Um ataque durante o qual os usuários não podem acessar certos recursos é chamado de ataque DDoS ou problema de negação de serviço. A principal característica de tais ataques de hackers são as solicitações simultâneas de um grande número de computadores ao redor do mundo, e eles são direcionados principalmente para os servidores de empresas bem protegidas ou organizações governamentais, com menos frequência para recursos não comerciais individuais.

Um computador que foi infectado torna-se uma espécie de “zumbi”, e os hackers, usando várias centenas, ou mesmo dezenas de milhares desses “zumbis”, causam uma falha na operação dos recursos (negação de serviço).

Pode haver muitos motivos para ataques DDoS. Vamos tentar identificar os mais populares e, ao mesmo tempo, responder às perguntas: "Ataque DDoS - o que é, como se defender, quais são as suas consequências e por que meios é executado?"

Concorrência

A Internet há muito se tornou uma fonte de ideias de negócios, a implementação de grandes projetos e outras maneiras de ganhar muito dinheiro, portanto, um ataque DDoS pode ser executado sob encomenda. Ou seja, se uma organização deseja removê-lo quando surge um concorrente, então ele simplesmente recorre a um hacker (ou um grupo deles) com uma tarefa simples - paralisar o trabalho de uma empresa indesejada por meio de recursos da Internet (ataque DDoS em um servidor ou site).

Dependendo das metas e objetivos específicos, tal ataque é estabelecido por um determinado período e com o uso da força adequada.

Fraude

Muitas vezes, um ataque DDoS em um site é organizado por iniciativa de hackers para bloquear o sistema e obter acesso a dados pessoais ou outros dados importantes. Depois que os invasores paralisam o sistema, eles podem exigir uma certa quantia de dinheiro para restaurar a operação dos recursos atacados.

Muitos empresários da Internet concordam com as condições apresentadas, justificando suas ações por tempo de inatividade e recebendo perdas colossais - é mais fácil pagar uma pequena quantia a um fraudador do que perder um lucro significativo para cada dia de inatividade.

Entretenimento

Muitos usuários, apenas por curiosidade ou diversão, estão interessados ​​em: "Ataque DDoS - o que é e como fazê-lo?" Portanto, não é incomum que invasores novatos organizem esses ataques a recursos aleatórios para se divertir e testar sua força.

Junto com os motivos, os ataques DDoS têm seus próprios recursos de classificação.

1. Largura de banda... Hoje, quase todos os computadores estão equipados com rede local, ou apenas conectado à Internet. Portanto, são frequentes os casos de inundação da rede - um grande número de solicitações com um sistema incorretamente formado e sem sentido para recursos ou equipamentos específicos com o objetivo de sua subsequente falha ou falha. discos rígidos, memória, etc.).
2. Esgotamento do sistema... Esse ataque DDoS no servidor Samp é executado para aproveitar a memória física, o tempo do processador e outros recursos do sistema, devido à ausência dos quais o objeto atacado simplesmente não pode operar totalmente.
3. Looping... A validação de dados sem fim e outros loops operando em um “círculo” forçam o objeto a desperdiçar muitos recursos, obstruindo assim a memória até que esteja completamente esgotada.
4. Ataques falsificados... Tal organização visa o falso acionamento de sistemas de proteção, o que acaba levando ao bloqueio de alguns recursos.
5. Protocolo HTTP... Hackers enviam pacotes HTTP de baixa capacidade com criptografia especial, o recurso, é claro, não vê que um ataque DDoS foi organizado nele, o programa do servidor, fazendo seu trabalho, envia de volta pacotes de capacidade muito maior, obstruindo assim o largura de banda da vítima, o que leva novamente à falha dos serviços.
6. Ataque Smurf... Esta é uma das espécies mais perigosas. O hacker transmite para a vítima um pacote ICMP falso, em que o endereço da vítima é falsificado com o endereço do invasor e todos os nós começam a enviar uma resposta à solicitação de ping. Este ataque DDoS é um programa que visa usar grande rede, ou seja, uma solicitação processada por 100 computadores será amplificada por um fator de 100.
7. Inundação UDP... Este tipo de ataque é um pouco semelhante ao anterior, mas em vez de pacotes ICMP, os atacantes usam pacotes UDP. A essência desse método é substituir o endereço IP da vítima pelo endereço do hacker e carregar completamente a largura de banda, o que também levará a uma falha do sistema.
8. Inundação SYN... Os invasores estão tentando lançar simultaneamente um grande número de conexões TCP através de um canal SYN com um inválido ou inexistente endereço de devolução... Depois de várias dessas tentativas, a maioria sistemas operacionais enfileire a conexão problemática e feche-a somente após um certo número de tentativas. O fluxo do canal SYN é bastante grande e, logo após muitas dessas tentativas, o kernel da vítima se recusa a abrir qualquer nova conexão, bloqueando toda a rede.
9. "Pacotes pesados"... Esse tipo responde à pergunta: "O que é um ataque DDoS em um servidor?" Os hackers enviam pacotes para o servidor do usuário, mas não ocorre saturação da largura de banda, a ação é direcionada apenas para o tempo do processador. Como resultado, tais pacotes levam a uma falha no sistema e, por sua vez, em seus recursos.
10. Arquivos de log... Se o sistema de cotas e rotação tiver falhas de segurança, os invasores poderão enviar pacotes grandes, ocupando todo o espaço livre nos discos rígidos do servidor.
11. Código do programa... Hackers com vasta experiência podem examinar completamente a estrutura do servidor da vítima e lançar algoritmos especiais (ataque DDoS - programa de exploração). Esses ataques visam principalmente projetos comerciais bem protegidos de empresas e organizações em várias esferas e áreas. Os invasores encontram falhas no código e executam instruções inválidas ou outros algoritmos excepcionais que causam a falha de um sistema ou serviço.

Ataque DDoS: o que é e como se proteger

Existem muitos métodos de proteção contra ataques DDoS. E todos eles podem ser divididos em quatro partes: passiva, ativa, reacionária e preventiva. Falaremos sobre isso com mais detalhes posteriormente.

Um aviso

Isso requer prevenção das próprias causas que podem provocar um ataque DDoS. Este tipo inclui algum tipo de hostilidade pessoal, desacordos legais, competição e outros fatores que provocam "maior" atenção para você, sua empresa, etc.

Se você reagir a esses fatores a tempo e tirar as conclusões adequadas, poderá evitar muitas situações desagradáveis. Esse método pode ser atribuído mais ao problema do que ao lado técnico da questão.

Contramedidas

Se os ataques aos seus recursos continuarem, você precisará encontrar a origem dos seus problemas - o cliente ou o contratante - usando tanto recursos jurídicos quanto técnicos. Algumas empresas prestam serviços de busca de intrusos de forma técnica. Com base nas qualificações de especialistas que lidam com esse problema, você pode encontrar não apenas um hacker realizando um ataque DDoS, mas também o próprio cliente.

Proteção de software

Alguns fabricantes de hardware e Programas junto com seus produtos, eles podem oferecer algumas soluções eficazes e o ataque DDoS no site será suprimido. Um pequeno servidor separado pode atuar como um defensor técnico, com o objetivo de conter ataques DDoS de pequeno e médio porte.

