Atacurile DDOS maessese. Cu privire la un atac de DDOS masiv asupra băncilor rusești, FSB a deschis un caz penal

Atac, în timpul căruia utilizatorii nu pot accesa orice alte resurse, se numesc un atac DDOS sau o problemă "de la întreținere". Caracteristica principală a acestor atacuri hacker este cererile simultane de la un număr mare de computere din întreaga lume și sunt îndreptate în principal pe serverele companiilor bine protejate sau de organizații guvernamentale, mai puțin de multe ori - pe resurse unice necomerciale.

Computerul care a devenit infectat devine asemănarea "zombiilor" și hackerii folosind câteva sute și apoi zeci de mii de astfel de "zombi", provoacă un eșec al resurselor (refuzul de menținere).

Motivele atacului DDOS pot fi multe. Să încercăm să desemnăm cele mai populare și, în același timp, vom răspunde la întrebări: "DDOS Attack - Ce este, cum să vă protejați, care sunt consecințele sale și ce mijloace sunt efectuate?"

Competiție

Internetul a fost de mult timp o sursă de idei de afaceri, implementarea unor proiecte mari și alte modalități de a câștiga bani foarte mari, astfel încât atacul DDOS poate fi făcut la comandă. Adică dacă o organizație dorește să o elimine în cazul unui concurent, atunci este doar să contactați Khakura (sau la un grup de astfel de sarcini) cu o sarcină simplă - să paralizeze activitatea unei companii nedorite prin intermediul resurselor de Internet (DDOS atacul pe server sau pe site).

În funcție de scopurile și sarcinile specifice, acest atac este stabilit pentru o anumită perioadă și utilizarea forței corespunzătoare.

Fraudă

Destul de des, DDOS Attack pe site este organizat la inițiativa hackerilor pentru a bloca sistemul și a accesa alte surse personale sau importante. După ce atacatorii sunt paralizați de sistem, pot necesita o anumită sumă de bani pentru a restabili performanța resurselor atacate.

Mulți antreprenori de Internet sunt de acord cu condițiile extinse, justificând acțiunile lor cu dowstarii în activitatea și primirea pierderilor colosale - este mai ușor să plătiți o mică sumă ca un om de fraudă decât să piardă profituri semnificative pentru fiecare zi de nefuncționare.

Divertisment

Mulți utilizatori sunt doar de dragul curiozității sau distracții sunt interesați de: "DDOS Attack - Ce este și cum să o faceți?" Prin urmare, există adesea cazuri în care intrușii începători din motive de distracție și eșantioane organizează astfel de atacuri pentru resurse aleatorii.

Împreună cu motivele, atacurile DDOS au propriile semne de clasificare.

  1. Lățime de bandă. Astăzi, aproape fiecare plafon de calculator este echipat sau retea localaSau pur și simplu conectat la Internet. Prin urmare, există adesea cazuri de inundații de rețea - un număr mare de solicitări cu un sistem incorect format și lipsit de sens la resurse sau echipamente specifice pentru refuzul sau eșecul ulterior. hard disk-uri, memorie etc.).
  2. Sistem de epuizare. Un astfel de atac DDOS pe serverul Samp este efectuat pentru captură memorie fizică, timpul procesorului și alte resurse de sistem, din cauza lipsei de care un obiect atacat nu este pur și simplu posibil să funcționeze pe deplin.
  3. Răcire. Testul infinit de date și alte cicluri care acționează "într-un cerc" forțează un obiect pentru a petrece o mulțime de resurse, luând astfel memorie la epuizarea completă.
  4. Atacuri false. O astfel de organizație vizează un răspuns fals al sistemelor de protecție, ceea ce duce, în cele din urmă, la blocarea anumitor resurse.
  5. Protocolul HTTP.. Hackerii trimit pachete HTTP violente cu criptare specială, resursa, în mod natural, nu consideră că atacul DDOS este organizat pe acesta, programul de server, care își desfășoară activitatea, se referă la pachetele de răspuns cu o capacitate mult mai mare, luând astfel lățimea de bandă a victimei, care conduce din nou, la eșecul serviciilor.
  6. Smourf atac. Aceasta este una dintre cele mai periculoase specii. Hacker prin canalul de difuzare trimite victima un pachet fals ICMP, în care adresa victimei este înlocuită de adresa atacatorului, iar toate nodurile încep să trimită un răspuns la cererea de ping. Acest atac DDOS este un program îndreptat spre utilizarea unei rețele mari, adică cererea tratată cu 100 de computere va fi consolidată de 100 de ori.
  7. UDP-inundații.. Acest tip de atac este ceva similar cu cel precedent, dar în loc de pachete ICMP, intruși folosesc pachete UDP. Esența acestei metode este de a înlocui adresa IP a victimei la adresa hackerului și de a descărca pe deplin lățimea de bandă, ceea ce va conduce, de asemenea, la eșecul sistemului.
  8. Syn-inundații.. Atacatorii încearcă să ruleze simultan un număr mare de conexiuni TCP printr-un canal Syn cu incorect sau nu este permis adresa inversă. După câteva astfel de încercări cele mai multe sisteme de operare În coadă, conexiunea problema este setată și numai după un număr enon de încercări de ao închide. Stream-ul canalului Syn este destul de mare și, în curând, după o varietate de astfel de încercări, nucleul victimei refuză să deschidă orice conexiune nouă prin blocarea funcționării întregii rețele.
  9. "Pachete grele". Această specie oferă răspunsul la întrebarea: "Ce este un server DDO-ACK?" Hackerii trimit pachete la serverul de utilizator, dar nu se produce saturația lățimii de bandă, acțiunea este îndreptată numai pentru timpul procesorului. Ca rezultat, astfel de pachete conduc la un eșec în sistem și la rândul său, la resursele lor.
  10. Fișiere jurnal.. Dacă sistemul de citare și rotație au o pungă goală, atacatorii pot trimite mari în volumul pachetelor, ocupând astfel tot spațiul liber de pe butoanele rigide ale serverului.
  11. Codul programului.. Hackerii cu o vastă experiență pot explora pe deplin structura serverului victimei și lansarea algoritmilor speciali (DDOS Attack - Programul de expirare). Astfel de atacuri vizează în principal proiecte comerciale bine protejate de întreprinderi și organizații de diferite sfere și regiuni. Atacatorii găsesc bare în codul programului și lansați instrucțiuni nevalide sau alți algoritmi excepționali care duc la o oprire de urgență a sistemului sau a serviciului.

