Еволюція DDOS від flood-атак до атак на рівні додатків, ChannelForIT
В останні кілька років розподілені атаки типу «відмова в обслуговуванні» (Distributed Denial Of Service, DDoS) еволюціонували з відносно простих flood-атак у складні та багатоступінчасті атаки. Крім того, разом із традиційними атаками високого рівня, які спрямовують масовані обсяги трафіку з метою перевантаження сервера, бізнес також зіткнувся зі спрямованими атаками. Вони використовують відносно невеликий обсяг трафіку, орієнтований на додатки, які обробляють величезні обсяги даних. Ці атаки не виявляються традиційними рішеннями захисту від DDoS. Збій, заподіяний DDoS-атакою, може призвести до величезних збитків у бізнесі, незалежно від розміру компанії чи організації, яка зазнала нападу.
Перша розподілена атака типу DDoS відбулася в 2000 році і була націлена на сайти Amazon, eBay та інші майданчики e-commerce. Як інструмент для здійснення масштабних атак кіберзлочинці використовували ботнет з безлічі ПК, які генерували безліч запитів і завантажили сервери, що обслуговують портали e-commerce, настільки сильно, що ті вже не могли обробляти запити користувачів. Загальні збитки від атак оцінюються приблизно в $1,7 млрд.
З того часу DDoS-атаки дуже сильно еволюціонували: від примітивного інструменту, що використовує атаки з великим обсягом трафіку для перевантаження веб-серверів, до складних комплексних атак рівня додатків, розроблених для прицільного удару по стратегічних бізнес-ресурсах. У 2012 р. відбулася серія таких атак проти банківської індустрії з метою здійснення фінансового шахрайства. Сектори освіти та електронної комерції теж неодноразово ставали мішенню кіберзлочинців.
2013 р. показав, щоDDoS-атаки піднялися на новий рівень і призвели до ще більшої кількості згадок у ЗМІ. У той час, як багато компаній продовжують вважати, що їх веб-сайти та інфраструктура додатків адекватно захищені проти кібератак, інші вже підготувалися до захисту проти складнішої структури DDoS-атак. Згідно з незалежним дослідженням, 64% ІТ-фахівців (мають більше 10 років досвіду) заявили, що потужність кібератак на підйомі, при цьому лише 25% заявили, що мають можливість вжити відповідних контрзаходів. Усього 22% ІT-менеджерів, які приймають рішення, вже запровадили захист від DDoS.
2012 показав різкий стрибок DDoS-атак типу Layer 7. Ці атаки протікають малопомітно, оскільки свій трафік вони видають за легітимний. Атаки Layer 7 або рівня додатків, швидше, орієнтуються на вразливості в самому коді додатків, ніж застосування «лобової» атаки, для досягнення необхідних результатів. Мета більшості атак рівня програм - це добре відоме ПЗ, що використовує HTTP, HTTPS, DNS, and VoIP (Session Initiation Protocol або SIP). Як і flood-атаки, атаки L7 вимагають дуже мало витрат із боку кіберзлочинців. Цілком можливо паралізувати великі веб-сайти з одного ноутбука, надсилаючи від 40 до 60 однакових запитів за секунду (скорочено PPS, або пакетів за секунду). У той же час, у flood-атаках відсилається від кількох сотень або тисяч PPS до мільйонів. Зовнішня легальність це те, що робить атаки L7 поширеними і надзвичайно важкими для виявлення і блокування.
Атаки рівня додатків не завжди можуть бути детектовані системою захисту, оскільки хакери користуються слабкою стороною технології виявлення, яка застосовує принцип мережного потоку та методику порогових величин. RUDY (R-U-Dead-Yet) і Slow Loris - це два типи атак рівня додатків,які орієнтовані на HTTP-протокол. Зловмисники намагаються запустити безліч запитів, які важко обслужити, вичерпуючи ресурси програми та швидко паралізуючи веб-сайт.
DNS-сервери є привабливим видобутком, тому що вони зазвичай дуже великі, працюють на широкосмуговому інтернет-каналі, і не можуть бути так просто занесені до «чорного» списку.
1000 разів більшим обсягом трафіку, тим самим бомбардуючи жертву масованою хвилею трафіку. Взяті окремо, ці запити до DNS є легітимними, так само як і відповідні дані; тим не менш, за рахунок камуфляжу зловмисник може залишатися анонімним і керувати публічно доступними DNS для відображення атак та посилення їхньої потужності. Застосовуючи такі методи атак у 2013 р., невелика група злочинців змогла згенерувати найбільшу DDoS-атаку в історії, досягнувши безперервного потоку трафіку на рівні 300 Гбіт/с. Хакери атакували spamhaus.com, організацію, яка публікує чорні списки спамерів в Інтернеті.
