Masivní ddos ​​útoky. FSB zahájila trestní řízení týkající se masivního útoku DDoS na ruské banky

Útok, během kterého uživatelé nemají přístup k určitým prostředkům, se nazývá útok DDoS nebo problém s odmítnutím služby. Hlavním rysem takových hackerských útoků jsou současné požadavky z velkého počtu počítačů po celém světě a jsou směrovány hlavně na servery dobře chráněných společností nebo vládních organizací, méně často na jednotlivé nekomerční zdroje.

Počítač, který se nakazí, se stává jakýmsi „zombie“ a hackeři, kteří používají několik stovek nebo dokonce desítky tisíc takových „zombie“, způsobí selhání v provozu zdrojů (odmítnutí služby).

Důvodů DDoS útoků může být mnoho. Pokusme se identifikovat ty nejoblíbenější a zároveň odpovíme na otázky: „DDoS útok - co to je, jak se bránit, jaké jsou jeho důsledky a jakými prostředky je prováděn?“

Soutěž

Internet se již dlouho stal zdrojem podnikatelských nápadů, realizace velkých projektů a dalších způsobů, jak vydělat docela dost peněz, takže útok DDoS lze provádět na objednávku. To znamená, že pokud to organizace chce odstranit, když se objeví konkurent, jednoduše se obrátí na hackera (nebo skupinu těchto) s jednoduchým úkolem - paralyzovat práci nechtěné společnosti prostřednictvím internetových zdrojů (útok DDoS na server nebo web).

V závislosti na konkrétních cílech a cílech je takový útok vytvořen na určité období as použitím vhodné síly.

Podvod

Docela často je útok DDoS na web organizován z iniciativy hackerů, aby zablokoval systém a získal přístup k osobním nebo jiným důležitým údajům. Poté, co útočníci paralyzují systém, mohou požadovat určité množství peněz na obnovení činnosti napadených zdrojů.

Mnoho internetových podnikatelů souhlasí s předloženými podmínkami, které své kroky zdůvodňují prostojem a získávají kolosální ztráty - je snazší zaplatit podvodníkovi malou částku, než přijít o významný zisk za každý den prostoje.

Zábava

Mnoho uživatelů, jen pro zajímavost nebo zábavu, se zajímá o: „DDoS útok - co to je a jak to udělat?“ Proto není neobvyklé, že začínající útočníci organizují takové útoky na náhodné zdroje pro zábavu a zkoušku své síly.

Spolu s důvody mají útoky DDoS své vlastní klasifikační funkce.

  1. Šířka pásma... Dnes je téměř každé počítačové místo vybaveno oběma lokální síť nebo jen připojeni k internetu. Proto se často vyskytují případy zaplavení sítě - velké množství požadavků s nesprávně vytvořeným a nesmyslným systémem na konkrétní zdroje nebo zařízení s cílem jeho následného selhání nebo selhání. pevné disky, paměť atd.).
  2. Vyčerpání systému... Takový DDoS útok na server Samp se provádí za účelem využití fyzické paměti, času procesoru a dalších systémových prostředků, kvůli absenci které napadený objekt prostě nemůže plně fungovat.
  3. Opakování... Nekonečné ověřování dat a další smyčky fungující v „kruhu“ přinutí objekt plýtvat spoustou zdrojů, čímž ucpává paměť, dokud není zcela vyčerpána.
  4. Spoof útoky... Taková organizace je zaměřena na falešné spouštění ochranných systémů, což nakonec vede k blokování některých zdrojů.
  5. HTTP protokol... Hackeři odesílají nízkokapacitní pakety HTTP se speciálním šifrováním, zdroj samozřejmě nevidí, že na něm byl organizován útok DDoS, serverový program, který dělá svou práci, odesílá zpět pakety s mnohem větší kapacitou, čímž ucpává šířka pásma oběti, což opět vede k selhání služeb.
  6. Šmoula útok... Jedná se o jeden z nejnebezpečnějších druhů. Hacker vysílá oběti falešný ICMP paket, kde je adresa oběti spoofed s adresou útočníka, a všechny uzly začnou posílat odpověď na požadavek ping. Tento útok DDoS je program zaměřený na používání velká síť, tj. požadavek zpracovaný 100 počítači bude zesílen faktorem 100.
  7. UDP povodeň... Tento typ útoku je poněkud podobný předchozímu, ale místo paketů ICMP útočníci používají pakety UDP. Podstatou této metody je nahradit adresu IP oběti adresou hackera a úplně načíst šířku pásma, což také povede k selhání systému.
  8. SYN povodeň... Útočníci se pokoušejí současně zahájit velké množství připojení TCP prostřednictvím kanálu SYN s neplatným nebo neexistujícím zpáteční adresa... Po několika takových pokusech většina operační systémy zařadit problematické připojení do fronty a zavřít jej až po určitém počtu pokusů. Tok kanálu SYN je poměrně velký a brzy, po mnoha takových pokusech, jádro oběti odmítne otevřít jakékoli nové připojení a zablokovat celou síť.
  9. "Těžké balíčky"... Toto zobrazení poskytuje odpověď na otázku: „Co je to DDoS útok na server?“ Hackeři odesílají pakety na server uživatele, ale nenastává saturace šířky pásma, akce je zaměřena pouze na čas procesoru. Výsledkem je, že takové balíčky vedou k selhání systému a ten zase k jeho prostředkům.
  10. Záznam souborů... Pokud má systém kvót a rotace bezpečnostní mezery, mohou útočníci odesílat velké pakety, a tím zabírat veškeré volné místo na pevných discích serveru.
  11. Programový kód... Hackeři s rozsáhlými zkušenostmi mohou plně prozkoumat strukturu serveru oběti a spustit speciální algoritmy (DDoS útok - exploit program). Tyto útoky jsou zaměřeny hlavně na dobře chráněné komerční projekty podniků a organizací v různých oblastech a oblastech. Útočníci najdou chyby v kódu a spustí neplatné pokyny nebo jiné výjimečné algoritmy, které způsobí selhání systému nebo služby.

DDoS útok: co to je a jak se chránit

Existuje mnoho metod ochrany před útoky DDoS. A všechny lze rozdělit do čtyř částí: pasivní, aktivní, reakční a preventivní. O tom si povíme podrobněji později.

Varování

To vyžaduje prevenci samotných příčin, které by mohly vyprovokovat útok DDoS. Tento typ zahrnuje jakési osobní nepřátelství, právní neshody, konkurenci a další faktory vyvolávající „zvýšenou“ pozornost k vám, vašemu podnikání atd.

Pokud na tyto faktory včas zareagujete a vyvodíte příslušné závěry, můžete se vyhnout mnoha nepříjemným situacím. Tuto metodu lze připsat více problému než technické stránce problému.

Protiopatření

Pokud útoky na vaše zdroje budou pokračovat, musíte najít zdroj svých problémů - zákazníka nebo dodavatele - s využitím jak legální, tak technické páky. Některé firmy poskytují služby pro vyhledávání vetřelců technickým způsobem. Na základě kvalifikace specialistů zabývajících se touto problematikou najdete nejen hackera provádějícího útok DDoS, ale také samotného zákazníka.