DDOS Attack: Ce este și cum să protejați

Metode de protecție DDOS-Atac Există multe. Și toate pot fi împărțite în patru părți: pasive, active, reacționare și preventive. Ce mai vorbim mai mult.

Un avertisment

Aici trebuie să preveniți direct motivele pentru care ar putea provoca un atac DDOS. Acest tip poate fi atribuit unor ostilități personale, dezacordurilor juridice, concurenței și altor factori provocând atenție "a crescut" pentru dvs., afacerea dvs. etc.

Dacă în timp pentru a răspunde acestor factori și a face concluziile corespunzătoare, atunci multe situații neplăcute pot fi evitate. Această metodă poate fi atribuită mai degrabă problemelor decât părții tehnice a problemei.

Măsuri de răspuns

Dacă atacurile asupra resurselor dvs. continuă, este necesar să găsiți sursa problemelor dvs. - un client sau un artist, utilizând atât pârghiile juridice cât și cele tehnice ale expunerii. Unele firme oferă servicii pentru găsirea intrușilor într-un mod tehnic. Pe baza calificărilor specialiștilor care se ocupă de această problemă, nu numai un hacker care exercită un atac DDOS, ci și direct clientul însuși.

Protecția software-ului

Unele producători de hardware și software împreună cu produsele lor pot oferi o mulțime de soluții eficiente, iar atacul DDOS de pe site va fi oprit prin hrănire. Un server mic separat care vizează combaterea atacurilor DDOS mici și mijlocii poate fi un apărător tehnic.

Această decizie este perfectă pentru întreprinderile mici și mijlocii. Pentru companiile mai mari, întreprinderile și agențiile guvernamentale, există complexe hardware întreg pentru a combate atacurile DDOS, care, împreună cu un preț ridicat, au caracteristici excelente de protecție.

Filtrare

Blocarea și filtrarea temeinică a traficului de intrare va permite nu numai reducerea probabilității unui atac. În unele cazuri, atacul DDOS de pe server poate fi complet exclus.

Puteți selecta două modalități principale de filtrare a traficului - firewall-uri și rutare completă pe liste.

Filtrarea utilizând liste (ACL) vă permite să reduceți protocoalele secundare fără a deranja lucrarea TCP și fără a scădea viteza de acces la resursa protejată. Cu toate acestea, dacă hackerii folosesc botneturi sau cereri de înaltă frecvențăT. aceasta metoda Va fi ineficient.

Este mult mai bine să protejați împotriva atacurilor DDOS, dar singurele lor minus sunt că sunt destinate numai rețelelor private și non-profit.

Oglindă

Esența acestei metode este de a redirecționa întregul trafic primitor al atacatorului înapoi. Puteți face acest lucru, având servere puternice și specialiști competenți în prezența care nu numai că vor redirecționa traficul, ci vor putea să se ocupe de echipamentul atacatorului.

Metoda nu se potrivește dacă există erori în serviciile de sistem, codurile programului și alte aplicații de rețea.

Căutați vulnerabilități

Acest tip de protecție vizează corectarea exploatărilor, depanarea erorilor în aplicații și sisteme web, precum și alte servicii responsabile pentru traficul de rețea. Metoda este inutilă împotriva atacurilor de inundații care sunt direcționate către datele de vulnerabilitate.

Resurse moderne

100% protecție garantează că această metodă nu poate. Dar vă permite să efectuați mai eficient alte evenimente (sau complexe) pentru a preveni atacurile DDOS.

Distribuirea sistemelor și a resurselor

Duplicarea resurselor și distribuția sistemelor va permite utilizatorilor să lucreze cu datele dvs., chiar dacă în acest moment atacul DDOS este efectuat pe serverul dvs. Pentru distribuție, puteți utiliza diverse echipamente de server sau de rețea și, de asemenea, este recomandat să partajați serviciile fizic diferit în diferite sisteme duplicate (centre de date).

O astfel de metodă de apărare este cea mai eficientă astăzi, cu condiția ca proiectarea arhitecturală corectă să fie creată.

Evaziune

Caracteristica principală a acestei metode este ieșirea și separarea unui obiect atacat (nume de domeniu sau adresa IP), adică toate resursele de lucru de pe același site trebuie să fie împărțite și poziționate pe adrese de rețea terță parte sau chiar pe teritoriul un alt stat. Acest lucru vă va permite să supraviețuiți oricărui atac și să păstrați structura IT internă.