Esta solução é perfeita para pequenas e médias empresas. Para empresas maiores, empresas e agências governamentais, existem sistemas de hardware completos para combater ataques DDoS, que, junto com um preço alto, têm excelentes características de proteção.

Filtração

O bloqueio e a filtragem completa do tráfego de entrada não reduzem apenas a probabilidade de um ataque. Em alguns casos, um ataque DDoS em um servidor pode ser completamente descartado.

Existem duas maneiras principais de filtrar o tráfego - firewalls e roteamento de lista completa.

Filtrar usando listas (ACLs) permite filtrar protocolos secundários sem interromper o TCP ou diminuir a velocidade de acesso ao recurso protegido. No entanto, se os hackers usam botnets ou consultas de alta frequência, então Por aqui será ineficaz.

Eles são muito melhores na proteção contra ataques DDoS, mas sua única desvantagem é que se destinam apenas a redes privadas e não comerciais.

Espelho

A essência desse método é redirecionar todo o tráfego de entrada do invasor de volta. Isso pode ser feito tendo servidores poderosos e especialistas competentes que não só redirecionarão o tráfego, mas também serão capazes de desativar o equipamento do invasor.

O método não funcionará se houver erros nos serviços do sistema, códigos de programa e outros aplicativos de rede.

Procure vulnerabilidades

Este tipo de proteção visa corrigir exploits, corrigir bugs em aplicativos e sistemas da web e outros serviços responsáveis ​​pelo tráfego de rede. O método é inútil contra ataques de inundação que visam essas vulnerabilidades.

Recursos modernos

Este método não pode garantir 100% de proteção. Mas permite que você execute com mais eficácia outras medidas (ou um conjunto delas) para evitar ataques DDoS.

Alocação de sistemas e recursos

A duplicação de recursos e distribuição de sistemas permitirá que os usuários trabalhem com seus dados, mesmo que naquele momento um ataque DDoS esteja sendo lançado em seu servidor. Para distribuição, você pode usar diferentes servidores ou equipamentos de rede, e também é recomendado separar os serviços fisicamente em diferentes sistemas redundantes (data centers).

Este método de proteção é o mais eficaz hoje em dia, desde que o projeto arquitetônico correto tenha sido criado.

Evasão

A principal característica deste método é a saída e separação do objeto atacado (nome de domínio ou endereço IP), ou seja, todos os recursos de trabalho localizados em um site devem ser divididos e localizados em endereços de rede de terceiros, ou mesmo no território de outro estado. Isso permitirá que você sobreviva a qualquer ataque e preserve a estrutura interna de TI.

Serviços de proteção DDoS

Tendo contado tudo sobre um flagelo como o ataque DDoS (o que é e como lidar com ele), podemos finalmente dar um bom conselho. Muitas grandes organizações oferecem seus serviços para prevenir e prevenir tais ataques. Basicamente, essas empresas usam uma ampla gama de medidas e vários mecanismos para proteger sua empresa da maioria dos ataques DDoS. Especialistas e experts em seu campo trabalham lá, portanto, se seu recurso é caro para você, então a melhor opção (embora não seja barata) seria entrar em contato com uma dessas empresas.

Como um ataque DDoS "faça você mesmo" é realizado

Ciente é um princípio verdadeiro. Mas lembre-se de que organizar deliberadamente um ataque DDoS por uma ou um grupo de pessoas é um crime, portanto, este material é fornecido apenas para fins informativos.

Um programa foi desenvolvido por líderes de TI americanos para prevenir ameaças para testar a resiliência dos servidores e a possibilidade de realização de ataques DDoS por cibercriminosos com a posterior eliminação deste ataque.

Naturalmente, mentes "quentes" viraram essas armas contra os próprios desenvolvedores e contra o que eles estavam lutando. O nome do código do produto é LOIC. Este programa está disponível gratuitamente e, em princípio, não é proibido por lei.

A interface e a funcionalidade do programa são bastante simples, qualquer pessoa interessada em um ataque DDoS pode usá-lo.

Como fazer tudo sozinho? Nas linhas da interface, basta inserir o IP vítimas, em seguida definir os fluxos TCP e UDP e o número de solicitações. Voila - depois de apertar o botão cobiçado, o ataque começou!

Naturalmente, quaisquer recursos sérios não serão afetados por este software, mas os pequenos podem ter alguns problemas.

A Qrator Labs, empresa especializada em combater ataques DDoS e garantir a disponibilidade de recursos da Internet, registrou o fato de ataques DDoS de alta velocidade nos maiores recursos da web usando a técnica de amplificação baseada em memcache (software que implementa um serviço de cache de dados em memória de acesso aleatório com base em uma tabela hash).

De 23 a 27 de fevereiro de 2018, uma onda de ataques DDoS amplificados pelo Memcache varreu a Europa. A técnica de tal ataque consiste em invasores ouvindo o tráfego UDP, desde que os parâmetros do memcache sejam definidos por padrão, ou seja, a inundação UDP é usada - enviando muitos pacotes UDP falsos por unidade de tempo de uma ampla gama de endereços IP .

Os problemas de segurança do Memcache são conhecidos desde pelo menos 2014, mas em 2018 essa vulnerabilidade se manifestou de maneira especialmente clara: na noite de 25 a 26 de fevereiro, os especialistas do Qrator Labs observaram uma série de ataques DDoS amplificados do Memcache em toda a Internet, incluindo ataques à Rússia maiores recursos de rede. ...

Em 2017, um grupo de pesquisadores da equipe chinesa OKee falou sobre a possibilidade de organizar tais ataques, apontando seu poder potencialmente destrutivo.

Nos últimos dias, muitas fontes confirmaram o fato do ataque com respostas ampliadas de recursos do memcache, intercaladas com respostas de DNS e NTP. As origens destes ataques falsificados foram o grande fornecedor OVH e um grande número de pequenos ISPs e hosters.

Um dos clientes do Qrator Labs - sistema de pagamento QIWI confirma o fato de um ataque neutralizado com sucesso com uma largura de banda de 480 Gbps de tráfego UDP em seus recursos de amplificadores de memcache comprometidos.

“As técnicas modernas para realizar ataques DDoS não param. Cada vez mais, vemos o surgimento de novas "lacunas" na infraestrutura da Internet, que os cibercriminosos usam com sucesso para realizar ataques. Ataques usando memcache, cuja velocidade atingiu várias centenas de Gb / s, tornaram-se uma confirmação disso, - comenta Alexander Lyamin, CEO e fundador do Qrator Labs. - Há muitos recursos vulneráveis ​​do memcache na Internet e recomendamos fortemente que os técnicos configurem o memcache corretamente, sem se esquecer das configurações padrão. Isso ajudará a evitar a escuta de todo o tráfego UDP enviado ao servidor e reduzir a probabilidade de ataques DDoS. "

Sobre o Qrator Labs

O Qrator Labs é a contramedida número um de DDoS na Rússia (de acordo com a previsão do mercado de serviços anti-DDoS da Rússia da IDC 2016–2020 e a análise de 2015). A empresa foi fundada em 2009 e fornece serviços de combate a ataques DDoS em combinação com soluções WAF (Web Application Firewall), organizadas com a tecnologia da empresa parceira Wallarm. Para combater eficazmente os ataques DDoS, o Qrator Labs usa dados de seu próprio serviço global de monitoramento de Internet, Qrator.Radar. A rede de filtragem Qrator é construída em nós localizados nos EUA, Rússia, UE e Ásia, o que, juntamente com seus próprios algoritmos de filtragem, é uma vantagem competitiva da empresa.

