ddos защита что это
7 лучших сервисов защиты от DDoS-атак для повышения безопасности
Нельзя допускать, чтобы DDoS-атаки угрожали вашим деловым операциям потерей репутации и финансовыми убытками. Воспользуйтесь облачными средствами защиты от DoS для предотвращения взлома.
По последним данным Incapsula, DDoS обходится бизнесу в 40000 долларов в час.
Следующие инструменты помогут вам рассчитать потери, вызванные DDoS:
Согласно последнему отчету о безопасности AKAMAI, большинство DDoS-атак производятся из Китая.
Давайте рассмотрим облачные решения для малого и среднего бизнеса, с помощью которых можно подключить защиту от DDoS-атак за считанные минуты.
Incapsula
Incapsula предлагает комплексную защиту и ограждает от любых видов DDoS-атак на 3, 4 и 7 уровнях, таких как:
Доступна пробная версия Incapsula пакетов Business и Enterprise, в которые входит защита от DDoS-атак, а также глобальные CDN, SSL, WAF и не только.
Советую попробовать Incapsula для защиты вашего бизнеса на всех уровнях (веб-сайт, инфраструктура и DNS).
Если вы стали жертвой атаки и нуждаетесь в экстренной поддержке, можно связаться с группой поддержки Under Attack.
AKAMAI
AKAMAI занимает ведущее положение на рынке в отношении услуг безопасности и CDN. Совсем недавно AKAMAI поставила рекорд, отразив атаку мощностью 620 Gbps.
KONA DDoS Defender от AKAMAI ограждает от DoS/DDoS-атак на периферию сети.
KONA создана на основе интеллектуальной платформы AKAMAI для защиты веб-сайтов, а реагирует на атаки глобальный центр безопасности, работающий круглосуточно.
Это облачное решение предохраняет от всех известных видов атак, в том числе с шифрованием трафика. AKAMAI широко представлен по всему миру: всего у AKAMAI более 1300 площадок в более чем 100 странах.
AKAMAI защищает инфраструктуру всего дата-центра при помощи Prolexic Routed или Prolexic Connect.
Cloudflare
Cloudflare предоставляет базовую защиту от DDoS-атак в пакетах FREE и PRO. Однако для расширенной защиты от DDoS-атак (на уровнях 3, 4 и 7) нужно покупать пакет Business или Enterprise.
Стоимость услуг Cloudflare фиксированная, а это значит, что с какой бы масштабной атакой вы не столкнулись, платить вы будете одинаковую сумму каждый месяц.
Cloudflare доверяют такие известные компании как Nasdaq, DigitalOcean, Cisco, Salesforce, Udacity и др.
Сеть CloudFlare доступна в 102 дата-центрах общей пропускной способностью более 10 Tbps, то есть она справится с любыми видами DDoS-атак, в том числе:
SUCURI
SUCURI — специализированное облачное решение для защиты самых разных сайтов, в том числе WordPress, Joomla, Drupal, Magento, Microsoft.Net и др.
Защита от DDoS-атак включена в пакет антивируса и файрвола. В случае если вам нужна комплексная защита сайта, то в таком случае вам подойдет Website Antivirus, который оберегает от угроз в сети, в том числе от DDoS-атак, а также включает следующие услуги:
Alibaba
Anti-DDoS Pro от Alibaba поможет в защите от DDoS-атак. Anti-DDoS Pro отражает мощные атаки до 2 Tbps и поддерживает протоколы TCP/UDP/HTTP/HTTPS.
Anti-DDoS можно использовать не только в случае размещения на Alibaba, но и для AWS, Azure, Google Cloud и пр.
Myra DDoS protection — полностью автоматизированное решение для веб-сайтов, DNS-серверов, веб-приложений и инфраструктуры. Оно полностью совместимо со всеми видами CMS и системами электронной торговли.
MYRA размещается в Германии, так что данные обрабатываются в соответствии с федеральным законом Германии о защите данных.
AWS Shield Advanced
Инструмент для предупреждения DDoS-атак Shield от AWS доступен на всех приложениях AWS бесплатно.