Атаки рівня додатків дедалі частіше спрямовуються проти онлайн-банкінгу інтернет-магазинів. Ці атаки часто ховають у шифрованому (HTTPS/SSL) трафіку, і вони залишаються невидимими для традиційних рішень. Як приклад, така атака може бути запущена шляхом запуску функції add to cart на веб-сервері, генеруючи більше трафіку, ніж зможуть обробити програми, перевантажуючи сайт і генеруючи повідомлення про помилку для кінцевих користувачів, які намагаються здійснювати онлайн-покупки. Ці атаки не виявляються, поки не стане надто пізно, оскільки вони використовують легальні канали трафіку для проникнення на веб-сервери та програми.
Атаки «нульового дня» є мегатрендами DDoS, вони орієнтовані на нові виявлені вразливості в веб-додатках, а не на лавинний потік даних. Величезнекількість веб-додатків сьогодні запускається на мобільних пристроях (згадаймо тренд BYOD), що наражає компанії на великий ризик DDoS-атак «нульового дня».
Вплив на бізнес
Статистика DDoS-атак рівня додатків насторожує. Gartner оцінює, що 70% всіх загроз націлені на рівень веб-додатків. Дослідження Ponemon Institute виявило, що середні щорічні збитки від DDoS-атаки оцінюються в $3,5 млн. Інше недавнє дослідження Forrester оцінює середні фінансові витрати в $2,1 млн для кожних 4 годин простою і $27 млн для 24 годин простою, викликаних DDoS- . Forrester вказує, що частота атак у всіх галузях приблизно дорівнює 1 разу на місяць, тоді як у фінансовому секторі це відбувається 1 раз на тиждень. Якщо виходити з публічно доступних оцінок збитків, що надаються організаціями, що зазнали атак, то фінансові компанії зазнали збитків у середньому близько $17 млн на кожен інцидент у 2012 р. І хоча найчастіше атакують фінансові організації, дослідження Forrester показало, що урядові установи, в середньому, зазнають більш тривалих атак. Це відбувається з тієї причини, що фінансові організації, як правило, використовують якісніший захист від кібератак.
Незважаючи на цю тривожну статистику, менш як 25% компаній впровадили рішення для захисту від DDoS.
Потреба у виділеному локальному DDoS-рішенні
Відбиття лавинних атак на рівнях 3 і 4 традиційно виконується у хмарі за допомогою рішення, яке перевіряє зворотний трафік. Ці атаки, що вимагають широкого каналу, досить легко виявляються та відображаються сервіс-провайдером. Насправді замовники можуть навіть не помітити будь-яких проблем. Є, однак, багато середовищ, де, здебільшого з міркувань безпеки, дані просто не можутьзалишити приватні мережі. Крім того, атаки рівня додатків типу «low and slow» не можуть бути відображені у хмарі, оскільки ці атаки зазвичай не споживають багато трафіку та заховані у легітимному трафіку.
Відбиття цих атак потребує окремого локального рішення у корпоративному ЦОДі. Виділене DDoS-рішення потрібно з багатьох причин:
• Система захисту периметра, що включає файрвол, NG-файрвол та окремі системи запобігання вторгненням, недостатньо добре підходять для захисту проти DDoS-атак, оскільки добре технічно підготовлені атаки можуть швидко переповнити таблицю статусів з'єднань і паралізувати файрвол або IPS, наражаючи на цілу мережу ризику.
• Файрволи та IPS-системи можуть самі по собі стати метою для атаки на відмову, вимагаючи захисту.
• Файрволи та IPS-системи не можуть протистояти більш витонченим атакам рівня додатків, оскільки ці рішення створені для того, щоб пропускати саме протоколи, які використовуються під час цих атак; кожен хакер знає, що файрвол зазвичай пропускає HTTP- та HTTPS-трафік, адже більшість систем потребує такого доступу для відповідного зв'язку з веб-сервісом.
Обмеження традиційних рішень для відображення DDoS-атак
Традиційні рішення для виявлення DDoS-атак обмежені за своїми можливостями, вони здатні керувати лише мережевою телеметрією, як мережевий потік (netflow), який не несе атрибутів рівня додатків і залишає масивний пролом при виявленні сучасних атак рівня додатків. Крім того, всі ці рішення забезпечують сигнатурне детектування та відображення атак у режимі on premises, що не є ефективним проти невідомих атак нульового дня. Далі такі рішення оцінюють тільки вхідний трафік на основі сигнатурної бази загроз, залишаючи вразливості вбезпеки для проходження шкідливого трафіку. Один із прикладів – атака DNS-посилення.