Essa organização, além de registrar nomes de domínio na zona .tr, também fornece comunicação de backbone para universidades turcas. Os hacktivistas anônimos assumiram a responsabilidade pelo ataque, acusando a liderança turca de apoiar o ISIS.

Os primeiros sinais de DDoS apareceram na manhã de 14 de dezembro e, ao meio-dia, cinco servidores NIC.tr haviam se rendido ao ataque de tráfego de lixo com capacidade de até 40 Gbps. O problema também afetou o centro de coordenação do RIPE, que fornece uma infraestrutura NS alternativa NIC.tr. Os representantes do RIPE observaram que o ataque foi modificado para contornar as defesas do RIPE.

Ataques DDoS em grande escala estão se tornando os mais de uma forma eficiente interromper a operação de serviços web - o custo dos ataques está em constante redução, o que permite aumentar a capacidade: em apenas dois anos, a potência média de um ataque DDoS quadruplicou para 8 Gbps. Em termos de valores médios, um ataque à zona de domínio nacional da Turquia parece impressionante, mas os especialistas enfatizam que ataques DDoS de 400 Gbps logo se tornarão a norma.

A singularidade do ataque turco reside no fato de que os invasores escolheram o alvo certo: ao se concentrarem em um número relativamente pequeno de endereços IP, eles foram capazes de desativar praticamente a infraestrutura de um país inteiro com apenas um ataque de 40 gigabits.

O Centro Nacional de Resposta a Incidentes Cibernéticos da Turquia bloqueou todo o tráfego que entrava nos servidores NIC.tr de outros países, o que tornou todos os 400 mil sites turcos inacessíveis e todas as mensagens E-mail devolvido aos remetentes. Mais tarde, o centro decidiu mudar de tática, bloqueando seletivamente endereços IP suspeitos. Os servidores DNS dos domínios .tr foram reconfigurados para distribuir pedidos entre servidores públicos e privados, com a ajuda dos ISPs Superonline e Vodafone da Turquia.

Os domínios atacados voltaram online no mesmo dia, mas muitos sites e Serviços postais eles trabalharam intermitentemente por mais alguns dias. Não apenas empresas locais e agências governamentais foram afetadas, mas também muitos recursos da web nacionais que escolheram um nome de domínio na zona .tr; no total, são cerca de 400 mil sites, 75% dos quais corporativos. O domínio do código de país turco também é usado por instituições educacionais, municípios e militares.

Até que o "anonymus" fizesse uma declaração, muitos culpavam os russos pelo ataque DDoS - por causa das tensas relações entre a Turquia e a Rússia. Ao mesmo tempo, os hackers russos eram suspeitos de envolvimento em ataques cibernéticos em grande escala na Estônia (2007), Geórgia (2008) e Ucrânia (2014) por motivos semelhantes. Alguns especialistas viram o DDoS turco como uma resposta dos russos ao ataque DDoS por grupos cibernéticos turcos no site de notícias russo Sputnik.

O anúncio do Anonymous despojou a hipótese russa de traços de sua fundação. Hacktivistas também ameaçam atacar aeroportos turcos, bancos, servidores de agências governamentais e organizações militares se a Turquia não parar de ajudar o ISIS.

A situação económica instável dos últimos dois anos conduziu a um aumento significativo do nível de concorrência no mercado, com o que aumentou a popularidade dos ataques DDoS - método eficaz causando danos econômicos.

Em 2016, o número de pedidos comerciais para organizar ataques DDoS aumentou várias vezes. Ataques DDoS massivos passaram da área de influência política direcionada, como foi o caso, por exemplo, em 2014, para o segmento de negócios de massa. A principal tarefa dos cibercriminosos é tornar o recurso inacessível o mais rápido possível e com custos mínimos, a fim de obter dinheiro dos concorrentes por isso, fornecer a si próprios condições de extorsão, etc. Os ataques DDoS estão sendo usados ​​cada vez mais ativamente, o que estimula a busca por meios cada vez mais amplos de proteção dos negócios.

Ao mesmo tempo, o número de ataques continua crescendo, mesmo apesar dos notáveis ​​sucessos na luta contra DDoS. De acordo com o Qrator Labs, em 2015 o número de ataques DDoS aumentou 100%. E não é surpreendente, porque seu custo caiu para cerca de US $ 5 por hora e as ferramentas para sua implementação entraram no enorme mercado negro. Aqui estão algumas das principais tendências em ataques distribuídos de negação de serviço previstos para os próximos anos.

Ataques de amplificação UDP

Ataques projetados para esgotar a capacidade do canal incluem amplificação UDP. Esses incidentes foram os mais comuns em 2014 e se tornaram uma tendência brilhante em 2015. No entanto, seu número já atingiu seu pico e está diminuindo gradativamente - o recurso para realizar esses ataques não é apenas finito, mas também está diminuindo drasticamente.

Um amplificador é um serviço UDP público que funciona sem autenticação, que pode enviar uma resposta muito maior a uma pequena solicitação. O invasor, ao enviar tais solicitações, substitui seu endereço IP pelo endereço IP da vítima. Como resultado, o tráfego de retorno, que excede em muito a largura de banda do canal do invasor, é redirecionado para o recurso da Web da vítima. DNS, NTP, SSDP e outros servidores são usados ​​para participar inadvertidamente de ataques.

Ataques L7 em aplicativos da web

Em conexão com a redução do número de amplificadores, a organização de ataques a aplicativos da web no nível L7 usando botnets clássicos está novamente em destaque. Como você sabe, um botnet é capaz de realizar ataques à rede usando comandos remotos, e os proprietários de computadores infectados podem nem estar cientes disso. Como resultado da sobrecarga do serviço com solicitações de "lixo", as solicitações de usuários legítimos geralmente permanecem sem resposta ou uma quantidade excessivamente grande de tempo é necessária para as respostas.

Os botnets estão se tornando mais inteligentes hoje. Ao organizar os ataques correspondentes, a tecnologia Full-browser stack é suportada, ou seja, a emulação completa do computador do usuário, navegador e desenvolvimento de script java. Técnicas como essa são ótimas para disfarçar ataques L7. É quase impossível distinguir manualmente um bot de um usuário. Isso requer sistemas que utilizem tecnologia de aprendizado de máquina, graças à qual o nível de resistência aos ataques aumenta, os mecanismos são aprimorados e a precisão dos testes aumenta.

Problemas de BGP

Em 2016, surgiu uma nova tendência - ataques à infraestrutura de rede, incluindo aqueles baseados na exploração de vulnerabilidades no protocolo BGP. Os problemas do protocolo de roteamento BGP, no qual toda a Internet é baseada, são conhecidos há vários anos, mas nos últimos anos eles têm levado cada vez mais a sérias consequências negativas.

