Dns с защитой от ddos

Обновлено: 05.07.2024

Вы знаете, на чьих серверах хранятся доменные имена ваших веб-ресурсов?

А сколько времени им требуется для резолвинга вашего сайта?

Защищены ли они от DDoS-атак?

Зачастую эти вопросы отдаются на откуп хостеру, где размещается сам сайт. Или еще проще – записи остаются на DNS серверах регистратора доменов. В чем кроется опасность такого решения?

Доменное имя и собственно сам сайт находятся на разных серверах и даже в разных сетях. Поэтому, в случае атак на DNS-сервера, посетители не смогут попасть на сайт, даже если хостинг работает исправно. И решить проблему через своего хостера не получится, т.к. чаще всего она находится вне зоны его ответственности. Думаем, нет смысла расписывать, какими убытками это грозит, если речь идет о коммерческом проекте.

Мы, команда DDoS-GUARD, стремимся сделать Интернет безопасной средой. Для этого мы предлагаем отказоустойчивые сервисы, а также бесплатную защиту и ускорение для любого сайта. Однако недостаточно защитить только сайт, оставив без внимания DNS сервер с записями сайта.

Для решения этой проблемы мы развернули геораспределенную сеть из 6 серверов доменных имен по всему миру. Они защищены от DDoS-атак и доступны для размещения записей наших клиентов совершенно бесплатно. Теперь вы можете делегировать нам свой домен и быть уверенным в том, что выбрали надежный DNS-хостинг.

Преимущества DNS-хостинга DDoS-GUARD

Дата-центры с DNS-серверами расположены по всему миру. Они подключены к магистральным операторам связи регионов. Даже в случае аварийного выхода из строя одного из серверов, клиентские ресурсы будут доступны. В этом случае на запросы доменного имени будет отвечать резервный сервер.

Геораспределение DNS серверов позволяет резолвить запросы максимально близко к посетителям. Они, в свою очередь, заметят что сайты стали открываться быстрее, где бы они ни находились. А высокая скорость положительно влияет на конверсию.

Каждый из наших DNS-серверов надежно защищен от DNS-флуда и других видов распределенных атак. Для этого мы используем собственную систему фильтрации трафика. Ее алгоритмы разработаны и регулярно обновляются инженерами компании. Кибератаки на наши DNS-сервера не выводят их из строя.

Мы гарантируем защищенность всех персональных данных клиентов, использующих наши услуги, от несанкционированного доступа.

На всех услугах при добавлении домена все настройки в вашем личном кабинете устанавливаются автоматически. Для делегирования домена на защищенный DNS-хостинг нужно только указать наши NS-серверы в личном кабинете регистратора доменных имён, где Вы регистрировали доменное имя.

Размеcтив DNS-записи вашего сайта на нашем DNS-хостинге, Вы сможете контролировать все важные сервисы через одну панель. Это может быть управление хостингом (версиями PHP, базы данных, FTP-пользователи), удалённой защитой, А-записями и пр. А при возникновении каких-либо проблем Вы можете обратиться к специалистам нашей службы поддержки. Они помогут решить Ваш вопрос в сроки, регламентированные условиями тарифа. Или самостоятельно воспользоваться инструкциями на нашем сайте.

Мы даем полный доступ к управлению и настройкам DNS для всех клиентов через личный кабинет на сайте. Это позволяет оперативно изменять имеющиеся записи, или, при необходимости, добавлять новые. Бесплатное использование предусмотрено практически на всех тарифах с защитой веб-сайтов.

В заключение предлагаем сравнить время резолва домена (процесса отклика NS-сервера на запрос доменного имени), до и после его переноса на наш DNS-хостинг. Для примера мы разместили домен сначала на бесплатном хостинге Amazon (рис. 1), а потом - на нашем (рис. 2) и тестировали в течение суток.

Резолв домена на Amazon - в 14 раз медленнее! Как видно на этом примере, мы обеспечиваем не только защиту, но и максимальное ускорение работы вашего ресурса.

Перенести свой домен на защищенный DNS-хостинг может любой наш клиент в независимости от тарифа, процедура описана в инструкции на сайте.

Кого атакуют?