Крім того, традиційні рішення не здатні розрізняти легітимний та згенерований машинний (шкідливий) трафік. Таким чином, система має бути налаштована вручну для визначення високого/середнього/низького порогових величин, на яких трафік повинен бути блокований. Подібний підхід веде до компромісу між низьким порогом хибного позитивного спрацьовування та агресивним захистом.
Якщо поріг виставлений надто високо, це створює проблему помилкового позитивного спрацьовування, що призводить до блокування великих обсягів легального трафіку. Якщо поріг занижено, то потенційно шкідливий трафік буде дозволено, що призведе до злому. Нестача інструментів захисту на рівні Layer 7 та нездатність реалізувати моніторинг захищених ресурсів роблять традиційні DDoS-рішення неефективними проти сучасних атак, які здійснюються поза межею сигнатурного периметра. Статичний поріг не відповідає вимогам захисту. Є також адміністративна проблема, пов'язана з підтримкою набору сигнатур та ручного налаштування порога.
Коротко, забезпечення повного спектру засобів захисту проти сучасних DDoS-атак потребує окремого рішення з малим часом очікування, розташованого локально на периметрі ЦОДу. Таке рішення оцінює продуктивність кожної програми, від layer 7 до мережевих ресурсів, необхідних для гарантії їх доступності, здійснюючи моніторинг як вхідного, так і вихідного трафіку. Це найбільш ефективний підхід для запобігання відомим і невідомим атакам, що розрізняють легітимний і шкідливий трафік, і мінімізує помилкові позитивні спрацьовування. У цьому випадку навіть не потрібно ручне налаштування сигнального порогу, який був завжди необхідний, аадже він створює постійне операційне навантаження і завжди запізнюється в порівнянні з реальними змінами в шаблоні трафіку. Подібний інноваційний евристичний підхід докладніше описано нижче.
JuniperDDoSSecure— захист від атакDDoS
Компанія Juniper Networks випустила рішення DDoS Secure, яке пройшло «перевірку боєм» та показало високі результати у виявленні та відображенні DDoS-атак. На сьогодні продукт допоміг уникнути збитків на суму близько $60 млрд для компаній, що працюють у сфері масової інформації, онлайн-роздріб, онлайн-ігор, фінансів, освіти та урядових органів.
На противагу традиційним рішенням, DDoS Secure використовує несигнатурні технології для виявлення та відображення атак рівня додатків. Програма перевіряє весь вхідний та вихідний трафік на периметрі ЦОДу, а також здійснює моніторинг продуктивності додатків з кожним клієнтським запитом. Перед використанням порогового методу або налаштування для відображення атак DDoS Secure застосовує спеціальний алгоритм, CHARM, для кількісної оцінки ризиків у режимі реального часу, пов'язаної з двостороннім трафіком. Продукт аналізує ресурси цільового застосування, коли останнє прибуває під атакою. Якщо програму атакують, він піднімає поріг CHARM, необхідний для доступу до програм, блокуючи найбільш ризиковий трафік. Шляхом кореляції вхідних ризиків та вихідної реакції, DDoS Secure здатний виявляти невидимі атаки, які типово оминають традиційні сигнатурні рішення захисту від DDoS.
DDoS Secure є самонавчанням і не вимагає налаштування або визначення порогової величини. Він здійснює моніторинг того, як додаток реагує та аналізує кожен напад. Цей інноваційнийевристичний підхід дозволяє технологіям визначати, як має виглядати нормальний трафік та нормальна реакція з боку програми. Коли відбувається нова атака, DDoS Secure оновлює алгоритм включення характеристик нової атаки, створюючи високоінтелектуальну систему оборони від DDoS, що включає динамічні оновлення. У разі атаки DNS-посилення DDoS Secure застосовує інтелектуальний підхід щодо DNS-ресурсу з метою відбити атаку ще до того, як вона паралізує DNS-сервер. Спеціальні фільтри DDoS Secure відсіюють запити DNS-системи, що періодично повторюються, для однієї і тієї ж інформації, тим самим запобігаючи атакі DNS-посилення і захищаючи цілі зловмисників від шкідливих запитів, що впливають на їх доступність.
Під час підготовки статті використані матеріали Juniper Networks
ФункціоналJuniper DDoS Secureпорівняно з конкуруючим продуктомArbor Networks Pravail APS
Juniper DDoS Secure
Технологія детектування та відбиття атак