Ochrana softwaru

Někteří výrobci hardwaru a software spolu se svými produkty mohou nabídnout spoustu efektivních řešení a útok DDoS na web bude potlačen. Samostatný malý server může fungovat jako technický obránce zaměřený na boj proti malým a středním DDoS útokům.

Toto řešení je ideální pro malé a střední podniky. Pro větší společnosti, podniky a vládní agentury existují celé hardwarové systémy pro boj s DDoS útoky, které spolu s vysokou cenou mají vynikající ochranné vlastnosti.

Filtrace

Blokování a důkladné filtrování příchozího provozu nejen sníží pravděpodobnost útoku. V některých případech lze útok DDoS na server zcela vyloučit.

Existují dva hlavní způsoby filtrování provozu - brány firewall a směrování celého seznamu.

Filtrování pomocí seznamů (ACL) vám umožňuje odfiltrovat vedlejší protokoly, aniž by došlo k narušení TCP nebo zpomalení rychlosti přístupu k chráněnému prostředku. Pokud však hackeři používají botnety nebo vysokofrekvenční dotazy, pak tudy bude neúčinné.

Jsou mnohem lepší v ochraně před útoky DDoS, ale jejich jedinou nevýhodou je, že jsou určeny pouze pro soukromé a nekomerční sítě.

Zrcadlo

Podstatou této metody je přesměrovat veškerý příchozí provoz útočníka zpět. Toho lze dosáhnout tím, že budete mít k dispozici výkonné servery a příslušné odborníky, kteří nejen přesměrují provoz, ale také budou moci deaktivovat vybavení útočníka.

Metoda nebude fungovat, pokud dojde k chybám v systémových službách, programových kódech a dalších síťových aplikacích.

Hledejte zranitelná místa

Tento typ ochrany je zaměřen na opravu zneužití, opravu chyb ve webových aplikacích a systémech a další služby odpovědné za síťový provoz. Metoda je zbytečná proti povodňovým útokům, které se zaměřují na tyto chyby zabezpečení.

Moderní zdroje

Tato metoda nemůže zaručit 100% ochranu. Umožňuje vám však efektivněji provádět další opatření (nebo jejich sadu), abyste zabránili útokům DDoS.

Přidělování systémů a zdrojů

Duplikace zdrojů a distribuce systémů umožní uživatelům pracovat s vašimi daty, a to i v případě, že je v danou chvíli spuštěn útok DDoS na váš server. Pro distribuci můžete použít různé serverové nebo síťové vybavení a také se doporučuje fyzicky oddělit služby na různých redundantních systémech (datových centrech).

Tato metoda ochrany je dnes nejúčinnější za předpokladu, že byl vytvořen správný architektonický návrh.

Únik

Hlavním rysem této metody je výstup a oddělení napadeného objektu (název domény nebo IP adresa), to znamená, že všechny pracovní zdroje umístěné na jednom webu musí být rozděleny a umístěny na síťových adresách třetích stran nebo dokonce na území jiného státu. To vám umožní přežít jakýkoli útok a zachovat vnitřní IT strukturu.

Služby ochrany DDoS

Poté, co jsme řekli všechno o takové pohromě, jako je útok DDoS (co to je a jak s ním zacházet), můžeme konečně dát jednu dobrou radu. Mnoho velkých organizací nabízí své služby k prevenci a prevenci takových útoků. V zásadě takové společnosti používají celou řadu opatření a různých mechanismů k ochraně vašeho podnikání před většinou útoků DDoS. Pracují zde specialisté a odborníci ve svém oboru, a proto, pokud je vám váš zdroj drahý, nejlepší (i když ne levnou) možností by bylo kontaktovat jednu z těchto společností.

Jak probíhá útok DDoS pro kutily

Vědomý je skutečný princip. Nezapomeňte však, že záměrné organizování útoku DDoS jednou nebo skupinou osob je trestným činem, takže tento materiál slouží pouze pro informaci.

Američtí lídři v oblasti IT vyvinuli program, který má zabránit hrozbám za účelem testování odolnosti serverů a možnosti provádění DDoS útoků kyberzločinců s následnou eliminací tohoto útoku.

„Horké“ mysli přirozeně obrátily tyto zbraně proti samotným vývojářům a proti tomu, s čím bojovali. Kódový název produktu je LOIC. Tento program je volně dostupný a není v zásadě zákonem zakázán.

Rozhraní a funkčnost programu je poměrně jednoduchá, kdokoli, kdo má zájem o DDoS útok, jej může použít.

Jak udělat všechno sami? V řádcích rozhraní stačí zadat oběti IP, poté nastavit proudy TCP a UDP a počet požadavků. Voila - po stisknutí vyhledávaného tlačítka začal útok!

Tento software přirozeně neovlivní žádné vážné zdroje, ale u malých může dojít k problémům.

Qrator Labs, společnost specializující se na boj proti DDoS útokům a zajištění dostupnosti internetových zdrojů, zaznamenala skutečnost vysokorychlostních DDoS útoků na největší webové zdroje pomocí techniky zesílení založené na memcache (software, který implementuje službu ukládání dat do mezipaměti v paměť s náhodným přístupem na základě hash tabulky).

Od 23. do 27. února 2018 se po celé Evropě přehnala vlna memcache zesílených DDoS útoků. Technika takového útoku spočívá v tom, že vetřelci naslouchají provozu UDP za předpokladu, že parametry memcache jsou nastaveny ve výchozím nastavení, to znamená, že se ve skutečnosti používá zaplavení UDP - odesílání mnoha falešných paketů UDP za jednotku času ze široké škály IP adres .

Problémy zabezpečení Memcache jsou známy přinejmenším od roku 2014, ale v roce 2018 se tato zranitelnost projevila obzvláště jasně: v noci z 25. na 26. února specialisté Qrator Labs pozorovali řadu memcache zesílených DDoS útoků po celém internetu, včetně útoků na ruské největší síťové zdroje ...

V roce 2017 hovořila skupina vědců z čínského týmu OKee o možnosti organizovat takové útoky a poukázat na jejich potenciálně ničivou sílu.

V posledních několika dnech mnoho zdrojů potvrdilo skutečnost útoku zesílenými odpověďmi ze zdrojů memcache, rozptýlenými odpověďmi z DNS a NTP. Zdrojem těchto falešných útoků byl velký poskytovatel OVH a velký počet menších poskytovatelů a hostitelů.

Jeden z klientů Qrator Labs - platební systém QIWI potvrzuje skutečnost úspěšně neutralizovaného útoku s šířkou pásma UDP přenosu 480 Gb / s na jeho zdroje z kompromitovaných memcache zesilovačů.