По данным ЦБ, в 2016 году количество DDoS-атак на российские финансовые организации увеличилось почти вдвое. В ноябре DDoS-атаки были направлены на пять крупных российских банков. В конце прошлого года ЦБ сообщал о DDoS-атаках на финансовые организации, в том числе Центральный банк. «Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры», — отмечали в службах безопасности крупных банков.

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Однако жертвами DDoS-атак становятся как многочисленные организации и компании, на обладающие столь мощной «обороной». В 2017 году ожидается рост ущерба от киберугроз – программ-вымогателей, DDoS и атак на устройства интернета вещей.

Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.

По данным отчета «2016 Verizon data breach incident report» (DBIR), в прошлом году количество DDoS-атак заметно выросло. В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ, ритейл.

Примечательная тенденция DDoS-атак – расширения «списка жертв». Он включает теперь представителей практически всех отраслей. Кроме того, совершенствуются методы нападения.
По данным Nexusguard, в конце 2016 года заметно выросло число DDoS-атак смешанного типа — с использованием сразу нескольких уязвимостей. Чаще всего им подвергались финансовые и государственные организации. Основной мотив кибепреступников (70% случаев) – кража данных или угроза их уничтожения с целью выкупа. Реже – политические или социальные цели. Вот почему важна стратегия защиты. Она может подготовиться к атаке и минимизировать ее последствия, снизить финансовые и репутационные риски.

Последствия атак

Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.

По данным опроса компании HaltDos, DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.

Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.

По данным опроса компании HaltDos, количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час.

Типы DDoS-атак

Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Организация DDoS-атак заметно упростилась: сейчас есть широко доступные автоматизированные инструменты, практически не требующие от киберпреступников специальных знаний. Существуют и платные сервисы DDoS для анонимной атаки цели. Например, сервис vDOS предлагает свои услуги, не проверяя, является ли заказчик владельцем сайта, желающим протестировать его «под нагрузкой», или это делается с целью атаки.

Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае массовой DDoS-атаки (volume based) используется большое количество запросов, нередко направляемых с легитимных IP-адресов, чтобы сайт «захлебнулся» в трафике. Цель таких атак – «забить» всю доступную полосу пропускания и перекрыть легитимный трафик.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители — DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры — Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

К атакам Layer 7 прибегают в основном профессиональные хакеры. Принцип следующий: берется «тяжелый» URL (с файлом PDF или запросом к крупной БД) и повторяется десятки или сотни раз в секунду. Атаки Layer 7 имеют тяжелые последствия и трудно распознаются. Сейчас они составляют около 10% DDoS-атак.

Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS

Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.

По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.

При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.

Как защититься от DDoS-атак?

Как же защититься от DDoS-атак, какие шаги предпринять? Прежде всего, не стоит откладывать это «на потом». Какие-то меры следует принимать во внимание при конфигурировании сети, запуске серверов и развертывании ПО. И каждое последующее изменение не должно увеличивать уязвимость от DDoS-атак.

Защита DNS

А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.

На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.

В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

Средства защиты от DDoS-атак, предоставляемые провайдером

Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.

Услуги защиты от DDoS-атак предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки — до 1500 Гбит/сек. Оплачивается при этом трафик.

Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.

Постоянная генерация простых запросов к серверу по любому доступному в интернет порту/протоколу — это несложная операция, при этом каждый ответ сервера — это процесс, который занимает в сотни и тысячи раз больше мощности, чем клиент на создание этого запроса.

Как это устроено

Защита в режиме Always-оn

Мы выдаем IP-адрес нашей сети и настраиваем схему возврата трафика к вашим ресурсам с помощью выделенных линий или VPN. Для защиты веб-сайтов может быть настроен режим reverse-proxy. После этого вы можете анонсировать сервисы и конфигурировать их защиту через наш веб-портал.

Защита DNS-серверов

При использовании выданного нами IP-адреса в качестве адреса DNS-сервера, мы будем выступать в качестве защищенного прокси-сервера и предотвращать попадание незаконных DNS-запросов на ваш сервер, одновременно маскируя его от атак на уровне сети напрямую.

Кроме того, мы можем кэшировать DNS-запросы, что снимет нагрузку и улучшит доступность вашего сервиса.

Защита специфичных протоколов

В режиме Always-on (постоянное прохождение трафика) мы проводим постоянный гранулированный анализ пакетов трафика на соответствие штатному поведенческому профилю.