Anomalias de rede associadas ao roteamento na camada de rede entre domínios podem afetar um grande número de hosts, redes e até mesmo a conectividade global e a disponibilidade da Internet. O tipo de problema mais comum é o Vazamento de Rota - um "vazamento" de uma rota que ocorre como resultado de seu anúncio na direção errada. Até agora, as vulnerabilidades do BGP raramente são usadas deliberadamente: o custo de organizar tal ataque é bastante alto e os incidentes surgem principalmente devido a erros banais nas configurações de rede.

No entanto, nos últimos anos, a escala de grupos criminosos organizados na Internet cresceu significativamente, então, de acordo com a previsão do Qrator Labs, ataques relacionados a problemas de BGP se tornarão populares em um futuro previsível. Um exemplo flagrante é o sequestro de endereços IP pelo conhecido grupo cibernético Hacking Team, realizado por ordem do Estado: a polícia italiana teve que assumir o controle de vários computadores, a respeito de cujos proprietários foram realizadas ações de investigação.

IncidentesTCP

A pilha de rede TCP / IP tem vários problemas que se tornarão especialmente graves este ano. Para manter o crescimento ativo das velocidades, a infraestrutura da Internet precisa ser constantemente atualizada. As velocidades de conexão física com a Internet estão aumentando a cada poucos anos. No início dos anos 2000. 1 Gbps se tornou o padrão, hoje a interface física mais popular é de 10 Gbps. No entanto, já começou a introdução massiva de um novo padrão para a interface física, 100 Gbit / s, o que causa problemas com o protocolo TCP / IP desatualizado, que não é projetado para tais velocidades altas.

Por exemplo, torna-se possível em questão de minutos pegar um número de sequência TCP - um identificador numérico único que permite (ou melhor, permite) parceiros em uma conexão TCP / IP se autenticarem mutuamente no momento do estabelecimento da conexão e trocarem dados , preservando sua ordem e integridade. A velocidades de 100 Gbit / s, uma linha nos arquivos de log do servidor TCP sobre uma conexão aberta e / ou dados enviados por ele não garante mais que o endereço IP fixo realmente estabeleceu uma conexão e transmitiu esses dados. Conseqüentemente, uma oportunidade se abre para organizar ataques de uma nova classe, e a eficiência dos firewalls pode diminuir significativamente.

Vulnerabilidades de TCP / IP têm atraído a atenção de muitos pesquisadores. Eles acreditam que já em 2016 ouviremos falar de ataques de "alto nível" relacionados à exploração desses "buracos".

Futuro próximo

Hoje, o desenvolvimento de tecnologias e ameaças não segue a espiral "clássica", uma vez que o sistema não é fechado - ele é influenciado por muitos fatores externos. O resultado é uma espiral com amplitude em expansão - ela aumenta, a complexidade dos ataques aumenta e a cobertura das tecnologias se expande significativamente. Notemos vários fatores que têm um sério impacto no desenvolvimento do sistema.

O principal, claro, é a migração para o novo protocolo de transporte IPv6. No final de 2015, o IPv4 estava obsoleto e o IPv6 está se destacando, o que traz novos desafios: agora cada dispositivo tem um endereço IP e todos podem se comunicar diretamente entre si. Sim, existem novas recomendações sobre como os dispositivos finais devem funcionar, mas como a indústria vai lidar com tudo isso, especialmente as operadoras de telecomunicações, o segmento de produtos de massa e os fornecedores chineses, é uma questão em aberto. IPv6 é uma virada de jogo.

Outro desafio é o crescimento significativo das redes móveis, suas velocidades e durabilidade. Se antes o botnet móvel criava problemas, em primeiro lugar, para a própria operadora de telecomunicações, agora, quando a comunicação 4G está se tornando mais rápida do que a Internet com fio, as redes móveis com um grande número de dispositivos, inclusive as fabricadas na China, estão se transformando em um excelente plataforma para a realização de DDoS e ataques de hackers. E surgem problemas não só para a operadora de telecomunicações, mas também para outros participantes do mercado.

O mundo emergente da “Internet das Coisas” representa uma séria ameaça. Novos vetores de ataque estão surgindo como o grande número de dispositivos e o uso de tecnologia sem fio as conexões abrem perspectivas verdadeiramente infinitas para os hackers. Todos os dispositivos conectados à Internet podem se tornar parte da infraestrutura do invasor e se envolver em ataques DDoS.

Infelizmente, os fabricantes de todos os tipos de eletrodomésticos conectados à Rede (chaleiras, TVs, carros, multicooker, balanças, smart sockets, etc.) nem sempre oferecem o nível adequado de proteção. Freqüentemente, esses dispositivos usam versões antigas de sistemas operacionais populares e os fornecedores não se preocupam em atualizá-los regularmente - substituindo-os por versões que eliminaram as vulnerabilidades. E se o dispositivo for popular e amplamente utilizado, os hackers não perderão a oportunidade de explorar suas vulnerabilidades.

Os arautos do problema da IoT surgiram já em 2015. De acordo com dados preliminares, o último ataque à Blizzard Entertainment foi realizado usando dispositivos IoT. Foi gravado Código malicioso funcionando em bules modernos e lâmpadas. Os chipsets também tornam isso mais fácil para os hackers. Não muito tempo atrás, um chipset barato foi lançado, projetado para vários equipamentos que podem "se comunicar" com a Internet. Assim, os atacantes não precisam hackear 100 mil firmwares customizados - eles só precisam “quebrar” um chipset e obter acesso a todos os dispositivos que se baseiam nele.

Prevê-se que muito em breve todos os smartphones baseados em antigos Versões Android serão membros de pelo menos um botnet. Eles serão seguidos por todos os plugues "inteligentes", geladeiras e outros Eletrodomésticos... Em alguns anos, botnets de bules, babás eletrônicas e multicooker estarão esperando por nós. A "Internet das Coisas" nos trará não apenas conveniência e características adicionais, mas também muitos problemas. Quando há muitas coisas na IoT e cada pino pode enviar 10 bytes, novos desafios de segurança surgirão e terão que ser resolvidos. E devemos nos preparar para isso hoje.

Introdução

Vou fazer uma reserva imediatamente que, quando estava escrevendo esta revisão, meu foco principal era um público que entende as especificidades do trabalho das operadoras de telecomunicações e de suas redes de transmissão de dados. Este artigo descreve os princípios básicos de proteção contra ataques DDoS, a história de seu desenvolvimento na última década e a situação atual.

O que é DDoS?

Provavelmente, hoje, se não todo "usuário", pelo menos todo "especialista em TI" sabe o que são os ataques DDoS hoje. Mas algumas palavras ainda precisam ser ditas.

Ataques DDoS (negação de serviço distribuída) são ataques a sistemas de computação (recursos de rede ou canais de comunicação) com o objetivo de torná-los inacessíveis a usuários legítimos. Os ataques DDoS consistem no envio simultâneo de um grande número de solicitações a um determinado recurso de um ou vários computadores localizados na Internet. Se milhares, dezenas de milhares ou milhões de computadores começarem a enviar solicitações simultaneamente a um servidor específico (ou serviço de rede), o servidor falhará ou a largura de banda do canal de comunicação para esse servidor não será suficiente. Em ambos os casos, os usuários da Internet não conseguirão obter acesso ao servidor atacado, ou mesmo a todos os servidores e outros recursos conectados por meio de um canal de comunicação bloqueado.