"Moderní techniky provádění DDoS útoků nezůstávají stát." Stále častěji vidíme vznik nových „mezer“ v internetové infrastruktuře, které kyberzločinci úspěšně používají k provádění útoků. Potvrzením se staly útoky využívající memcache, jejichž rychlost dosáhla několika stovek Gb / s, - komentuje Alexander Lyamin, generální ředitel a zakladatel společnosti Qrator Labs. - Na internetu je spousta zranitelných zdrojů memcache a důrazně doporučujeme technikům, aby memcache správně nakonfigurovali a nezapomněli ani na výchozí nastavení. To pomůže vyhnout se odposlechu veškerého provozu UDP odeslaného na server a snížit pravděpodobnost útoků DDoS. “

O Qrator Labs

Qrator Labs je protiopatření DDoS číslo jedna v Rusku (podle IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Společnost byla založena v roce 2009 a poskytuje služby v boji proti DDoS útokům v kombinaci s řešeními WAF (Web Application Firewall), organizovanými pomocí technologie partnerské společnosti Wallarm. K efektivnímu zvládání DDoS útoků používá Qrator Labs data z vlastní globální internetové monitorovací služby Qrator.Radar. Filtrační síť Qrator je postavena na uzlech v USA, Rusku, EU a Asii, což je spolu s vlastními filtračními algoritmy konkurenční výhodou společnosti.

Tato organizace kromě registrace doménových jmen v zóně .tr poskytuje také páteřní komunikaci tureckým univerzitám. K útoku se přihlásili anonymní hacktivisté, kteří obvinili turecké vedení z podpory ISIS.

První známky DDoS se objevily ráno 14. prosince a v poledne se pět serverů NIC.tr vzdalo náporu odpadkového provozu s kapacitou až 40 Gbps. Problém se dotkl i koordinačního centra RIPE, které poskytuje alternativní infrastrukturu NS NIC.tr. Zástupci RIPE poznamenali, že útok byl upraven tak, aby obešel obranu RIPE.

Nejrozsáhlejšími útoky se stávají DDoS útoky efektivním způsobem přerušit provoz webových služeb - náklady na útoky se neustále snižují, což umožňuje zvyšovat kapacitu: za pouhé dva roky se průměrná síla DDoS útoku zčtyřnásobila na 8 Gbps. Pokud jde o průměrné hodnoty, útok na zónu turecké národní domény vypadá působivě, ale odborníci zdůrazňují, že útoky 400 Gbps DDoS se brzy stanou normou.

Jedinečnost tureckého útoku spočívá ve skutečnosti, že útočníci zvolili správný cíl: soustředěním na relativně malý počet IP adres byli schopni prakticky zneškodnit infrastrukturu celé země pouhým 40 gigabitovým útokem.

Turecké národní centrum pro reakci na kybernetické incidenty zablokovalo veškerý provoz přicházející na servery NIC.tr z jiných zemí, což znepřístupnilo všech 400 tisíc tureckých webů a všechny zprávy E-mailem se vrátil odesílatelům. Později se centrum rozhodlo změnit taktiku selektivním blokováním podezřelých IP adres. Servery DNS domén .tr byly překonfigurovány tak, aby distribuovaly požadavky mezi veřejné a soukromé servery, a to pomocí tureckých poskytovatelů internetových služeb Superonline a Vodafone.

Napadené domény se ve stejný den vrátily online, ale mnoho webů a poštovní služby pracovali přerušovaně ještě několik dní. Byly ovlivněny nejen místní společnosti a vládní agentury, ale také mnoho národních webových zdrojů, které si zvolily název domény v zóně .tr; celkem je to asi 400 tisíc webů, z nichž 75% je firemních. Doménu tureckého kódu země používají také vzdělávací instituce, obce a armáda.

Dokud „anonymus“ neučinil prohlášení, mnozí obviňovali Rusy z útoku DDoS - kvůli napjatým vztahům mezi Tureckem a Ruskem. Ruské hackery byly z podobných důvodů podezřelé z účasti na rozsáhlých kybernetických útocích na Estonsko (2007), Gruzii (2008) a Ukrajinu (2014). Někteří experti považovali turecké DDoS za reakci Rusů na DDoS útok tureckých kybernetických skupin na ruský zpravodajský web Sputnik.

Anonymousovo oznámení zbavilo ruskou stopovou hypotézu jejího založení. Hacktivisté také hrozí útokem na turecká letiště, banky, servery vládních agentur a vojenských organizací, pokud Turecko nepřestane pomáhat ISIS.

Nestabilní ekonomická situace posledních dvou let vedla k výraznému zvýšení úrovně konkurence na trhu, v důsledku čehož se zvýšila popularita útoků DDoS - efektivní metoda způsobující ekonomické škody.

V roce 2016 se počet komerčních objednávek pro organizování DDoS útoků několikrát zvýšil. Masivní DDoS útoky se přesunuly z oblasti cíleného politického vlivu, jako tomu bylo například v roce 2014, do segmentu masového podnikání. Hlavním úkolem kyberzločinců je co nejrychleji as minimálními náklady znepřístupnit zdroj, aby za něj získali peníze od konkurence, zajistili si podmínky pro vydírání atd. DDoS útoky jsou využívány stále aktivněji, což stimuluje hledání více a více rozsáhlých prostředků na ochranu podnikání.

Zároveň počet útoků stále roste, a to i přes pozoruhodné úspěchy v boji proti DDoS. Podle Qrator Labs se útoky DDoS v roce 2015 zvýšily o 100%. A není divu, protože jejich náklady klesly na zhruba 5 $ za hodinu a nástroje pro jejich implementaci vstoupily na obrovský černý trh. Zde jsou některé z hlavních trendů v distribuovaných útokech odmítnutí služby, které se předpovídají na několik příštích let.

Zesilovací útoky UDP

Mezi útoky určené k vyčerpání kapacity kanálu patří zesílení UDP. Takové incidenty byly nejčastější v roce 2014 a staly se jasným trendem v roce 2015. Jejich počet však již dosáhl svého vrcholu a postupně klesá - zdroje pro provádění takových útoků jsou nejen konečné, ale také prudce klesají.

Zesilovač je veřejná služba UDP, která funguje bez ověřování, což může poslat mnohem větší odpověď na malý požadavek. Útočník zasláním takových žádostí nahradí svou IP adresu IP adresou oběti. Výsledkem je, že zpětný provoz, který daleko přesahuje šířku pásma kanálu útočníka, je přesměrován na webový zdroj oběti. K nevědomé účasti na útocích se používají servery DNS, NTP, SSDP a další.

Útoky na webové aplikace L7

V souvislosti se snížením počtu zesilovačů se opět dostává do popředí organizace útoků na webové aplikace na úrovni L7 pomocí klasických botnetů. Jak víte, botnet je schopen provádět síťové útoky pomocí vzdálených příkazů a vlastníci infikovaných počítačů o tom možná ani nevědí. V důsledku přetížení služby požadavky na „smetí“ zůstávají požadavky od legitimních uživatelů obecně nezodpovězené nebo je na odpovědi vyžadováno nepřiměřeně velké množství času.

Botnety jsou dnes stále inteligentnější. Při organizaci odpovídajících útoků je podporována technologie zásobníku Full-browser, tj. Plná emulace počítače, prohlížeče a vývoje skriptu Java. Techniky jako tento jsou skvělé při maskování útoků L7. Je téměř nemožné ručně odlišit robota od uživatele. To vyžaduje systémy, které používají technologii strojového učení, díky níž se zvyšuje úroveň odolnosti proti útokům, zlepšují se mechanismy a zvyšuje se přesnost testování.

Problémy s BGP

V roce 2016 se objevil nový trend - útoky na síťovou infrastrukturu, včetně útoků založených na využívání zranitelných míst v protokolu BGP. Problémy směrovacího protokolu BGP, na kterém je založen celý internet, jsou známy již několik let, ale v posledních letech stále více vedly k vážným negativním důsledkům.

Anomálie v síti spojené se směrováním na interdoménové síťové vrstvě mohou ovlivnit velký počet hostitelů, sítí a dokonce i globální konektivitu a dostupnost internetu. Nejběžnějším typem problému je Route Leaks - „únik“ trasy, ke kterému dochází v důsledku reklamy ve špatném směru. Dosud jsou chyby zabezpečení BGP zřídka používány záměrně: náklady na organizaci takového útoku jsou poměrně vysoké a incidenty vznikají hlavně kvůli banálním chybám v nastavení sítě.

V posledních letech však rozsah organizovaného zločinu na internetu významně vzrostl, takže útoky související s problémy BGP se v blízké budoucnosti stanou populárními, tvrdí Qrator Labs. Pozoruhodným příkladem je únos IP adres známou kybernetickou skupinou Hacking Team, který byl proveden na základě státního příkazu: italská policie musela převzít kontrolu nad několika počítači, v souvislosti s jejichž vlastníky byly podniknuty vyšetřovací kroky.

IncidentyTCP

Síťový zásobník TCP / IP má řadu problémů, které se letos stanou obzvláště závažnými. Aby byl zachován aktivní růst rychlostí, je třeba neustále aktualizovat internetovou infrastrukturu. Rychlost fyzického připojení k internetu se zvyšuje každých několik let. Na začátku 2000s. 1 Gbps se stalo standardem, dnes je nejoblíbenější fyzické rozhraní 10 Gbps. Masivní zavedení nového standardu pro fyzické rozhraní, 100 Gbit / s, však již začalo, což způsobuje problémy se zastaralým protokolem TCP / IP, který není navržen pro tak vysoké rychlosti.

Například je možné během několika minut vyzvednout číslo sekvence TCP - jedinečný číselný identifikátor, který umožňuje (nebo spíše povoleno) partnerům na připojení TCP / IP vzájemně se autentizovat v době navázání připojení a vyměňovat si data , zachování jejich řádu a integrity. Při rychlosti 100 Gbit / s linka v protokolu TCP serveru protokoluje o otevřeném připojení a / nebo o datech, která jsou přes něj odeslána, již nezaručuje, že pevná IP adresa skutečně navázala spojení a přenesla tato data. Proto se otevírá příležitost pro organizování útoků nové třídy a účinnost bran firewall se může výrazně snížit.

Zranitelnosti protokolu TCP / IP přilákaly pozornost mnoha výzkumníků. Věří, že již v roce 2016 uslyšíme o „vysoce postavených“ útocích souvisejících s využíváním těchto „děr“.

Blízká budoucnost

Vývoj technologií a hrozeb dnes nesleduje „klasickou“ spirálu, protože systém není uzavřen - je ovlivňován mnoha vnějšími faktory. Výsledkem je spirála s rozšiřující se amplitudou - stoupá vzhůru, roste složitost útoků a výrazně se rozšiřuje dosah technologie. Všimněme si několika faktorů, které mají závažný dopad na vývoj systému.

Hlavní samozřejmě je migrace na nový transportní protokol IPv6. Na konci roku 2015 byl IPv4 zastaralý a do popředí se dostává IPv6, což s sebou přináší nové výzvy: nyní má každé zařízení IP adresu a všechna mohou navzájem přímo komunikovat. Ano, existují nová doporučení, jak by koncová zařízení měla fungovat, ale jak se s tím průmyslem vyrovná, zejména telekomunikační operátoři, segment masových produktů a čínští prodejci, je otevřenou otázkou. IPv6 mění hru.

Další výzvou je výrazný růst mobilních sítí, jejich rychlosti a výdrže. Pokud dříve mobilní botnet způsoboval problémy především samotnému telekomunikačnímu operátorovi, nyní, když se 4G komunikace zrychluje než kabelový internet, se mobilní sítě s velkým počtem zařízení, včetně těch vyrobených v Číně, mění na vynikající platforma pro provádění DDoS a hackerských útoků. Problémy vznikají nejen telekomunikačnímu operátorovi, ale také dalším účastníkům trhu.

Vznikající svět „internetu věcí“ představuje vážnou hrozbu. Nové útokové vektory se objevují jako obrovské množství zařízení a používání bezdrátová technologie připojení otevírají hackerům skutečně nekonečné vyhlídky. Všechna zařízení připojená k internetu se mohou potenciálně stát součástí infrastruktury útočníka a zapojit se do DDoS útoků.

Bohužel výrobci všech druhů domácích spotřebičů připojených k síti (varné konvice, televizory, automobily, multivark, váhy, „chytré“ zásuvky atd.) Ne vždy poskytují správnou úroveň jejich ochrany. Taková zařízení často používají staré verze populárních operačních systémů a prodejci se nestarají o jejich pravidelnou aktualizaci - nahrazují je verzemi, které eliminovaly chyby zabezpečení. A pokud je zařízení populární a široce používané, pak hackeři nezmeškají příležitost zneužít jeho chyby zabezpečení.

Předzvěsti problému IoT se objevily již v roce 2015. Podle předběžných údajů byl poslední útok na Blizzard Entertainment proveden pomocí zařízení IoT. Byl zaznamenán Škodlivý kód fungující na moderních konvicích a žárovkách. Čipové sady také usnadňují hackerům. Není to tak dávno, co byla vydána levná čipová sada určená pro různá zařízení, která mohou „komunikovat“ s internetem. Útočníci tedy nemusí hackovat 100 tisíc přizpůsobených firmwarů - stačí „rozbít“ jednu čipovou sadu a získat přístup ke všem zařízením na ní založeným.

Předpokládá se, že velmi brzy všechny smartphony založené na starých Verze pro Android budou členy alespoň jednoho botnetu. Za nimi budou následovat všechny „chytré“ zástrčky, chladničky a další Spotřebiče... Za pár let na nás čekají botnety z konvic, dětských monitorů a multiváren. „Internet věcí“ nám přinese nejen pohodlí a další funkce, ale také spousta problémů. Když je v IoT mnoho věcí a každý pin může odeslat 10 bajtů, objeví se nové bezpečnostní výzvy, které bude nutné vyřešit. A měli bychom se na to dnes připravit.

Úvod

Okamžitě provedu rezervaci, že když jsem psal tuto recenzi, primárně jsem se zaměřil na publikum, které rozumí specifikům práce telekomunikačních operátorů a jejich datových přenosových sítí. Tento článek nastiňuje základní principy ochrany před útoky DDoS, historii jejich vývoje v posledním desetiletí a současnou situaci.

Co je DDoS?

Pravděpodobně dnes, ne-li každý „uživatel“, pak alespoň každý „IT specialista“ ví, jaké jsou dnes útoky DDoS. Je však třeba ještě říci několik slov.

DDoS útoky (Distribuované odmítnutí služby) jsou útoky na výpočetní systémy (síťové zdroje nebo komunikační kanály), jejichž cílem je znepřístupnění legitimním uživatelům. Útoky DDoS spočívají v současném odesílání velkého počtu požadavků na určitý zdroj z jednoho nebo více počítačů umístěných na internetu. Pokud tisíce, desítky tisíc nebo miliony počítačů současně začnou odesílat požadavky na konkrétní server (nebo síťovou službu), pak buď selže server, nebo nebude stačit šířka pásma komunikačního kanálu k tomuto serveru. V obou případech uživatelé internetu nebudou moci získat přístup k napadenému serveru nebo dokonce ke všem serverům a dalším prostředkům připojeným přes blokovaný komunikační kanál.

Některé funkce DDoS útoků

Proti komu a za jakým účelem jsou útoky DDoS spuštěny?

DDoS útoky lze spustit proti jakémukoli prostředku na internetu. Největší škody z útoků DDoS dostávají organizace, jejichž podnikání přímo souvisí s přítomností na internetu - banky (poskytující služby internetového bankovnictví), online obchody, obchodní platformy, aukce a další činnosti, jejichž aktivita a efektivita významně závisí na přítomnosti na internetu (cestovní kanceláře, letecké společnosti, výrobci hardwaru a softwaru atd.). Proti zdrojům těchto gigantů se pravidelně zahajují DDoS útoky. globální IT průmysl, jako jsou IBM, Cisco Systems, Microsoft a další. Došlo k masivním DDoS útokům proti eBay.com, Amazon.com, mnoha známým bankám a organizacím.

Velmi často dochází k útokům DDoS na webové stránky politických organizací, institucí nebo jednotlivých známých osobností. Mnoho lidí si je vědomo masivních a dlouhodobých útoků DDoS, které byly zahájeny proti webové stránce prezidenta Gruzie během gruzínsko-osetské války (web byl od srpna 2008 několik měsíců nedostupný), proti serverům estonské vlády ( na jaře 2007, během nepokojů spojených s převodem Bronzového vojáka), o pravidelných útocích ze severokorejského segmentu internetu na americké stránky.

Hlavními cíli útoků DDoS jsou buď zisk (přímý nebo nepřímý) vydíráním a vydíráním, nebo sledování politických zájmů, zhoršení situace a pomsta.

Jaké jsou mechanismy spouštění útoků DDoS?

Nejpopulárnějším a nejnebezpečnějším způsobem, jak zahájit útoky DDoS, je použití botnetů (BotNets). Botnet je sada počítačů, na kterých jsou nainstalovány speciální softwarové záložky (roboty); v překladu z angličtiny je botnet sítí robotů. Boti jsou obvykle vyvíjeni hackery jednotlivě pro každý botnet a jejich hlavním účelem je odesílání požadavků na konkrétní zdroj na internetu pomocí příkazu přijatého z řídicího serveru botnetu - Botnet Command and Control Server. Řídicí server botnetu je spravován hackerem nebo osobou, která botnet od hackera koupila, a schopností zahájit útok DDoS. Boti jsou na internetu distribuováni různými způsoby, zpravidla - útokem na počítače se zranitelnými službami a instalací záložek softwaru, nebo klamáním uživatelů a nutením k instalaci robotů pod záminkou poskytování dalších služeb nebo softwaru, který funguje zcela neškodně nebo dokonce užitečná funkce... Existuje mnoho způsobů distribuce robotů, pravidelně se objevují nové způsoby.

Pokud je botnet dostatečně velký - desítky nebo stovky tisíc počítačů -, pak současné odesílání ze všech těchto počítačů i zcela legitimních požadavků na určitou síťovou službu (například webovou službu na konkrétním webu) povede k vyčerpání zdrojů buď samotné služby nebo serveru, nebo vyčerpání schopností komunikačního kanálu. V každém případě bude služba pro uživatele nedostupná a majiteli služby vzniknou přímé, nepřímé ztráty a ztráty reputace. A pokud každý z počítačů neposílá jeden požadavek, ale desítky, stovky nebo tisíce požadavků za sekundu, pak se útočná síla útoku mnohonásobně zvyšuje, což umožňuje deaktivovat i ty nejproduktivnější zdroje nebo komunikační kanály.

Některé útoky jsou zahájeny „neškodnějším“ způsobem. Například flash mob uživatelů určitých fór, kteří po dohodě spouští „ping“ nebo jiné požadavky ze svých počítačů na konkrétní server v určitou dobu. Dalším příkladem je umístění odkazu na web v populárních internetových zdrojích, což způsobí příliv uživatelů na cílový server. Pokud „falešný“ odkaz (který vypadá jako odkaz na jeden zdroj, ale ve skutečnosti odkazuje na úplně jiný server) odkazuje na web malé organizace, ale je hostován na populárních serverech nebo fórech, může takový útok způsobit příliv nechtěných návštěvníků pro tento web ... Útoky posledních dvou typů zřídka vedou k ukončení dostupnosti serverů na řádně organizovaných hostitelských webech, ale existovaly takové příklady, dokonce i v Rusku v roce 2009.

Pomohou tradiční technické prostředky ochrany před útoky DDoS?

Funkce DDoS útoků spočívá v tom, že se skládají z mnoha simultánních požadavků, z nichž každý je individuálně zcela „legální“, navíc jsou tyto požadavky odesílány počítači (infikovanými roboty), které mohou patřit nejběžnějším skutečným nebo potenciálním uživatelům napadené služby nebo zdroje. Proto je velmi obtížné správně identifikovat a přesně filtrovat ty požadavky, které představují útok DDoS pomocí standardních prostředků. Standardní systémy třída IDS / IPS (Intrusion Detection / Prevention System - systém pro detekci / prevenci síťových útoků) nenajde v těchto požadavcích „corpus delicti“, nepochopí, že jsou součástí útoku, pokud neprovedou kvalitativní analýzu provozu anomálie. A i když to najdou, filtrování nepotřebných požadavků také není tak snadné - standardní brány firewall a směrovače filtrují provoz na základě jasně definovaných přístupových seznamů (pravidla kontroly) a neví, jak se „dynamicky“ přizpůsobit profilu konkrétního útoku . Brány firewall mohou upravit toky provozu na základě kritérií, jako jsou použité adresy odesílatele síťové služby, porty a protokoly. Na útoku DDoS se ale podílejí běžní uživatelé internetu, kteří zasílají požadavky pomocí nejběžnějších protokolů - nezakáže telekomunikační operátor všem a všemu? Pak jednoduše přestane poskytovat komunikační služby svým předplatitelům a přestane poskytovat přístup k síťovým prostředkům, kterým slouží, čehož se ve skutečnosti snaží dosáhnout iniciátor útoku.

Mnoho odborníků pravděpodobně ví o existenci speciálních řešení pro ochranu před útoky DDoS, které spočívají ve zjišťování anomálií v provozu, vytváření profilu provozu a profilu útoku a následném procesu dynamického vícestupňového filtrování provozu. O těchto řešeních budu hovořit také v tomto článku, ale o něco později. A nejprve si povíme o některých méně známých, ale někdy docela účinných opatřeních, která lze přijmout k potlačení útoků DDoS stávajícími prostředky sítě pro přenos dat a jejích správců.

Ochrana DDoS dostupnými prostředky

Existuje poměrně málo mechanismů a „triků“, které v některých zvláštních případech umožňují potlačit DDoS útoky. Některé lze použít, pouze pokud je síť pro přenos dat postavena na zařízení konkrétního výrobce, jiné jsou víceméně univerzální.

Začněme s doporučeními společnosti Cisco Systems. Společnost doporučuje Network Foundation Protection, která zahrnuje kontrolní rovinu, řídící rovinu a datovou rovinu.

Management Plane Protection

Pojem „administrační rovina“ zahrnuje veškerý provoz, který řídí nebo sleduje směrovače a další síťová zařízení. Tento provoz je směrován k routeru nebo pochází z routeru. Příkladem takového provozu jsou relace Telnet, SSH a http (s), zprávy syslog, depeše SNMP. Mezi běžné osvědčené postupy patří:

Zajištění maximálního zabezpečení kontrolních a monitorovacích protokolů pomocí šifrování a autentizace:

  • SNMP v3 poskytuje bezpečnostní opatření, zatímco SNMP v1 prakticky neposkytuje a SNMP v2 poskytuje pouze částečně - výchozí hodnoty komunity je vždy nutné změnit;
  • měly by být použity různé hodnoty pro veřejnou a soukromou komunitu;
  • protokol telnet přenáší veškerá data, včetně přihlašovacích údajů a hesla, ve formátu prostého textu (pokud je zachycen provoz, lze tyto informace snadno získat a použít), místo toho se doporučuje vždy použít protokol ssh v2;
  • Podobně použijte https namísto http pro přístup k hardwaru Silné kontroly přístupu k hardwaru, včetně odpovídajících zásad hesla, centralizovaného ověřování, autorizace a účtování (model AAA) a místního ověřování pro redundanci.

Implementace modelu přístupu založeného na rolích;

Řízení povolených připojení ke zdrojové adrese pomocí seznamů řízení přístupu;

Zakázání nepoužívaných služeb, z nichž mnohé jsou ve výchozím nastavení povoleny (nebo byly zapomenuty zakázat po diagnostice nebo konfiguraci systému);

Monitorování využití zdrojů zařízení.

Stojí za to se podrobněji zabývat posledními dvěma body.
Některé služby, které jsou ve výchozím nastavení povoleny nebo které se zapomnělo vypnout po konfiguraci nebo diagnostice hardwaru, mohou zločinci použít k obejití stávajících bezpečnostních pravidel. Seznam těchto služeb je uveden níže:

  • PAD (assembler / disassembler paketů);

Před vypnutím těchto služeb přirozeně musíte pečlivě analyzovat absenci jejich potřeby ve vaší síti.

Je žádoucí sledovat využívání prostředků zařízení. To umožní zaprvé včas zaznamenat přetížení. jednotlivé prvky sítě a přijmout opatření k prevenci nehod a zadruhé detekovat útoky a anomálie DDoS, pokud jejich detekce není stanovena zvláštními prostředky. Minimálně se doporučuje sledovat:

  • Zatížení CPU
  • využití paměti
  • vytížení rozhraní routerů.

Monitorování lze provádět „ručně“ (periodicky sledovat stav zařízení), ale je samozřejmě lepší to provést pomocí speciálních monitorovacích nebo monitorovacích systémů sítě informační bezpečnost(druhý zahrnuje Cisco MARS).

Ovládejte ochranu letadla

Vrstva pro správu sítě zahrnuje veškerý provoz služeb, který zajišťuje fungování a připojení sítě v souladu se zadanou topologií a parametry. Příklady provozu v rovině řízení jsou: veškerý provoz generovaný nebo určený pro procesor trasy (RR), včetně všech směrovacích protokolů, v některých případech - SSH protokoly a SNMP i ICMP. Jakýkoli útok na fungování směrovacího procesoru, zejména útoky DDoS, může vést k významným problémům a přerušení fungování sítě. Osvědčené postupy pro zabezpečení řídicí roviny jsou popsány níže.

Ovládejte poletování letadla

Jedná se o použití mechanismů QoS (Quality of Service), které poskytují více s vysokou prioritou ovládat letadlový provoz než provoz uživatele (jehož součástí jsou útoky). Tím se zajistí provoz servisních protokolů a směrovacího procesoru, tj. Zachová se topologie a konektivita sítě, stejně jako skutečné směrování a přepojování paketů.

IP příjem ACL

Tato funkce umožňuje filtrování a řízení provozu služby určeného pro směrovač a směrovací procesor.

  • jsou aplikovány přímo na směrovací zařízení před tím, než provoz dosáhne směrovacího procesoru a poskytuje ochranu „osobního“ zařízení;
  • jsou použity poté, co provoz prošel obvyklými ACL - jsou poslední vrstvou ochrany na cestě k směrovacímu procesoru;
  • se vztahují na veškerý provoz (vnitřní i vnější a tranzitní ve vztahu k síti operátora).

Infrastruktura ACL

Přístup k vlastním adresám směrovacího zařízení je obvykle vyžadován pouze pro hostitele vlastní sítě dopravce, existují však výjimky (například tunely eBGP, GRE, IPv6 over IPv4 a ICMP). Seznamy řízení přístupu k infrastruktuře:

  • obvykle instalováno na hranici sítě operátora („u vchodu do sítě“);
  • jejich účelem je zabránit externím hostitelům v přístupu na adresy infrastruktury provozovatele;
  • zajistit nerušený tranzitní provoz přes hranici sítě operátora;
  • poskytují základní ochranné mechanismy proti neoprávněné síťové aktivitě popsané v RFC 1918, RFC 3330, zejména ochrana proti spoofingu (spoofing, použití falešných zdrojových IP adres k maskování při zahájení útoku).

Ověření souseda

Hlavním účelem ověřování sousedních směrovačů je zabránit útokům zasíláním zpráv s falešným směrovacím protokolem, aby se změnilo směrování v síti. Takové útoky mohou vést k neoprávněnému proniknutí do sítě, neoprávněnému použití. síťové zdroje, jakož i skutečnost, že útočník zachytí provoz za účelem analýzy a získání potřebných informací.

Konfigurace BGP

  • Filtry předpony BGP - slouží k zabránění šíření informací o trasách vnitřní sítě operátora na internet (někdy mohou být tyto informace pro útočníka velmi užitečné);
  • omezení počtu předpon, které lze přijmout z jiného směrovače (omezení předpon) - slouží k ochraně před útoky DDoS, anomáliemi a poruchami v sítích partnerských společností;
  • použití parametrů BGP Community a jejich filtrování lze také použít k omezení šíření informací o směrování;
  • Monitorování BGP a porovnání dat BGP s pozorovaným provozem je jedním z mechanismů pro včasnou detekci DDoS útoků a anomálií;
  • filtrování pomocí parametru TTL (Time-to-Live) - slouží ke kontrole vrstevníků BGP.

Pokud útok BGP není spuštěn ze sítě partnera peeringu, ale ze vzdálenější sítě, bude parametr TTL paketů BGP menší než 255. Můžete nakonfigurovat hraniční směrovače dopravce tak, aby všechny pakety BGP zrušily pomocí TTL hodnota< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana datové roviny

Navzdory důležitosti ochrany úrovní správy a kontroly je většina provozu v síti dopravce v přenosu dat nebo je určena pro předplatitele tohoto dopravce.