Обучение происходит за период от нескольких минут до нескольких дней, после чего мы можем гарантировать минимальное количество ложных срабатываний.

Надежность и производительность

По 2 катастрофоустойчивых центра фильтрации в каждой географической зоне

Каждый центр фильтрации включен в несколько Tier-1 ISP для обеспечения сетевой доступности

До 80 Гб* в секунду на каждого клиента под атакой в режиме установления TCP-соединения

До 5 Тб/с мощность отражаемой объемной атаки

Наши преимущества

Глобальный SOC мирового уровня

Наша экспертная команда обеспечивает круглосуточную поддержку наших решений. Перекрывающиеся смены гарантируют отсутствие временных разрывов, а непрерывное образование высокий экспертный уровень.

Комплексный подход

Защита от DDoS-атак для инфраструктуры может работать синхронно с нашей защитой от DDoS-атак для отдельных IP или веб-приложений.

Продвинутые технологии

Адаптация правил фильтрации во время атаки позволяет эффективно противостоять даже самому изощренному воздействию.

Только собственные разработки, сертифицированные ФСТЭК.

Тарифы

Базовой единицей тарификации выступает ресурс — это IP адрес или подсеть и уровень SLA

Enterprise

Для ресурсов с высокими нагрузками и требованием по SLA

Business

Оптимальный SLA для сайтов с высокой посещаемостью

10 Гб/с
GRE, DNS Proxy
5
Стандартные
10
4 сервера на IP
24x7
Base
9 000 ₽
50 Мб/с
15 000 ₽

Standard

Для защиты web-серверов с невысоким трафиком

Документация по нашим услугам

Узнайте больше о защите IP-адресов и сервисов

Технологии защиты от DDOS-атак любого масштаба

Соглашение об уровне обслуживания Kaspersky DDoS Protection

Сертификат качества Kaspersky DDoS Protection

Отчеты по DDoS-атакам

Будьте в курсе актуального ландшафта Интернет-угроз с ежеквартальными отчетами Securelist

Атаки типа «распределенный отказ в обслуживании» (DDoS) являются реальной и растущей угрозой для бизнеса во всем мире. Эти атаки, направленные на то, чтобы ускользнуть от обнаружения самыми популярными инструментами сегодняшнего дня, могут быстро вывести из строя целенаправленный бизнес, жертвуя жертвами тысячи, если не миллионы долларов потерянных доходов и производительности. Принимая новые специально разработанные решения, разработанные специально для обнаружения и поражения DDoS-атак, предприятия могут беспрепятственно вести свои бизнес-операции.

DDoS-атаки — это оружие массового разрушения. В отличие от атак доступа, которые проникают в периметры безопасности, чтобы украсть информацию, атаки DDoS парализуют интернет-системы подавляющими серверами, сетевыми ссылками и сетевыми устройствами (маршрутизаторами, брандмауэрами и т. д.) С фиктивным трафиком.
DDoS появляется как оружие выбора для хакеров, политических «хактивистов», кибер-вымогателей и международных кибер-террористов. Легко запускаемые против ограниченной защиты, DDoS-атаки не только нацелены на отдельные веб-сайты или другие серверы на краю сети — они подчиняют себе сеть. Атаки начали явно нацеливать сетевую инфраструктуру, такую как агрегирование или основные маршрутизаторы и коммутаторы, или серверы доменных имен (DNS) в сети провайдера. В октябре 2002 года предвестником будущих масштабных атак была грубая DDoS-атака, которая затронула 8 из 13 корневых DNS-серверов, критически важных систем, которые служат дорожной картой практически для всех интернет-коммуникаций.

Растущая зависимость от Интернета оказывает влияние успешных атак DDoS — финансовых и других — все более болезненных для поставщиков услуг, предприятий и правительственных учреждений. И новые, более мощные инструменты DDoS обещают развязать еще более разрушительные атаки в ближайшие месяцы и годы.
Поскольку атаки DDoS являются одними из самых трудных для защиты от них, адекватное и эффективное реагирование на них создает огромную проблему для всех интернет-зависимых организаций. Сетевые устройства и традиционные технологии защиты периметра, такие как брандмауэры и системы обнаружения вторжений (IDS), хотя и являются важными компонентами общей стратегии безопасности, сами по себе не обеспечивают комплексную защиту DDoS. Вместо этого защита от нынешнего нападения DDoS, угрожающего доступности Интернета, требует целенаправленной архитектуры, которая включает в себя способность специально обнаруживать и преодолевать все более сложные, сложные и обманные атаки.

