машинный трафики

Да

Нет

Автоматически обнаруживает и отражает атаки «нулевого дня», известные и неизвестные угрозы

Да

Нет

Простота использования: система автоматически раскрывает уязвимости в стеке приложений

Да

Нет

Высокий уровень защиты с низким процентом ложных позитивных срабатываний

Да

Нет

Процесс с обратной связью: двунаправленный контроль (входящий и исходящий) трафика

Да

Нет

Типы защиты против атак уровня приложений

Атаки отражения и усиления DNS

Да

Нет

Атаки HTTPS (SSL v3 и TLS v1 & v2)

Да

Да

Атаки HTTP, VoIP/SIP

Да

Да

Гибкое высокопроизводительное развертывание

Гибкое развертывание: физические и виртуальные копии

Да

Нет (отсутствуют средства отражения атак в виртуальном устройстве)

Продвинутая кластеризация для наиболее требовательных ЦОДов, масштабируемых до 160 Гбит/с

Да

Нет

Сервис стабилизации для событий, напоминающий DDoS, однако вызванных лишь высоким процентом посетителей

Да

Нет

Централизованное протоколирование, мониторинг и отчетность

Отчетность в режиме реального времени и видимость событий

Да

Да

Интеграция с SIEM-системой

Да

Нет

Легкость в использовании, низкая совокупная стоимость владения

Система автоматически транслирует данные конфигурации и информацию об активных злоумышленниках в рамках всех устройств DDoS Secure в сети

Да

Нет

Автоматическое обновление системы, не требующие человеческого участия («инсталлируй и забудь»)

Да

Нет

Самообучение, не требует настройки

Да

Нет

Инсталляция за 10 минут

Да

Нет

Уровень эффективности 80% уже в течение 10 минут после инсталляции; эффективность на уровне 99,999% через 6 часов

Да

Нет




Комментарии: