Masszív ddos ​​támadások. Az FSZB büntetőeljárást indított az orosz bankok elleni hatalmas DDoS-támadás ténye miatt

Azokat a támadásokat, amelyek során a felhasználók nem férhetnek hozzá bizonyos erőforrásokhoz, DDoS -támadásnak vagy szolgáltatásmegtagadási problémának nevezzük. Az ilyen hackertámadások fő jellemzője, hogy világszerte nagyszámú számítógép egyidejű kérései vannak, és főként jól védett vállalatok vagy kormányzati szervezetek szervereire irányulnak, ritkábban egyetlen nem kereskedelmi erőforráshoz.

A számítógép, amely megfertőződik, egyfajta "zombivá" válik, és a hackerek több száz, vagy akár tízezer ilyen "zombi" segítségével hibát okoznak az erőforrások működésében (szolgáltatás megtagadása).

A DDoS támadásoknak sok oka lehet. Próbáljuk meg azonosítani a legnépszerűbbeket, és egyúttal válaszolunk a kérdésekre: "DDoS támadás - mi az, hogyan védekezhet, milyen következményekkel jár és milyen eszközökkel hajtják végre?"

Verseny

Az internet már régóta üzleti ötletek forrásává vált, nagy projektek megvalósítása és egyéb módszerek, amelyekkel nagyon sok pénzt lehet keresni, így a DDoS támadás megrendelésre hajtható végre. Vagyis, ha egy szervezet el akarja távolítani, amikor egy versenytárs felbukkan, akkor egyszerűen egy hackerhez (vagy azok csoportjához) fordul egy egyszerű feladattal - az internetes erőforrásokon keresztül megbénítani egy nem kívánt vállalat munkáját (DDoS támadás egy szerver vagy webhely).

A konkrét céloktól függően a támadást egy bizonyos időtartamra és megfelelő erő alkalmazásával hozzák létre.

Csalás

Elég gyakran hackerek kezdeményezésére szerveznek DDoS-támadást egy webhely ellen, hogy blokkolják a rendszert, és hozzáférjenek személyes vagy más fontos adatokhoz. Miután a támadók megbénítják a rendszert, bizonyos összeget követelhetnek a megtámadott erőforrások működésének helyreállításához.

Sok internetes vállalkozó egyetért az előterjesztett feltételekkel, leállással indokolja cselekedeteit és hatalmas veszteségeket kap - könnyebb kis összeget fizetni egy csalónak, mint jelentős nyereséget elveszíteni minden állásidőért.

Szórakozás

Sok felhasználó csak a kíváncsiság vagy a szórakozás kedvéért érdeklődik: "DDoS támadás - mi ez és hogyan kell csinálni?" Ezért nem ritka, hogy a kezdő támadók szórakozásból és erejük próbájából véletlenszerű erőforrásokra szerveznek ilyen támadásokat.

Az okokkal együtt a DDoS támadásoknak saját osztályozási jellemzőik vannak.

  1. Sávszélesség... Ma szinte minden számítógépes hely fel van szerelve bármelyikkel helyi hálózat, vagy csak csatlakozik az internethez. Ezért gyakran előfordulnak hálózati elárasztások - nagyszámú kérés helytelenül kialakított és értelmetlen rendszerrel bizonyos erőforrásokhoz vagy berendezésekhez annak későbbi meghibásodása vagy meghibásodása céljából. merevlemezek, memória stb.).
  2. A rendszer kimerülése... Az ilyen DDoS támadást a Samp szerver ellen hajtják végre, hogy lefoglalják a fizikai memóriát, a processzor idejét és egyéb rendszer erőforrásait, amelyek hiánya miatt a megtámadott objektum egyszerűen nem tud teljes mértékben működni.
  3. Hurok... A végtelen adatellenőrzés és más „körben” működő hurkok arra kényszerítik az objektumot, hogy rengeteg erőforrást pazaroljon, ezáltal eltömíti a memóriát, amíg az teljesen ki nem merül.
  4. Hamis támadások... Egy ilyen szervezet célja a védelmi rendszerek hamis beindítása, ami végső soron egyes források blokkolásához vezet.
  5. HTTP protokoll... A hackerek speciális titkosítással kis kapacitású HTTP-csomagokat küldenek, az erőforrás természetesen nem látja, hogy DDoS támadást szerveztek volna rá, a szerverprogram elvégzi a dolgát, sokkal nagyobb kapacitású csomagokat küld vissza, ezáltal eltömítve a az áldozat sávszélessége, ami ismét a szolgáltatások meghibásodásához vezet.
  6. Törpös támadás... Ez az egyik legveszélyesebb faj. A hacker hamis ICMP csomaggal sugároz az áldozatnak, ahol az áldozat címét hamisítják a támadó címével, és minden csomópont válaszolni kezd a ping kérésre. Ez a DDoS támadás egy olyan program, amelynek célja a használata nagy hálózat, vagyis 100 számítógép által feldolgozott kérést 100 -szorosára erősítenek.
  7. UDP árvíz... Ez a fajta támadás némileg hasonlít az előzőhöz, de az ICMP csomagok helyett a támadók UDP csomagokat használnak. Ennek a módszernek az a lényege, hogy az áldozat IP-címét lecseréljük a hacker címére, és teljesen terheljük a sávszélességet, ami szintén rendszerhibához vezet.
  8. SYN árvíz... A támadók egyszerre próbálnak nagyszámú TCP -kapcsolatot indítani egy SYN csatornán keresztül, érvénytelen vagy nem létező módon visszaszállítási cím... Több ilyen próbálkozás után a legtöbb operációs rendszerállítsa sorba a problémás kapcsolatot, és csak bizonyos számú próbálkozás után zárja be. A SYN csatornaáram meglehetősen nagy, és sok ilyen kísérlet után hamarosan az áldozat magja nem hajlandó új kapcsolatot megnyitni, és blokkolja az egész hálózatot.
  9. "Nehéz csomagok"... Ez a típus választ ad a következő kérdésre: "Mi az a DDoS támadás a szerver ellen?" A hackerek csomagokat küldenek a felhasználó szerverére, de a sávszélesség telítettsége nem következik be, a művelet csak a processzor idejére irányul. Ennek eredményeként az ilyen csomagok a rendszer meghibásodásához vezetnek, és az pedig az erőforrásokhoz.
  10. Naplófájlok... Ha a kvóta- és rotációs rendszer biztonsági lyukakkal rendelkezik, akkor a támadók nagy csomagokat küldhetnek, ezáltal elfoglalva a szerver merevlemezén lévő összes szabad helyet.
  11. Program kód... A nagy tapasztalattal rendelkező hackerek teljes mértékben megvizsgálhatják az áldozat szerverének szerkezetét, és speciális algoritmusokat (DDoS támadás - kihasználási program) indíthatnak. Az ilyen támadások főként különböző területeken és területeken működő vállalkozások és szervezetek jól védett kereskedelmi projektjei ellen irányulnak. A támadók hibákat találnak a kódban, és érvénytelen utasításokat vagy más kivételes algoritmusokat futtatnak, amelyek rendszer vagy szolgáltatás összeomlását okozzák.

DDoS támadás: mi ez és hogyan védekezz

Számos módszer létezik a DDoS támadások elleni védelemre. És mindegyik négy részre osztható: passzív, aktív, reakciós és megelőző. Erről később részletesebben beszélünk.

Egy figyelmeztetés

Ehhez szükség van azoknak az okoknak a megelőzésére, amelyek DDoS támadást válthatnak ki. Ez a típus magában foglalja a személyes ellenségeskedést, a jogi nézeteltéréseket, a versenyt és más olyan tényezőket, amelyek „fokozott” figyelmet váltanak ki Önre, vállalkozására stb.

Ha időben reagál ezekre a tényezőkre, és megfelelő következtetéseket von le, sok kellemetlen helyzetet elkerülhet. Ez a módszer inkább a problémának, mintsem a probléma technikai oldalának tudható be.

Ellenintézkedések

Ha az erőforrások elleni támadások folytatódnak, akkor jogi és technikai tőkeáttétellel meg kell találnia a problémák forrását - az ügyfelet vagy a vállalkozót. Egyes cégek technikai úton nyújtanak szolgáltatásokat a betolakodók keresésére. Az ezzel a témával foglalkozó szakemberek képzettsége alapján nemcsak egy DDoS-támadást végrehajtó hackert találhat, hanem magát az ügyfelet is.

Szoftvervédelem

Egyes hardvergyártók és szoftver termékeikkel együtt meglehetősen sok hatékony megoldást tudnak ajánlani, és a DDoS támadás a webhelyen el lesz nyomva. Külön kis szerver működhet technikai védőként, amelynek célja a kis és közepes DDoS támadások elleni küzdelem.

Ez a megoldás tökéletes kis- és középvállalkozások számára. A nagyobb vállalatok, vállalkozások és kormányzati szervek számára teljes hardverrendszerek állnak rendelkezésre a DDoS támadások elleni küzdelemhez, amelyek a magas ár mellett kiváló védelmi tulajdonságokkal rendelkeznek.

Szűrés

A bejövő forgalom blokkolása és alapos szűrése nemcsak csökkenti a támadás valószínűségét. Egyes esetekben teljesen kizárható a szerver elleni DDoS támadás.

A forgalom szűrésének két fő módja van - tűzfalak és teljes listairányítás.

A listák (ACL) használatával történő szűrés lehetővé teszi a nem alapvető protokollok kiszűrését a TCP megszakítása vagy a védett erőforráshoz való hozzáférés sebességének lelassítása nélkül. Ha azonban a hackerek botneteket használnak, vagy nagyfrekvenciás lekérdezések, azután Ily módon hatástalan lesz.

Sokkal jobban védekeznek a DDoS támadások ellen, de egyetlen hátrányuk az, hogy csak privát és nem kereskedelmi hálózatokra szolgálnak.

Tükör

Ennek a módszernek a lényege, hogy a támadó összes bejövő forgalmát visszairányítja. Ezt úgy teheti meg, hogy erőteljes kiszolgálói és hozzáértő szakemberei vannak, akik nem csak átirányítják a forgalmat, hanem le is tudják tiltani a támadó felszerelését.

A módszer nem működik, ha hibák vannak a rendszerszolgáltatásokban, a programkódokban és más hálózati alkalmazásokban.

Sebezhetőségek keresése

Az ilyen típusú védelem célja a kihasználások, a webalkalmazások és rendszerek hibáinak, valamint a hálózati forgalomért felelős egyéb szolgáltatások javítása. A módszer haszontalan az ezeket a sebezhetőségeket célzó árvíz támadásokkal szemben.

Modern erőforrások

Ez a módszer nem garantálja a 100% -os védelmet. De lehetővé teszi más intézkedések (vagy ezek egy készletének) hatékonyabb végrehajtását a DDoS-támadások megelőzésére.

Rendszerek és erőforrások kiosztása

Az erőforrások megkettőzése és a rendszerek elosztása lehetővé teszi a felhasználók számára, hogy az Ön adataival dolgozzanak, még akkor is, ha jelenleg DDoS támadás indul a szerverén. A disztribúcióhoz különböző szerver- vagy hálózati berendezéseket használhatunk, illetve a különböző redundáns rendszereken (adatközpontokon) ajánlatos a szolgáltatásokat fizikailag elkülöníteni.

Ez a védekezési mód ma a leghatékonyabb, feltéve, hogy a megfelelő építészeti terv elkészült.

Kitérés

Ennek a módszernek a fő jellemzője a megtámadott objektum (tartománynév vagy IP-cím) kimenete és szétválasztása, vagyis az egy webhelyen található összes munkaerőforrást fel kell osztani, és harmadik fél hálózati címein, vagy akár a területen kell elhelyezni. egy másik államból. Ez lehetővé teszi, hogy túlélje a támadásokat, és megőrizze a belső informatikai struktúrát.

DDoS védelmi szolgáltatások

Miután mindent elmondtunk egy olyan csapásról, mint a DDoS támadás (mi ez és hogyan kell kezelni), végre adhatunk egy jó tanácsot. Sok nagy szervezet kínálja szolgáltatásait az ilyen támadások megelőzésére és megelőzésére. Alapvetően az ilyen vállalatok számos intézkedést és különféle mechanizmust alkalmaznak, hogy megvédjék vállalkozását a legtöbb DDoS-támadástól. A szakemberek és a területükön jártas szakemberek ott dolgoznak, ezért ha az Ön erőforrása kedves Önnek, akkor a legjobb (bár nem olcsó) megoldás az lenne, ha felvenné a kapcsolatot ezekkel a vállalatokkal.

Hogyan csináld magad a DDoS támadást

A tudatosság valódi elv. De ne feledje, hogy a DDoS-támadások szándékos megszervezése akár egyedül, akár személyek csoportja által bűncselekménynek minősül, ezért ez az anyag csak tájékoztató jellegű.

Az amerikai informatikai vezetők egy programot fejlesztettek ki a fenyegetések megelőzésére, hogy teszteljék a szerverek ellenálló képességét és a kiberbűnözők által végrehajtott DDoS-támadások lehetőségét, majd ezt követően kiküszöböljék ezt a támadást.

Természetesen a "forró" elmék maguk a fejlesztők ellen fordították ezeket a fegyvereket és az ellen, amivel harcoltak. A termékkód neve LOIC. Ez a program szabadon hozzáférhető, és elvileg nem tiltja a törvény.

A program felülete és funkcionalitása meglehetősen egyszerű, bárki használhatja, akit érdekel a DDoS támadás.

Hogyan csinálj mindent magad? Az interfész soraiban elegendő megadni az IP áldozatokat, majd beállítani a TCP és UDP folyamokat és a kérések számát. Voila - az áhított gomb megnyomása után elkezdődött a támadás!

Természetesen ez a szoftver nem érinti a komoly erőforrásokat, de a kicsiknél előfordulhatnak problémák.

A Qrator Labs, a DDoS támadások elleni küzdelemre és az internetes erőforrások rendelkezésre állásának biztosítására szakosodott társaság, a memcache-alapú erősítési technikával (adatgyorsítótárat megvalósító szoftver) rögzítette a legnagyobb sebességű DDoS támadások tényét a legnagyobb webes erőforrások ellen. véletlen hozzáférésű memória hash tábla alapján).

2018. február 23. és 27. között a memcache-felerősített DDoS támadások hulláma söpört végig Európán. Az ilyen támadások technikája abban áll, hogy a behatolók figyelik az UDP-forgalmat, feltéve, hogy a memcache paraméterei alapértelmezés szerint be vannak állítva, vagyis valójában UDP-elárasztást alkalmaznak - időegységenként sok hamis UDP-csomagot küldenek az IP-címek széles skálájáról. .

A memcache biztonsági problémái legalább 2014 óta ismertek, de 2018-ban ez a sebezhetőség különösen világosan megnyilvánult: február 25-ről 26-ra virradó éjszaka a Qrator Labs szakemberei számos memcache által felerősített DDoS támadást figyeltek meg az interneten, beleértve az oroszok elleni támadásokat is. legnagyobb hálózati erőforrások ....

2017 -ben a kínai OKee csapat kutatócsoportja beszélt az ilyen támadások megszervezésének lehetőségéről, rámutatva azok potenciálisan romboló erejére.

Az elmúlt néhány napban számos forrás megerősítette a támadás tényét a memcache-erőforrások megerősített válaszaival, valamint a DNS és az NTP válaszaival. Ezeknek a hamis támadásoknak a forrása a nagy OVH szolgáltató, valamint számos kisebb internetszolgáltató és vendéglátó volt.

A Qrator Labs egyik ügyfele - fizetési rendszer A QIWI megerősíti a sikeresen semlegesített támadás tényét, 480 Gbps sávszélességű UDP -forgalommal az erőforrásaiban a veszélyeztetett memcache -erősítőkből.