УГРОЗА DDOS

Атака DDoS направляет сотни или даже тысячи скомпрометированных «зомби» против одной цели. Эти хосты-зомби невольно набираются из миллионов незащищенных компьютеров, которые получают доступ к Интернету через высокоскоростные, «всегда-подключенные» соединения. Посадив на этих машинах коды «спальных», хакеры могут быстро построить легион зомби, все ждут команды для запуска атаки DDoS. При достаточном участии хозяев зомби объем атаки может быть поразительным.

Влияние DDoS-атак

Эффект успешной атаки DDoS широко распространен. Производительность сайта сильно скомпрометирована, что приводит к разочарованию клиентов и других пользователей. Соглашения об уровне обслуживания (SLA) нарушаются, вызывая дорогостоящие кредиты обслуживания. Репутация компании потускнела, иногда надолго. Потерянный доход, потеря производительности, увеличение расходов на ИТ, судебные издержки — потери просто продолжают расти.
Числа ошеломляют. Оценки от Forrester, IDC и Yankee Group прогнозируют, что стоимость 24-часового перерыва для крупной компании электронной коммерции приблизится к 30 миллионам долларов США. По данным Yankee Group, поток DDoS-атак против Amazon, Yahoo, eBay и других крупных сайтов в феврале 2000 года привел к предполагаемому кумулятивному убытку в размере 1,2 млрд. Долл. США. А в январе 2001 года Microsoft потеряла около 500 миллионов долларов США в течение нескольких дней после атаки DDoS на своем сайте. Очевидно, что компании должны предпринять шаги, чтобы защитить себя от этих злонамеренных атак, поддерживая защиту в своих многочисленных уязвимых местах.

Внутри DDoS-атаки

Как работают DDoS-атаки? Воспользовавшись интернет-протоколами и фундаментальным преимуществом интернет-доставки пакетов данных практически из любого источника в любой пункт назначения, без предрассудков.
По сути, именно поведение этих пакетов определяет DDoS-атаку: либо слишком много подавляющих сетевых устройств, либо серверов, либо они намеренно неполны, чтобы быстро потреблять ресурсы сервера. Что мешает DDoS-атакам настолько трудно предотвратить, что незаконные пакеты неразличимы от законных пакетов, что затрудняет обнаружение. Типичное сопоставление образцов подписи, выполняемое IDS, не работает. Многие из этих атак также используют поддельные исходные IP-адреса, тем самым ускоряя идентификацию источника с помощью средств мониторинга на основе аномалий, которые ищут необычно большие объемы трафика, исходящего из определенного источника.
Ниже перечислены два основных типа DDoS-атак:

Угроза DDoS становится все более разрушительной

Растущая тенденция среди злоумышленников DDoS заключается в использовании сложных методов спуфинга и основных протоколов (вместо несущественных протоколов, которые могут быть заблокированы), чтобы сделать атаки DDoS еще более скрытными и разрушительными. Эти атаки, которые используют законные протоколы и службы приложений, очень трудно идентифицировать и победить; Использование фильтрации пакетов или ограничение скорости просто завершает задачу злоумышленника, закрывая все, что приводит к отказу от законных пользователей.

Неправильные способы борьбы с DDoS

Черные дыры (blackholing)

Blackholing описывает процесс предоставления услуг, блокирующий весь трафик, предназначенный для целевого предприятия, с помощью которого поылают переадресованный трафик в «черную дыру», где он отбрасывается, чтобы сохранить сеть провайдера и других своих клиентов. Поскольку законные пакеты отбрасываются вместе с вредоносным трафиком, blackholing не является решением. Жертвы теряют весь свой трафик — и атакующий выигрывает.