Тем не менее, если вы хотите обеспечить сеть расширенной защитой, защитить транспортный и прикладной уровень, то можно подписаться на Shield Advanced.
У Shield Advanced есть целый ряд преимуществ по сравнению со стандартной версией Shield, таких как:
Описанные выше облачные решения подойдут блоггерам, электронным магазинам, малому и среднему бизнесу. В случае, если вам требуется корпоративная защита или защита дата-центра, то рекомендую обратить внимание на следующие сервисы:
Подберите себе хостинг или виртуальный сервер и не попадайте под DDoS-атаки.
Немного о типах DDoS-атак и методах защиты
Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.
«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.
При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.
/ Flickr / Kenny Louie / CC
DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.
Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.
TCP SYN Flood
Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.
Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.
Fragmented UDP Flood
Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.
Атака с использованием ботнета
Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.
В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.
При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.
Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).
В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.
Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.
Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.
Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.
Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.
Smurf-атаки
Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.
Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.
DNS-атака с усилением
Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.
Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.
TCP Reset
TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.
Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.
Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.
Дополнительное чтение по теме DPI (Deep packet inspection):
Локальное и удаленное предотвращение атак класса DDoS: особенности, преимущества, недостатки, мониторинг
Угроза отказа в обслуживании (Denial of Service, DoS) является особой категорией сетевых атак, чьей целью является недоступность того или иного веб-сервиса для легитимных пользователей. Атака реализуется за счет создания массы обращений на сервер-жертву (victim). Такие атаки легко распознаются, и сам инициатор атаки обнаруживается и блокируется достаточно просто. Поэтому сейчас в такие игрушки никто не играет, а новое поколение атак носит распределенный характер (Distributed Denial of Service). Инициатор атаки использует зараженные системы, расположенные по всему миру, чтобы одновременно скрыть свое местонахождение и сделать атаку более мощной и результативной. Тому, как происходит борьба с атаками, а также новому способу удаленной борьбы с DDoS и посвящен этот пост.
Работа систем Anti-DDoS, параметры оценки эффективности защиты
В зависимости от сочетания этих параметров и формируются цена и качество услуг по защите от DDoS атак.
Наш принцип защиты
Мы используем следующий принцип защиты от DDoS-атак. Защищаемой единицей является ip-сегмент, размещаемый в произвольной зоне безопасности. Зона безопасности представляет собой объединение IP-сегментов, для которых в автоматическом или ручном режиме устанавливаются пороги для разных типов трафика (thresholds). Если трафик, поступающий на
защищаемый сервер, значительно превышает порог, то, в зависимости от уровня превышения, применяется действие, способное как ограничить скорость атакующего Интернет-узла, так и полностью его блокировать. Зоны, находящиеся в режиме самообучения, способны автоматически подстраивать пороги трафика в режиме реального времени, чтобы избежать ложных срабатываний, способных привести к деградации некоторых сервисов.
Структура системы Anti-DDoS достаточно проста. Она состоит из модулей, отвечающих за определение аномалий (Traffic Anomaly Detector) и модулей, отвечающих за предотвращение аномалий (Traffic Anomaly Guard). Детекторы (ADM) располагаются как можно ближе к серверам и следят за поступающим на серверы трафиком. Когда детектор замечает аномалию, он сообщает об этом
модулю защиты (AGM). Модуль защиты активирует зону и направляет весь трафик зоны на себя, выполняя ряд сложных вычислений, распознавая и удаляя из сети вредоносный трафик.
Сервер получает уже очищенный от DDoS трафик и продолжает нормально функционировать, а когда атака завершается, модуль защиты исключает себя из пути трафика и сообщает об этом на детектор.
Общая схема защиты от DDoS выглядит так:
Мы работаем с DDoS-атаками несколькими способами и предоставляем их в качестве услуг собственным клиентам.
Выделенная зона защиты
Для пользователя выделяется особая зона защиты, автоматически выявляющая пороги и подстраивающаяся под трафик, а
также максимально точно реагирующая на появление аномального трафика. Это позволяет избежать множества ложных срабатываний в системе Anti-DDoS, характерных для фиксированных параметров защищаемой зоны. Таким образом защита осуществляется в круглосуточном режиме и не требует от пользователя каких-либо действий, связанных с активацией.