Servicii de protecție împotriva atacurilor

După ce a spus totul despre un astfel de atac, cum ar fi atacul DDOS (ceea ce este și cum să se ocupe de acesta), putem da în sfârșit un sfat bun. Multe organizații mari oferă serviciile lor pentru a preveni și a preveni astfel de atacuri. În cea mai mare parte, astfel de companii utilizează o întreagă gamă de măsuri și diverse mecanisme care vă permit să vă protejați afacerea de cele mai multe atacuri DDOS. Experții și cunoscătorii lucrează, prin urmare, dacă resursele dvs. sunteți scumpe, opțiunea este optimă (deși) un apel la una dintre aceste companii.

Cum să efectuați atacul DDOS cu propriile mâini

Este conștient, înseamnă armate - principiul potrivit. Dar amintiți-vă că organizarea intenționată a atacurilor DDOS este exclusiv sau un grup de persoane - o infracțiune penală, prin urmare, acest material este furnizat exclusiv familiarizării.

Muncitorii americani de prevenire a amenințărilor IT au dezvoltat un program de a testa stabilitatea încărcăturilor de servere și posibilitatea atacurilor DDOS de către atacatori cu eliminarea ulterioară a acestui atac.

Firește, mințile "fierbinți" au transformat această armă împotriva dezvoltatorilor înșiși și împotriva a ceea ce au luptat. Codul produsului Nume - LOIC. Acest program este în acces liber și, în principiu, nu este interzis prin lege.

Interfața și funcționalitatea programului sunt destul de simple, poate profita de oricine interesat de atacul DDOS.

Cum să faci totul? În loviturile de interfață, este suficient să introduceți victimele IP, apoi setați fluxurile TCP și UDP și numărul de solicitări. Voila - după apăsarea butonului prețuit, atacul a început!

Orice resurse serioase nu vor suferi în mod natural de acest software, dar mici pot prezenta unele probleme.

Qurator laboratoare, specializate în combaterea atacurilor DDOS și accesarea resurselor Internet, a înregistrat faptul că atacurile DDOS de mare viteză asupra celor mai mari resurse web utilizând tehnici de amplificare bazate pe memcache (software care implementează serviciul de cache de date în memorie cu acces aleator Pe baza unui tabel hash).

În perioada 23-27 februarie 2018, valul de memkache a fost laminat pe tot parcursul Europei atacurile DDOS amplificate. Tehnica unui astfel de atac este de a asculta atacatorii de trafic UDP supuși instalării parametrilor Memcache implicit, adică inundațiile UDP este de fapt utilizat - trimiterea setului de pachete FAKE UDP pe unitate de timp dintr-o gamă largă de IP adrese.

Problemele de securitate MEMCache sunt cunoscute cel puțin din 2014, însă, în 2018, această vulnerabilitate sa manifestat deosebit de intens: în noaptea de 25-26 februarie, specialiștii de laboratoare Qrator au observat o serie de atacuri DDOS amplificate pe tot parcursul Internetului, inclusiv atacurile Rusia cea mai mare resurse de rețea.

În 2017, un grup de cercetători de la echipa chineză Okee a vorbit despre posibilitatea de a organiza astfel de atacuri, indicând puterea lor potențial distructivă.

În ultimele zile, multe surse au confirmat faptul că atacul de răspunsuri amplificate din resursele MEMCache, cu atacuri de răspunsuri de la DNS și NTP. Sursele acestor atacuri spofed au fost un furnizor major OVH și un număr mare de furnizori de internet mai mici și gazde.

Unul dintre clienții companiei Quras Labs - sistem de plata Qiwi confirmă faptul că un atac neutralizat cu succes al unui trafic de 480 Gbps Band / S pe resursele sale de la amplificatoarele memcache compromise.

"Tehnicile moderne de implementare a atacurilor DDOS nu stau în picioare. Din ce în ce mai mult, am stabilit apariția unor noi "broși" în infrastructura internetului, care sunt utilizate cu succes de atacatori pentru a implementa atacuri. Atacurile care folosesc memcache, viteza a ajuns la câteva sute de GB / s, a devenit confirmată, - comentarii privind directorul general și fondatorul Qurator Labs Alexander Lyamin. - Resursele de memorie vulnerabile pe Internet o sumă imensă și recomandăm cu insistență specialiștii tehnici pentru a face configurația corectă a memcache-ului, fără a uita de instalațiile implicite. Acest lucru va ajuta la evitarea ascultării întregului trafic UDP trimis către server și reduce probabilitatea atacurilor DDOS ".

Despre Qurator Labs.

Laboratoarele Qrator - numărul unu în DDOS Countering în Rusia (conform IDC RUSIA Anti-DDOS Piața serviciilor 2016-2020 Prognoza și analiza 2015). Compania a fost înființată în 2009 și oferă serviciile de a contracara atacurile DDOS într-un complex cu soluții WAF (Web Application Firewall) organizate de tehnologia partenerului Wallarm. Pentru a contracara eficient atacurile DDOS, Qurator Labs utilizează propriile servicii de monitorizare globale ale Qurator.radar. Rețeaua de filtrare Qrator este construită pe nodurile situate în SUA, Rusia, UE și Asia, care, împreună cu algoritmi proprii de filtrare, este un avantaj competitiv al companiei.