„A DDoS támadások végrehajtására szolgáló modern technikák nem állnak meg. Egyre inkább azt látjuk, hogy új "hiányosságok" jelennek meg az internetes infrastruktúrában, amelyeket a kiberbűnözők sikeresen használnak támadások végrehajtására. A memcache-t használó támadások, amelyek sebessége elérte a több száz Gb / s-ot, ezt megerősítették - kommentálja Alexander Lyamin, a Qrator Labs vezérigazgatója és alapítója. - Sok sebezhető memcache -erőforrás található az interneten, és erősen ajánljuk a technikusoknak, hogy helyesen konfigurálják a memcache -t, ne feledkezzenek meg az alapértelmezett beállításokról. Ez segít elkerülni a szerverre küldött összes UDP forgalom lehallgatását, és csökkenti a DDoS támadások valószínűségét. "

A Qrator Labs -ról

A Qrator Labs az első számú DDoS ellenintézkedés Oroszországban (az IDC Russia Anti-DDoS Services Market 2016–2020 előrejelzése és 2015-ös elemzése szerint). A céget 2009 -ben alapították, és a WD (Web Application Firewall) megoldásokkal kombinálva nyújt szolgáltatásokat a DDoS támadások elleni küzdelemhez, amelyet a Wallarm partnercég technológiája alapján szerveznek. A DDoS támadások hatékony leküzdése érdekében a Qrator Labs saját globális internetes megfigyelőszolgáltatásának, a Qrator.Radarnak az adatait használja fel. A Qrator szűrőhálózat az USA -ban, Oroszországban, az EU -ban és Ázsiában található csomópontokra épül, ami saját szűrési algoritmusaival együtt a vállalat versenyelőnye.

Ez a szervezet amellett, hogy domain neveket regisztrál a .tr zónában, gerinckommunikációt is biztosít a török ​​egyetemeknek. Anonim hacktivisták vállalták a felelősséget a támadásért, és azzal vádolták a török ​​vezetést, hogy támogatja az Iszlám Államot.

A DDoS első jelei december 14 -én délelőtt jelentkeztek, és délig öt NIC.tr szerver megadta magát a szemétforgalom rohamának, akár 40 Gbps kapacitással. A probléma a RIPE koordinációs központot is érintette, amely alternatív NS infrastruktúrát biztosít a NIC.tr. A RIPE képviselői megjegyezték, hogy a támadást úgy módosították, hogy megkerüljék a RIPE védelmét.

A nagyszabású DDoS támadások válnak a legtöbbet hatékony módon megszakítani a webszolgáltatások működését - a támadások költsége folyamatosan csökken, ami lehetővé teszi a teljesítmény növelését: mindössze két év alatt a DDoS támadás átlagos teljesítménye megnégyszereződött 8 Gbps -ra. Az átlagos értékeket tekintve lenyűgözőnek tűnik a Törökország tartományi zónája elleni támadás, de a szakértők hangsúlyozzák, hogy a 400 Gbps DDoS támadások hamarosan normává válnak.

A török ​​támadás egyedisége abban rejlik, hogy a támadók a megfelelő célpontot választották: viszonylag kis számú IP-címre koncentrálva gyakorlatilag egy egész ország infrastruktúráját tudták letiltani mindössze 40 gigabites támadással.

A Török Nemzeti Kibernetikai Incidens Válaszközpont blokkolta a NIC.tr szervereire érkező forgalmat más országokból, ami miatt mind a 400 ezer török ​​webhely elérhetetlenné vált, és minden üzenet Email visszaküldték a feladóknak. Később a központ úgy döntött, hogy taktikát változtat a gyanús IP -címek szelektív letiltásával. A .tr domainek DNS -kiszolgálói a török ​​internetszolgáltatók, a Superonline és a Vodafone segítségével újrakonfigurálódtak a kérések nyilvános és magánszerverek közötti elosztására.

A megtámadott tartományok még aznap visszatértek online, de számos webhely és postai szolgáltatások szaggatottan dolgoztak még néhány napig. Nemcsak a helyi vállalatok és kormányzati szervek érintettek, hanem számos nemzeti webhely is, amelyek a .tr zónában választottak domain nevet; összesen mintegy 400 ezer weboldalról van szó, amelyek 75%-a vállalati. A török ​​országkód domaint oktatási intézmények, önkormányzatok és katonaság is használja.

Amíg az "anonymus" nem nyilatkozott, sokan az oroszokat hibáztatták a DDoS-támadásért - Törökország és Oroszország feszült viszonya miatt. Egy időben orosz hackereket azzal gyanúsítottak, hogy részt vettek az Észtország (2007), Grúzia (2008) és Ukrajna (2014) elleni nagyszabású kibertámadásokban, hasonló okokból. Egyes szakértők úgy látták, hogy a török ​​DDoS az oroszok válasza a török ​​kibercsoportok DDoS-támadására a Sputnik orosz híroldalon.

Az Anonymous bejelentése megfosztotta az orosz nyomhipotézis alapjait. A hacktivisták török ​​repülőterek, bankok, kormányzati szervek és katonai szervezetek szervereinek megtámadásával is fenyegetőznek, ha Törökország nem hagy fel az ISIS segítésével.

Az elmúlt két év instabil gazdasági helyzete a piaci verseny jelentős növekedéséhez vezetett, aminek következtében a DDoS támadások népszerűsége nőtt - hatékony módszer gazdasági kárt okozva.

2016-ban többszörösére nőtt a DDoS támadások szervezésére irányuló kereskedelmi megrendelések száma. A tömeges DDoS támadások a célzott politikai befolyás területéről, mint például 2014 -ben, a tömeges üzleti szegmensbe kerültek. A kiberbűnözők fő feladata, hogy az erőforrást a lehető leggyorsabban és minimális költségekkel hozzáférhetetlenné tegyék, hogy a versenytársaktól pénzt szerezzenek érte, biztosítsák maguknak a zsarolás feltételeit stb. Egyre aktívabban alkalmazzák a DDoS támadásokat, amelyek egyre nagyobb léptékű üzletvédelmi eszközök keresését ösztönzi.

Ugyanakkor a támadások száma tovább növekszik, még a DDoS elleni küzdelemben elért figyelemre méltó sikerek ellenére is. A Qrator Labs szerint 2015 -ben a DDoS támadások száma 100%-kal nőtt. És ez nem meglepő, mert költségük körülbelül 5 dollárra esett óránként, és a megvalósításukhoz szükséges eszközök bekerültek a hatalmas feketepiacra. Íme néhány, az elkövetkező évekre előrejelzett, a szolgáltatást megtagadó támadások fő tendenciái.

UDP erősítési támadások

A csatorna kapacitásának kimerítésére tervezett támadások közé tartozik az UDP-erősítés. Az ilyen incidensek 2014-ben voltak a leggyakoribbak, és 2015-ben fényes tendenciává váltak. Számuk azonban már elérte a csúcsot, és fokozatosan csökken – az ilyen támadások végrehajtására rendelkezésre álló erőforrások nemcsak végesek, hanem meredeken csökkenőben is.

Az erősítő egy nyilvános UDP szolgáltatás, amely hitelesítés nélkül működik, és sokkal nagyobb választ tud küldeni egy kis kérésre. A támadó az ilyen kérések elküldésével lecseréli IP -címét az áldozat IP -címére. Ennek eredményeként a visszatérő forgalom, amely jóval meghaladja a támadó csatorna sávszélességét, az áldozat webes erőforrására kerül átirányításra. A DNS, NTP, SSDP és más szerverek akaratlanul is részt vesznek a támadásokban.

L7 támadások webes alkalmazások ellen

Az erősítők számának csökkenésével összefüggésben ismét előtérbe kerül a webes alkalmazások elleni támadások L7 szintű, klasszikus botneteket használó szervezése. Mint ismeretes, a botnet képes távoli parancsok segítségével hálózati támadásokat végrehajtani, és erről a fertőzött számítógépek tulajdonosai nem is tudnak. A szolgáltatás „szemét” kérésekkel való túlterhelése következtében a jogos felhasználók kérései általában megválaszolatlanok maradnak, vagy indokolatlanul sok időre van szükség a válaszadáshoz.

A botnetek manapság egyre intelligensebbek. A megfelelő támadások szervezésekor a Full-browser stack technológia támogatott, vagyis a felhasználó számítógépének, böngészőjének és java szkriptek fejlesztésének teljes emulációja. Az ilyen technikák remekül elfedik az L7 támadásokat. Szinte lehetetlen manuálisan megkülönböztetni egy botot a felhasználótól. Ehhez gépi tanulási technológiát használó rendszerekre van szükség, amelyeknek köszönhetően nő a támadásokkal szembeni ellenállás szintje, javulnak a mechanizmusok és nő a tesztelés pontossága.

BGP problémák

2016 -ban új tendencia alakult ki - a hálózati infrastruktúra elleni támadások, beleértve azokat is, amelyek a BGP protokoll sebezhetőségének kihasználásán alapulnak. A teljes internet alapjául szolgáló BGP útválasztási protokoll problémái már évek óta ismertek, de az utóbbi években egyre inkább súlyos negatív következményekhez vezettek.

A tartományok közötti hálózati rétegben történő útválasztással kapcsolatos hálózati rendellenességek számos gazdagépet, hálózatot, sőt az internet globális kapcsolatát és elérhetőségét is érinthetik. A probléma leggyakoribb típusa a Route Leaks – egy útvonal „szivárgása”, amely a rossz irányú hirdetés eredményeként jelentkezik. Eddig ritkán használják szándékosan a BGP sebezhetőségét: egy ilyen támadás megszervezésének költsége meglehetősen magas, és az incidensek elsősorban a hálózati beállítások banális hibái miatt merülnek fel.

Az utóbbi években azonban jelentősen megnőtt az interneten szervezett bűnözői csoportok létszáma, így a Qrator Labs előrejelzése szerint belátható időn belül népszerűek lesznek a BGP -problémákhoz kapcsolódó támadások. Feltűnő példa a jól ismert Hacking Team kibercsoport által elkövetett IP-címek eltérítése, amelyet az állam rendelt el: az olasz rendőrségnek több számítógépet kellett átvennie, amelyek tulajdonosai tekintetében nyomozati intézkedéseket hajtottak végre.

EseményekTCP

A TCP / IP hálózati veremnek számos problémája van, amelyek ebben az évben különösen súlyosak lesznek. A sebességek aktív növekedésének fenntartása érdekében az internetes infrastruktúrát folyamatosan frissíteni kell. A fizikai internetkapcsolat sebessége néhány évente növekszik. A 2000 -es évek elején. Az 1 Gbps lett a szabvány, ma a legnépszerűbb fizikai interfész a 10 Gbps. A fizikai interfész új szabványának, a 100 Gbit / s -nak a tömeges bevezetése azonban már megkezdődött, ami problémákat okoz az elavult TCP / IP protokollal, amelyet nem ilyen nagy sebességre terveztek.

Például néhány perc alatt lehetővé válik egy TCP sorozatszám felvétele - egy egyedi numerikus azonosító, amely lehetővé teszi (vagy inkább megengedett) TCP / IP -kapcsolattal rendelkező partnerek kölcsönös hitelesítését a kapcsolat létrehozásakor és az adatok cseréjekor , megőrizve rendjüket és épségüket. 100 Gbit/s sebességnél a TCP-kiszolgáló naplófájljaiban a nyitott kapcsolatról és/vagy az azon keresztül küldött adatokról szóló sor már nem garantálja, hogy a rögzített IP-cím valóban kapcsolatot létesített és továbbította ezeket az adatokat. Ennek megfelelően lehetőség nyílik egy új osztályú támadások szervezésére, és jelentősen csökkenhet a tűzfalak hatékonysága.

A TCP / IP biztonsági rések sok kutató figyelmét felkeltették. Úgy vélik, hogy már 2016-ban hallani fogunk „nagy horderejű” támadásokról, amelyek ezen „lyukak” kiaknázásával kapcsolatosak.

Közeljövőben

Ma a technológiák és a fenyegetések fejlesztése nem a "klasszikus" spirál mentén halad, mivel a rendszer nem zárt - számos külső tényező befolyásolja. Az eredmény egy bővülő amplitúdójú spirál - felfelé emelkedik, a támadások összetettsége nő, és a technológia hatóköre jelentősen bővül. Említsünk meg néhány olyan tényezőt, amelyek komolyan befolyásolják a rendszer fejlődését.

A legfontosabb természetesen az új IPv6 szállítási protokollra való áttérés. 2015 végén az IPv4 megszűnt, és az IPv6 kerül előtérbe, ami új kihívásokkal jár: most minden eszköz rendelkezik IP -címmel, és mind közvetlenül kommunikálhatnak egymással. Igen, vannak új ajánlások arra vonatkozóan, hogy a végberendezéseknek hogyan kell működniük, de az iparág, különösen a távközlési szolgáltatók, a tömegtermék -szegmens és a kínai gyártók, hogyan bírja mindezt. Az IPv6 egy játékmódváltó.

További kihívás a mobilhálózatok jelentős növekedése, sebessége és tartóssága. Ha korábban a mobil botnet problémákat okozott, elsősorban magának a távközlési szolgáltatónak, akkor most, amikor a 4G kommunikáció gyorsabb lesz, mint a vezetékes internet, a hatalmas számú eszközzel rendelkező mobilhálózatok, beleértve a Kínában gyártott eszközöket is, kiváló platform DDoS és hacker támadások végrehajtásához. És nem csak a távközlési szolgáltatónál, hanem a többi piaci szereplőnél is felmerülnek problémák.

A "dolgok internete" feltörekvő világa komoly veszélyt jelent. Új támadási vektorok jelennek meg, mint az eszközök nagy száma és használata vezeték nélküli technológia a kapcsolatok valóban végtelen kilátásokat nyitnak a hackerek számára. Minden internethez csatlakoztatott eszköz potenciálisan a támadó infrastruktúrájának részévé válhat, és részt vehet a DDoS támadásokban.

Sajnos a Hálózatra kapcsolt mindenféle háztartási gép (vízforraló, tévé, autó, multicooker, mérleg, "okos" aljzat stb.) gyártói nem mindig biztosítják a megfelelő szintű védelmet. Az ilyen eszközök gyakran a népszerű operációs rendszerek régi verzióit használják, és a gyártók nem törődnek azzal, hogy rendszeresen frissítsék őket - olyan verziókra cserélik őket, amelyek kiküszöbölték a sebezhetőségeket. És ha az eszköz népszerű és széles körben használatos, akkor a hackerek nem hagyják ki a lehetőséget, hogy kihasználják a sebezhetőségeit.

Az IoT -probléma előhírnökei már 2015 -ben megjelentek. Az előzetes adatok szerint a Blizzard Entertainment elleni legújabb támadást IoT -eszközök segítségével hajtották végre. Fel lett véve rosszindulatú kód modern teáskannákon és izzókon működik. A chipkészletek a hackerek dolgát is megkönnyítik. Nem is olyan régen megjelent egy olcsó lapkakészlet, amelyet különféle berendezésekhez terveztek, amelyek képesek "kommunikálni" az internettel. Így a támadóknak nem kell feltörniük 100 ezer testreszabott firmware -t - csak meg kell „törniük” egy lapkakészletet, és hozzá kell férniük az összes azon alapuló eszközhöz.

Az előrejelzések szerint hamarosan minden okostelefon a régi Android verziók legalább egy botnet tagja lesz. Őket követi az összes "okos" dugó, hűtőszekrény és egyéb Készülékek... Pár év múlva teáskannák, babamonitorok és multicooker botnetei várnak ránk. A „dolgok internete” nemcsak kényelmet és további jellemzők, hanem sok probléma is. Amikor sok dolog van az IoT -ban, és minden pin 10 bájtot tud küldeni, új biztonsági kihívások merülnek fel, amelyeket meg kell oldani. Erre pedig ma fel kell készülnünk.

Bevezetés

Azonnal fenntartást teszek, hogy amikor írtam ezt az áttekintést, elsősorban arra a közönségre koncentráltam, amely megérti a távközlési szolgáltatók és adatátviteli hálózataik munkájának sajátosságait. Ez a cikk felvázolja a DDoS támadások elleni védelem alapelveit, az elmúlt évtizedben történt fejlődésük történetét és a jelenlegi helyzetet.

Mi az a DDoS?

Valószínűleg ma már, ha nem is minden "felhasználó", de legalább minden "informatikus" tudja, mik a DDoS támadások. De néhány szót még el kell mondani.

A DDoS (Distributed Denial of Service) támadások a számítógépes rendszerek (hálózati erőforrások vagy kommunikációs csatornák) elleni támadások, amelyek célja, hogy hozzáférhetetlenné tegyék azokat a jogos felhasználók számára. A DDoS támadások nagyszámú kérés egyidejű elküldését jelentik egy adott erőforrás felé egy vagy több számítógépről az interneten. Ha egyszerre több ezer, tízezer vagy millió számítógép kezd el kéréseket küldeni egy adott szerverre (vagy hálózati szolgáltatásra), akkor vagy a szerver meghibásodik, vagy a kommunikációs csatorna sávszélessége nem lesz elegendő ehhez a szerverhez. Mindkét esetben az internetfelhasználók nem férhetnek hozzá a támadott szerverhez, vagy akár az összes szerverhez és egyéb erőforráshoz, amelyek blokkolt kommunikációs csatornán keresztül csatlakoznak.