Přesměrování zpětné cesty Unicast (uRPF)

Útoky jsou často spouštěny pomocí technologie spoofing - IP adresy zdroje jsou předstírané, takže nelze zjistit zdroj útoku. Spoofed IP addresses can be:

  • ze skutečně použitého adresního prostoru, ale v jiném segmentu sítě (v segmentu, ze kterého byl útok zahájen, tyto falešné adresy nejsou směrovány);
  • z nevyužitého adresního prostoru v této síti pro přenos dat;
  • z adresního prostoru, který není směrovatelný na internetu.

Implementace mechanismu uRPF na směrovačích zabrání směrování paketů se zdrojovými adresami, které jsou nekompatibilní nebo nevyužité v síťovém segmentu, ze kterého přišly na rozhraní směrovače. Tato technologie někdy umožňuje efektivně odfiltrovat nežádoucí provoz co nejblíže jeho zdroji, tedy nejúčinněji. Mnoho DDoS útoků (včetně slavné Šmoulové a Tribal Flood Network) používá k oklamání spoofing a neustálé změny zdrojové adresy standardní prostředky ochrana a filtrování provozu.

Využití mechanismu uRPF telekomunikačními operátory, kteří poskytují předplatitelům přístup k internetu, účinně zabrání DDoS útokům pomocí spoofingové technologie namířené jejich vlastními předplatiteli proti internetovým zdrojům. DDoS útok je tak potlačen nejblíže jeho zdroji, tedy nejúčinněji.

Vzdáleně spuštěné černé díry (RTBH)

Spravované černé díry (Remotely Triggered Blackholes) se používají k „výpisu“ (zničení, odeslání „nikam“) provozu vstupujícího do sítě směrováním tohoto provozu na speciální rozhraní Null 0. Tuto technologii se doporučuje použít na okraji sítě k resetování Útokový provoz obsahující DDoS při vstupu do sítě. Omezení (a významné) této metody spočívá v tom, že se vztahuje na veškerý provoz určený pro konkrétního hostitele nebo hostitele, kteří jsou cílem útoku. Tím pádem, tato metoda lze použít v případech, kdy je jeden nebo více hostitelů vystaveno masivnímu útoku, což způsobuje problémy nejen napadeným hostitelům, ale také ostatním účastníkům a síti operátora jako celku.

Černé díry lze spravovat ručně nebo prostřednictvím BGP.

Šíření zásad QoS prostřednictvím BGP (QPPB)

QoS Control over BGP (QPPB) vám umožňuje řídit prioritní politiky pro provoz určený pro konkrétní autonomní systém nebo blok IP adres. Tento mechanismus může být velmi užitečný pro telekomunikační operátory a velké podniky, včetně správy úrovně priority pro nežádoucí provoz nebo provoz obsahující útok DDoS.

Dřezy

V některých případech je nutné ne zcela odstranit provoz pomocí černých děr, ale odvrátit jej od hlavních kanálů nebo zdrojů pro následné monitorování a analýzu. K tomu slouží „odbočné kanály“ nebo Dřezy.

Dřezy se nejčastěji používají v následujících situacích:

  • odklonit a analyzovat provoz s cílovými adresami, které patří do adresního prostoru sítě operátora, ale nejsou skutečně používány (nebyly přiděleny ani zařízení, ani uživatelům); takový provoz je apriori podezřelý, protože často naznačuje pokusy o skenování nebo proniknutí do vaší sítě útočníkem, který nemá podrobné informace o své struktuře;
  • přesměrovat provoz z cíle útoku, který je skutečným zdrojem v síti operátora, sledovat a analyzovat jej.

Ochrana DDoS pomocí speciálních nástrojů

Koncept Cisco Clean Pipes - průkopník v oboru

Moderní koncept ochrany před útoky DDoS byl vyvinut (ano, nebudete překvapeni! :)) společností Cisco Systems. Koncept vyvinutý společností Cisco se nazývá Cisco Clean Pipes. Koncept, který byl podrobně vyvinut před téměř 10 lety, podrobně popsal základní principy a technologie ochrany před dopravními anomáliemi, z nichž většina je dodnes používána, a to i jinými výrobci.

Koncept Cisco Clean Pipes předpokládá následující principy pro detekci a zmírnění DDoS útoků.

Jsou vybrány body (části sítě), jejichž provoz je analyzován za účelem identifikace anomálií. V závislosti na tom, co chráníme, mohou být takovými body peer-to-peer spojení telekomunikačního operátora s předcházejícími operátory, body připojení následných operátorů nebo předplatitelů, kanály pro připojení datových center k síti.

Speciální detektory analyzují provoz v těchto bodech, vytvářejí (studují) dopravní profil v jeho normálním stavu, když dojde k útoku DDoS nebo anomálii, detekují jej, studují a dynamicky formují jeho vlastnosti. Dále jsou informace analyzovány operátorem systému a poloautomaticky nebo automatický režim začíná proces potlačení útoku. Potlačení znamená, že provoz určený pro „oběť“ je dynamicky přesměrován přes filtrační zařízení, které na tento provoz aplikuje filtry generované detektorem, což odráží individuální povahu útoku. Vyčištěný provoz je vložen do sítě a odeslán příjemci (proto vznikl název Clean Pipes - předplatitel obdrží „čistý kanál“, který neobsahuje útok).

Celý cyklus ochrany DDoS tedy zahrnuje následující hlavní fáze:

  • Školení charakteristik řízení dopravy (profilování, základní učení)
  • Detekce útoků a anomálií (Detekce)
  • Přesměrování provozu, aby prošel přesměrováním
  • Filtrování provozu k potlačení útoků (zmírnění)
  • Vložení provozu zpět do sítě a jeho odeslání adresátovi (Injection).

Několik funkcí.
Jako detektory lze použít dva typy zařízení:

  • Detektory vyráběné společností Cisco Systems jsou moduly Cisco Traffic Anomaly Detector Services Modules určené pro instalaci do šasi Cisco 6500/7600.
  • Detektory Arbor Networks jsou zařízení Arbor Peakflow SP CP.

Níže je tabulka porovnávající detektory Cisco a Arbor.

Parametr

Detektor provozních anomálií společnosti Cisco

Arbor Peakflow SP CP

Získání dopravních informací pro analýzu

Používá kopii provozu přidělenou šasi Cisco 6500/7600

Používají se údaje o provozu Netflow přijaté ze směrovačů, lze upravit vzorkování (1: 1, 1: 1 000, 1: 10 000 atd.)

Použité principy detekce

Analýza podpisu (detekce zneužití) a detekce anomálií (dynamickýprofilování)

Detekce převážně anomálií; používá se analýza podpisu, ale podpisy jsou obecné

Provedení

servisní moduly v šasi Cisco 6500/7600

samostatná zařízení (servery)

Výkon

Analyzuje se provoz až do 2 Gb / s

Prakticky neomezený (můžete snížit vzorkovací frekvenci)

Škálovatelnost

Instalace až 4 modulůCiscoDetektorSMv jednom šasi (moduly však fungují nezávisle na sobě)

Schopnost používat více zařízení uvnitř jednotný systém jedné z nich je přiřazen status vůdce

Monitorování provozu a směrování v síti

Téměř žádná funkčnost

Funkce je velmi pokročilá. Mnoho telekomunikačních operátorů kupuje Arbor Peakflow SP kvůli hlubokým a sofistikovaným funkcím pro monitorování provozu a směrování v síti.