Această organizație, pe lângă înregistrarea numelor de domenii din zona.tr, oferă, de asemenea, principala legătură către universitățile turcești. Realizatorii de acuzare anonimă acuzând conducerea turcă în sprijinul ISIL și-au asumat responsabilitatea.

Primele semne ale DDO-urilor s-au manifestat în dimineața zilei de 14 decembrie, de la prânz, cinci servere Nic.TR s-au predat sub atacul traficului de gunoi cu o capacitate de până la 40 GB / s. Problema a afectat, de asemenea, centrul de coordonare coaptă, oferind o infrastructură alternativă Nic.TR. Reprezentanții lui Ripe au remarcat că atacul a fost modificat în așa fel încât să ocolească protecția coaptă.

Atacurile DDOS la scară largă devin cele mai multe într-un mod eficient Curățați activitatea serviciilor web - Costul atacurilor este în mod constant scăzând, ceea ce vă permite să măriți puterea: În doar doi ani puterea medie a atacului DDOS a crescut în patru și 8 GB / s. În ceea ce privește valorile de atac medii, zona națională de domeniu a Turciei arată supremă, dar experții subliniază faptul că atacurile DDOS de 400 GB / S vor deveni în curând norma.

Unicitatea atacului turc este că atacatorii au ales obiectivul potrivit: concentrându-se pe un număr relativ mic de adrese IP, au fost capabili să eșueze practic infrastructura întregii țări folosind doar un atac de 40 de gigaiști.

Centrul de reacție al CyberInCidents a blocat toate traficul care intră în serverele Nic.TR din alte țări, motiv pentru care toate cele 400 de mii de site-uri turce au devenit inaccesibile și toate mesajele e-mail revenit la expeditori. Mai târziu, centrul a decis să schimbe tactica, efectuând o blocare selectivă a adreselor IP suspecte. Serverele DNS ale domeniilor din zonă .TR au fost reconfigurate pentru a distribui cereri între serverele publice și private, care au ajutat furnizorii de internet turci superonline și Vodafone.

Domeniile atacate s-au întors online în aceeași zi, dar multe site-uri și servicii de poștă electronică Câteva zile au lucrat cu întreruperi. Nu numai companiile locale și organizațiile guvernamentale au fost rănite, dar și multe resurse web naționale care aleg un nume de domeniu în zona.tr; În agregat este de aproximativ 400 de mii de site-uri web, dintre care 75% sunt corporative. Domeniul național turc utilizează, de asemenea, instituții de învățământ, municipalități și armate.

În timp ce "Anonymousss" nu a făcut o declarație, multe viniluri în atacul DDOS al rușilor - datorită relațiilor tensionate dintre Turcia și Rusia. La un moment dat, hackerii ruși din motive similare au fost suspectate de implicare în atacurile cibernetice la scară largă asupra Estoniei (2007), Georgia (2008) și Ucraina (2014). Unii experți au găsit răspunsul DDOS din Turcia la ruși la atacul DDOS al Cyber \u200b\u200bGrupuri din Turcia pe site-ul de știri ruse "Satellite".

Declarația anonimă a privat ipoteza "traseului rus" al fundației. Khakctiviștii amenință, de asemenea, să atace aeroporturile turcești, băncile, serverele de structuri guvernamentale și organizațiile militare, dacă Turcia nu va mai opri ajutorul lui Igil.

Situația economică instabilă din ultimii doi ani a condus la o creștere semnificativă a nivelului luptei competitive pe piață, ca urmare a creșterii popularității atacurilor DDOS - metoda eficientă. Aplicarea daunelor economice.

În 2016, numărul de ordine comerciale pentru organizarea atacurilor DDOS a crescut de mai multe ori. Atacurile Masive DDOS au trecut din zona influențelor politice punct, cum ar fi, de exemplu, în 2014, într-un segment de afaceri masiv. Sarcina principală a atacatorilor este cât mai repede posibil și cu costuri minime pentru a face o resursă inaccesibilă pentru a obține bani de la concurenți pentru acest lucru, pentru a se asigura că condițiile de extorcare etc. Atacurile DDOS sunt folosite din ce în ce mai activ, ceea ce stimulează căutarea pentru instrumentele din ce în ce mai mari de protecție a afacerilor.

În același timp, numărul de atacuri continuă să crească, chiar și în ciuda succesului vizibil în lupta împotriva DDOS. Potrivit lui Quras Labs, în 2015, cantitatea de atacuri DDOS a crescut cu 100%. Și nu este surprinzător, deoarece costul lor a scăzut la aproximativ 5 dolari pe oră, iar instrumentele lor de implementare au mers pe o piață neagră masivă. Indicăm câteva tendințe de bază ale atacurilor distribuite care vizează refuzul de a menține, care sunt proiectate pentru următorii câțiva ani.

Atac Amplificarea UDP

Atacurile destinate epuizării capacității canalului includ amplificarea UDP. Astfel de incidente au fost cele mai frecvente în 2014 și au devenit o tendință strălucitoare din 2015. Cu toate acestea, numărul lor a atins deja vârful său și se duce treptat la o scădere - o resursă pentru realizarea unor astfel de atacuri nu este doar finală, ci și scade brusc.