A DDoS támadások néhány jellemzője

Ki ellen és milyen célból indítanak DDoS támadásokat?

A DDoS támadások az internet bármely erőforrása ellen indíthatók. A DDoS támadásokból származó legnagyobb károkat azok a szervezetek kapják, amelyek üzleti tevékenysége közvetlenül kapcsolódik az internetes jelenlétükhöz - bankok (internetes banki szolgáltatásokat nyújtó), online áruházak, kereskedési platformok, aukciók, valamint egyéb tevékenységek, amelyek aktivitása és hatékonysága jelentősen függ az internetes jelenléttől (utazási irodák, légitársaságok, hardver- és szoftvergyártók, stb.) A DDoS támadások rendszeresen indulnak az ilyen óriáscégek erőforrásai ellen. globális IT -ipar, például az IBM, a Cisco Systems, a Microsoft és mások. Hatalmas DDoS támadások történtek az eBay.com, az Amazon.com, számos jól ismert bank és szervezet ellen.

Nagyon gyakran DDoS támadásokat indítanak politikai szervezetek, intézmények vagy egyes híres személyiségek webhelyei ellen. Sokan tisztában vannak azokkal a hatalmas és elhúzódó DDoS támadásokkal, amelyeket Grúzia elnöke honlapja ellen indítottak a 2008-as grúz – oszét háború idején (a webhely 2008 augusztusától kezdve több hónapig nem volt elérhető), az észt kormány szerverei ellen ( 2007 tavaszán, a Bronz Katona átadásával kapcsolatos zavargások idején) az internet észak-koreai szegmenséből érkező amerikai oldalak elleni időszakos támadásokról.

A DDoS támadások fő céljai vagy a (közvetlen vagy közvetett) haszonszerzés zsarolás és zsarolás révén, vagy politikai érdekek érvényesítése, a helyzet súlyosbítása és a bosszú.

Melyek a DDoS támadások kiváltásának mechanizmusai?

A DDoS támadások legnépszerűbb és legveszélyesebb módja a botnetek (BotNets) használata. A botnet olyan számítógépek halmaza, amelyekre speciális szoftverkönyvjelzők (botok) vannak telepítve; magyarul a botnet robotok hálózata. A botokat általában a hackerek egyedileg fejlesztik minden botnet számára, és fő céljuk, hogy kéréseket küldjenek egy adott erőforrásnak az interneten a botnet vezérlőszerverétől kapott parancs segítségével - Botnet Command and Control Server. A botnet-vezérlő szervert egy hacker kezeli, vagy az a személy, aki megvásárolta a botnetet a hackertől, és képes DDoS támadást indítani. A botokat az interneten különféle módokon terjesztik, rendszerint úgy, hogy megtámadják a sebezhető szolgáltatásokat nyújtó számítógépeket, és szoftverkönyvjelzőket telepítenek rájuk, vagy megtévesztik a felhasználókat, és botok telepítésére kényszerítik őket más szolgáltatások vagy teljesen ártalmatlan szoftverek álcája alatt. vagy akár hasznos funkció... A botok terjesztésének számos módja van, rendszeresen találnak ki új módszereket.

Ha a botnet elég nagy - több tíz vagy több százezer számítógép -, akkor ezekről a számítógépekről egyidejűleg, akár teljesen jogos kérések egy bizonyos hálózati szolgáltatás felé (például egy adott webhelyen található webszolgáltatás) is a kimerüléshez vezet. vagy magának a szolgáltatásnak vagy a szervernek, vagy a kommunikációs csatorna képességeinek kimerüléséhez. A szolgáltatás mindenesetre elérhetetlen lesz a felhasználók számára, és a szolgáltatás tulajdonosát közvetlen, közvetett és hírnévveszteség éri. És ha a számítógépek mindegyike nem egy kérést küld, hanem másodpercenként tíz, száz vagy több ezer kérést, akkor a támadás ütőereje többszörösére nő, ami lehetővé teszi a legproduktívabb erőforrások vagy kommunikációs csatornák letiltását is.

Néhány támadást "ártalmatlanabb" módon indítanak. Például bizonyos fórumok felhasználóinak flash mobja, akik megegyezés szerint "pingeket" vagy más kéréseket indítanak számítógépeikről egy adott szerver felé egy adott időpontban. Egy másik példa egy webhelyre mutató link elhelyezése a népszerű internetes erőforrásokban, ami a felhasználók beáramlását okozza a célszerverre. Ha egy „hamis” hivatkozás (amely egy forrásra mutató hivatkozásnak tűnik, de valójában egy teljesen másik szerverre utal) egy kis szervezet webhelyére mutat, de népszerű szervereken vagy fórumokon tárolják, egy ilyen támadás nemkívánatos látogatók özönlenek erre az oldalra ... Az utóbbi két típusú támadások ritkán vezetnek a szerverek elérhetőségének megszűnéséhez a megfelelően szervezett tárhelyoldalakon, de volt rá példa, sőt 2009-ben Oroszországban is.

Segítenek-e a DDoS támadások elleni védelem hagyományos technikai eszközei?

A DDoS támadások sajátossága, hogy sok egyidejű kérésből állnak, amelyek mindegyike külön-külön meglehetősen "legális", ráadásul ezeket a kéréseket (botokkal fertőzött) számítógépek küldik, amelyek valószínűleg a leghétköznapibb valós vagy potenciális felhasználókhoz tartoznak. a megtámadott szolgáltatás vagy erőforrás. Ezért nagyon nehéz szabványos eszközökkel pontosan azonosítani és kiszűrni azokat a kéréseket, amelyek DDoS-támadást jelentenek. Szabványos rendszerek osztályú IDS / IPS (behatolás -észlelési / -megelőzési rendszer - hálózati támadások észlelésére / megelőzésére szolgáló rendszer) nem találja meg ezekben a kérésekben a „corpus delicti” -t, nem fogja megérteni, hogy támadás részei, hacsak nem végzik el a forgalom minőségi elemzését anomáliák. És ha megtalálják is, a felesleges kérések szűrése sem olyan egyszerű - a szabványos tűzfalak és útválasztók egyértelműen meghatározott hozzáférési listák (vezérlési szabályok) alapján szűrik a forgalmat, és nem tudják, hogyan kell „dinamikusan” alkalmazkodni egy adott támadás profiljához. . A tűzfalak olyan kritériumok alapján módosíthatják a forgalmat, mint például a használt feladói címek hálózati szolgáltatások, portok és protokollok. De a hétköznapi internetezők részt vesznek a DDoS támadásban, akik a leggyakoribb protokollok használatával küldik el a kéréseket - a távközlési szolgáltató mindenkit és mindent megtilt majd? Ekkor egyszerűen felhagy az előfizetőinek kommunikációs szolgáltatásokkal, és nem biztosít hozzáférést az általa kiszolgált hálózati erőforrásokhoz, amit valójában a támadás kezdeményezője próbál elérni.

Valószínűleg sok szakértő tud a DDoS támadások elleni védelemre szolgáló speciális megoldások létezéséről, amelyek a forgalmi rendellenességek észleléséből, a forgalmi profil és a támadási profil kialakításából, valamint az ezt követő dinamikus többlépcsős forgalomszűrésből állnak. És ezekről a megoldásokról is fogok beszélni ebben a cikkben, de egy kicsit később. És először néhány kevésbé ismert, de néha meglehetősen hatékony intézkedésről fogunk beszélni, amelyekkel az adatátviteli hálózat és rendszergazdái meglévő eszközökkel el lehet nyomni a DDoS támadásokat.

DDoS védelem a rendelkezésre álló eszközökkel

Elég sok mechanizmus és "trükk" létezik, amelyek bizonyos speciális esetekben lehetővé teszik a DDoS támadások elnyomását. Néhányat csak akkor lehet használni, ha az adatátviteli hálózat egy adott gyártó berendezésére épül, mások többé -kevésbé univerzálisak.