Маршрутизаторы

Многие считают, что маршрутизаторы, которые используют списки управления доступом (ACL) для фильтрации нежелательного трафика, защищают от DDoS-атак. И это правда, что ACL могут защищать от простых и известных DDoS-атак, таких как атаки ping, путем фильтрации ненужных, ненужных протоколов.
Тем не менее, сегодняшние DDoS-атаки обычно используют действительные протоколы, которые необходимы для присутствия в Интернете, что делает протокол фильтрации менее эффективной защитой. Маршрутизаторы также могут останавливать недопустимые пространства IP-адресов, но злоумышленники обычно обманывают действительные IP-адреса, чтобы избежать обнаружения. В общем, хотя ACL маршрутизатора действительно обеспечивают первую линию защиты от базовых атак, они не оптимизированы для защиты от следующих сложных типов DDoS-атак:

Другая стратегия предотвращения DDoS на основе маршрутизатора — использование переадресации обратного пути Unicast (uRPF) для остановки поддельных атак исходящей стороны — обычно неэффективна в отношении сегодняшних DDoS-атак, поскольку основной принцип uRPF заключается в блокировании исходящего трафика, если IP-адрес не принадлежит В подсеть. Однако, поскольку злоумышленники могут обманывать исходные IP-адреса из той же подсети, за которой они сидят, такая стратегия может быть легко побеждена. Кроме того, для того, чтобы uRPF был действительно эффективным, он должен быть реализован перед каждым потенциальным источником атаки — выполнение, которое было бы трудно, если не невозможно, выполнить.

Брандмауэры

Хотя IDS обеспечивают отличные возможности обнаружения атаки на уровне приложений, у них есть слабость: они не могут обнаруживать атаки DDoS с использованием действительных пакетов, и большинство современных атак используют действительные пакеты. Хотя IDS действительно предлагают некоторые возможности, основанные на аномалии, которые необходимы для обнаружения таких атак, они требуют обширной ручной настройки экспертами и не определяют конкретные потоки атаки.
Еще одна потенциальная проблема с IDS как защитной платформой DDoS заключается в том, что они только обнаруживают — они ничего не делают для смягчения последствий атаки. Решения IDS могут рекомендовать фильтры для маршрутизаторов и брандмауэров, но, как описано ранее, они не совсем эффективны для смягчения современных сложных DDoS-атак. Требуемые IDS — это дополнительное решение для смягчения последствий, которое обеспечивает следующий уровень идентификации конкретного потока атаки, интегрированный с немедленными возможностями обеспечения соблюдения.
Таким образом, IDS оптимизированы для обнаружения атаки на уровне приложений на основе сигнатур. Поскольку сложные атаки DDoS определяются аномальным поведением на уровнях 3 и 4, текущая технология IDS не оптимизирована для обнаружения или смягчения DDoS.

Ручная обработка, используемая как часть защиты от DDoS, случаются слишком поздно и неэффективны. Первый ответ жертвы на DDoS-атаку обычно заключается в том, чтобы попросить ближайшего провайдера соединений по восходящему потоку — провайдера интернет-услуг (ISP), хостинг-провайдера или базового оператора — попытаться идентифицировать источник. С поддельными адресами это может быть долгим и утомительным процессом, который требует сотрудничества между многими провайдерами. И хотя источник может быть идентифицирован, его блокирование будет означать блокирование всего трафика — хорошего и плохого.

Другие стратегии

Чтобы противостоять атакам DDoS, корпоративные операторы рассмотрели различные стратегии, такие как избыточное предложение, то есть покупку избыточной полосы пропускания или избыточных сетевых устройств для обработки любых всплесков спроса. Такой подход не особенно экономичен, особенно потому, что он требует добавления избыточных сетевых интерфейсов и устройств. И независимо от первоначального эффекта, атакующим просто нужно увеличить объем атаки, чтобы победить дополнительную мощность.

Кейсы для защиты доступности

В любом бизнесе, имеющем присутствие в Интернете, есть множество причин — экономических и иных — вкладывать средства в защиту DDoS. Крупные предприятия, правительственные организации, поставщики услуг — все должны защищать компоненты своей инфраструктуры (веб-серверы, DNS-серверы, серверы электронной почты и чатов, брандмауэры, коммутаторы и маршрутизаторы), чтобы сохранить целостность бизнес-операций и повысить эффективность использования технического персонала.