Sub amplificator se înțelege un serviciu public UDP care funcționează fără autentificare, care într-o mică interogare poate fi trimisă mai mult decât un răspuns mai mare. Atacând, trimiterea unor astfel de solicitări, înlocuiește adresa IP la adresa IP a victimei. Ca rezultat, traficul invers, mult mai mult de lățimea de bandă a canalului atacatorului, este redirecționat către resursa Web a victimei. Pentru participarea nevalidă la atacuri, sunt utilizate serverele DNS, NTP-, SSDP și alte servere.

Atacurile asupra aplicațiilor web la L7

Datorită reducerii numărului de amplificatoare în prim plan, organizarea de atacuri asupra aplicațiilor web la nivelul L7 folosind botnetele clasice. După cum știți, BotNet este capabil să efectueze atacuri de rețea pe comenzile de la distanță, iar proprietarii de computere infectate nu pot să suspecteze despre asta. Ca urmare a supraîncărcării cererilor de "coș de gunoi" pentru recursul utilizatorilor legitimi, nu există niciun răspuns fără răspuns sau răspunsurile necesită un inutil decât un timp mare de timp.

Astăzi, botnetele devin mai inteligente. Atunci când se organizează atacurile corespunzătoare, este acceptată tehnologia de stivă de browser complet, adică emularea completă a unui computer personalizat, browser, script Java care lucrează. Astfel de tehnici vă permit să ascundeți perfect atacurile L7. Distingerea manuală a botului de la utilizator este aproape imposibil. Acest lucru necesită sisteme care utilizează tehnologia de învățare a mașinilor, datorită căruia crește nivelul de combatere a atacurilor, mecanismele sunt îmbunătățite, iar precizia testelor crește.

Problemele BGP

În 2016, a apărut o nouă tendință - atacuri asupra infrastructurii rețelei, inclusiv pe baza utilizării vulnerabilităților BGP. Problemele protocolului de rutare a BGP, care se bazează pe întregul internet, au fost cunoscute de mai mulți ani, dar în ultimii ani se duc din ce în ce mai mult la consecințe negative grave.

Anomaliile de rețea asociate cu rutarea pe un nivel de rețea interdomenului sunt capabile să afecteze un număr mare de gazde, rețele și chiar conectivitate globală și accesibilitate la internet. Cel mai tipic tip de probleme este scurgerile de rute - "scurgeri" ale traseului, care apare ca urmare a anunțului său în direcția greșită. În timp ce vulnerabilitățile BGP sunt rareori utilizate în mod intenționat: costul organizării unui astfel de atac este destul de ridicat, iar incidentele apar în principal datorită erorilor banale din setările de rețea.

Cu toate acestea, în ultimii ani, amploarea grupurilor criminale organizate pe internet a crescut semnificativ, prin urmare, potrivit laboratoarelor Qrator, atacurile legate de problemele BGP vor fi deja populare în viitorul previzibil. Un exemplu luminos este "deturnarea" adreselor IP (deturnare) de către o binecunoscută echipă de hacking cybergroup, realizată sub comanda de stat: Poliția italiană trebuia să controleze mai multe computere, cu privire la proprietarii de acțiuni de investigație.

IncidenteTCP.

Stack-ul de rețea al sistemului TCP / IP are o serie de probleme care deja în anul curent vor fi deosebit de acute. Pentru a menține creșterea rapidă a vitezei, infrastructura Internet trebuie actualizată în mod constant. Viteza conexiunii fizice la Internet crește la fiecare câțiva ani. La începutul anilor 2000. Standardul a fost de 1 Gbit / s, astăzi cea mai populară interfață fizică este de 10gbit / s. Cu toate acestea, introducerea în masă a unui nou standard de îmbinare fizică, 100 Gbit / s, care generează probleme cu un protocol TCP / IP depășit, care nu este conceput pentru astfel de viteze mari.

De exemplu, devine posibil în câteva minute pentru a selecta un număr de secvență TCP - un identificator numeric unic, care permite partenerilor TCP / IP (sau mai degrabă) pentru a efectua autentificarea reciprocă în momentul instalării conexiunii și a datelor de schimb , menținând în același timp ordinea și integritatea. La viteza liniei de 100 GB / s în fișierele jurnal de server TCP despre conexiunea deschisă și / sau datele trimise peste aceasta, nu se asigură că adresa IP fixă \u200b\u200ba instalat cu adevărat conexiunea și a transmis aceste date. În consecință, se deschide posibilitatea de a organiza atacuri de clasă noi, iar eficiența firewall-urilor poate reduce semnificativ.

Vulnerabilitățile TCP / IP atrag atenția multor cercetători. Ei cred că în 2016 vom auzi despre atacurile "puternice" legate de funcționarea acestor "găuri".

Viitorul în apropiere

Astăzi, dezvoltarea tehnologiilor și a amenințărilor nu apare pe spirala "clasică", deoarece sistemul nu este închis - există mulți factori externi. Ca rezultat, se obține o spirală cu o amplitudine extinsă - se ridică, complexitatea atacului este în creștere, iar acoperirea tehnologiei se extinde semnificativ. Observăm mai mulți factori care au un impact grav asupra dezvoltării sistemului.

Principalul ele este cu siguranță - migrația la noul protocol de transport IPv6. La sfârșitul anului 2015, protocolul IPv4 a fost recunoscut ca fiind depășită, iar IPv6 vine în prim plan, ceea ce aduce cu noi provocări noi: acum fiecare dispozitiv are o adresă IP și se pot conecta direct unul la celălalt. Da, apar noi recomandări cu privire la modul în care dispozitivele finale ar trebui să funcționeze, dar, deoarece industria va face față tuturor acestora, în special operatorilor de telecomunicații, segmentului de produse de masă și furnizorilor chinezi, este o întrebare deschisă. IPv6 schimbă radical regulile jocului.

O altă provocare este o creștere semnificativă a rețelelor mobile, a vitezei lor și a "rezistenței". Dacă botnetul mobil a creat probleme, în primul rând, operatorul de comunicare în sine, acum, când conexiunea 4G devine mai rapidă decât internetul cu fir, rețelele mobile cu un număr mare de dispozitive, inclusiv producția chineză, sunt transformate într-o platformă excelentă pentru atacurile DDO și Hacker. Și problemele apar nu numai la operatorul de telecomunicații, ci și printre alți participanți la piață.

O amenințare serioasă este lumea emergentă a internetului lucrurilor. Se deschid noi vectori de atac, deoarece sunt deschise un număr mare de dispozitive și utilizarea tehnologiei de comunicații fără fir pentru hackeri cu adevărat nelimitat perspective. Toate dispozitivele conectate la Internet pot deveni parte din infrastructura intrușilor și pot fi implicați în atacurile DDOS.

Din păcate, producătorii de toate tipurile de aparate de uz casnic conectate la rețea (cazane, televizoare, mașini, multi-valute, scale, prize "inteligente" etc.) nu asigură întotdeauna nivelul adecvat al protecției lor. Adesea, versiunile mai vechi ale sistemelor de operare populare sunt folosite în astfel de dispozitive, iar furnizorii nu-și pasă de actualizarea lor regulată - înlocuirea versiunilor în care vulnerabilitățile sunt eliminate. Și dacă dispozitivul este popular și utilizat pe scară largă, hackerii nu vor pierde ocazia de a-și exploata vulnerabilitățile.

Harbangerii de probleme IOT au apărut deja în 2015 Conform datelor preliminare, ultimul atac asupra divertismentului Blizzard a fost efectuat utilizând dispozitivele de clasă IOT. Codul rău intenționat a fost înregistrat, funcționând pe ceainicule moderne și becurile luminoase. Sarcina hackerilor simplifică chipset-urile. Nu cu mult timp în urmă, a fost eliberat un chipset ieftin, destinat diferitelor echipamente, care pot "comunica" cu Internetul. Astfel, atacatorii nu au nevoie pentru a hack 100 mii de firmware personalizat - este suficient pentru a "sparge" un chipset și a accesa toate dispozitivele care se bazează pe ea.

Se preconizează că toate smartphone-urile bazate pe mai în vârstă versiuni Android.va consta dintr-un singur botnet. Toate prizele "inteligente", frigidere și altele aparate. După câțiva ani, așteaptă un botnet de fierbere, radionii și multicurok. "Internetul lucrurilor" ne va aduce nu numai comoditatea și oportunitățile suplimentare, ci și o mulțime de probleme. Când lucrurile din Iot vor avea multe și fiecare PIN va fi capabil să trimită 10 octeți, vor trebui rezolvate noi provocări de securitate. Și acest lucru ar trebui să fie pregătit astăzi.

Introducere

Imediat, faceți o rezervare că atunci când am scris această recenzie, am concentrat mai întâi publicul, dezmembrarea în specificul funcționării operatorilor de telecomunicații și a rețelelor de transmisie a datelor. Acest articol prezintă principiile de bază ale protecției împotriva atacurilor DDOS, istoria dezvoltării lor în ultimul deceniu, iar situația este în prezent.

Ce este DDOS?

Probabil despre ceea ce este un atac DDOS, astăzi știe dacă nu fiecare "utilizator", atunci în orice caz - fiecare "ea". Dar câteva cuvinte trebuie să spună.

Atacurile DDOS (refuzul distribuit al serviciului - Class Class Class Class - Acestea sunt atacuri asupra sistemelor de calcul (resurse de rețea sau canale de comunicare), menite să le facă inaccesibile utilizatorilor legitimi. Atacurile DDOS sunt expediate simultan către o anumită resursă a unui număr mare de solicitări din unul sau mai multe computere situate pe Internet. Dacă mii, zeci de mii sau milioane de computere vor începe simultan trimiterea solicitărilor unui anumit server (sau serviciu de rețea), acesta nu va suferi fie serverul, fie nu are suficientă lățime de bandă a canalelor de comunicare la acest server. În ambele cazuri, utilizatorii de Internet nu vor putea accesa serverul la serverul atacat sau chiar la toate serverele și alte resurse conectate printr-un canal de comunicare blocat.

Unele caracteristici ale atacurilor DDOS

Împotriva nimănui și în ce scop este lansarea atacurilor DDOS?

Atacurile DDOS pot fi executate împotriva oricărei resurse prezentate pe Internet. Cele mai mari daune de la atacurile DDOS primesc organizații a căror afaceri este direct legată de internet - bănci (furnizarea de servicii bancare pe Internet), cumpărături online, motive comerciale, licitații, precum și alte activități, activitatea și eficacitatea cărora depind în mod semnificativ de reprezentarea pe Internet (Airstrms de călătorie, companii aeriene, producători de echipamente etc.) Atacurile DDOS sunt lansate în mod regulat împotriva resurselor unor astfel de giganți ai Industria IT a IT, cum ar fi IBM, Cisco Systems, Microsoft și alții. Un atac de ddos \u200b\u200bmasiv împotriva ebay.com, Amazon.com, multe bănci și organizații celebre au fost observate.