Kezdjük a Cisco Systems ajánlásaival. A vállalat a Network Foundation Protectiont ajánlja, amely magában foglalja a Control Plane-t, a Management Plane-t és az adatsíkot.

Menedzsment sík védelem

Az „adminisztrációs sík” kifejezés magában foglal minden olyan forgalmat, amely az útválasztókat és egyéb hálózati berendezéseket vezérli vagy felügyeli. Ez a forgalom az útválasztó felé irányul, vagy az útválasztótól származik. Ilyen forgalom például a Telnet, SSH és http (s) munkamenetek, syslog üzenetek, SNMP csapdák. A bevált bevált gyakorlatok a következők:

A vezérlő- és felügyeleti protokollok maximális biztonságának biztosítása titkosítás és hitelesítés használatával:

  • Az SNMP v3 biztonsági intézkedéseket biztosít, míg az SNMP v1 gyakorlatilag nem, az SNMP v2 pedig csak részben - az alapértelmezett közösségi értékeket mindig módosítani kell;
  • különböző értékeket kell használni a köz- és a magánközösség számára;
  • a telnet protokoll minden adatot, beleértve a bejelentkezést és a jelszót is, tiszta szövegben továbbítja (ha a forgalmat lehallgatják, ez az információ könnyen lekérhető és felhasználható), ajánlott mindig az ssh v2 protokollt használni;
  • Hasonlóképpen, használjon https helyett http-t a hardveres hozzáféréshez. A hardver-hozzáférés erős szabályozása, beleértve a megfelelő jelszó-házirendet, a központosított hitelesítést, engedélyezést és elszámolást (AAA-modell), valamint a redundanciához szükséges helyi hitelesítést.

Szerep-alapú hozzáférési modell megvalósítása;

A forráscímhez való engedélyezett kapcsolatok szabályozása hozzáférés-vezérlési listák segítségével;

A nem használt szolgáltatások letiltása, amelyek közül sok alapértelmezés szerint engedélyezve van (vagy elfelejtette letiltani őket a rendszer diagnosztizálása vagy konfigurálása után);

A berendezések erőforrás -kihasználásának nyomon követése.

Az utolsó két pontnál érdemes részletesebben elidőzni.
Egyes szolgáltatásokat, amelyek alapértelmezés szerint engedélyezve vannak, vagy amelyeket elfelejtettek kikapcsolni a hardver konfigurálása vagy diagnosztizálása után, a kiberbűnözők a meglévő biztonsági szabályok megkerülésére használhatnak. Ezen szolgáltatások listája az alábbi:

  • PAD (csomag összeállító / szétszedő);

Természetesen, mielőtt kikapcsolná ezeket a szolgáltatásokat, gondosan elemeznie kell, hogy nincs-e szükség rájuk a hálózaton.

Kívánatos figyelemmel kísérni a berendezés erőforrások felhasználását. Ez lehetővé teszi először is, hogy időben észrevegye a torlódást. egyes elemek hálózatokat és intézkedéseket kell hozni a balesetek megelőzésére, másodsorban a DDoS támadások és anomáliák felderítésére, ha ezek észlelését speciális eszközökkel nem biztosítják. Legalább ajánlott ellenőrizni:

  • CPU terhelés
  • memóriahasználat
  • az útválasztók interfészeinek munkaterhelése.

A monitorozás elvégezhető "manuálisan" (időnként figyeli a berendezés állapotát), de természetesen jobb, ha ezt speciális hálózatfelügyeleti vagy felügyeleti rendszerekkel végezzük. információ biztonság(ez utóbbihoz tartozik a Cisco MARS).

Síkvédelem vezérlése

A hálózatkezelési réteg magában foglalja az összes szolgáltatásforgalmat, amely biztosítja a hálózat működését és összekapcsolhatóságát a megadott topológiának és paramétereknek megfelelően. Példák a vezérlő repülőgép forgalomra: az összes forgalom, amelyet az útvonal -feldolgozó (RR) generált vagy rendeltetett, beleértve az összes útválasztási protokollt, bizonyos esetekben - SSH protokollokés az SNMP, valamint az ICMP. Bármilyen támadás az útválasztó processzor működése ellen, különösen a DDoS támadások, jelentős problémákhoz és megszakításokhoz vezethetnek a hálózat működésében. A vezérlősík rögzítésének legjobb gyakorlatait az alábbiakban ismertetjük.

Síkrendészeti irányítás

Ez a QoS (Quality of Service) mechanizmusok használata, hogy többet nyújtsanak magas prioritás irányítani a repülőgépforgalmat, mint a felhasználói forgalmat (amelynek a támadások is részét képezik). Ez biztosítja a szolgáltatási protokollok és az útválasztási processzor működését, vagyis a hálózat topológiájának és összekapcsolhatóságának megőrzését, valamint a csomagok tényleges útválasztását és kapcsolását.

IP fogadó ACL

Ez a funkció lehetővé teszi az útválasztó és az útválasztó processzor szolgáltatásforgalmának szűrését és vezérlését.

  • közvetlenül az útválasztó berendezésre kerülnek, mielőtt a forgalom elérné az útválasztó processzort, biztosítva a "személyes" berendezés védelmét;
  • a forgalom a szokásos ACL -ek áthaladása után kerül alkalmazásra - ezek az utolsó védelmi réteg az útválasztó processzor felé vezető úton;
  • minden forgalomra vonatkozik (belső és külső, valamint az üzemeltető hálózatához viszonyított tranzitra).

Infrastruktúra ACL

Az útválasztó berendezés saját címeihez való hozzáférés általában csak a szolgáltató saját hálózatának gazdagépei számára szükséges, de vannak kivételek (például eBGP, GRE, IPv6 over IPv4 alagutak és ICMP). Infrastruktúra -hozzáférés -ellenőrzési listák:

  • általában az üzemeltető hálózatának határán ("a hálózat bejáratánál") telepítik;
  • célja, hogy megakadályozzák a külső gazdagépek hozzáférését az üzemeltető infrastruktúrájának címeihez;
  • akadálytalan forgalomszállítás biztosítása az üzemeltető hálózatának határain;
  • alapvető védelmi mechanizmusokat kell biztosítani az RFC 1918, RFC 3330 -ban leírt jogosulatlan hálózati tevékenységek ellen, különösen a hamisítás elleni védelmet (hamisítás, hamis forrás IP -címek használata a támadás indításakor).

Szomszéd hitelesítés

A szomszédos útválasztók hitelesítésének fő célja a támadások megelőzése azáltal, hogy hamisított útválasztási protokoll üzeneteket küldenek a hálózaton történő útválasztás megváltoztatása érdekében. Az ilyen támadások jogosulatlan behatoláshoz, jogosulatlan használathoz vezethetnek. hálózati erőforrások, valamint az a tény, hogy a támadó elfogja a forgalmat, hogy elemezze és megszerezze a szükséges információkat.

A BGP konfigurálása

  • BGP előtagszűrők - arra szolgálnak, hogy megakadályozzák az üzemeltető belső hálózatának útvonalaira vonatkozó információk interneten való terjedését (néha ez az információ nagyon hasznos lehet egy támadó számára);
  • a másik útválasztótól fogadható előtagok számának korlátozása (előtagkorlátozás) - a DDoS támadások, rendellenességek és hibák elleni védelemre használják a peering partnerek hálózataiban;
  • a BGP közösségi paraméterek használata és azok szűrése is használható az útválasztási információk terjedésének korlátozására;
  • A BGP-figyelés és a BGP-adatok összehasonlítása a megfigyelt forgalommal a DDoS-támadások és anomáliák korai felismerésének egyik mechanizmusa;
  • szűrés TTL (Time-to-Live) paraméter szerint-a BGP társak ellenőrzésére szolgál.

Ha a BGP támadás nem a peer-to-peer hálózatból, hanem egy távolabbi hálózatból indul, akkor a BGP csomagok TTL paramétere 255-nél kisebb lesz. Beállíthatja a szolgáltató határirányítóit úgy, hogy az összes BGP-csomagot elhagyja. TTL értékkel< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Adatsík védelme

Az adminisztrációs és ellenőrzési szintek védelmének fontossága ellenére a szolgáltató hálózatában a forgalom nagy része továbbítás alatt álló vagy az adott szolgáltató előfizetőinek szánt adat.

Unicast Reverse Path Forwarding (uRPF)

A támadások gyakran hamisítási technológiával indulnak – a forrás IP-címét meghamisítják, így a támadás forrását nem lehet nyomon követni. A hamisított IP-címek lehetnek:

  • a ténylegesen használt címtérből, de egy másik hálózati szegmensben (abban a szegmensben, ahonnan a támadás indult, ezek a hamis címek nem kerülnek továbbításra);
  • az adatátviteli hálózat kihasználatlan címterületéből;
  • olyan címtérből, amely nem irányítható az interneten.

Az uRPF-mechanizmus útválasztókon való megvalósítása megakadályozza az inkompatibilis vagy nem használt forráscímű csomagok útválasztását azon a hálózati szegmensen, amelyről az útválasztó interfészére érkeztek. Ez a technológia néha lehetővé teszi a nem kívánt forgalom hatékony kiszűrését a lehető legközelebb a forráshoz, vagyis a leghatékonyabban. Sok DDoS -támadás (köztük a híres törp- és törzsi árvízhálózat) hamisítást és állandó forráscím -változtatásokat használ a megtévesztéshez szabványos eszközökkel forgalomvédelem és szűrés.

Ha az előfizetőknek internet -hozzáférést biztosító távközlési szolgáltatók használják az uRPF -mechanizmust, hatékonyan megelőzhető a DDoS -támadások a saját előfizetőik által az internetes erőforrások ellen irányított hamisítási technológia segítségével. Így a DDoS támadást a forrásához legközelebb, vagyis a leghatékonyabban elnyomják.

Távvezérelt fekete lyukak (RTBH)

A felügyelt fekete lyukak (távolról indított fekete lyukak) arra szolgálnak, hogy a hálózatba belépő forgalmat "lerakják" (megsemmisítsék, "elküldjék" sehova ") azáltal, hogy ezt a forgalmat speciális Null 0 interfészekre irányítják. Ennek a módszernek a korlátozása (és jelentős), hogy minden olyan forgalomra vonatkozik, amely egy adott hoszt vagy gazdagépek számára készült, és amelyek a támadás célpontjai. És így, ez a módszer használható olyan esetekben, amikor egy vagy több hosztot hatalmas támadásnak vetnek alá, ami nemcsak a támadott állomásoknak, hanem más előfizetőknek és az üzemeltető hálózatának is problémákat okoz.

A fekete lyukak manuálisan vagy BGP-n keresztül kezelhetők.

A QoS -politika terjesztése a BGP -n keresztül (QPPB)

A QoS Control over BGP (QPPB) lehetővé teszi egy adott területre irányuló forgalom elsőbbségi szabályainak szabályozását autonóm rendszer vagy IP-címek blokkja. Ez a mechanizmus nagyon hasznos lehet a távközlési szolgáltatók és a nagyvállalatok számára, beleértve a nem kívánt forgalom vagy a DDoS támadást tartalmazó forgalom prioritási szintjének kezelését is.

Mosogató lyukak

Egyes esetekben nem kell teljesen megszüntetni a forgalmat fekete lyukak segítségével, hanem el kell terelni a fő csatornáktól vagy erőforrásoktól a későbbi megfigyeléshez és elemzéshez. Erre szolgálnak az "elágazó csatornák" vagy a mosogatólyukak.

A mosogató lyukakat leggyakrabban a következő esetekben használják:

  • forgalom átirányítása és elemzése olyan célcímekkel, amelyek az üzemeltető hálózatának címterébe tartoznak, de valójában nem használatosak (ezeket nem osztották ki sem a berendezésekhez, sem a felhasználókhoz); az ilyen forgalom eleve gyanús, mivel gyakran azt jelzi, hogy egy támadó megkísérli a hálózat átvizsgálását vagy behatolását, aki nem rendelkezik részletes információkkal a szerkezetéről;
  • a forgalom átirányítása a támadás célpontjáról, ami valós erőforrás az üzemeltető hálózatában, annak monitorozása és elemzése.

DDoS védelem speciális eszközökkel

Cisco Clean Pipes Concept - Az ipar úttörője

A DDoS támadások elleni védelem modern koncepcióját (igen, nem fog meglepődni! :)) a Cisco Systems fejlesztette ki. A Cisco által kidolgozott koncepció a Cisco Clean Pipes név. A közel 10 évvel ezelőtt részletesen kidolgozott koncepcióban a forgalmi rendellenességek elleni védelem alapelveit és technológiáit írták le részletesen, amelyek többségét még ma is használják, beleértve más gyártókat is.

A Cisco Clean Pipes koncepció a következő alapelveket feltételezi a DDoS-támadások észleléséhez és mérsékléséhez.

Pontok (a hálózat szakaszai) kerülnek kiválasztásra, amelyek forgalmát elemzik az anomáliák azonosítása érdekében. Attól függően, hogy mit védünk, az ilyen pontok lehetnek távközlési szolgáltató peer-to-peer kapcsolatai az upstream szolgáltatókkal, downstream szolgáltatók vagy előfizetők csatlakozási pontjai, csatornák az adatközpontok hálózathoz való csatlakoztatásához.

Speciális detektorok ezeken a pontokon elemzik a forgalmat, normál állapotában felépítik (tanulmányozzák) a forgalmi profilt, DDoS támadás vagy anomália előfordulásakor észlelik, tanulmányozzák és dinamikusan alakítják a jellemzőit. Továbbá az információkat a rendszerüzemeltető elemzi, és egy félautomata ill automatikus üzemmód elindul a támadás elfojtása. Az elfojtás azt jelenti, hogy az "áldozatnak" szánt forgalmat dinamikusan átirányítják egy szűrőeszközön keresztül, amely az érzékelő által generált szűrőket alkalmazza erre a forgalomra, tükrözve a támadás egyedi jellegét. A megtisztított forgalmat befecskendezik a hálózatba, és elküldik a címzettnek (ezért merült fel a Clean Pipes név - az előfizető "tiszta csatornát" kap, amely nem tartalmaz támadást).

Így a teljes DDoS védelmi ciklus a következő fő szakaszokat tartalmazza:

  • Forgalomirányítási jellemzők oktatása (profilalkotás, alapképzés)
  • Támadások és rendellenességek észlelése (észlelés)
  • A forgalom átirányítása átirányításon keresztül
  • A forgalom szűrése a támadások elnyomása érdekében (Enyhítés)
  • A forgalom visszafecskendezése a hálózatba és elküldése a címzettnek (Injection).

Számos funkció.
Kétféle eszköz használható detektorként:

  • A Cisco Systems által gyártott érzékelők a Cisco Traffic Anomaly Detector Services moduljai, amelyeket a Cisco 6500/7600 alvázba való beépítésre terveztek.
  • Az Arbor Networks érzékelők Arbor Peakflow SP CP eszközök.

Az alábbi táblázat a Cisco és az Arbor érzékelőket hasonlítja össze.

Paraméter

Cisco forgalmi rendellenesség -érzékelő

Arbor Peakflow SP CP

Forgalmi információk beszerzése elemzéshez

A Cisco 6500/7600 házhoz hozzárendelt forgalom másolatát használja

A routerektől kapott Netflow forgalmi adatokat használjuk, a mintavételezés állítható (1:1, 1:1000, 1:10000 stb.)

Használt észlelési elvek

Aláírás -elemzés (visszaélések észlelése) és rendellenességek észlelése (dinamikusprofilalkotás)

Elsősorban anomália észlelése; aláírás elemzést használnak, de az aláírások általánosak

Form Factor

szervizmodulokat a Cisco 6500/7600 házban

külön eszközök (szerverek)

Teljesítmény

A forgalom 2 Gbps-ig kerül elemzésre

Szinte korlátlan (csökkentheti a mintavételi gyakoriságot)

Skálázhatóság

Akár 4 modul telepítéseCiscoDetektorSMegy alvázban (a modulok azonban egymástól függetlenül működnek)

Lehetőség több eszköz használatára belül egységes rendszer elemzés, amelyből az egyik vezető státuszt kap

A forgalom és az útválasztás figyelése a hálózatban

Szinte semmi funkcionalitás

A funkcionalitás nagyon fejlett. Sok távközlési szolgáltató vásárolja meg az Arbor Peakflow SP-t a mély és kifinomult funkcionalitás miatt a forgalom és a hálózaton belüli útválasztás figyelésére.