Alguns recursos de ataques DDoS

Contra quem e com que propósito são lançados os ataques DDoS?

Os ataques DDoS podem ser lançados contra qualquer recurso na Internet. Os maiores danos dos ataques DDoS são recebidos por organizações cujos negócios estão diretamente relacionados à sua presença na Internet - bancos (prestadores de serviços de Internet Banking), lojas online, plataformas de negociação, leilões, bem como outras atividades, cuja atividade e eficiência dependem significativamente da presença na Internet (agências de viagens, companhias aéreas, fabricantes de hardware e software, etc.) Ataques DDoS são regularmente lançados contra os recursos de tais gigantes do indústria global de TI, como IBM, Cisco Systems, Microsoft e outros. Houve ataques DDoS massivos contra eBay.com, Amazon.com e muitos bancos e organizações conhecidos.

Muitas vezes, os ataques DDoS são lançados contra sites de organizações políticas, instituições ou personalidades individuais famosas. Muitos estão cientes dos ataques DDoS massivos e prolongados que foram lançados contra o site do Presidente da Geórgia durante a guerra da Geórgia-Ossétia de 2008 (o site ficou indisponível por vários meses a partir de agosto de 2008), contra os servidores do governo da Estônia ( na primavera de 2007, durante os motins associados à transferência do Soldado de Bronze), sobre ataques periódicos do segmento norte-coreano da Internet contra sites americanos.

Os principais objetivos dos ataques DDoS são obter benefícios (diretos ou indiretos) por meio de chantagem e extorsão, ou perseguir interesses políticos, agravar a situação e vingança.

Quais são os mecanismos para desencadear ataques DDoS?

A forma mais popular e perigosa de lançar ataques DDoS é através do uso de botnets (BotNets). Um botnet é um conjunto de computadores nos quais os favoritos de software especial (bots) são instalados; em inglês, um botnet é uma rede de bots. Os bots são normalmente desenvolvidos por hackers individualmente para cada botnet, e têm como objetivo principal enviar solicitações a um recurso específico da Internet por meio de um comando recebido do servidor de controle do botnet - Servidor de Comando e Controle Botnet. O servidor de controle de botnet é gerenciado por um hacker ou pela pessoa que comprou o botnet do hacker e a capacidade de lançar um ataque DDoS. Os bots são distribuídos na Internet de várias maneiras, como regra - atacando computadores com serviços vulneráveis ​​e instalando marcadores de software neles, ou enganando os usuários e forçando-os a instalar bots sob o pretexto de fornecer outros serviços ou software com desempenho totalmente inofensivo ou mesmo função útil... Existem muitas maneiras de distribuir bots, novas maneiras são inventadas regularmente.

Se o botnet for grande o suficiente - dezenas ou centenas de milhares de computadores - então o envio simultâneo de todos esses computadores, até mesmo solicitações legítimas para um determinado serviço de rede (por exemplo, um serviço da web em um site específico) levará ao esgotamento de recursos, seja do serviço ou do próprio servidor, ou para a exaustão das capacidades do canal de comunicação. Em qualquer caso, o serviço ficará indisponível para os usuários, e o titular do serviço incorrerá em perdas diretas, indiretas e de reputação. E se cada um dos computadores envia não uma solicitação, mas dezenas, centenas ou milhares de solicitações por segundo, então a força de ataque do ataque aumenta muitas vezes, o que torna possível desativar até mesmo os recursos ou canais de comunicação mais produtivos.

Alguns ataques são lançados de maneiras mais "inofensivas". Por exemplo, um flash mob de usuários de certos fóruns, que, por acordo, lançam "pings" ou outras solicitações de seus computadores para um servidor específico em um determinado momento. Outro exemplo é colocar um link para um site em recursos populares da Internet, o que causa um influxo de usuários para o servidor de destino. Se um link "falso" (que parece um link para um recurso, mas na verdade se refere a um servidor completamente diferente) vincula a um site de uma pequena organização, mas está hospedado em servidores ou fóruns populares, tal ataque pode causar um afluxo de visitantes indesejados para este site ... Ataques dos dois últimos tipos raramente levam ao encerramento da disponibilidade de servidores em sites de hospedagem devidamente organizados, mas houve tais exemplos, e até mesmo na Rússia em 2009.

Os meios técnicos tradicionais de proteção contra ataques DDoS ajudarão?

Uma característica dos ataques DDoS é que eles consistem em muitas solicitações simultâneas, cada uma das quais é completamente "legal" individualmente, além disso, essas solicitações são enviadas por computadores (infectados com bots), que podem muito bem pertencer aos usuários reais ou potenciais mais comuns do serviço ou recurso atacado. Portanto, é muito difícil identificar e filtrar corretamente as solicitações que constituem um ataque DDoS usando os meios padrão. Sistemas padrão classe IDS / IPS (Intrusion Detection / Prevention System - um sistema de detecção / prevenção de ataques à rede) não encontrará nestes pedidos "corpus delicti", não entenderá que eles fazem parte de um ataque, a menos que realizem uma análise qualitativa do tráfego anomalias. E mesmo que eles encontrem, filtrar solicitações desnecessárias também não é tão fácil - firewalls e roteadores padrão filtram o tráfego com base em listas de acesso claramente definidas (regras de controle) e não sabem como se ajustar "dinamicamente" ao perfil de um ataque específico . Os firewalls podem ajustar os fluxos de tráfego com base em critérios como os endereços de remetente usados serviços de rede, portas e protocolos. Mas os usuários comuns da Internet participam do ataque DDoS, que enviam solicitações usando os protocolos mais comuns - a operadora de telecomunicações não proibirá tudo e todos? Então, ele simplesmente deixará de fornecer serviços de comunicação aos seus assinantes e deixará de fornecer acesso aos recursos de rede que ele serve, o que, de fato, é o que o iniciador do ataque está tentando alcançar.

Muitos especialistas provavelmente estão cientes da existência de soluções especiais de proteção contra ataques DDoS, que consistem em detectar anomalias no tráfego, construir um perfil de tráfego e um perfil de ataque, e o subsequente processo de filtragem dinâmica de tráfego em vários estágios. E também falarei sobre essas soluções neste artigo, mas um pouco mais tarde. E, primeiro, falaremos sobre algumas das medidas menos conhecidas, mas às vezes bastante eficazes, que podem ser tomadas para suprimir ataques DDoS pelos meios existentes de rede de transmissão de dados e seus administradores.

Proteção DDoS com os meios disponíveis

Existem alguns mecanismos e "truques" que permitem, em alguns casos especiais, suprimir ataques DDoS. Alguns podem ser usados ​​apenas se a rede de transmissão de dados for construída no equipamento de um determinado fabricante, outros são mais ou menos universais.