Poskytování portálu (individuální rozhraní pro předplatitele, které umožňuje monitorování pouze části sítě, která s ním přímo souvisí)

Není k dispozici

Pokud. To je vážná výhoda tohoto řešení, protože telekomunikační operátor může prodávat jednotlivé služby pro ochranu DDoS svým předplatitelům.

Kompatibilní čističe provozu (zmírňující útoky)

Cisco Modul strážní služby

 Arbor Peakflow SP TMS; Modul služeb Cisco Guard.
Ochrana datových center při připojování k internetu Monitorování následných připojení účastnických sítí k síti operátora Detekce útoků naproti proudu- připojení sítě operátora k sítím poskytovatelů vyšší úrovně Monitorování páteře operátora
Poslední řádek tabulky uvádí scénáře detektorů Cisco a Arbor doporučené společností Cisco Systems. Tyto scénáře se odrážejí v níže uvedeném diagramu.

Jako čistič provozu společnost Cisco doporučuje používat servisní modul Cisco Guard, který je nainstalován v šasi Cisco 6500/7600 a dynamicky přesměrovává, čistí a znovu vkládá provoz do sítě na základě příkazu přijatého od detektoru Cisco nebo Arbor Peakflow SP CP . Mechanismy přesměrování jsou buď aktualizace BGP směrem k upstream routerům, nebo přímé řídicí příkazy vůči nadřízenému pomocí proprietárního protokolu. Při použití aktualizací BGP dostane upstream router novou hodnotu nex-hop pro provoz obsahující útok - takže tento provoz jde na scavenger server. Zároveň je nutné dbát na to, aby tyto informace nezaváděly organizaci smyčky (aby se následný směrovač při vkládání vyčištěného provozu nepokusil tento provoz vrátit zpět čisticímu zařízení). K tomu lze použít mechanismy pro řízení distribuce aktualizací BGP podle parametru komunity nebo použití GRE tunelů při vstupu do vyčištěného provozu.

Tento stav pokračoval, dokud společnost Arbor Networks dramaticky nerozšířila svoji produktovou řadu Peakflow SP na trh pomocí zcela samostatného řešení ochrany DDoS.

Spuštěn Arbor Peakflow SP TMS

Před několika lety se společnost Arbor Networks rozhodla vyvinout svoji produktovou řadu ochrany DDoS nezávisle a bez ohledu na tempo a politiku rozvoje tohoto směru ve společnosti Cisco. Řešení Peakflow SP CP měla oproti Cisco Detector zásadní výhody, protože analyzovala informace o toku se schopností upravit vzorkovací frekvenci, a proto neměla žádná omezení pro použití v sítích telekomunikačních operátorů a na páteřních sítích (na rozdíl od Cisco Detector, který analyzuje kopie provozu). Významnou výhodou Peakflow SP byla navíc příležitost pro operátory prodat předplatitelům individuální službu pro monitorování a ochranu jejich síťových segmentů.

V reakci na tyto a další úvahy společnost Arbor výrazně rozšířila produktovou řadu Peakflow SP. Objevila se řada nových zařízení:

Peakflow SP TMS (systém správy hrozeb)- Potlačuje DDoS útoky vícestupňovým filtrováním na základě dat přijatých od Peakflow SP CP a od laboratoře ASERT, vlastněné společností Arbor Networks, která monitoruje a analyzuje DDoS útoky na internetu;

Peakflow SP BI (Business Intelligence)- zařízení, která zajišťují škálování systému, zvyšují počet monitorovaných logických objektů a poskytují zálohu shromážděných a analyzovaných dat;

Peakflow SP PI (Portálové rozhraní)- zařízení, která zvyšují počet předplatitelů, kterým je poskytováno individuální rozhraní pro správu jejich vlastní bezpečnosti;

Peakflow SP FS (průtokový cenzor)- zařízení, která sledují účastnické směrovače, připojení k navazujícím sítím a datovým centrům.

Principy fungování systému Arbor Peakflow SP zůstaly do značné míry stejné jako u Cisco Clean Pipes, avšak Arbor své systémy pravidelně vyvíjí a vylepšuje, takže v současné době je funkčnost produktů Arbor v mnoha ohledech lepší než u společnosti Cisco, včetně produktivita softwaru.

K datu, maximální produktivita Režimu Cisco Guard lze dosáhnout vytvořením klastru 4 Guard modulů v jednom šasi Cisco 6500/7600, zatímco plnohodnotné klastrování těchto zařízení není implementováno. Špičkové modely Arbor Peakflow SP TMS mají současně výkon až 10 Gb / s a ​​mohou být dále seskupeny.

Poté, co se společnost Arbor začala prosazovat jako nezávislý hráč na trhu detekce a potlačení DDoS útoků, začala společnost Cisco hledat partnera, který by jí poskytoval tolik potřebné monitorování dat toku síťového provozu, ale nebyl by přímým konkurentem . Takovou společností byla společnost Narus, která vyrábí systémy monitorování provozu na základě údajů o toku (NarusInsight), a uzavřela partnerství se společností Cisco Systems. Toto partnerství však neobdrželo vážný rozvoj a přítomnost na trhu. Podle některých zpráv navíc společnost Cisco neplánuje investovat do svých řešení Cisco Detector a Cisco Guard. Tuto mezeru ponechává napospas Arbor Networks.

Některé funkce řešení Cisco a Arbor

Za zmínku stojí některé funkce řešení Cisco a Arbor.

  1. Cisco Guard lze použít jak ve spojení s detektorem, tak samostatně. V druhém případě je nastaven do režimu in-line a provádí funkce detektoru analýzou provozu a v případě potřeby zapne filtry a vyčistí provoz. Nevýhodou tohoto režimu je, že za prvé je přidán další bod potenciálního selhání a za druhé další provozní zpoždění (i když je malé, dokud se nezapne filtrační mechanismus). Doporučeným režimem pro Cisco Guard je čekat na příkaz k přesměrování provozu obsahujícího útok, filtrovat jej a zadat jej zpět do sítě.
  2. Zařízení Arbor Peakflow SP TMS mohou také pracovat v režimech mimo rampu a in-line. V prvním případě zařízení pasivně čeká na příkaz, který přesměruje provoz obsahující útok, aby jej vyčistil a vložil zpět do sítě. Ve druhém předává veškerý provoz sám přes sebe, generuje na něm data ve formátu Arborflow a přenáší je do Peakflow SP CP pro analýzu a detekci útoků. Arborflow je formát podobný Netflow, ale upravený společností Arbor pro jejich systémy Peakflow SP. Peakflow SP CP monitoruje provoz a detekuje útoky na základě dat Arborflow přijatých z TMS. Když je detekován útok, operátor Peakflow SP CP vydá příkaz k jeho potlačení, poté TMS zapne filtry a vyčistí provoz od útoku. Na rozdíl od společnosti Cisco nemůže server Peakflow SP TMS fungovat samostatně; k provedení analýzy provozu vyžaduje server Peakflow SP CP.
  3. Dnes se většina odborníků shoduje, že úkoly ochrany místních částí sítě (například připojení datových center nebo připojení navazujících sítí) jsou účinné

PODOBNÉ ČLÁNKY