Portál biztosítása (egyedi felület az előfizető számára, amely lehetővé teszi, hogy csak a hálózat közvetlenül hozzá kapcsolódó részét figyelje)

Nem biztosított

Biztosítani. Ez komoly előnye ennek a megoldásnak, mivel egy távközlési szolgáltató egyedi szolgáltatásokat értékesíthet a DDoS védelem érdekében előfizetőinek.

Kompatibilis forgalomtisztítók (támadásgátlók)

CiscoŐrszolgálati modul

 Arbor Peakflow SP TMS; Cisco Guard Services modul.
Adatközpontok védelme az internethez való csatlakozás közben Az előfizetői hálózatok és az üzemeltető hálózatához kapcsolódó kapcsolatok nyomon követése Elleni támadások észlelésefelfelé-az üzemeltető hálózatának összekapcsolása a magasabb szintű szolgáltatók hálózataival Kezelői gerinc felügyelet
A táblázat utolsó sora a Cisco Systems által javasolt Cisco és Arbor érzékelő forgatókönyveket sorolja fel. Ezeket a forgatókönyveket az alábbi diagram tükrözi.

Forgalomtisztítóként a Cisco a Cisco Guard szervizmodul használatát javasolja, amely a Cisco 6500/7600 házba van telepítve, és dinamikusan átirányítja, súrolja és újrainjektálja a forgalmat a hálózatba a Cisco Detector vagy az Arbor Peakflow SP CP parancsára. . Az átirányítási mechanizmusok vagy a BGP frissítései az upstream útválasztók felé, vagy közvetlen irányítási parancsok a felügyelő felé, saját protokoll használatával. A BGP-frissítések használatakor az upstream útválasztó új nex-hop értéket kap a támadást tartalmazó forgalom számára – így ez a forgalom a scavenger szerverhez kerül. Ugyanakkor vigyázni kell arra, hogy ez az információ ne vonja maga után a hurok megszervezését (hogy a downstream útválasztó, amikor ráirányítja a megtisztított forgalmat, ne próbálja visszafordítani ezt a forgalmat a tisztítóeszközre). Ehhez mechanizmusok használhatók a BGP-frissítések közösségi paraméterekkel történő elosztásának szabályozására, vagy a GRE alagutak használatára a tisztított forgalomba való belépéshez.

Ez az állapot addig folytatódott, amíg az Arbor Networks drámaian kibővítette Peakflow SP termékcsaládját a piacon egy teljesen önálló DDoS védelmi megoldással.

Elindult az Arbor Peakflow SP TMS

Néhány évvel ezelőtt az Arbor Networks úgy döntött, hogy függetlenül fejleszti DDoS védelmi termékcsaládját, függetlenül a Cisco ezen irányú fejlesztési ütemétől és politikájától. A Peakflow SP CP megoldások alapvető előnyökkel rendelkeztek a Cisco Detectorral szemben, mivel elemezték az áramlási információkat a mintavételi gyakoriság beállításával, és ezért nem korlátozták a távközlési szolgáltatók hálózataiban és a gerincoszlopokon való használatot (ellentétben a Cisco Detectorral, amely elemzi forgalom másolata). Ezenkívül a Peakflow SP komoly előnye volt az a lehetőség, hogy az üzemeltetők egyedi szolgáltatást értékesíthetnek az előfizetőknek a hálózati szegmenseik figyelése és védelme érdekében.

Ezekre és más megfontolásokra válaszul az Arbor jelentősen kibővítette a Peakflow SP termékcsaládot. Számos új készülék jelent meg:

Peakflow SP TMS (fenyegetéskezelő rendszer)- Támogatja a DDoS támadásokat többlépcsős szűréssel a Peakflow SP CP-től és az Arbor Networks tulajdonában lévő ASERT laboratóriumtól kapott adatok alapján, amely figyeli és elemzi a DDoS támadásokat az interneten;

Peakflow SP BI (Business Intelligence)- eszközök, amelyek biztosítják a rendszer skálázását, növelik a felügyelni kívánt logikai objektumok számát, és biztonsági másolatot biztosítanak az összegyűjtött és elemzett adatokról;

Peakflow SP PI (portál interfész)- olyan eszközök, amelyek növelik az előfizetők számát, és egyéni interfésszel rendelkeznek saját biztonságuk kezeléséhez;

Peakflow SP FS (Flow Censor)- eszközök, amelyek figyelik az előfizetői útválasztókat, a kapcsolatokat a későbbi hálózatokhoz és adatközpontokhoz.

Az Arbor Peakflow SP rendszer működési elve alapvetően megegyezett a Cisco Clean Pipes rendszerével, azonban az Arbor rendszeresen fejleszti és fejleszti rendszereit, így jelen pillanatban az Arbor termékek funkcionalitása sok tekintetben jobb, mint a Ciscoé, így pl. szoftver termelékenysége.

Ma, maximális termelékenység A Cisco Guard mód úgy érhető el, hogy egy Cisco 6500/7600 házon belül 4 Guard modult hoz létre, miközben ezen eszközök teljes fürtözése nincs megvalósítva. Ugyanakkor a felső Arbor Peakflow SP TMS modellek teljesítménye akár 10 Gbps, és csoportosíthatók.

Miután az Arbor független szereplőként kezdte pozicionálni magát a DDoS támadások észlelésének és visszaszorításának piacán, a Cisco olyan partnert kezdett keresni, aki ellátja számára a hálózati forgalom áramlási adatainak nagyon szükséges megfigyelését, de nem lenne közvetlen versenytársa. . Ilyen vállalat volt a Narus, amely forgalomfigyelő rendszereket állít elő áramlási adatok (NarusInsight) alapján, és partnerséget kötött a Cisco Systemszel. Ez a partnerség azonban nem kapott komoly fejlődést és jelenlétet a piacon. Sőt, egyes jelentések szerint a Cisco nem tervez befektetést a Cisco Detector és a Cisco Guard megoldásaiba, sőt, ezt a rést az Arbor Networks kegyelmére hagyja.

A Cisco és Arbor megoldások néhány jellemzője

Érdemes megjegyezni a Cisco és az Arbor megoldások néhány jellemzőjét.

  1. A Cisco Guard az érzékelővel együtt és függetlenül is használható. Utóbbi esetben soros üzemmódba van állítva, és a forgalom elemzésével látja el az érzékelő funkcióit, és ha szükséges, bekapcsolja a szűrőket és tisztítja a forgalmat. Ennek az üzemmódnak az a hátránya, hogy először is egy további potenciális meghibásodási pontot adnak hozzá, másodszor pedig további forgalomkésést (bár ez kicsi, amíg a szűrőmechanizmust be nem kapcsolják). A Cisco Guard ajánlott módja egy parancsra vár, amely átirányítja a támadást tartalmazó forgalmat, kiszűri és visszainjektálja a hálózatba.
  2. Az Arbor Peakflow SP TMS készülékek rámpán kívüli és soros módban is működhetnek. Az első esetben az eszköz passzívan vár egy parancsra, amely átirányítja a támadást tartalmazó forgalmat, hogy megtisztítsa és visszainjektálja a hálózatba. A másodikban az összes forgalmat önmagán keresztül továbbítja, ennek alapján Arborflow formátumú adatokat generál, és továbbítja a Peakflow SP CP -hez elemzésre és támadások észlelésére. Az Arborflow a Netflow -hoz hasonló formátum, de az Arbor Peakflow SP rendszereihez módosította. A Peakflow SP CP figyeli a forgalmat és észleli a támadásokat a TMS -től kapott Arborflow adatok alapján. Ha támadást észlel, a Peakflow SP CP operátor parancsot ad annak elnyomására, majd a TMS bekapcsolja a szűrőket és megtisztítja a forgalmat a támadástól. A Cisco -val ellentétben a Peakflow SP TMS szerver nem tud önállóan működni; a forgalom elemzéséhez Peakflow SP CP szerverre van szüksége.
  3. Ma a legtöbb szakértő egyetért abban, hogy a hálózat helyi szakaszainak védelme (például az adatközpontok összekapcsolása vagy a későbbi hálózatok összekapcsolása) hatékony

HASONLÓ CIKKEK