Vamos começar com as recomendações da Cisco Systems. A empresa recomenda Network Foundation Protection, que inclui o plano de controle, o plano de gerenciamento e o plano de dados.

Proteção do plano de gerenciamento

O termo "plano de administração" abrange todo o tráfego que controla ou monitora roteadores e outros equipamentos de rede. Esse tráfego é direcionado para o roteador ou originado do roteador. Exemplos de tal tráfego são sessões Telnet, SSH e http (s), mensagens syslog, traps SNMP. As melhores práticas comuns incluem:

Garantindo a máxima segurança dos protocolos de controle e monitoramento, usando criptografia e autenticação:

• SNMP v3 fornece medidas de segurança, enquanto SNMP v1 praticamente não fornece, e SNMP v2 fornece apenas parcialmente - os valores padrão da comunidade sempre precisam ser alterados;
• valores diferentes para a comunidade pública e privada devem ser usados;
• O protocolo telnet transmite todos os dados, incluindo login e senha, em texto claro (se o tráfego for interceptado, essas informações podem ser facilmente recuperadas e utilizadas), ao invés disso é recomendado sempre usar o protocolo ssh v2;
• Da mesma forma, use https em vez de http para acesso ao hardware Controles fortes sobre o acesso ao hardware, incluindo política de senha adequada, autenticação centralizada, autorização e contabilidade (modelo AAA) e autenticação local para redundância.

Implementação de um modelo de acesso baseado em funções;

Controle de conexões permitidas para o endereço de origem usando listas de controle de acesso;

Desativar serviços não utilizados, muitos dos quais são ativados por padrão (ou se esqueceram de desativá-los após diagnosticar ou configurar o sistema);

Monitoramento da utilização dos recursos do equipamento.

Vale a pena nos determos nos dois últimos pontos com mais detalhes.
Alguns serviços que são ativados por padrão ou que foram esquecidos de desligar após a configuração ou diagnóstico de hardware podem ser usados ​​por cibercriminosos para contornar as regras de segurança existentes. A lista desses serviços está abaixo:

• PAD (pack assembler / disassembler);

Naturalmente, antes de desligar esses serviços, você precisa analisar cuidadosamente a ausência de sua necessidade em sua rede.

É desejável monitorar o uso dos recursos do equipamento. Isso permitirá, em primeiro lugar, perceber o congestionamento com o tempo. elementos individuais redes e tomar medidas para prevenir acidentes e, em segundo lugar, detectar ataques DDoS e anomalias, se a sua detecção não estiver prevista por meios especiais. No mínimo, é recomendado monitorar:

• Carga da CPU
• uso de memória
• carga de trabalho de interfaces de roteadores.

O monitoramento pode ser realizado "manualmente" (monitorando periodicamente o estado do equipamento), mas é melhor, obviamente, fazer isso com monitoramento de rede especial ou sistemas de monitoramento segurança da informação(o último inclui Cisco MARS).

Proteção do avião de controle

O plano de gerenciamento de rede inclui todo o tráfego de serviço que garante o funcionamento e a conectividade da rede de acordo com a topologia e os parâmetros especificados. Exemplos de tráfego de plano de controle são: todo o tráfego gerado ou destinado ao processador de rotas (RR), incluindo todos os protocolos de roteamento, em alguns casos - Protocolos SSH e SNMP, bem como ICMP. Qualquer ataque ao funcionamento do processador de roteamento, e especialmente ataques DDoS, pode levar a problemas e interrupções significativas no funcionamento da rede. As melhores práticas para proteger o plano de controle são descritas abaixo.

Policiamento de avião de controle

É usar mecanismos de QoS (Quality of Service) para fornecer mais prioridade máxima controlar o tráfego do plano do que o tráfego do usuário (do qual os ataques fazem parte). Isso garantirá o funcionamento dos protocolos de serviço e do processador de roteamento, ou seja, preservará a topologia e a conectividade da rede, bem como o real roteamento e comutação dos pacotes.

ACL de recebimento de IP

Essa funcionalidade permite a filtragem e o controle do tráfego de serviço destinado ao roteador e ao processador de roteamento.

• são aplicados diretamente no equipamento de roteamento antes que o tráfego alcance o processador de roteamento, fornecendo proteção "pessoal" ao equipamento;
• são aplicados após o tráfego ter passado pelos ACLs usuais - eles são a última camada de proteção no caminho para o processador de roteamento;
• aplicam-se a todo o tráfego (interno e externo, e trânsito em relação à rede do operador).

Infraestrutura ACL

Normalmente, o acesso aos próprios endereços dos equipamentos de roteamento é necessário apenas para os hosts da própria rede da operadora, mas há exceções (por exemplo, eBGP, GRE, túneis IPv6 sobre IPv4 e ICMP). Listas de controle de acesso à infraestrutura:

• normalmente instalado no limite da rede do operador ("na entrada da rede");
• visam impedir que hosts externos acessem os endereços da infraestrutura da operadora;
• fornecer trânsito de tráfego desimpedido através da fronteira da rede da operadora;
• fornecer mecanismos de proteção básicos contra atividade de rede não autorizada descrita em RFC 1918, RFC 3330, em particular, proteção contra spoofing (spoofing, o uso de endereços IP de origem falsos para mascarar ao lançar um ataque).

Autenticação de Vizinho

O principal objetivo da autenticação de roteadores vizinhos é evitar ataques enviando mensagens falsificadas de protocolo de roteamento para alterar o roteamento na rede. Esses ataques podem levar à penetração não autorizada na rede, uso não autorizado. recursos de rede, bem como o fato de um invasor interceptar o tráfego para analisar e obter as informações necessárias.

Configurando BGP

• Filtros de prefixo BGP - usados ​​para evitar que informações sobre as rotas da rede interna da operadora se espalhem para a Internet (às vezes essas informações podem ser muito úteis para um invasor);
• limitar o número de prefixos que podem ser recebidos de outro roteador (prefix limiting) - usado para proteger contra ataques DDoS, anomalias e falhas nas redes de parceiros de peering;
• usar parâmetros da comunidade BGP e filtrá-los também pode ser usado para restringir a propagação de informações de roteamento;
• O monitoramento do BGP e a comparação dos dados do BGP com o tráfego observado é um dos mecanismos para detecção precoce de ataques DDoS e anomalias;
• filtragem pelo parâmetro TTL (Time-to-Live) - usado para verificar os pares BGP.

Se um ataque BGP for lançado não da rede do parceiro de peering, mas de uma rede mais remota, o parâmetro TTL dos pacotes BGP será menor que 255. Você pode configurar os roteadores de fronteira da operadora para que descartem todos os pacotes BGP com um TTL valor< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Proteção de plano de dados

Apesar da importância de proteger os níveis de administração e controle, a maior parte do tráfego na rede de uma operadora é de dados em trânsito ou destinados a assinantes dessa operadora.

Encaminhamento de caminho reverso de Unicast (uRPF)

Freqüentemente, os ataques são lançados usando tecnologia de spoofing - os endereços IP da fonte são falsificados para que a fonte do ataque não possa ser rastreada. Endereços IP falsificados podem ser:

• do espaço de endereço realmente usado, mas em um segmento de rede diferente (no segmento a partir do qual o ataque foi lançado, esses endereços falsos não são roteados);
• do espaço de endereço não utilizado nesta rede de transmissão de dados;
• de um espaço de endereço que não pode ser roteado na Internet.

