Serangan di mana pengguna tidak dapat mengakses sumber daya tertentu disebut serangan DDoS, atau masalah Denial of Service. Fitur utama dari serangan peretas tersebut adalah permintaan simultan dari sejumlah besar komputer di seluruh dunia, dan mereka diarahkan terutama ke server perusahaan atau organisasi pemerintah yang terlindungi dengan baik, lebih jarang ke sumber daya non-komersial tunggal.

Komputer yang terinfeksi menjadi semacam "zombie", dan peretas, menggunakan beberapa ratus, atau bahkan puluhan ribu "zombie" semacam itu, menyebabkan kegagalan dalam pengoperasian sumber daya (denial of service).

Ada banyak alasan untuk serangan DDoS. Mari kita coba mengidentifikasi yang paling populer, dan pada saat yang sama kita akan menjawab pertanyaan: "Serangan DDoS - apa itu, bagaimana mempertahankan diri, apa konsekuensinya dan dengan cara apa itu dilakukan?"

Kompetisi

Internet telah lama menjadi sumber ide bisnis, implementasi proyek besar, dan cara lain untuk mendapatkan cukup banyak uang, sehingga serangan DDoS dapat dilakukan sesuai pesanan. Artinya, jika suatu organisasi ingin menghapusnya ketika pesaing muncul, maka itu hanya beralih ke peretas (atau sekelompok dari mereka) dengan tugas sederhana - untuk melumpuhkan pekerjaan perusahaan yang tidak diinginkan melalui sumber daya Internet (serangan DDoS pada a server atau situs web).

Bergantung pada tujuan dan sasaran tertentu, serangan semacam itu dilakukan untuk jangka waktu tertentu dan dengan penggunaan kekuatan yang sesuai.

Tipuan

Cukup sering, serangan DDoS di situs diatur atas inisiatif peretas untuk memblokir sistem dan mendapatkan akses ke data pribadi atau data penting lainnya. Setelah penyerang melumpuhkan sistem, mereka mungkin meminta sejumlah uang untuk memulihkan pengoperasian sumber daya yang diserang.

Banyak pengusaha Internet setuju dengan kondisi yang diajukan, membenarkan tindakan mereka dengan downtime dan menerima kerugian besar - lebih mudah untuk membayar sejumlah kecil penipu daripada kehilangan keuntungan yang signifikan untuk setiap hari downtime.

Hiburan

Banyak pengguna, hanya karena ingin tahu atau bersenang-senang, tertarik pada: "Serangan DDoS - apa itu dan bagaimana melakukannya?" Oleh karena itu, tidak jarang penyerang pemula mengatur serangan semacam itu pada sumber daya acak untuk bersenang-senang dan menguji kekuatan mereka.

Bersama dengan alasannya, serangan DDoS memiliki fitur klasifikasinya sendiri.

1. Bandwidth... Saat ini, hampir setiap tempat komputer dilengkapi dengan jaringan lokal, atau hanya terhubung ke internet. Oleh karena itu, sering terjadi kasus banjir jaringan - sejumlah besar permintaan dengan sistem yang salah bentuk dan tidak berarti ke sumber daya atau peralatan tertentu dengan tujuan kegagalan atau kegagalan selanjutnya. hard drive, memori, dll).
2. Kelelahan sistem... Serangan DDoS semacam itu pada server Samp dilakukan untuk merebut memori fisik, waktu prosesor, dan sumber daya sistem lainnya, karena tidak adanya objek yang diserang tidak dapat beroperasi sepenuhnya.
3. Perulangan... Validasi data tak berujung dan loop lain yang beroperasi dalam "lingkaran" memaksa objek membuang banyak sumber daya, sehingga menyumbat memori hingga benar-benar habis.
4. Serangan spoof... Organisasi semacam itu ditujukan untuk memicu sistem perlindungan yang salah, yang pada akhirnya mengarah pada pemblokiran beberapa sumber daya.
5. Protokol HTTP... Peretas mengirim paket HTTP berkapasitas rendah dengan enkripsi khusus, sumber daya, tentu saja, tidak melihat bahwa serangan DDoS telah diatur di dalamnya, program server, melakukan tugasnya, mengirim kembali paket dengan kapasitas yang jauh lebih besar, sehingga menyumbat bandwidth korban, yang kembali mengarah pada kegagalan layanan.
6. Serangan Smurf... Ini adalah salah satu spesies paling berbahaya. Peretas menyiarkan ke korban dengan paket ICMP palsu, di mana alamat korban dipalsukan dengan alamat penyerang, dan semua node mulai mengirim respons ke permintaan ping. Serangan DDoS ini adalah program yang ditujukan untuk menggunakan jaringan besar, yaitu, permintaan yang diproses oleh 100 komputer akan diperkuat dengan faktor 100.
7. Banjir UDP... Jenis serangan ini agak mirip dengan yang sebelumnya, tetapi alih-alih paket ICMP, penyerang menggunakan paket UDP. Inti dari metode ini adalah mengganti alamat IP korban dengan alamat peretas dan sepenuhnya memuat bandwidth, yang juga akan menyebabkan kegagalan sistem.
8. banjir SYN... Penyerang mencoba meluncurkan sejumlah besar koneksi TCP melalui saluran SYN secara bersamaan dengan koneksi yang tidak valid atau tidak ada alamat pengembalian... Setelah beberapa upaya seperti itu, sebagian besar sistem operasi antrekan koneksi yang bermasalah dan tutup hanya setelah sejumlah upaya tertentu. Aliran saluran SYN cukup besar, dan segera setelah banyak upaya seperti itu, kernel korban menolak untuk membuka koneksi baru, memblokir seluruh jaringan.
9. "Paket berat"... Jenis ini memberikan jawaban atas pertanyaan: "Apa itu serangan DDoS pada server?" Peretas mengirim paket ke server pengguna, tetapi kejenuhan bandwidth tidak terjadi, tindakannya hanya diarahkan ke waktu prosesor. Akibatnya, paket-paket tersebut menyebabkan kegagalan dalam sistem, dan pada gilirannya, sumber dayanya.
10. File log... Jika sistem kuota dan rotasi memiliki lubang keamanan, maka penyerang dapat mengirim paket besar, sehingga menghabiskan semua ruang kosong di hard drive server.
11. Kode program... Peretas dengan pengalaman luas dapat sepenuhnya memeriksa struktur server korban dan meluncurkan algoritme khusus (serangan DDoS - program eksploitasi). Serangan semacam itu terutama ditujukan pada proyek komersial perusahaan dan organisasi yang terlindungi dengan baik di berbagai bidang dan area. Penyerang menemukan kelemahan dalam kode dan menjalankan instruksi yang tidak valid atau algoritme luar biasa lainnya yang menyebabkan sistem atau layanan mogok.

Serangan DDoS: apa itu dan bagaimana mempertahankan diri

Ada banyak metode perlindungan terhadap serangan DDoS. Dan semuanya dapat dibagi menjadi empat bagian: pasif, aktif, reaksioner dan preventif. Kami akan membicarakan ini secara lebih rinci nanti.

Sebuah peringatan

Hal ini membutuhkan pencegahan dari penyebab itu sendiri yang dapat memicu serangan DDoS. Jenis ini mencakup beberapa jenis permusuhan pribadi, perselisihan hukum, persaingan, dan faktor-faktor lain yang memicu "peningkatan" perhatian kepada Anda, bisnis Anda, dll.

Jika Anda bereaksi terhadap faktor-faktor ini tepat waktu dan menarik kesimpulan yang tepat, Anda dapat menghindari banyak situasi yang tidak menyenangkan. Metode ini dapat lebih dikaitkan dengan masalah daripada sisi teknis masalah.

Penanggulangan

Jika serangan terhadap sumber daya Anda berlanjut, maka Anda perlu menemukan sumber masalah Anda - pelanggan atau kontraktor - menggunakan pengaruh hukum dan teknis. Beberapa perusahaan menyediakan layanan untuk mencari penyusup secara teknis. Berdasarkan kualifikasi spesialis yang menangani masalah ini, Anda tidak hanya dapat menemukan peretas yang melakukan serangan DDoS, tetapi juga pelanggan itu sendiri.

Perlindungan perangkat lunak

Beberapa produsen perangkat keras dan perangkat lunak bersama dengan produk mereka, mereka dapat menawarkan cukup banyak solusi efektif, dan serangan DDoS di situs akan ditekan. Server kecil yang terpisah dapat bertindak sebagai pembela teknis, yang ditujukan untuk melawan serangan DDoS kecil dan menengah.

Solusi ini sangat cocok untuk usaha kecil dan menengah. Untuk perusahaan besar, perusahaan, dan lembaga pemerintah, ada seluruh sistem perangkat keras untuk memerangi serangan DDoS, yang, bersama dengan harga tinggi, memiliki karakteristik perlindungan yang sangat baik.

Penyaringan

Memblokir dan menyaring lalu lintas masuk secara menyeluruh tidak hanya akan mengurangi kemungkinan serangan. Dalam beberapa kasus, serangan DDoS pada server dapat sepenuhnya dikesampingkan.

Ada dua cara utama untuk memfilter lalu lintas - firewall dan perutean daftar lengkap.

Memfilter menggunakan daftar (ACL) memungkinkan Anda memfilter protokol yang tidak penting tanpa mengganggu TCP atau memperlambat kecepatan akses ke sumber daya yang dilindungi. Namun, jika peretas menggunakan botnet atau kueri frekuensi tinggi, kemudian cara ini akan menjadi tidak efektif.

Mereka jauh lebih baik dalam melindungi dari serangan DDoS, tetapi satu-satunya kelemahan mereka adalah bahwa mereka hanya ditujukan untuk jaringan pribadi dan non-komersial.

Cermin

Inti dari metode ini adalah mengarahkan kembali semua lalu lintas masuk penyerang. Ini dapat dilakukan dengan memiliki server yang kuat dan spesialis yang kompeten yang tidak hanya akan mengarahkan lalu lintas, tetapi juga dapat menonaktifkan peralatan penyerang.

Metode tidak akan berfungsi jika ada kesalahan dalam layanan sistem, kode program, dan aplikasi jaringan lainnya.

Cari kerentanan

Jenis perlindungan ini ditujukan untuk memperbaiki eksploitasi, memperbaiki bug di aplikasi dan sistem web, dan layanan lain yang bertanggung jawab atas lalu lintas jaringan. Metode ini tidak berguna terhadap serangan banjir yang menargetkan kerentanan ini.

Sumber daya modern

Metode ini tidak dapat menjamin perlindungan 100%. Tetapi ini memungkinkan Anda untuk lebih efektif melakukan tindakan lain (atau serangkaian tindakan tersebut) untuk mencegah serangan DDoS.

Alokasi sistem dan sumber daya

Duplikasi sumber daya dan distribusi sistem akan memungkinkan pengguna untuk bekerja dengan data Anda, bahkan jika saat ini serangan DDoS sedang diluncurkan di server Anda. Untuk distribusi, Anda dapat menggunakan server atau peralatan jaringan yang berbeda, dan juga disarankan untuk memisahkan layanan secara fisik pada sistem redundan yang berbeda (pusat data).

Metode perlindungan ini adalah yang paling efektif saat ini, asalkan desain arsitektur yang benar telah dibuat.

Penghindaran

Fitur utama dari metode ini adalah output dan pemisahan objek yang diserang (nama domain atau alamat IP), yaitu, semua sumber daya yang berfungsi yang terletak di satu situs harus dibagi dan ditempatkan di alamat jaringan pihak ketiga, atau bahkan di wilayah tersebut. dari negara bagian lain. Ini akan memungkinkan Anda untuk bertahan dari serangan apa pun dan mempertahankan struktur TI internal.

Layanan perlindungan DDoS

Setelah menceritakan semua tentang momok seperti serangan DDoS (apa itu dan bagaimana menghadapinya), kami akhirnya dapat memberikan satu nasihat yang bagus. Banyak organisasi besar menawarkan layanan mereka untuk mencegah dan mencegah serangan semacam itu. Pada dasarnya, perusahaan semacam itu menggunakan berbagai tindakan dan berbagai mekanisme untuk melindungi bisnis Anda dari sebagian besar serangan DDoS. Spesialis dan ahli di bidangnya bekerja di sana, oleh karena itu, jika sumber daya Anda sangat berharga bagi Anda, maka pilihan terbaik (walaupun tidak murah) adalah menghubungi salah satu perusahaan ini.

Bagaimana serangan DDoS do-it-yourself dilakukan?

Sadar adalah prinsip yang benar. Tetapi ingat bahwa dengan sengaja mengatur serangan DDoS, baik sendiri atau oleh sekelompok orang, adalah tindak pidana, jadi materi ini disediakan untuk informasi saja.

Sebuah program dikembangkan oleh para pemimpin TI Amerika untuk mencegah ancaman untuk menguji ketahanan server dan kemungkinan melakukan serangan DDoS oleh penjahat dunia maya dengan penghapusan serangan ini selanjutnya.

Secara alami, pikiran "panas" mengubah senjata ini melawan pengembang itu sendiri dan melawan apa yang mereka lawan. Nama kode produk adalah LOIC. Program ini tersedia secara bebas dan, pada prinsipnya, tidak dilarang oleh hukum.

Antarmuka dan fungsionalitas program ini cukup sederhana, siapa saja yang tertarik dengan serangan DDoS dapat menggunakannya.

Bagaimana melakukan semuanya sendiri? Di baris antarmuka, cukup memasukkan korban IP, lalu mengatur aliran TCP dan UDP dan jumlah permintaan. Voila - setelah menekan tombol yang didambakan, serangan dimulai!

Secara alami, semua sumber daya yang serius tidak akan terpengaruh oleh perangkat lunak ini, tetapi yang kecil mungkin mengalami beberapa masalah.

Qrator Labs, sebuah perusahaan yang mengkhususkan diri dalam melawan serangan DDoS dan memastikan ketersediaan sumber daya Internet, mencatat fakta serangan DDoS berkecepatan tinggi pada sumber daya web terbesar menggunakan teknik amplifikasi berbasis memcache (perangkat lunak yang mengimplementasikan layanan caching data di memori akses acak berdasarkan tabel hash).

Dari 23 hingga 27 Februari 2018, gelombang serangan DDoS yang diperkuat memcache melanda seluruh Eropa. Teknik serangan semacam itu terdiri dari penyusup yang mendengarkan lalu lintas UDP asalkan parameter memcache diatur secara default, yaitu, sebenarnya, banjir UDP digunakan - mengirim banyak paket UDP palsu per unit waktu dari berbagai alamat IP .

Masalah keamanan memcache telah diketahui setidaknya sejak 2014, tetapi pada tahun 2018 kerentanan ini memanifestasikan dirinya dengan sangat jelas: pada malam 25-26 Februari, spesialis Qrator Labs mengamati sejumlah serangan DDoS yang diperkuat memcache di seluruh Internet, termasuk serangan terhadap Rusia sumber daya jaringan terbesar ....

Pada tahun 2017, sekelompok peneliti dari Tim OKee Tiongkok berbicara tentang kemungkinan mengorganisir serangan semacam itu, menunjukkan kekuatan yang berpotensi merusak.

Selama beberapa hari terakhir, banyak sumber telah mengkonfirmasi fakta serangan dengan tanggapan yang diperkuat dari sumber memcache, diselingi dengan tanggapan dari DNS dan NTP. Sumber serangan palsu ini adalah penyedia OVH besar dan sejumlah besar ISP dan hoster yang lebih kecil.

Salah satu klien dari Qrator Labs - sistem pembayaran QIWI mengkonfirmasi fakta serangan yang berhasil dinetralisir dengan bandwidth 480 Gbps lalu lintas UDP pada sumber dayanya dari amplifier memcache yang disusupi.

“Teknik modern untuk melakukan serangan DDoS tidak tinggal diam. Semakin banyak kita melihat munculnya "celah" baru dalam infrastruktur Internet, yang berhasil digunakan oleh penjahat dunia maya untuk melakukan serangan. Serangan menggunakan memcache, yang kecepatannya mencapai beberapa ratus Gb / s, menjadi konfirmasi akan hal ini, - komentar Alexander Lyamin, CEO dan pendiri Qrator Labs. - Ada banyak sumber daya memcache yang rentan di Internet, dan kami sangat menyarankan teknisi untuk mengonfigurasi memcache dengan benar, tanpa melupakan pengaturan default. Ini akan membantu menghindari penyadapan pada semua lalu lintas UDP yang dikirim ke server dan mengurangi kemungkinan serangan DDoS."