Защита сегмента
Подразумевает размещение подсети пользователя в одной из пяти защищаемых зон, каждая из которых настроена на определенное количество и структуру трафика. Серверы получают круглосуточную защиту от атак и могут быть по заявке перемещены
между защищаемыми зонами, если структура трафика этих серверов изменилась. Защита также предоставляется в круглосуточном режиме, а по запросу можно включать или отключать защиту серверов, для которых происходят False Positive (ложные срабатывания), либо совместно с инженерам службы управления сетью (NOC) адаптировать защиту серверов в ручном режиме.
Защита по требованию
Наиболее простой способ, когда по заявке атакуемого пользователя для отсечения атаки задействуется вся доступная мощность системы предотвращения атак.
Удаленная защита от DDoS, особенности, преимущества и недостатки
Недавно мы опробовали и запустили в тестовую эксплуатацию удаленную защиту от DDoS-атак. Для того, чтобы атака
была отражена, пользователь направляет трафик, предназначенный для защищаемого ресурса, на оборудование защиты от DDoS, расположенное в нашем дата-центре. Для этого в DNS-зоне ресурса прописывается новый IP-адрес, и после того, как новые DNS-данные распространятся по соответствующим узлам, весь трафик на ресурс будет сначала направляться на мощную аппаратную систему противодействия атаке.
Атака гасится двумя методами. В базовом режиме все сессии пользователя очищаются от DDoS и транслируются на коммутаторы дата-центра, а затем поступают на оборудование клиента в сети Интернет.
Преимущество этого метода состоит в том, что пользователю не требуется специального оборудования или изменения
существующей структуры сервиса, и он может использовать защиту как по требованию, так и на постоянной основе.
Недостаток метода заключается в том, что клиентский ресурс лишается полноценной статистики посещения сайта (поскольку все подключения к данному ресурсу будут выглядеть, как установленные с единственного адреса) на всевремя защиты.
Второй метод более сложный, мы называем его «туннельным». После того, как трафик клиента очистился от DDoS, он
поступает на VPN-оборудование дата-центра, откуда по IPSec-туннелю передается на сервер пользователя, расположенный в любой части сети Интернет.
Преимуществом здесь выступает тот факт, что пользователь может вести полноценную статистику посещаемости своего сайта. А недостатком является необходимость наличия специального оборудования для терминации IPSec-туннеля.
При использовании удаленной защиты от DDoS-атак необходимо учитывать, что общим недостатком работы с таким сервисом в режиме «по требованию» является долгое время реакции сервиса DNS на изменение записей в зоне.
Схемы организации удаленной защиты от DDoS
Мониторинг DDoS-атак
За счет круглосуточного мониторинга всех систем, пользователь может постоянно иметь представление о ситуации, и напрямую оценивать эффективность вложений в системы защиты. Каждая атака, отражаемая системой защиты, визуализируется и может
наблюдаться в режиме реального времени. Ниже, на графике, можно увидеть, как активация защиты восстановила нормальный уровень легитимного трафика (зеленый график) и отфильтровала трафик DDoS-атаки (красный график):
После атаки пользователь может запросить в службе NOC краткий или полный отчет об атаке, позволяющий оценить, насколько эффективно работа системы Anti-DDoS позволяет сохранить ресурсы.
Надеемся, данная информация окажется полезной и актуальной в сегодняшних условиях.
Выбираем и проверяем технологии защиты от DDoS-атак
Защита от DDoS — это «вечное» противоборство со злоумышленниками, решившими вывести из строя ваши интернет-ресурсы. Чтобы победить в нём, необходимо тщательно выбирать и технологии защиты, и способы их применения, и внешних поставщиков услуг anti-DDoS; при этом нужно учесть множество особенностей защищаемого ресурса и быть готовым к новому витку схватки со злоумышленником.
Введение
Нынешняя статья носит аналитический характер и в первую очередь отражает практический взгляд компании StormWall на проблему. Надеюсь, краткие выводы на основе более чем семилетнего опыта построения сервиса защиты от DDoS-атак «своими руками» и обеспечения безопасности тысяч разных интернет-проектов окажутся полезными для всех, кто реально сталкивается с проблемой и заинтересован в её решении.