A implementação do mecanismo uRPF em roteadores impedirá o roteamento de pacotes com endereços de origem incompatíveis ou não utilizados no segmento de rede de onde vieram para a interface do roteador. Essa tecnologia às vezes permite filtrar com eficácia o tráfego indesejado o mais próximo possível de sua origem, ou seja, de maneira mais eficaz. Muitos ataques DDoS (incluindo o famoso Smurf and Tribal Flood Network) usam spoofing e mudanças constantes de endereço de origem para enganar meios padrão proteção e filtragem de tráfego.

O uso do mecanismo uRPF por operadoras de telecomunicações que fornecem aos assinantes acesso à Internet evitará efetivamente ataques DDoS usando tecnologia de spoofing dirigida por seus próprios assinantes contra recursos da Internet. Assim, um ataque DDoS é suprimido o mais próximo de sua origem, ou seja, de forma mais eficaz.

Buracos negros acionados remotamente (RTBH)

Buracos negros gerenciados (Buracos negros acionados remotamente) são usados ​​para "despejar" (destruir, enviar "para lugar nenhum") o tráfego que entra na rede, roteando esse tráfego para interfaces especiais Nulo 0. ataque de tráfego quando ele entra na rede. A limitação (e significativa) desse método é que ele se aplica a todo o tráfego destinado a um host ou hosts específicos que são o alvo do ataque. Desse modo, este método pode ser usado nos casos em que um ou vários hosts estão sujeitos a um ataque massivo, o que causa problemas não só para os hosts atacados, mas também para outros assinantes e para a rede da operadora como um todo.

Os buracos negros podem ser gerenciados manualmente ou por meio do BGP.

Propagação de política de QoS por meio de BGP (QPPB)

O controle de QoS sobre BGP (QPPB) permite que você controle as políticas de prioridade para o tráfego destinado a um determinado sistema autônomo ou um bloco de endereços IP. Esse mecanismo pode ser muito útil para operadoras de telecomunicações e grandes empresas, inclusive para gerenciar o nível de prioridade para tráfego indesejado ou tráfego contendo um ataque DDoS.

Buracos de pia

Em alguns casos, é necessário não remover completamente o tráfego usando buracos negros, mas desviá-lo dos canais ou recursos principais para monitoramento e análise subsequentes. É para isso que servem os "dutos de ramificação" ou buracos de coletor.

Os furos da pia são mais comumente usados ​​nas seguintes situações:

• desviar e analisar o tráfego com endereços de destino que pertencem ao espaço de endereço da rede da operadora, mas não são realmente utilizados (não foram atribuídos a equipamentos nem a utilizadores); esse tráfego é, a priori, suspeito, pois geralmente indica tentativas de varredura ou penetração em sua rede por um invasor que não possui informações detalhadas sobre sua estrutura;
• para redirecionar o tráfego do alvo do ataque, que é um verdadeiro recurso na rede da operadora, para seu monitoramento e análise.

Proteção DDoS usando ferramentas especiais

Cisco Clean Pipes Concept - o pioneiro da indústria

O conceito moderno de proteção contra ataques DDoS foi desenvolvido (sim, você não ficará surpreso! :)) pela Cisco Systems. O conceito desenvolvido pela Cisco é denominado Cisco Clean Pipes. Em um conceito desenvolvido detalhadamente há quase 10 anos, os princípios básicos e tecnologias de proteção contra anomalias de tráfego foram descritos com algum detalhe, muitos dos quais ainda são usados ​​hoje, inclusive por outros fabricantes.

O conceito Cisco Clean Pipes assume os seguintes princípios para detectar e mitigar ataques DDoS.

Pontos (seções da rede) são selecionados, o tráfego em que é analisado para identificar anomalias. Dependendo do que estamos protegendo, tais pontos podem ser conexões ponto a ponto de uma operadora de telecomunicações com operadoras upstream, pontos de conexão de operadoras downstream ou assinantes, canais para conectar data centers à rede.

Os detectores especiais analisam o tráfego nestes pontos, constroem (estudam) o perfil do tráfego no seu estado normal, quando ocorre um ataque DDoS ou anomalia, detectam, estudam e formam dinamicamente as suas características. Além disso, as informações são analisadas pelo operador do sistema, de forma semiautomática ou modo automático o processo de supressão de ataque é iniciado. A supressão significa que o tráfego destinado à "vítima" é redirecionado dinamicamente por meio de um dispositivo de filtragem, que aplica filtros gerados pelo detector a esse tráfego, refletindo a natureza individual do ataque. O tráfego limpo é injetado na rede e enviado ao destinatário (é por isso que surgiu o nome Clean Pipes - o assinante recebe um "canal limpo" que não contém um ataque).

Assim, todo o ciclo de proteção DDoS inclui os seguintes estágios principais:

• Treinamento de características de controle de tráfego (criação de perfil, aprendizado de linha de base)
• Detecção de ataques e anomalias (Detecção)
• Redirecionando o tráfego para passá-lo por um desvio
• Filtrando o tráfego para suprimir ataques (Mitigação)
• Injetar tráfego de volta na rede e enviá-lo ao destinatário (Injeção).

Vários recursos.
Dois tipos de dispositivos podem ser usados ​​como detectores:

• Os detectores fabricados pela Cisco Systems são módulos de serviços de detecção de anomalias de tráfego da Cisco projetados para instalação no chassi Cisco 6500/7600.
• Os detectores da Arbor Networks são dispositivos Arbor Peakflow SP CP.

Abaixo está uma tabela comparando os detectores Cisco e Arbor.

Parâmetro	Cisco Traffic Anomaly Detector	Arbor Peakflow SP CP
Obtenção de informações de tráfego para análise	Usa uma cópia do tráfego alocado para o chassi Cisco 6500/7600	Os dados de tráfego Netflow recebidos dos roteadores são usados, a amostragem pode ser ajustada (1: 1, 1: 1.000, 1: 10.000, etc.)
Princípios de detecção usados	Análise de assinatura (detecção de uso indevido) e detecção de anomalias (dinâmicoperfilamento)	Detecção de anomalias predominantemente; análise de assinatura é usada, mas as assinaturas são genéricas
Fator de forma	módulos de serviço no chassi Cisco 6500/7600	dispositivos separados (servidores)
atuação	O tráfego de até 2 Gbps é analisado	Praticamente ilimitado (você pode reduzir a taxa de amostragem)
Escalabilidade	Instalação de até 4 módulosCiscoDetectorSMem um chassi (no entanto, os módulos operam independentemente um do outro)	Capacidade de usar vários dispositivos em sistema unificado análise, uma das quais recebe o status de Líder
Monitoramento de tráfego e roteamento na rede	Quase nenhuma funcionalidade	A funcionalidade é muito avançada. Muitas operadoras de telecomunicações compram o Arbor Peakflow SP por causa da funcionalidade profunda e sofisticada de monitoramento de tráfego e roteamento na rede.
Fornecer um portal (uma interface individual para um assinante que permite monitorar apenas a parte da rede diretamente relacionada a ele)	Não fornecido	Forneceu. Esta é uma grande vantagem desta solução, uma vez que uma operadora de telecomunicações pode vender serviços individuais de proteção DDoS para seus assinantes.
Limpadores de tráfego compatíveis (mitigadores de ataque)	Cisco Módulo de Serviços de Guarda	Arbor Peakflow SP TMS; Módulo de serviços Cisco Guard.
	Protegendo centros de dados durante a conexão com a Internet Monitoramento de conexões downstream de redes de assinantes para a rede da operadora	Detecção de ataques ario acima-conexões da rede da operadora de telecomunicações às redes de provedores de nível superior Monitoramento do backbone do operador

A última linha da tabela lista os cenários de detector Cisco e Arbor recomendados pela Cisco Systems. Esses cenários são refletidos no diagrama abaixo.