Foarte des, atacurile DDOS sunt lansate împotriva reprezentărilor web ale organizațiilor politice, instituțiilor sau personalităților individuale cunoscute. Mulți oameni știu despre atacurile DDOS masive și lungi care au fost lansate împotriva site-ului web al președintelui georgian în timpul războiului georgian-ossetian din 2008 (site-ul web nu a fost disponibil timp de câteva luni din august 2008), împotriva serverelor guvernamentale estoniene (în primăvară 2007, în timpul revoltelor asociate cu transferul unui soldat de bronz), despre atacurile periodice de către segmentul de rețea nord-coreeană împotriva siturilor americane.

Obiectivele principale ale atacului DDOS sunt fie extragerea beneficiilor (directe sau indirecte) prin șantaj și extorcare sau persecuția intereselor politice, descărcarea de gestiune a situației, răzbunarea.

Care sunt mecanismele de lansare DDOS-Atacks?

Cea mai populară și mai periculoasă modalitate de a lansa atacul DDOS este utilizarea de botneturi (botneturi). Botnet este o mulțime de computere pe care sunt instalate marcaje software speciale (Bots), traduse din botnetele englezești este o rețea de roboți. Bots sunt, de obicei, proiectate de hackeri individual pentru fiecare botnet și au scopul principal de a trimite cereri către o anumită resursă de internet a comenzii primite de la Botnet Management Server și server de comandă BotNet. Un controler de botnet gestionează un hacker sau o persoană care a cumpărat acest botnet de la un hacker și abilitatea de a conduce un atac DDOS. Bots se aplică internetului în diverse moduri, ca regulă - prin atacuri asupra computerelor care au servicii vulnerabile și instalarea marcajelor software sau prin înșelăciune utilizatorii și coerciția lor pentru a instala Bots sub Guise de alte servicii sau software care efectuează destul de inofensiv sau chiar caracteristică utilă. Metodele de diseminare a roboților sunt multe, noile modalități sunt inventate în mod regulat.

Dacă un botnet este suficient de mare - zeci sau sute de mii de computere - apoi trimiterea simultană de la toate aceste computere chiar și solicitări destul de legitime în direcția unui anumit serviciu de rețea (de exemplu, serviciul web pe un anumit site) va duce la epuizarea de resurse sau de serviciu sau de server sau la oportunități de epuizare a canalului. În orice caz, serviciul va fi indisponibil utilizatorilor, iar proprietarul serviciului va suporta pierderi drepte, indirecte și reputaționale. Și dacă fiecare dintre computere nu trimite nici o cerere, și zeci, sute sau mii de cereri pe secundă, atunci atacul forței de impact crește de mai multe ori, ceea ce face posibilă ridicarea chiar și cele mai productive resurse sau canale de comunicare.

Unele atacuri sunt lansate mai multe moduri "inofensive". De exemplu, mulțimea flash a utilizatorilor anumitor forumuri, care prin acordul de lansare la un anumit timp "Ping" sau alte cereri de la computerele lor către un anumit server. Un alt exemplu este plasarea legăturilor către site-ul web pe resursele de Internet populare, ceea ce determină afluxul utilizatorului la serverul țintă. Dacă linkul "fals" (extern arată ca o legătură cu o resursă și, de fapt, se referă la un server complet diferit) se referă la site-ul unui site mic, dar este postat pe servere sau forumuri populare, un astfel de atac poate provoca un aflux nedorit a vizitatorilor acestui site.. Atacurile din ultimele două tipuri rar conduc la încetarea disponibilității serverelor pe site-uri de găzduire bine organizate, dar astfel de exemple au fost și chiar în Rusia în 2009.

Mijloacele tehnice tradiționale de protecție împotriva atacurilor DDOS vor ajuta?

Caracteristica atacului DDOS este că ele constau dintr-o varietate de solicitări simultane, dintre care fiecare individual "este ușor", aceste interogări trimit computere (infectate cu roboți), care pot fi destul de comune să aparțină celor mai frecvente reale sau potențialii utilizatori ai serviciului sau a resurselor atacate. Prin urmare, este foarte dificil să se identifice că atacul DDOS este corect identificat și filtru. Sisteme standard Clasa IDS / IPS (Sistemul de detectare / prevenire a intruziunilor - Sistemul de detectare / prevenire a atacului de rețea) nu va găsi în aceste interogări ale "compoziției criminalității", nu va înțelege că fac parte din atac, cu excepția cazului în care acestea îndeplinesc o analiză calitativă a traficului anomalii. Și chiar dacă găsesc, atunci cererile inutile nu sunt, de asemenea, simple - firewall-uri standard și routere filtrează trafic pe baza listelor de acces bine definite (reguli de control) și nu știu cum să se adapteze dinamic la profilul un atac deosebit. Firewall-urile pot ajusta fluxurile de trafic bazate pe criterii, cum ar fi adresele expeditorului utilizate. servicii de rețea, porturi și protocoale. Dar utilizatorii obișnuiți de Internet participă la atacul DDOS, care trimite cereri pentru cele mai frecvente protocoale - nu va fi același operator de comunicare pentru a interzice totul și totul? Apoi, el va înceta pur și simplu să ofere servicii de comunicare abonaților săi și va înceta să ofere acces la resursele de rețea deservite de aceștia, care, de fapt, realizează inițiatorul atacului.