Модели ROI для защиты от DDoS

Конечно, внедрение полной защиты DDoS несет свои собственные затраты. Однако возврат инвестиций (ROI) для реализации такой программы является убедительным.

Защита электронной коммерции и DDoS для сайтов электронной коммерции может окупиться в течение нескольких часов по сравнению со стоимостью потенциальных потерь, связанных с DDoS-атакой. Транзакционные объемы сайта электронной коммерции, средний доход за транзакцию, доход от рекламы, нематериальные активы, такие как капитал бренда и юридические обязательства, а также время технического персонала, необходимое для восстановления атакованного сайта, должны учитываться при определении финансового воздействия любого связанного с DDoS простоя. Добавьте вероятность того, что защита DDoS может позволить понизить рейтинг менее дорогим каналам связи, а показатели ROI станут еще более впечатляющими.
Поставщики услуг . Для поставщиков услуг, поддерживая свою собственную сеть, есть огромные последствия для инвестиций. Если атакуется инфраструктура провайдера (маршрутизаторы, DNS и т. д.), Все службы для клиентов терпят неудачу, что приводит к нарушениям SLA. Стоимость защиты DDoS — это страхование от катастрофических сбоев, которые будут стоить более значительных бизнес-заказов с точки зрения как доходов, так и отрицательных отношений с клиентами.

Однако исключение издержек не является единственной мотивацией для провайдеров хостинга, транзита и услуг для реализации полного решения DDoS. Для этих пользователей защита от DDoS также может предлагаться как услуга с добавленной стоимостью, которая создает новые потоки доходов и обеспечивает конкурентную дифференциацию.

Смягчение угрозы DDoS

Принятие DDoS-атак требует нового подхода, который не только обнаруживает все более сложные и обманчивые нападения, но и смягчает последствия атаки для обеспечения непрерывности бизнеса и доступности ресурсов.

Полная защита от DDoS построена на четырех ключевых темах:

1. Смягчить, а не просто обнаружить.
2. Аккуратно отличить хороший трафик от плохого трафика, чтобы сохранить непрерывность бизнеса, а не просто обнаружить общее присутствие атаки.
3. Включите производительность и архитектуру для развертывания апстрима для защиты всех уязвимых мест.
4. Поддержать надежную и экономичную масштабируемость.

Защита DDoS, построенная на этих концепциях, обеспечивает следующие атрибуты защиты:

Позволяет мгновенно реагировать на атаки DDoS с помощью интегрированных механизмов обнаружения и блокировки даже во время поддельных атак, когда постоянно изменяются идентификаторы и профили атак
Обеспечивает более полные возможности проверки, чем фильтры статического маршрутизатора или сигнатуры IDS могут сегодня обеспечить
Обеспечивает распознавание аномалий на основе поведения для обнаружения действительных пакетов, отправленных с вредоносными намерениями для наводнения службы
Определяет и блокирует отдельные поддельные пакеты для защиты законных бизнес-транзакций
Предлагает механизмы, предназначенные для обработки огромного объема DDoS-атак, не страдающих той же судьбой, что и защищенные ресурсы
Включает развертывание по требованию для защиты сети во время атак без введения точки отказа или наложения масштабирующих затрат встроенного решения
Процессы (со встроенным интеллектом) только загрязняют потоки трафика, что помогает обеспечить максимальную надежность и минимальные затраты на масштабирование
Избегает использования ресурсов сетевых устройств или изменений конфигурации
Использует стандартные протоколы для всех коммуникаций, что обеспечивает максимальную совместимость и надежность

Заключение

Атаки DDoS будут продолжать расти в масштабе и серьезности благодаря более мощным (и легко доступным) средствам атаки, множественным точкам уязвимости Интернета и растущей зависимости бизнеса от Интернета. По мере роста стоимости этих атак поставщики, предприятия и правительства должны реагировать на защиту своих инвестиций, доходов и услуг.
Требуется новый тип решения, дополняющий существующие решения безопасности, такие как брандмауэры и IDS, не только обнаруживая самые сложные атаки DDoS, но также предоставляя возможность блокировать все более сложные и трудно обнаруживаемые атаки, не влияя на законный бизнес сделки. Такой подход требует более тщательного контроля и анализа трафика атак, чем могут обеспечить сегодняшние решения.

Читайте также: