АТАКИ DDoS – ПОГЛЯД ЗСЕРЕДИНИ - Ddos-атаки на замовлення

Сутність DDoS-атаки

  • Атаки на додатки. У цих атаках DDoS зловмисники експлуатують очікувану поведінку протоколів, зокрема TCP та HTTP. Вони захоплюють обчислювальні ресурси, не даючи їм можливості обробляти транзакції та запити. Приклад атак даного типу на програми: це атаки з напіввідкритими з'єднаннями HTTP та з помилковими з'єднаннями HTTP.

Використання ACL для захисту Багато хто вважає, що маршрутизатори, на яких застосовуються списки контролю доступу (ACL) для фільтрації «небажаного» трафіку, забезпечують захист від DDoS-атак. Справді, списки контролю доступу можуть захистити від простих та відомих DDoS-атак, наприклад, від ICMP-атак.

  • Атаки на рівні додатків. Хоча списки ACL можуть блокувати клієнтські атаки, наприклад, атаки з помилковими з'єднаннями HTTP і напіввідкритими з'єднаннями HTTP (за умови, що є можливість точно ідентифікувати джерело атаки та конкретні не підроблені джерела), адміністратору потрібно конфігурувати сотні, а в деяких випадках і тисячі списків ACL для кожної потенційної мети DDoS-атаки.

Використання міжмережевих екранів для захисту

Міжмережеві екрани відіграють виключно важливу роль у системі безпеки будь-якої компанії, але вони не створені саме як інструмент запобігання DDoS-атакам. Фактично, у міжмережевих екранів є ряд вихідних властивостей, які не дозволяють забезпечити повний захист від найсучасніших DDoS-атак.

Насамперед, йдеться про місцезнаходження. Міжмережні екрани знаходяться в надто віддаленій зоні від оператора зв'язку на шляху прямування даних, і це не забезпечує достатній захист лінії каналу зв'язку, який з'єднує оператора зв'язку та граничний маршрутизатор корпоративної системи.навіщо ці компоненти стають вразливою метою для DDoS-атак. Фактично, оскільки міжмережні екрани вбудовуються за лінійною схемою, вони часто стають метою зловмисників, які намагаються порушити функціонування ресурсів обробки даних, щоб спричинити збій.

Використання системи виявлення вторгнень (IDS) для захисту Хоча системи IDS відмінно можуть виявляти атаки на рівні додатків, у них є і слабка сторона: вони не можуть виявити DDoS-атаку, в якій використовуються коректні пакети, а на сьогоднішній день у більшості атак використовуються саме коректні пакети. Хоча в системах IDS передбачені певні механізми, що діють на базі аномалій, які необхідні для виявлення даних атак, потрібне їх масштабне підстроювання вручну і вони не ідентифікують конкретні потоки трафіку атак.

Інша потенційна проблема використання систем IDS як платформа для захисту від атак DDoS полягає в тому, що вони тільки виявляють атаку, але не роблять жодних дій для усунення її наслідків. У рішеннях на базі IDS можуть бути рекомендовані фільтри для маршрутизаторів та міжмережевих екранів, але, як уже було сказано вище, не забезпечується ефективне усунення сучасних DDoS-атак.

Загалом системи IDS – це оптимальний інструмент виявлення атак на рівні додатків на основі сигнатур. Оскільки складні DDoS-атаки виявляються за аномальною поведінкою на 3-му та 4-му рівнях, сучасна технологія IDS не пристосована для виявлення та усунення DDoS-атак.

Опис компонентів, що входять до складу рішення захисту від DDoS-атак Cisco Traffic Anomaly Detector - це пристрій моніторингу, який виявляє ознаки, що вказують на присутність DDoS-атак. Cisco Traffic Anomaly Detector обробляє весьвхідний трафік сегмента, що захищається. Підключення детектора здійснюється до SPAN порту маршрутизатора (комутатора) або з використанням розгалужувача. Що дозволяє в безперервному режимі робити аналіз всього вхідного трафіку. Цей аналіз включає зіставлення поточного поведінки трафіку з базовими пороговими параметрами, виявлення аномального поведінки трафіку. Якщо аномальна поведінка виявлена ​​і виглядає як можлива атака, детектор надсилає в Cisco Guard сигнал про початок аналізу та усунення атаки.

Cisco Guard – це пристрій очищення трафіку, який має можливість ідентифікувати та блокувати зловмисний трафік. Cisco Guard, заснований на архітектурі унікального запатентованого процесу множинної верифікації (multiverification process, MVP), що застосовує вдосконалені ресурси виявлення аномалій для динамічного застосування інтегрованих прийомів ідентифікації джерел та антиспуфінгу в поєднанні з високоефективною фільтрацією, що дозволяє ідентифікувати та блокувати цим, забезпечуватиме пропуск благонадійних транзакцій. У поєднанні з інтуїтивним графічним інтерфейсом та потужною багаторівневою системою моніторингу та звітності, що надає повний огляд усіх дій, що супроводжують атаку, Cisco Guard забезпечує найбільш повний захист компанії від DDoS-атак.

Cisco DDoS Multidevice Manager – опціональне програмне забезпечення, що забезпечує всебічний та консолідований погляд на інфраструктуру відображення DDoS-атак. Дозволяє проводити аналіз у режимі реального часу на основі зібраної статистики, здійснювати активацію функцій виявлення аномалій та відображення атак, обробку всіх подій з усіх пристроїв та записувати в один журнал реєстрації.

Архітектура MVP Cisco Systems

Цей процес складається з п'яти модулів чи етапів:

  • Фільтрація – у цей модуль включені статичні та динамічні фільтри. Статичні фільтри, які блокують трафік атаки, не пропускаючи цілі, можуть бути конфігуровані користувачем. Компанія Cisco System постачає ці фільтри із попередньо заданими параметрами, що діють за замовчуванням. Динамічні фільтри вводяться в дію іншими модулями на базі поведінки та детального аналізу трафіку. При цьому в реальному часі формуються оновлення, що підвищують рівень верифікації, що застосовується до підозрілих потоків, або блокують джерела та потоки, які за результатами верифікації визнані зловмисними.
  • Розпізнавання аномалій – цей модуль виконує моніторинг всього трафіку, який не було зупинено модулями фільтрації та активної верифікації, та зіставляє цей трафік із базовою поведінкою, зафіксованою протягом певного періоду часу. Ведеться контроль за відхиленнями, що вказують на джерело появи зловмисних пакетів. Базовий принцип, на якому заснована робота цього модуля, є таким: закономірності поведінки трафіку, що надходить від джерела, в якому розташувався «зловмисник», суттєво відрізняються від поведінки благонадійних джерел у режимі нормальної роботи. Цей принцип застосовується для ідентифікації джерела та типу атаки, а також для формування рекомендацій щодо блокування трафіку або проведення детальнішого аналізу підозрілої інформації.
  • Аналіз протоколів – у цьому модулі обробляються той трафік, який визнано підозрілим на етапі розпізнавання аномалій. Завдання полягає в ідентифікації атак, пов'язаних з конкретними додатками, наприклад атак з помилковими з'єднаннями.HTTP. Потім виявляються будь-які транзакції протоколом, у яких є аномалії поведінки, зокрема, неповні транзакції чи помилки.
  • Нормування – в цьому модулі закладені інші заходи у відповідь. Він не допускає, щоб потоки з аномаліями поведінки заповнювали цільовий об'єкт під час більш детального моніторингу. Цей модуль формує трафік по кожному конкретному потоку, застосовуючи відповідні заходи до джерел, які споживають надмірний обсяг ресурсів (наприклад, смуги пропускання або кількості з'єднань) протягом занадто тривалого періоду.

Типове рішення щодо виявлення та усунення DDoS-атак у компанії або хостинг-центрі обробки даних

Можливими напрямами розвитку впровадженої системи можуть бути: інтеграція рішення з міжмережевим екраном, іншими засобами захисту та подальша модернізація рішення.

Опис роботи системи захисту від DDoS-атак

Нижче наведено послідовний опис етапів роботи системи захисту від DDoS-атак:

1-й етап. "Навчання" контрольним характеристикам

На початку своєї роботи компоненти системи захисту від DDoS-атак повинні побудувати контрольні характеристики для нормальної структури трафіку в конкретній зоні, на підставі яких можна було б визначати аномалії структури трафіку при DDoS-атаці.

2-й етап. Виявлення

Після завершення процесу навчання Cisco Traffic Anomaly Detector переводиться в режим моніторингу трафіку, що йде до зони мережі компанії. Cisco Traffic Anomaly Detector здійснює моніторинг дзеркального трафіку каналу в безперервному режимі. При виявленні трафіку, який відповідно до політиків детектора визначається як аномальний (тобто трафік, характеристики якого перевищують певні граничні значення),Cisco Traffic Anomaly Detector надсилає повідомлення адміністратору безпеки. Якщо справжність тривоги підтверджена, адміністратор в ручному режимі активує Cisco Guard і переводить зону, що атакується, в режим захисту. Також можна налаштувати Cisco Traffic Anomaly Detector на автоматичну активацію Cisco Guard відразу ж після виявлення атаки.

3-й етап. Зміна маршруту трафіку

4-й етап. "Чистка"

Cisco Guard аналізує аномалії трафіку, що йде в зону і перенаправленого на нього – шукає аномалії, що полягають у порушення потоком порогових значень політики. При виявленні такого порушення Cisco Guard аналізує результати та створює набір фільтрів, які безперервно адаптуються відповідно до трафіку та типу DDoS-атаки на зону. Фільтри роблять ретельну багаторівневу перевірку з метою ідентифікації та відокремлення «поганих» потоків від легітимних транзакцій. Після проходження процесу очищення очищений трафік повертається в зону і направляється у вихідний пункт призначення.

5-й етап. Повернення трафіку Очищений трафік з Cisco Guard повертається до зони. Доступні різні методи залежно від того, на якому рівні побудовано топологію опорної мережі (рівень 2 або рівень 3). Вони гарантують, що повернутий трафік не повернеться назад до Cisco Guard. Приклади цих методів включають маршрутизацію на основі політики (PBR), віртуальну маршрутизацію/комутацію (VRF), схеми інкапсуляції GRE та віртуальні приватні мережі на основі MPLS.

6-й етап. Завершення очищення трафіку

Висновок:

Технологія та архітектура від компанії Cisco System – це інноваційний підхід із ретельно опрацьованими механізмами аналізу трафіку, який не дозволяє реалізувати мету DDoS-атак – порушитибізнес-процеси компаній. Крім простої фільтрації, у вирішенні Cisco передбачено очищення даних для видалення зловмисного трафіку та пропуску легітимних пакетів, із забезпеченням стійкої безперервної роботи та ділової активності.

Замовити Ddos-атаку можна за посиланням: >.