Como um depurador de tráfego, a Cisco recomenda usar o módulo de serviço Cisco Guard, que é instalado no chassi Cisco 6500/7600 e redirecionar, depurar e reinjetar o tráfego na rede de forma dinâmica após um comando recebido do Detector Cisco ou Arbor Peakflow SP CP . Os mecanismos de redirecionamento são atualizações BGP para roteadores upstream ou comandos de controle diretos para o supervisor usando um protocolo proprietário. Ao usar atualizações BGP, o roteador upstream recebe um novo valor nex-hop para o tráfego que contém o ataque - de forma que esse tráfego vá para o servidor de limpeza. Ao mesmo tempo, é necessário cuidar para que essa informação não implique a organização de um loop (para que o roteador downstream, ao injetar nele tráfego limpo, não tente devolver esse tráfego ao dispositivo de limpeza). Para isso, podem ser utilizados mecanismos de controle da distribuição das atualizações do BGP pelo parâmetro da comunidade, ou o uso de túneis GRE ao entrar no tráfego limpo.

Esse estado de coisas continuou até que a Arbor Networks expandiu drasticamente sua linha de produtos Peakflow SP para o mercado com uma solução de proteção DDoS completamente autônoma.

Arbor Peakflow SP TMS lançado

Vários anos atrás, a Arbor Networks decidiu desenvolver sua linha de produtos de proteção DDoS de forma independente e independente do ritmo e da política de desenvolvimento dessa direção na Cisco. As soluções Peakflow SP CP tinham vantagens fundamentais sobre o Cisco Detector, pois analisavam informações de fluxo com a capacidade de ajustar a taxa de amostragem e, portanto, não tinham restrições de uso nas redes de operadoras de telecomunicações e em backbones (ao contrário do Cisco Detector, que analisa uma cópia do tráfego). Além disso, uma vantagem significativa do Peakflow SP foi a oportunidade para as operadoras venderem aos assinantes um serviço individual para monitorar e proteger seus segmentos de rede.

Em resposta a essas e outras considerações, a Arbor expandiu significativamente a linha de produtos Peakflow SP. Vários novos dispositivos surgiram:

Peakflow SP TMS (Sistema de gerenciamento de ameaças)- Suprime ataques DDoS por filtragem multiestágio com base nos dados recebidos do Peakflow SP CP e do laboratório ASERT, de propriedade da Arbor Networks, que monitora e analisa ataques DDoS na Internet;

Peakflow SP BI (Business Intelligence)- dispositivos que garantem o dimensionamento do sistema, aumentando o número de objetos lógicos a serem monitorados e fornecendo backup dos dados coletados e analisados;

Peakflow SP PI (Interface do Portal)- dispositivos que proporcionam um aumento de assinantes, que contam com uma interface individual para gerenciar sua própria segurança;

Peakflow SP FS (Censor de Fluxo)- dispositivos que monitoram roteadores de assinantes, conexões a redes downstream e centros de dados.

Os princípios de operação do sistema Arbor Peakflow SP permaneceram basicamente os mesmos dos Cisco Clean Pipes, no entanto, a Arbor desenvolve e melhora regularmente seus sistemas, portanto, no momento, a funcionalidade dos produtos Arbor é em muitos aspectos melhor do que a da Cisco, incluindo produtividade do software.

A data, produtividade máxima O modo Cisco Guard pode ser obtido criando um cluster de 4 módulos Guard em um chassi Cisco 6500/7600, enquanto o clustering completo desses dispositivos não é implementado. Ao mesmo tempo, os modelos superiores Arbor Peakflow SP TMS têm desempenho de até 10 Gbps e, por sua vez, podem ser agrupados.

Depois que a Arbor começou a se posicionar como um player independente no mercado de detecção e supressão de ataques DDoS, a Cisco começou a procurar um parceiro que fornecesse o monitoramento muito necessário de dados de fluxo de tráfego de rede, mas não seria um concorrente direto . Essa empresa foi a Narus, que produz sistemas de monitoramento de tráfego baseados em dados de fluxo (NarusInsight), e firmou parceria com a Cisco Systems. No entanto, esta parceria não teve um desenvolvimento sério e presença no mercado. Além disso, de acordo com alguns relatos, a Cisco não planeja investir em suas soluções Cisco Detector e Cisco Guard, na verdade, deixando esse nicho à mercê da Arbor Networks.

Alguns recursos das soluções Cisco e Arbor

Vale a pena observar alguns dos recursos das soluções Cisco e Arbor.

1. O Cisco Guard pode ser usado em conjunto com o detector e de forma independente. No último caso, ele é colocado no modo em linha e executa as funções de um detector, analisando o tráfego e, se necessário, ativa os filtros e limpa o tráfego. A desvantagem desse modo é que, em primeiro lugar, um ponto adicional de falha potencial é adicionado e, em segundo lugar, um atraso de tráfego adicional (embora seja pequeno até que o mecanismo de filtragem seja ligado). O modo recomendado para o Cisco Guard é aguardar um comando para redirecionar o tráfego que contém um ataque, filtrando-o e injetando-o de volta na rede.
2. Os dispositivos Arbor Peakflow SP TMS também podem operar nos modos off-ramp e in-line. No primeiro caso, o dispositivo espera passivamente por um comando para redirecionar o tráfego que contém o ataque, a fim de limpá-lo e injetá-lo de volta na rede. No segundo, ele passa todo o tráfego por si mesmo, gera dados no formato Arborflow a partir dele e os transmite ao Peakflow SP CP para análise e detecção de ataques. Arborflow é um formato semelhante ao Netflow, mas modificado pela Arbor para seus sistemas Peakflow SP. Peakflow SP CP monitora o tráfego e detecta ataques com base nos dados Arborflow recebidos do TMS. Quando um ataque é detectado, o operador Peakflow SP CP dá um comando para suprimi-lo, após o qual o TMS ativa os filtros e limpa o tráfego do ataque. Ao contrário da Cisco, o servidor Peakflow SP TMS não pode operar sozinho; ele requer um servidor Peakflow SP CP para realizar a análise de tráfego.
3. Hoje, a maioria dos especialistas concorda que as tarefas de proteção de seções locais da rede (por exemplo, conectar centros de dados ou conectar redes downstream) são eficazes