Проблема защищаемости
Реальность такова, что, во-первых, не каждый интернет-сервис можно полностью защитить от DDoS-атак (какие-то сервисы лучше защищаются, какие-то — хуже), а во-вторых, одного только подключения фильтра anti-DDoS или внешнего сервиса защиты недостаточно, чтобы обезопасить ваши ресурсы от DDoS. Есть множество нюансов, о которых следует подумать и до и после подключения защиты.
Именно поэтому в 2017 году компания StormWall впервые предложила сообществу термин «защищаемость от DDoS» и сопутствующий набор ключевых параметров. Если коротко, то этим термином обозначается способность интернет-сервиса быть эффективно защищённым от атак с минимальными затратами ресурсов.
На защищаемость влияют следующие основные группы параметров:
Приведём два примера сервисов — «хороший» и «плохой» с точки зрения защищаемости от DDoS.
В качестве «плохого» примера представим онлайн-игру, работающую по протоколу UDP. Её сайт и игровой сервер находятся на одном IP-адресе. После каждого запроса сайт обращается в игровую базу для подсчёта статистики. Игровой протокол позволяет потенциальному злоумышленнику подобрать последовательность пакетов, похожую на легитимную, и создать существенную нагрузку на приложение, заметно снизив его производительность. Очевидно, что эффективно защитить такой сервис будет сложно: система защиты от DDoS должна научиться отделять реальных игроков от ботов, а пропуск даже мизерной части атаки внутрь будет приводить к полной недоступности игры.
В качестве «хорошего» примера приведём гипотетический сервис автоматизации службы такси. Его веб-сайт расположен отдельно, служба авторизации клиентов с установленными на их смартфонах мобильными приложениями также расположена отдельно и работает по протоколу HTTPS. Сам сервис, с которым соединяются мобильные приложения таксистов, развёрнут на основе пула IP-адресов, идущих не подряд из разных подсетей. Каждому таксисту в зависимости от его логина выдаётся свой набор IP-адресов. Приложение устанавливает TCP-соединение сразу с несколькими IP-адресами и в случае недоступности каких-то из них прозрачно переключается на другие. Кроме того, каждый раз при подключении клиента производится проверка токена авторизации и IP-адреса клиента, чтобы убедиться, что токен принадлежит именно ему. Такая схема окажется заведомо более устойчивой к DDoS-атакам, поскольку злоумышленнику будет крайне тяжело оказать такое воздействие на службу такси, чтобы сделать её недоступной (или хотя бы труднодоступной) для клиентов.
Защищаемость от DDoS-атак можно и нужно закладывать в решение ещё на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность и снизить расходы на защиту от атак. Подробнее о защищаемости и о том, что на неё влияет, можно узнать здесь.
Типы и разновидности DDoS-защиты
Защиту от DDoS-атак можно классифицировать как минимум по трём основным «осям координат»:
Классификация по типу решения
На самом высоком уровне комплексы для защиты от DDoS-атак можно классифицировать следующим образом:
1. Решения, развёртываемые локально (on-premise) самим клиентом или его провайдером, в свою очередь, бывают программными и аппаратными. К достоинствам таких решений можно отнести:
Ограничений тоже хватает:
2. Облачные решения, по сути, реализуют ту же функциональность пакетной защиты, что и комплексы on-premise, но при этом их ресурсы делятся между множеством клиентов. Помимо пакетной защиты нередко предлагается и защита сайтов от атак ботами (по протоколу HTTP), а также техническая поддержка и сопровождение во время DDoS-атаки.
Рассмотрим преимущества облачной защиты (с оговоркой, что решение — качественное):
3. Гибридные решения представляют собой комплекты из локальной инсталляции и подписки на облачный сервис anti-DDoS, который подключается автоматически при величине атаки более заданной. Это позволяет нивелировать основной недостаток решений on-premise — ограничение по объёму атаки — и совместить преимущества облачной и локальной защиты.
Можно сделать вывод, что основной клиент для решений on-premise — это крупные операторы связи: ISP, облачные провайдеры, дата-центры, которые могут и хотят наладить собственную службу реагирования на DDoS-атаки и в состоянии как монетизировать данную услугу среди своих клиентов (для покрытия немаленьких затрат), так и самостоятельно справиться с мощными атаками (в настоящий момент речь идёт о сотнях гигабит). Из-за известных ограничений сами локальные решения в данный момент находятся в процессе эволюции до гибридных; в результате, скорее всего, их стоимость будет снижаться, а затраты разделятся между изначальным приобретением и ежемесячной (ежегодной) подпиской на облачную услугу для отражения мощных атак, что сделает этот класс решений более доступным для небольших сервис-провайдеров.
На сегодняшний же день оптимальным для большинства компаний будет приобретение облачного решения; о том, как его выбрать, расскажем далее.
Классификация по уровню защиты
Как правило, DDoS-атаки используют уязвимости и особенности протоколов и систем, работающих либо на сетевом и транспортном уровнях модели OSI (третьем и четвёртом соответственно), либо на уровне приложений и программных сервисов (седьмом). Кроме того, всё большее распространение получают «интеллектуальные» атаки, использующие весьма изощрённые методы воздействия. Исходя из этого, решения для защиты от DDoS-атак можно разделить на три категории:
Решения on-premise, как правило, ограничиваются защитой на уровнях L3–L4 (даже если фильтрация L7 присутствует как функциональность, работает она в крайне ограниченном виде). Облачные же решения могут принадлежать к разным ценовым категориям и иметь различные уровни возможностей; чтобы понять, на что они способны, необходимо тщательно изучать документацию конкретных сервисов. Для защиты критически важных интернет-ресурсов стоит выбирать вариант с использованием WAF: это позволит максимально обезопасить ресурсы и обеспечить их доступность при DDoS-атаках самого разного уровня сложности.
Классификация по формату подключения
По формату подключения DDoS-защиту можно подразделить на симметричную и асимметричную.
Симметричные алгоритмы подразумевают установку фильтра в таком режиме, когда через него всегда проходят и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике).
Асимметричные алгоритмы не анализируют исходящий от сервера трафик, основываясь только на входящем потоке.
Как правило, симметричные алгоритмы более эффективны, поскольку анализируют оба потока данных одновременно и могут основывать принимаемые решения на полной информации о сетевом взаимодействии сервера и клиентов. Асимметричные же алгоритмы зачастую сложнее и вынуждены «делать предположения», т. к. не владеют «полной картиной» — например, может потребоваться пропустить на атакуемый сервер несколько пакетов, чтобы по последующим входящим пакетам проверить, предназначались они для него или нет. Таким образом, стопроцентная фильтрация некоторых атак в асимметричном режиме не гарантируется.
Хороший пример атаки, которая «by design» фильтруется в асимметричном режиме не до конца, — это TCP Reflection. Не будем вдаваться в механику атаки и особенности её фильтрации в рамках данной статьи; скажем лишь, что асимметричная защита от этой атаки основывается либо на блокировке / шейпинге TCP-сегментов с флагами SYN+ACK (в результате у защищаемого ресурса не работают исходящие соединения с интернетом), либо на пропуске части атаки внутрь и дальнейшем анализе каждого соединения.
В общем случае симметричная защита оправданна для веб-сайтов и критически значимых приложений, которые должны быть максимально доступными, а асимметричная — для защиты провайдерских сетей, где направить исходящий трафик через DDoS-фильтр сложно, невыгодно или невозможно.
Вкратце преимущества и недостатки обоих классов защиты приведены в таблице.
| Преимущества | Симметричная защита | Асимметричная защита |
| Гибкое управление исходящим трафиком | Нет | Да |
| Добавленная задержка | Выше | Ниже |
| Сложность подключения | Выше | Ниже |
| Плата за подписку | Выше | Ниже |
| Возможность использовать нескольких провайдеров для защиты от DDoS-атак (одного IP) | Нет | Да |
| Эффективность фильтрации | Выше | Ниже |
Более подробную информацию о симметричной и асимметричной защите от DDoS-атак можно найти в этом выступлении.
А работает ли защита?
Как мы уже сказали, само по себе подключение защиты от DDoS не гарантирует работоспособность ваших ресурсов в случае DDoS-атаки. Зачастую проблема кроется не в «плохой» DDoS-защите, а в неудачной архитектуре интернет-сервиса или некоторых других его особенностях.
Приведём пример: некий успешно развивающийся интернет-магазин внезапно столкнулся с тем, что сервис электронной торговли стал недоступен для покупателей. Как выяснилось, после подключения сервиса anti-DDoS прежний адрес сервера, на котором развёрнут сервис электронной торговли, оставался по-прежнему доступным, что, по сути, оставляло злоумышленнику широкие возможности для атаки с использованием прежнего адреса. После того как хостинг-провайдер «закрыл» этот адрес для доступа извне через порты TCP 80 и 443, отражение атак, ведущихся через HTTP, наконец-то заработало. Однако спустя время другие DDoS-атаки снова привели к отказу сервиса в обслуживании. Оказалось, что злоумышленник, по всей видимости, просканировал порты сервера, выяснил, что порт 22 (SSH) всё ещё открыт, и начал атаку по этому порту. Чтобы защитить клиента, хостинг-провайдер переместил сервис электронной торговли на другой сервер. Но и здесь спустя какое-то время успешные атаки возобновились, поскольку адрес нового сервера можно было легко узнать из заголовков сообщений электронной почты.
Следует выбирать провайдера, который обеспечивает защиту круглосуточно и без выходных. Нередко злоумышленники начинают атаки поздно вечером или ночью, рассчитывая на то, что специалисты службы защиты не отреагируют оперативно.
Если сервис очень важен, мы рекомендуем систематически проверять его на работоспособность путём организации стресс-тестов, чтобы атака не застала вас врасплох. В конце концов, защиту могут по ошибке отключить и забыть включить, например во время отладки — вы будете платить за услугу, думая, что ресурс находится под защитой, а по факту срок восстановления сервиса будет высоким.
Кроме того, если речь идёт о безопасности и доступности сайта или иного интернет-приложения, нужно сделать следующее:
Подключая защиту сети через BGP, нужно помнить, что злоумышленник может легко провести трассировку до провайдера, обеспечивающего DDoS-фильтрацию, и узнать стыковой IP-адрес, который, как правило, не защищён, а потому уязвим для DDoS-атак. Следовательно, стыковые IP-адреса желательно, во-первых, закрывать с помощью ACL (это должен обеспечить провайдер), а во-вторых, скрывать от трассировки как извне, так и изнутри.
Выстраивая защиту от DDoS-атак, очень важно представить себя на месте злоумышленника, подумать, какими способами он мог бы попытаться реализовать свои замыслы, а затем не только устранить все найденные уязвимости, но и тщательно протестировать сервис, чтобы убедиться, что он реально может противостоять атакам. Более подробную информацию о том, как правильно подключать DDoS-защиту, можно найти здесь.
Выбор поставщика: что продумать и о чём спрашивать
В настоящее время сервисы защиты от DDoS-атак есть в портфелях многих компаний — как специализирующихся на информационной безопасности, так и нет (интернет- и хостинг-провайдеры, дата-центры), при этом реальное качество защиты может сильно различаться.
Выбирая провайдера, очень важно выяснить следующие его особенности.
В целом, определяя провайдера сервиса, следует помнить, что защита от DDoS — дело очень серьёзное, а потому провайдера нужно выбирать со всей тщательностью.
Выводы
Подключая сервис защиты от DDoS-атак, важно помнить, что провайдер этого сервиса — не волшебник, и даже если он качественно выполнит свою часть работы, вам со своей стороны нужно немало потрудиться, чтобы, во-первых, обеспечить защищаемость вашего сервиса, а во-вторых, не создавать для злоумышленника «подарков судьбы», которые сделают его атаки эффективными. Защита от DDoS — сложная, комплексная работа, настоящая проверка на профессионализм не только специалистов вашего провайдера сервиса anti-DDoS, но и ваших собственных ИТ-сотрудников — системных администраторов, программистов и, конечно же, специалистов по информационной безопасности.