Tentang Qrator Labs

Qrator Labs adalah penanggulangan DDoS nomor satu di Rusia (menurut IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Perusahaan ini didirikan pada tahun 2009 dan menyediakan layanan untuk melawan serangan DDoS yang dikombinasikan dengan solusi WAF (Web Application Firewall), yang diatur menggunakan teknologi dari perusahaan mitra Wallarm. Untuk melawan serangan DDoS secara efektif, Qrator Labs menggunakan data dari layanan pemantauan Internet global Qrator.Radar miliknya sendiri. Jaringan pemfilteran Qrator dibangun di atas node yang berlokasi di AS, Rusia, UE, dan Asia, yang, bersama dengan algoritme pemfilterannya sendiri, merupakan keunggulan kompetitif perusahaan.

Organisasi ini, selain mendaftarkan nama domain di zona .tr, juga menyediakan komunikasi tulang punggung ke universitas-universitas Turki. Hacktivists anonim mengaku bertanggung jawab atas serangan itu, menuduh kepemimpinan Turki mendukung ISIS.

Tanda-tanda pertama DDoS muncul pada pagi hari tanggal 14 Desember, dan pada siang hari lima server NIC.tr telah menyerah pada gempuran lalu lintas sampah dengan kapasitas hingga 40 Gbps. Masalah tersebut juga mempengaruhi pusat koordinasi RIPE, yang menyediakan infrastruktur NS alternatif NIC.tr. Perwakilan RIPE mencatat bahwa serangan itu dimodifikasi untuk melewati pertahanan RIPE.

Serangan DDoS skala besar menjadi yang paling banyak dengan cara yang efisien mengganggu pengoperasian layanan web - biaya serangan terus menurun, yang memungkinkan peningkatan daya: hanya dalam dua tahun, daya rata-rata serangan DDoS meningkat empat kali lipat menjadi 8 Gbps. Dalam hal nilai rata-rata, serangan terhadap zona domain nasional Turki terlihat mengesankan, tetapi para ahli menekankan bahwa serangan DDoS 400 Gbps akan segera menjadi norma.

Keunikan serangan Turki terletak pada kenyataan bahwa penyerang memilih target yang tepat: dengan berkonsentrasi pada sejumlah kecil alamat IP, mereka secara praktis dapat menonaktifkan infrastruktur seluruh negara hanya dengan serangan 40 gigabit.

Pusat Respons Insiden Siber Nasional Turki memblokir semua lalu lintas yang datang ke server NIC.tr dari negara lain, yang membuat semua 400 ribu situs Turki tidak dapat diakses, dan semua pesan Surel dikembalikan ke pengirim. Kemudian, pusat memutuskan untuk mengubah taktik dengan memblokir alamat IP yang mencurigakan secara selektif. Server DNS domain .tr telah dikonfigurasi ulang untuk mendistribusikan permintaan antara server publik dan pribadi, dengan bantuan ISP Turki Superonline dan Vodafone.

Domain yang diserang kembali online pada hari yang sama, tetapi banyak situs dan layanan pos mereka bekerja sebentar-sebentar selama beberapa hari lagi. Tidak hanya perusahaan lokal dan lembaga pemerintah yang terpengaruh, tetapi juga banyak situs web nasional yang memilih nama domain di zona .tr; secara total, ini adalah sekitar 400 ribu situs web, 75% di antaranya adalah perusahaan. Domain kode negara Turki juga digunakan oleh institusi pendidikan, kotamadya, dan militer.

Sampai "anonymus" membuat pernyataan, banyak yang menyalahkan Rusia atas serangan DDoS - karena hubungan tegang antara Turki dan Rusia. Pada suatu waktu, peretas Rusia dicurigai terlibat dalam serangan dunia maya skala besar di Estonia (2007), Georgia (2008) dan Ukraina (2014) karena alasan yang sama. Beberapa ahli melihat DDoS Turki sebagai tanggapan Rusia terhadap serangan DDoS oleh kelompok siber Turki di situs berita Rusia Sputnik.

Pengumuman Anonymous menghapus hipotesis jejak Rusia dari fondasinya. Hacktivists juga mengancam akan menyerang bandara Turki, bank, server lembaga pemerintah dan organisasi militer jika Turki tidak berhenti membantu ISIS.

Situasi ekonomi yang tidak stabil dalam dua tahun terakhir telah menyebabkan peningkatan yang signifikan dalam tingkat persaingan di pasar, akibatnya popularitas serangan DDoS meningkat - metode yang efektif menyebabkan kerusakan ekonomi.

Pada tahun 2016, jumlah pesanan komersial untuk mengatur serangan DDoS meningkat beberapa kali. Serangan DDoS besar-besaran telah berpindah dari area pengaruh politik yang ditargetkan, seperti yang terjadi, misalnya, pada tahun 2014, ke segmen bisnis massal. Tugas utama penjahat dunia maya adalah membuat sumber daya tidak dapat diakses secepat mungkin dan dengan biaya minimal untuk mendapatkan uang dari pesaing untuk itu, untuk menyediakan diri mereka sendiri dengan kondisi pemerasan, dll. Serangan DDoS digunakan lebih dan lebih aktif, yang merangsang pencarian semakin banyak cara untuk melindungi bisnis.

Pada saat yang sama, jumlah serangan terus bertambah, meskipun ada keberhasilan penting dalam perang melawan DDoS. Menurut Qrator Labs, pada tahun 2015 jumlah serangan DDoS meningkat sebesar 100%. Dan tidak mengherankan, karena biayanya turun menjadi sekitar $ 5 per jam, dan alat untuk implementasinya telah memasuki pasar gelap besar-besaran. Berikut adalah beberapa tren utama dalam serangan penolakan layanan terdistribusi yang diperkirakan untuk beberapa tahun ke depan.

Serangan Amplifikasi UDP

Serangan yang dirancang untuk menguras kapasitas saluran termasuk Amplifikasi UDP. Insiden seperti itu adalah yang paling umum pada tahun 2014 dan menjadi tren yang cerah pada tahun 2015. Namun, jumlah mereka telah mencapai puncaknya dan secara bertahap menurun - sumber daya untuk melakukan serangan semacam itu tidak hanya terbatas, tetapi juga menurun tajam.

Amplifier adalah layanan UDP publik yang bekerja tanpa otentikasi, yang dapat mengirim respons yang jauh lebih besar untuk permintaan kecil. Penyerang, dengan mengirimkan permintaan seperti itu, mengganti alamat IP-nya dengan alamat IP korban. Akibatnya, lalu lintas kembali, jauh melebihi bandwidth saluran penyerang, dialihkan ke sumber daya web korban. DNS, NTP, SSDP, dan server lain digunakan untuk berpartisipasi dalam serangan tanpa disadari.

Serangan L7 pada aplikasi web

Sehubungan dengan pengurangan jumlah amplifier, organisasi serangan terhadap aplikasi web di level L7 menggunakan botnet klasik kembali mengemuka. Seperti yang Anda ketahui, botnet mampu melakukan serangan jaringan menggunakan perintah jarak jauh, dan pemilik komputer yang terinfeksi mungkin tidak menyadarinya. Sebagai hasil dari membebani layanan dengan permintaan "sampah", permintaan dari pengguna yang sah umumnya tetap tidak terjawab atau diperlukan waktu yang sangat lama untuk tanggapan.

Botnet menjadi lebih cerdas hari ini. Saat mengatur serangan yang sesuai, teknologi tumpukan browser penuh didukung, yaitu, emulasi penuh komputer pengguna, browser, dan pengembangan skrip java. Teknik seperti ini sangat bagus dalam menyamarkan serangan L7. Hampir tidak mungkin untuk membedakan bot dari pengguna secara manual. Ini membutuhkan sistem yang menggunakan teknologi pembelajaran mesin, berkat tingkat resistensi terhadap serangan meningkat, mekanisme ditingkatkan, dan akurasi pengujian meningkat.

masalah BGP

Pada tahun 2016, tren baru muncul - serangan terhadap infrastruktur jaringan, termasuk yang didasarkan pada eksploitasi kerentanan dalam protokol BGP. Masalah protokol perutean BGP, yang menjadi dasar seluruh Internet, telah diketahui selama beberapa tahun, tetapi dalam beberapa tahun terakhir mereka semakin mengarah pada konsekuensi negatif yang serius.

Anomali jaringan yang terkait dengan perutean pada lapisan jaringan antar-domain dapat memengaruhi sejumlah besar host, jaringan, dan bahkan konektivitas global dan ketersediaan Internet. Jenis masalah yang paling umum adalah Kebocoran Rute - "kebocoran" rute yang terjadi akibat iklannya ke arah yang salah. Sejauh ini, kerentanan BGP jarang digunakan dengan sengaja: biaya untuk mengatur serangan semacam itu cukup tinggi, dan insiden terutama muncul karena kesalahan dangkal dalam pengaturan jaringan.

Namun, dalam beberapa tahun terakhir, skala kelompok kriminal terorganisir di Internet telah tumbuh secara signifikan, jadi, menurut perkiraan Qrator Labs, serangan yang terkait dengan masalah BGP akan menjadi populer di masa mendatang. Contoh mencolok adalah pembajakan alamat IP oleh Tim Peretasan kelompok cyber terkenal, yang dilakukan oleh perintah negara: polisi Italia harus mengendalikan beberapa komputer, sehubungan dengan pemiliknya, tindakan investigasi diambil.

InsidenTCP

Tumpukan jaringan TCP / IP memiliki sejumlah masalah yang akan menjadi sangat akut tahun ini. Untuk mempertahankan pertumbuhan kecepatan yang aktif, infrastruktur Internet perlu terus diperbarui. Kecepatan koneksi Internet fisik meningkat setiap beberapa tahun. Di awal tahun 2000-an. 1 Gbps menjadi standar, saat ini antarmuka fisik paling populer adalah 10 Gbps. Namun, pengenalan besar-besaran standar baru untuk antarmuka fisik, 100 Gbit / s, telah dimulai, yang menyebabkan masalah dengan protokol TCP / IP yang sudah ketinggalan zaman, yang tidak dirancang untuk kecepatan tinggi seperti itu.

Misalnya, menjadi mungkin dalam hitungan menit untuk mengambil nomor Urutan TCP - pengidentifikasi numerik unik yang memungkinkan (atau lebih tepatnya, diizinkan) mitra pada koneksi TCP / IP untuk saling mengotentikasi pada saat pembuatan koneksi dan pertukaran data , menjaga ketertiban dan integritas mereka. Pada kecepatan 100 Gbit / s, baris dalam file log server TCP tentang koneksi terbuka dan / atau data yang dikirim melaluinya tidak lagi menjamin bahwa alamat IP tetap benar-benar membuat koneksi dan mengirimkan data ini. Dengan demikian, peluang terbuka untuk mengatur serangan kelas baru, dan efisiensi firewall dapat berkurang secara signifikan.

Kerentanan TCP/IP telah menarik perhatian banyak peneliti. Mereka percaya bahwa pada tahun 2016 kita akan mendengar tentang serangan "berprofil tinggi" terkait dengan eksploitasi "lubang" ini.

Waktu dekat

Saat ini, perkembangan teknologi dan ancaman tidak berjalan di sepanjang spiral "klasik", karena sistemnya tidak tertutup - dipengaruhi oleh banyak faktor eksternal. Hasilnya adalah spiral dengan amplitudo yang meluas - ia naik ke atas, kompleksitas serangan meningkat, dan jangkauan teknologi berkembang secara signifikan. Mari kita perhatikan beberapa faktor yang memiliki dampak serius pada pengembangan sistem.

Yang utama, tentu saja, adalah migrasi ke protokol transport baru IPv6. Pada akhir tahun 2015, IPv4 tidak digunakan lagi, dan IPv6 akan muncul, yang membawa tantangan baru: sekarang setiap perangkat memiliki alamat IP, dan mereka semua dapat berkomunikasi secara langsung satu sama lain. Ya, ada rekomendasi baru tentang bagaimana perangkat akhir harus bekerja, tetapi bagaimana industri akan mengatasi semua ini, terutama operator telekomunikasi, segmen produk massal dan vendor Cina, adalah pertanyaan terbuka. IPv6 adalah pengubah permainan.

Tantangan lainnya adalah pertumbuhan jaringan seluler yang signifikan, kecepatan dan daya tahannya. Jika sebelumnya botnet seluler menimbulkan masalah, pertama-tama bagi operator telekomunikasi itu sendiri, sekarang, ketika komunikasi 4G menjadi lebih cepat daripada Internet kabel, jaringan seluler dengan sejumlah besar perangkat, termasuk yang dibuat di Cina, berubah menjadi platform yang sangat baik untuk melakukan serangan DDoS dan peretas. Dan masalah muncul tidak hanya untuk operator telekomunikasi, tetapi juga untuk pelaku pasar lainnya.

Munculnya dunia "Internet of Things" merupakan ancaman serius. Vektor serangan baru muncul sebagai sejumlah besar perangkat dan penggunaan teknologi nirkabel koneksi membuka prospek yang benar-benar tak ada habisnya bagi peretas. Semua perangkat yang terhubung ke Internet berpotensi menjadi bagian dari infrastruktur penyerang dan terlibat dalam serangan DDoS.

Sayangnya, produsen semua jenis peralatan rumah tangga yang terhubung ke Jaringan (ceret, TV, mobil, multicooker, timbangan, soket "pintar", dll.) tidak selalu memberikan tingkat perlindungan yang tepat. Seringkali, perangkat semacam itu menggunakan versi lama dari sistem operasi populer, dan vendor tidak peduli untuk memperbaruinya secara teratur - menggantinya dengan versi yang telah menghilangkan kerentanan. Dan jika perangkat tersebut populer dan digunakan secara luas, maka peretas tidak akan melewatkan kesempatan untuk mengeksploitasi kerentanannya.

Pertanda masalah IoT sudah muncul pada tahun 2015. Menurut data awal, serangan terbaru terhadap Blizzard Entertainment dilakukan menggunakan perangkat IoT. Telah direkam kode berbahaya berfungsi pada teko dan bola lampu modern. Chipset juga memudahkan peretas. Belum lama ini, sebuah chipset murah dirilis, dirancang untuk berbagai peralatan yang dapat "berkomunikasi" dengan Internet. Dengan demikian, penyerang tidak perlu meretas 100 ribu firmware khusus - mereka hanya perlu "memecahkan" satu chipset dan mendapatkan akses ke semua perangkat yang berbasis di atasnya.

Diperkirakan bahwa segera semua smartphone berbasis lama versi Android akan menjadi anggota setidaknya satu botnet. Mereka akan diikuti oleh semua colokan "pintar", lemari es, dan lainnya Peralatan... Dalam beberapa tahun, botnet dari teko, monitor bayi, dan multicooker sedang menunggu kami. "Internet of Things" tidak hanya akan memberi kita kenyamanan dan fitur tambahan, tetapi juga banyak masalah. Ketika ada banyak hal di IoT dan setiap pin dapat mengirim 10 byte, tantangan keamanan baru akan muncul yang harus diatasi. Dan kita harus bersiap untuk ini hari ini.

pengantar

Saya akan segera membuat reservasi bahwa ketika saya menulis ulasan ini, saya terutama berfokus pada audiens yang memahami secara spesifik pekerjaan operator telekomunikasi dan jaringan transmisi data mereka. Artikel ini menguraikan prinsip-prinsip dasar perlindungan terhadap serangan DDoS, sejarah perkembangannya dalam dekade terakhir, dan situasi saat ini.

Apa itu DDoS?

Mungkin, hari ini, jika tidak setiap "pengguna", maka setidaknya setiap "spesialis TI" tahu apa itu serangan DDoS hari ini. Tetapi beberapa kata masih perlu diucapkan.

Serangan DDoS (Distributed Denial of Service) adalah serangan terhadap sistem komputasi (sumber daya jaringan atau saluran komunikasi) yang bertujuan membuatnya tidak dapat diakses oleh pengguna yang sah. Serangan DDoS terdiri dari pengiriman simultan sejumlah besar permintaan ke sumber daya tertentu dari satu atau banyak komputer yang terletak di Internet. Jika ribuan, puluhan ribu, atau jutaan komputer secara bersamaan mulai mengirim permintaan ke server tertentu (atau layanan jaringan), maka server tersebut akan gagal, atau bandwidth saluran komunikasi ke server ini tidak akan cukup. Dalam kedua kasus, pengguna Internet tidak akan dapat memperoleh akses ke server yang diserang, atau bahkan ke semua server dan sumber daya lain yang terhubung melalui saluran komunikasi yang diblokir.

Beberapa fitur serangan DDoS

Terhadap siapa dan untuk tujuan apa serangan DDoS diluncurkan?

Serangan DDoS dapat diluncurkan terhadap sumber daya apa pun di Internet. Kerusakan terbesar dari serangan DDoS diterima oleh organisasi yang bisnisnya terkait langsung dengan kehadiran mereka di Internet - bank (menyediakan layanan perbankan Internet), toko online, platform perdagangan, lelang, serta aktivitas lainnya, aktivitas dan efisiensi yang secara signifikan bergantung pada kehadiran di Internet (agen perjalanan, maskapai penerbangan, produsen perangkat keras dan perangkat lunak, dll.) Serangan DDoS diluncurkan secara teratur terhadap sumber daya raksasa seperti itu. industri TI global, seperti IBM, Cisco Systems, Microsoft dan lain-lain. Ada serangan DDoS besar-besaran terhadap eBay.com, Amazon.com, banyak bank dan organisasi terkenal.

Sangat sering, serangan DDoS diluncurkan terhadap situs web organisasi politik, institusi, atau tokoh terkenal individu. Banyak yang menyadari serangan DDoS besar dan berkepanjangan yang diluncurkan terhadap situs web Presiden Georgia selama perang Georgia-Ossetia 2008 (situs web tidak tersedia selama beberapa bulan mulai Agustus 2008), terhadap server pemerintah Estonia ( pada musim semi 2007, selama kerusuhan yang terkait dengan pemindahan Prajurit Perunggu), tentang serangan berkala dari segmen Internet Korea Utara terhadap situs-situs Amerika.

Tujuan utama serangan DDoS adalah untuk mendapatkan keuntungan (langsung atau tidak langsung) melalui pemerasan dan pemerasan, atau mengejar kepentingan politik, memperburuk situasi, dan balas dendam.

Apa mekanisme untuk memicu serangan DDoS?

Cara paling populer dan berbahaya untuk meluncurkan serangan DDoS adalah melalui penggunaan botnet (BotNet). Botnet adalah seperangkat komputer tempat bookmark perangkat lunak khusus (bot) dipasang; dalam bahasa Inggris, botnet adalah jaringan bot. Bot biasanya dikembangkan oleh peretas secara individual untuk setiap botnet, dan memiliki tujuan utama mengirim permintaan ke sumber daya tertentu di Internet dengan perintah yang diterima dari server kontrol botnet - Server Perintah dan Kontrol Botnet. Server kontrol botnet dikelola oleh peretas, atau orang yang membeli botnet dari peretas dan kemampuan untuk meluncurkan serangan DDoS. Bot didistribusikan di Internet dengan berbagai cara, sebagai suatu peraturan - dengan menyerang komputer dengan layanan yang rentan dan memasang bookmark perangkat lunak pada mereka, atau dengan menipu pengguna dan memaksa mereka untuk menginstal bot dengan kedok menyediakan layanan atau perangkat lunak lain yang berfungsi sama sekali tidak berbahaya atau bahkan fungsi yang berguna... Ada banyak cara untuk mendistribusikan bot, cara-cara baru ditemukan secara teratur.

Jika botnet cukup besar - puluhan atau ratusan ribu komputer - maka pengiriman simultan dari semua komputer ini bahkan permintaan yang cukup sah ke layanan jaringan tertentu (misalnya, layanan web di situs tertentu) akan menyebabkan kelelahan. sumber daya baik dari layanan atau server itu sendiri, atau kemampuan saluran komunikasi kelelahan. Bagaimanapun, layanan tidak akan tersedia bagi pengguna, dan pemilik layanan akan mengalami kerugian langsung, tidak langsung, dan reputasi. Dan jika masing-masing komputer tidak mengirim satu permintaan, tetapi puluhan, ratusan, atau ribuan permintaan per detik, maka kekuatan serangan meningkat berkali-kali lipat, yang memungkinkan untuk menonaktifkan bahkan sumber daya atau saluran komunikasi yang paling produktif.

Beberapa serangan diluncurkan dengan cara yang lebih "tidak berbahaya". Misalnya, flash mob pengguna forum tertentu, yang, dengan kesepakatan, meluncurkan "ping" atau permintaan lain dari komputer mereka ke server tertentu pada waktu tertentu. Contoh lain adalah menempatkan tautan ke situs web pada sumber daya Internet populer, yang menyebabkan masuknya pengguna ke server target. Jika tautan "palsu" (yang terlihat seperti tautan ke satu sumber, tetapi sebenarnya merujuk ke server yang sama sekali berbeda) tertaut ke situs web organisasi kecil, tetapi dihosting di server atau forum populer, serangan semacam itu dapat menyebabkan masuknya pengunjung yang tidak diinginkan untuk situs ini ... Serangan dari dua jenis terakhir jarang menyebabkan penghentian ketersediaan server di situs hosting yang terorganisir dengan baik, tetapi ada contoh seperti itu, dan bahkan di Rusia pada tahun 2009.

Akankah sarana teknis tradisional perlindungan terhadap serangan DDoS membantu?

Fitur serangan DDoS adalah bahwa mereka terdiri dari banyak permintaan simultan, yang masing-masing secara individual cukup "legal", apalagi, permintaan ini dikirim oleh komputer (terinfeksi bot), yang mungkin milik pengguna nyata atau potensial yang paling biasa. dari layanan yang diserang atau sumber daya. Oleh karena itu, sangat sulit untuk mengidentifikasi dan memfilter dengan tepat permintaan yang merupakan serangan DDoS menggunakan cara standar. Sistem standar kelas IDS / IPS (Intrusion Detection / Prevention System - sistem untuk mendeteksi / mencegah serangan jaringan) tidak akan menemukan dalam permintaan ini "corpus delicti", tidak akan mengerti bahwa mereka adalah bagian dari serangan, kecuali jika mereka melakukan analisis kualitatif lalu lintas anomali. Dan bahkan jika mereka menemukannya, menyaring permintaan yang tidak perlu juga tidak begitu mudah - firewall dan router standar menyaring lalu lintas berdasarkan daftar akses yang jelas (aturan kontrol), dan tidak tahu bagaimana "secara dinamis" menyesuaikan dengan profil serangan tertentu . Firewall dapat menyesuaikan arus lalu lintas berdasarkan kriteria seperti alamat pengirim yang digunakan layanan jaringan, port dan protokol. Tetapi pengguna Internet biasa mengambil bagian dalam serangan DDoS, yang mengirim permintaan menggunakan protokol paling umum - akankah operator telekomunikasi melarang semua orang dan segalanya? Kemudian dia hanya akan berhenti memberikan layanan komunikasi kepada pelanggannya, dan akan berhenti menyediakan akses ke sumber daya jaringan yang dia layani, yang sebenarnya adalah apa yang ingin dicapai oleh penggagas serangan.

Banyak ahli mungkin mengetahui tentang keberadaan solusi khusus untuk melindungi dari serangan DDoS, yang terdiri dari mendeteksi anomali lalu lintas, membangun profil lalu lintas dan profil serangan, dan proses selanjutnya dari penyaringan lalu lintas multitahap dinamis. Dan saya juga akan membicarakan solusi ini di artikel ini, tetapi nanti. Dan pertama, kita akan berbicara tentang beberapa tindakan yang kurang dikenal, tetapi kadang-kadang cukup efektif yang dapat diambil untuk menekan serangan DDoS dengan cara yang ada dari jaringan transmisi data dan administratornya.

Perlindungan DDoS dengan sarana yang tersedia

Ada beberapa mekanisme dan "trik" yang memungkinkan, dalam beberapa kasus khusus, untuk menekan serangan DDoS. Beberapa hanya dapat digunakan jika jaringan transmisi data dibangun di atas peralatan pabrikan tertentu, yang lain kurang lebih universal.

Mari kita mulai dengan rekomendasi dari Cisco Systems. Perusahaan merekomendasikan Network Foundation Protection, yang mencakup Control Plane, Management Plane, dan Data Plane.

Perlindungan Pesawat Manajemen

Istilah "bidang administrasi" mencakup semua lalu lintas yang mengontrol atau memantau router dan peralatan jaringan lainnya. Lalu lintas ini diarahkan ke router, atau berasal dari router. Contoh lalu lintas tersebut adalah sesi Telnet, SSH dan http, pesan syslog, perangkap SNMP. Praktik terbaik yang umum meliputi:

Memastikan keamanan maksimum protokol kontrol dan pemantauan, menggunakan enkripsi dan otentikasi:

• SNMP v3 menyediakan langkah-langkah keamanan, sementara SNMP v1 praktis tidak menyediakan, dan SNMP v2 hanya menyediakan sebagian - nilai Komunitas default selalu perlu diubah;
• nilai yang berbeda untuk masyarakat publik dan swasta harus digunakan;
• protokol telnet mentransmisikan semua data, termasuk login dan kata sandi, dalam teks yang jelas (jika lalu lintas disadap, informasi ini dapat dengan mudah diambil dan digunakan), disarankan untuk selalu menggunakan protokol ssh v2;
• Demikian juga, gunakan https alih-alih http untuk akses perangkat keras Kontrol kuat pada akses perangkat keras, termasuk kebijakan kata sandi yang memadai, otentikasi terpusat, otorisasi dan akuntansi (model AAA), dan otentikasi lokal untuk redundansi.

Implementasi model akses berbasis peran;

Kontrol koneksi yang diizinkan ke alamat sumber menggunakan daftar kontrol akses;

Menonaktifkan layanan yang tidak digunakan, banyak di antaranya diaktifkan secara default (atau lupa menonaktifkannya setelah mendiagnosis atau mengonfigurasi sistem);

Pemantauan pemanfaatan sumber daya peralatan.

Ada baiknya memikirkan dua poin terakhir secara lebih rinci.
Beberapa layanan yang diaktifkan secara default atau yang lupa dimatikan setelah mengonfigurasi atau mendiagnosis perangkat keras dapat digunakan oleh penjahat dunia maya untuk melewati aturan keamanan yang ada. Daftar layanan ini di bawah ini:

• PAD (perakitan paket / disassembler);

Secara alami, sebelum mematikan layanan ini, Anda perlu menganalisis dengan cermat tidak adanya kebutuhan mereka di jaringan Anda.

Hal ini diinginkan untuk memantau penggunaan sumber daya peralatan. Ini akan memungkinkan, pertama, untuk melihat kemacetan pada waktunya. elemen individu jaringan dan mengambil tindakan untuk mencegah kecelakaan, dan kedua, mendeteksi serangan dan anomali DDoS, jika deteksinya tidak disediakan dengan cara khusus. Setidaknya, disarankan untuk memantau:

• beban CPU
• penggunaan memori
• beban kerja antarmuka router.

Pemantauan dapat dilakukan "secara manual" (memantau keadaan peralatan secara berkala), tetapi lebih baik, tentu saja, untuk melakukan ini dengan sistem pemantauan atau pemantauan jaringan khusus. informasi keamanan(yang terakhir termasuk Cisco MARS).

Kontrol Perlindungan Pesawat

Lapisan manajemen jaringan mencakup semua lalu lintas layanan yang memastikan fungsi dan konektivitas jaringan sesuai dengan topologi dan parameter yang ditentukan. Contoh lalu lintas pesawat kontrol adalah: semua lalu lintas yang dihasilkan atau ditujukan untuk prosesor rute (RR), termasuk semua protokol perutean, dalam beberapa kasus - protokol SSH dan SNMP serta ICMP. Setiap serangan pada fungsi prosesor perutean, dan terutama serangan DDoS, dapat menyebabkan masalah dan gangguan yang signifikan dalam fungsi jaringan. Praktik terbaik untuk mengamankan bidang kontrol dijelaskan di bawah ini.

Kontrol Pemolisian Pesawat

Ini adalah menggunakan mekanisme QoS (Quality of Service) untuk menyediakan lebih banyak prioritas utama mengontrol lalu lintas pesawat daripada lalu lintas pengguna (yang merupakan bagian dari serangan). Ini akan memastikan pengoperasian protokol layanan dan prosesor perutean, yaitu, mempertahankan topologi dan konektivitas jaringan, serta perutean dan peralihan paket yang sebenarnya.

IP Terima ACL

Fungsionalitas ini memungkinkan penyaringan dan kontrol lalu lintas layanan yang ditujukan untuk router dan prosesor perutean.

• diterapkan langsung pada peralatan perutean sebelum lalu lintas mencapai prosesor perutean, memberikan perlindungan peralatan "pribadi";
• diterapkan setelah lalu lintas melewati ACL biasa - mereka adalah lapisan perlindungan terakhir dalam perjalanan ke prosesor perutean;
• berlaku untuk semua lalu lintas (baik internal maupun eksternal, dan transit dalam kaitannya dengan jaringan operator).

Infrastruktur ACL

Biasanya, akses ke alamat sendiri dari peralatan perutean diperlukan hanya untuk host dari jaringan operator itu sendiri, tetapi ada pengecualian (misalnya, eBGP, GRE, IPv6 melalui terowongan IPv4, dan ICMP). Daftar Kontrol Akses Infrastruktur:

• biasanya dipasang di perbatasan jaringan operator ("di pintu masuk ke jaringan");
• dimaksudkan untuk mencegah host eksternal mengakses alamat infrastruktur operator;
• menyediakan transit lalu lintas tanpa hambatan melintasi batas jaringan operator;
• memberikan mekanisme perlindungan dasar terhadap aktivitas jaringan yang tidak sah yang dijelaskan dalam RFC 1918, RFC 3330, khususnya, perlindungan terhadap spoofing (spoofing, penggunaan alamat IP sumber palsu untuk menutupi saat meluncurkan serangan).

Otentikasi Tetangga

Tujuan utama dari otentikasi router tetangga adalah untuk mencegah serangan dengan mengirimkan pesan protokol routing palsu untuk mengubah routing pada jaringan. Serangan tersebut dapat menyebabkan penetrasi yang tidak sah ke dalam jaringan, penggunaan yang tidak sah. sumber daya jaringan, serta fakta bahwa penyerang memotong lalu lintas untuk menganalisis dan memperoleh informasi yang diperlukan.

Mengonfigurasi BGP

• Filter awalan BGP - digunakan untuk mencegah informasi tentang rute jaringan internal operator menyebar ke Internet (terkadang informasi ini bisa sangat berguna bagi penyerang);
• membatasi jumlah awalan yang dapat diterima dari router lain (pembatasan awalan) - digunakan untuk melindungi dari serangan DDoS, anomali, dan kegagalan dalam jaringan mitra peering;
• menggunakan parameter Komunitas BGP dan memfilternya juga dapat digunakan untuk membatasi penyebaran informasi perutean;
• Pemantauan BGP dan perbandingan data BGP dengan lalu lintas yang diamati adalah salah satu mekanisme untuk deteksi dini serangan dan anomali DDoS;
• penyaringan dengan parameter TTL (Time-to-Live) - digunakan untuk memeriksa rekan BGP.

Jika serangan BGP diluncurkan bukan dari jaringan peer-to-peer, tetapi dari jaringan yang lebih jauh, maka parameter TTL paket BGP akan kurang dari 255. Anda dapat mengkonfigurasi router perbatasan operator sehingga mereka menjatuhkan semua paket BGP dengan nilai TTL< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Perlindungan Data Plane

Terlepas dari pentingnya melindungi tingkat administrasi dan kontrol, sebagian besar lalu lintas di jaringan operator adalah data dalam perjalanan atau ditujukan untuk pelanggan operator tersebut.

Penerusan Jalur Terbalik Unicast (uRPF)

Seringkali, serangan diluncurkan menggunakan teknologi spoofing - alamat IP sumber dipalsukan sehingga sumber serangan tidak dapat dilacak. Alamat IP palsu dapat berupa:

• dari ruang alamat yang sebenarnya digunakan, tetapi di segmen jaringan yang berbeda (di segmen tempat serangan diluncurkan, alamat palsu ini tidak dirutekan);
• dari ruang alamat yang tidak digunakan dalam jaringan transmisi data ini;
• dari ruang alamat yang tidak dapat dirutekan di Internet.

Menerapkan mekanisme uRPF pada router akan mencegah perutean paket dengan alamat sumber yang tidak kompatibel atau tidak digunakan pada segmen jaringan dari mana mereka datang ke antarmuka router. Teknologi ini terkadang memungkinkan untuk secara efektif menyaring lalu lintas yang tidak diinginkan sedekat mungkin dengan sumbernya, yaitu yang paling efektif. Banyak serangan DDoS (termasuk Smurf dan Tribal Flood Network yang terkenal) menggunakan spoofing dan perubahan alamat sumber konstan untuk menipu sarana standar perlindungan lalu lintas dan penyaringan.

Penggunaan mekanisme uRPF oleh operator telekomunikasi yang menyediakan akses Internet kepada pelanggan akan secara efektif mencegah serangan DDoS menggunakan teknologi spoofing yang diarahkan oleh pelanggan mereka sendiri terhadap sumber daya Internet. Dengan demikian, serangan DDoS ditekan paling dekat dengan sumbernya, yaitu paling efektif.

Lubang Hitam yang Dipicu dari Jarak Jauh (RTBH)

Lubang hitam terkelola (Remotely Triggered Blackholes) digunakan untuk "membuang" (menghancurkan, mengirim "ke mana-mana") lalu lintas yang memasuki jaringan dengan merutekan lalu lintas ini ke antarmuka Null 0 khusus. menyerang lalu lintas ketika memasuki jaringan. Keterbatasan (dan signifikan) dari metode ini adalah bahwa metode ini berlaku untuk semua lalu lintas yang ditujukan untuk host tertentu atau host yang menjadi target serangan. Dengan demikian, metode ini dapat digunakan dalam kasus ketika satu atau beberapa host menjadi sasaran serangan besar-besaran, yang menyebabkan masalah tidak hanya untuk host yang diserang, tetapi juga untuk pelanggan lain dan jaringan operator secara keseluruhan.

Lubang hitam dapat dikelola secara manual atau melalui BGP.

Propagasi Kebijakan QoS Melalui BGP (QPPB)

Kontrol QoS atas BGP (QPPB) memungkinkan Anda mengontrol kebijakan prioritas untuk lalu lintas yang ditujukan untuk tujuan tertentu sistem otonom atau blok alamat IP. Mekanisme ini dapat sangat berguna bagi operator telekomunikasi dan perusahaan besar, termasuk untuk mengelola tingkat prioritas untuk lalu lintas yang tidak diinginkan atau lalu lintas yang mengandung serangan DDoS.

lubang wastafel

Dalam beberapa kasus, diperlukan untuk tidak sepenuhnya menghapus lalu lintas menggunakan lubang hitam, tetapi mengalihkannya dari saluran utama atau sumber daya untuk pemantauan dan analisis selanjutnya. Inilah gunanya "saluran cabang" atau Lubang Wastafel.

Lubang Wastafel paling sering digunakan dalam situasi berikut:

• untuk mengalihkan dan menganalisis lalu lintas dengan alamat tujuan yang termasuk dalam ruang alamat jaringan operator, tetapi tidak benar-benar digunakan (tidak dialokasikan untuk peralatan atau pengguna); lalu lintas semacam itu mencurigakan, karena sering kali menunjukkan upaya untuk memindai atau menembus jaringan Anda oleh penyerang yang tidak memiliki informasi terperinci tentang strukturnya;
• untuk mengarahkan lalu lintas dari target serangan, yang merupakan sumber daya nyata di jaringan operator, untuk memantau dan menganalisisnya.

Perlindungan DDoS menggunakan alat khusus

Konsep Cisco Clean Pipes - Pelopor Industri

Konsep modern perlindungan terhadap serangan DDoS dikembangkan (ya, Anda tidak akan terkejut! :)) oleh Cisco Systems. Konsep yang dikembangkan oleh Cisco disebut Cisco Clean Pipes. Dalam konsep yang dikembangkan secara rinci hampir 10 tahun yang lalu, prinsip-prinsip dasar dan teknologi perlindungan terhadap anomali lalu lintas dijelaskan secara rinci, yang sebagian besar masih digunakan sampai sekarang, termasuk oleh produsen lain.

Konsep Cisco Clean Pipes mengasumsikan prinsip-prinsip berikut untuk mendeteksi dan mengurangi serangan DDoS.

Titik (bagian dari jaringan) dipilih, lalu lintas yang dianalisis untuk mengidentifikasi anomali. Tergantung pada apa yang kami lindungi, titik tersebut dapat berupa koneksi peer-to-peer dari operator telekomunikasi dengan operator hulu, titik koneksi operator atau pelanggan hilir, saluran untuk menghubungkan pusat data ke jaringan.

Detektor khusus menganalisis lalu lintas di titik-titik ini, membangun (mempelajari) profil lalu lintas dalam keadaan normal, ketika serangan atau anomali DDoS terjadi, mereka mendeteksinya, mempelajarinya, dan secara dinamis membentuk karakteristiknya. Selanjutnya, informasi tersebut dianalisis oleh operator sistem, dan secara semi-otomatis atau mode otomatis proses penekanan serangan dimulai. Penindasan berarti bahwa lalu lintas yang ditujukan untuk "korban" dialihkan secara dinamis melalui perangkat pemfilteran, yang menerapkan filter yang dihasilkan oleh detektor ke lalu lintas ini, yang mencerminkan sifat individu dari serangan tersebut. Lalu lintas yang dibersihkan disuntikkan ke jaringan dan dikirim ke penerima (itulah sebabnya nama Pipa Bersih muncul - pelanggan menerima "saluran bersih" yang tidak mengandung serangan).

Dengan demikian, seluruh siklus perlindungan DDoS mencakup tahapan utama berikut:

• Pelatihan karakteristik pengendalian lalu lintas (profiling, Baseline Learning)
• Deteksi serangan dan anomali (Deteksi)
• Mengarahkan lalu lintas untuk melewatinya melalui Pengalihan
• Memfilter lalu lintas untuk menekan serangan (Mitigasi)
• Menyuntikkan lalu lintas kembali ke jaringan dan mengirimkannya ke penerima (Injection).

Beberapa fitur.
Dua jenis perangkat dapat digunakan sebagai detektor:

• Detektor yang diproduksi oleh Cisco Systems adalah Modul Layanan Detektor Anomali Lalu Lintas Cisco yang dirancang untuk dipasang di sasis Cisco 6500/7600.
• Detektor Arbor Networks adalah perangkat Arbor Peakflow SP CP.

Di bawah ini adalah tabel yang membandingkan detektor Cisco dan Arbor.

Parameter	Detektor Anomali Lalu Lintas Cisco	Arbor Peakflow SP CP
Mendapatkan informasi lalu lintas untuk analisis	Menggunakan salinan lalu lintas yang dialokasikan ke sasis Cisco 6500/7600	Data lalu lintas Netflow yang diterima dari router digunakan, pengambilan sampel dapat disesuaikan (1: 1, 1: 1.000, 1: 10.000, dll.)
Prinsip deteksi yang digunakan	Analisis tanda tangan (deteksi penyalahgunaan) dan deteksi anomali (dinamismembuat profil)	Deteksi anomali yang dominan; analisis tanda tangan digunakan, tetapi tanda tangan bersifat umum
Faktor Bentuk	modul layanan di sasis Cisco 6500/7600	perangkat terpisah (server)
Pertunjukan	Lalu lintas hingga 2 Gbps dianalisis	Hampir tidak terbatas (Anda dapat mengurangi laju pengambilan sampel)
Skalabilitas	Pemasangan hingga 4 modulCiscoDetektorSMdalam satu sasis (namun, modul beroperasi secara independen satu sama lain)	Kemampuan untuk menggunakan beberapa perangkat dalam sistem terpadu analisis, salah satunya diberi status Pemimpin
Memantau lalu lintas dan perutean di jaringan	Hampir tidak ada fungsi	Fungsinya sangat canggih. Banyak operator telekomunikasi membeli Arbor Peakflow SP karena fungsionalitas yang dalam dan canggih untuk memantau lalu lintas dan perutean dalam jaringan.
Menyediakan portal (antarmuka individu untuk pelanggan yang memungkinkan pemantauan hanya bagian dari jaringan yang terkait langsung dengannya)	Tidak tersedia	Asalkan. Ini adalah keuntungan serius dari solusi ini, karena operator telekomunikasi dapat menjual layanan individual untuk perlindungan DDoS kepada pelanggannya.
Pembersih lalu lintas yang kompatibel (mitigasi serangan)	Cisco Modul Layanan Penjaga	Arbor Peakflow SP TMS; Modul Layanan Penjaga Cisco.
	Melindungi Pusat Data saat Menghubungkan ke Internet Pemantauan koneksi hilir jaringan pelanggan ke jaringan operator	Deteksi serangan padake hulu-koneksi jaringan operator ke jaringan penyedia tingkat yang lebih tinggi Pemantauan tulang punggung operator

Baris terakhir tabel mencantumkan skenario detektor Cisco dan Arbor yang direkomendasikan oleh Cisco Systems. Skenario ini tercermin dalam diagram di bawah ini.

Sebagai scrubber lalu lintas, Cisco merekomendasikan penggunaan modul layanan Cisco Guard, yang dipasang di sasis Cisco 6500/7600 dan secara dinamis mengarahkan, menggosok, dan menyuntikkan kembali lalu lintas ke jaringan atas perintah yang diterima dari Cisco Detector atau Arbor Peakflow SP CP . Mekanisme pengalihan adalah pembaruan BGP ke router upstream, atau perintah kontrol langsung ke supervisor menggunakan protokol berpemilik. Saat menggunakan pembaruan BGP, router upstream diberi nilai nex-hop baru untuk lalu lintas yang berisi serangan - sehingga lalu lintas ini masuk ke server pemulung. Pada saat yang sama, perlu untuk berhati-hati agar informasi ini tidak memerlukan pengorganisasian loop (sehingga router hilir, ketika menyuntikkan lalu lintas yang dibersihkan ke dalamnya, tidak mencoba mengubah lalu lintas ini kembali ke perangkat pembersih). Untuk ini, mekanisme dapat digunakan untuk mengontrol distribusi pembaruan BGP dengan parameter komunitas, atau penggunaan terowongan GRE saat memasuki lalu lintas yang dibersihkan.

Keadaan ini berlanjut hingga Arbor Networks secara dramatis memperluas lini produk Peakflow SP ke pasar dengan solusi perlindungan DDoS yang sepenuhnya mandiri.

Arbor Peakflow SP TMS diluncurkan

Beberapa tahun yang lalu, Arbor Networks memutuskan untuk mengembangkan lini produk perlindungan DDoS secara mandiri dan terlepas dari kecepatan dan kebijakan pengembangan arah ini di Cisco. Solusi Peakflow SP CP memiliki keunggulan mendasar dibandingkan Cisco Detector, karena mereka menganalisis informasi aliran dengan kemampuan untuk menyesuaikan laju pengambilan sampel, dan oleh karena itu tidak memiliki batasan penggunaan dalam jaringan operator telekomunikasi dan pada tulang punggung (tidak seperti Cisco Detector, yang menganalisis salinan lalu lintas). Selain itu, keuntungan serius dari Peakflow SP adalah peluang bagi operator untuk menjual layanan individual kepada pelanggan untuk memantau dan melindungi segmen jaringan mereka.

Menanggapi hal ini dan pertimbangan lainnya, Arbor telah secara signifikan memperluas lini produk Peakflow SP. Sejumlah perangkat baru telah muncul:

Peakflow SP TMS (Sistem Manajemen Ancaman)- Mendukung serangan DDoS dengan penyaringan multi-tahap berdasarkan data yang diterima dari Peakflow SP CP dan dari laboratorium ASERT, yang dimiliki oleh Arbor Networks, yang memantau dan menganalisis serangan DDoS di Internet;

Peakflow SP BI (Kecerdasan Bisnis)- perangkat yang memastikan penskalaan sistem, meningkatkan jumlah objek logis yang akan dipantau dan menyediakan cadangan data yang dikumpulkan dan dianalisis;

Peakflow SP PI (Antarmuka Portal)- perangkat yang menyediakan peningkatan pelanggan, yang dilengkapi dengan antarmuka individu untuk mengelola keamanan mereka sendiri;

Peakflow SP FS (Sensor Aliran)- perangkat yang memantau router pelanggan, koneksi ke jaringan hilir dan pusat data.

Prinsip pengoperasian sistem Arbor Peakflow SP pada dasarnya tetap sama dengan Cisco Clean Pipes, namun, Arbor secara teratur mengembangkan dan meningkatkan sistemnya, sehingga saat ini fungsionalitas produk Arbor dalam banyak hal lebih baik daripada Cisco, termasuk produktivitas perangkat lunak.

Hari ini, produktivitas maksimum Mode Cisco Guard dapat dicapai dengan membuat sekelompok 4 modul Guard dalam satu sasis Cisco 6500/7600, sementara pengelompokan penuh perangkat ini tidak diterapkan. Pada saat yang sama, model atas Arbor Peakflow SP TMS memiliki kinerja hingga 10 Gbps, dan pada gilirannya dapat dikelompokkan.

Setelah Arbor mulai memposisikan dirinya sebagai pemain independen di pasar untuk mendeteksi dan menekan serangan DDoS, Cisco mulai mencari mitra yang akan menyediakan pemantauan data arus lalu lintas jaringan yang sangat dibutuhkan, tetapi tidak akan menjadi pesaing langsung. . Perusahaan tersebut adalah Narus, yang memproduksi sistem pemantauan lalu lintas berdasarkan data aliran (NarusInsight), dan menjalin kemitraan dengan Cisco Systems. Namun, kemitraan ini tidak menerima perkembangan dan kehadiran yang serius di pasar. Selain itu, menurut beberapa laporan, Cisco tidak berencana untuk berinvestasi dalam solusi Cisco Detector dan Cisco Guard, pada kenyataannya, meninggalkan ceruk ini pada belas kasihan Arbor Networks.

Beberapa fitur solusi Cisco dan Arbor

Perlu dicatat beberapa fitur dari solusi Cisco dan Arbor.

1. Cisco Guard dapat digunakan baik dalam hubungannya dengan detektor dan secara mandiri. Dalam kasus terakhir, ini diatur ke mode in-line dan melakukan fungsi detektor dengan menganalisis lalu lintas, dan, jika perlu, menyalakan filter dan membersihkan lalu lintas. Kerugian dari mode ini adalah, pertama, titik tambahan potensi kegagalan ditambahkan, dan kedua, penundaan lalu lintas tambahan (walaupun kecil sampai mekanisme penyaringan dihidupkan). Mode yang direkomendasikan untuk Cisco Guard adalah menunggu perintah untuk mengarahkan lalu lintas yang berisi serangan, memfilternya, dan memasukkannya kembali ke jaringan.
2. Perangkat Arbor Peakflow SP TMS juga dapat beroperasi dalam mode off-ramp dan in-line. Dalam kasus pertama, perangkat secara pasif menunggu perintah untuk mengarahkan lalu lintas yang berisi serangan untuk membersihkannya dan memasukkannya kembali ke jaringan. Yang kedua, ia melewati semua lalu lintas melalui dirinya sendiri, menghasilkan data dalam format Arborflow pada dasarnya dan mengirimkannya ke Peakflow SP CP untuk analisis dan deteksi serangan. Arborflow adalah format yang mirip dengan Netflow tetapi dimodifikasi oleh Arbor untuk sistem Peakflow SP mereka. Peakflow SP CP memantau lalu lintas dan mendeteksi serangan berdasarkan data Arborflow yang diterima dari TMS. Ketika serangan terdeteksi, operator Peakflow SP CP memberikan perintah untuk menekannya, setelah itu TMS menyalakan filter dan membersihkan lalu lintas dari serangan tersebut. Tidak seperti Cisco, server Peakflow SP TMS tidak dapat beroperasi sendiri; memerlukan server Peakflow SP CP untuk melakukan analisis lalu lintas.
3. Saat ini, sebagian besar ahli setuju bahwa tugas melindungi bagian jaringan lokal (misalnya, menghubungkan pusat data atau menghubungkan jaringan hilir) efektif.