Mulți specialiști sunt, probabil, conștienți de existența unor soluții speciale pentru a proteja împotriva atacurilor DDOS, care sunt descoperite de anomalii în trafic, construind un profil de trafic și un profil de atac și procesul ulterior de filtrare dinamică a traficului multi-etape. Și voi vorbi, de asemenea, despre aceste decizii în acest articol, dar oarecum mai târziu. Și mai întâi vor fi descrise despre măsuri mai puțin cunoscute, dar uneori destul de eficiente, care pot fi acceptate pentru a suprima atacurile DDOS cu mijloacele existente de rețea de date și administratorii săi.

Protecția împotriva atacurilor DDOS sunt disponibile

Există destul de puține mecanisme și "trucuri", permițând în anumite cazuri pentru a suprima atacurile DDOS. Unele pot fi utilizate numai dacă rețeaua de date este construită pe echipamentul unui anumit producător, mai mult sau mai puțin universal.

Să începem cu recomandările sistemelor Cisco. Specialiștii acestei companii recomandă asigurarea protecției fundației rețelei pentru a proteja protecția fundației de rețea, care include protecția la nivel de administrare a rețelei (planul de control), nivelul de gestionare a rețelei (plan de management) și nivelul de date al rețelei (planul de date).

Protecția planului de management (plan de management)

Termenul "nivel de administrare" acoperă tot traficul care oferă routere de control sau de monitorizare și alte echipamente de rețea. Acest trafic este trimis către router sau vine de la router. Exemple de astfel de trafic sunt sesiunile Telnet, SSH și HTTP (S), mesajele Syslog, SNMP-LADS. Cele mai bune practici comune includ:

Furnizarea de protocoale de securitate și monitorizare maximă, utilizarea criptării și autentificării:

  • protocolul SNMP V3 oferă instrumente de protecție, în timp ce SNMP V1 practic nu oferă, iar SNMP V2 oferă doar parțial - valoarea comunitară implicită trebuie să fie întotdeauna modificată;
  • ar trebui utilizate diferite valori pentru comunitatea publică și privată;
  • protocolul Telnet transmite toate datele, inclusiv numele de utilizator și parola, în formularul deschis (dacă traficul este interceptat, aceste informații pot fi ușor preluate și utilizate), se recomandă utilizarea protocolului SSH V2;
  • În mod similar, în loc de HTTP, utilizați HTTPS pentru a accesa echipamentul; controlul strict al accesului la hardware, inclusiv parola adecvată, autentificarea centralizată, autorizația și contul (modelul AAA) și autentificarea locală în scopuri de rezervare;

Implementarea modelului de acces al rolului de rol;

Controlul conexiunilor permise la adresa sursă utilizând listele de control al accesului;

Dezactivați serviciile neutilizate, dintre care multe sunt activate în mod implicit (sau au uitat să dezactiveze după diagnosticarea sau configurarea sistemului);

Monitorizarea utilizării resurselor echipamentelor.

În ultimele două puncte merită să stați mai detaliat.
Unele servicii care sunt activate implicit sau care au uitat să se oprească după configurarea sau diagnosticarea echipamentelor pot fi utilizate de intruși pentru a ocoli regulile de siguranță existente. Lista acestor servicii de mai jos:

  • Pad (asamblator / dezasamblare);

Firește, înainte de a opri aceste servicii, trebuie să analizați cu atenție absența nevoii lor de rețea.

Este de dorit să se monitorizeze utilizarea resurselor echipamentelor. Acest lucru va permite, mai întâi, să observe supraîncărcarea elemente individuale Rețele și să ia măsuri pentru a preveni accidentele și, în al doilea rând, detectează atacurile DDOS și anomaliile dacă detectarea acestora nu este prevăzută de mijloace speciale. La minimum, se recomandă monitorizarea:

  • Încărcarea procesorului
  • utilizarea memoriei
  • Încărcarea interfețelor de routere.

Monitorizarea poate fi "manual" (urmărirea periodică a stării echipamentului), dar este mai bine să se facă mai bine să faceți cu sistemele speciale de monitorizare a rețelei sau de monitorizare securitatea informațiilor (Acesta din urmă se referă la Cisco Marte).

Planul de control (planul de control)

Nivelul de gestionare a rețelei include tot traficul de servicii care asigură funcționarea și conectivitatea rețelei în conformitate cu topologia și parametrii specificați. Exemple de trafic de control al traficului sunt: \u200b\u200btoate traficul generat sau destinat procesorului de rutare (procesor de rută - RR), inclusiv toate protocoalele de rutare, în unele cazuri - protocoalele ssh și SNMP, precum și ICMP. Orice atac asupra funcționării procesorului de rutare și, în special, atacurile DDOS, poate implica probleme și întreruperi semnificative în funcționarea rețelei. Mai jos sunt descrise cele mai bune practici pentru a proteja nivelul de control.

Controlați poliția plană.

Este de a utiliza mecanismele QoS (calitatea serviciului - calitatea serviciului) pentru a oferi o prioritate mai mare nivelului de control al nivelului de control decât traficul de utilizator (parte din care sunt atacuri). Acest lucru va asigura activitatea protocoalelor de servicii și a procesorului de rutare, adică menținerea topologiei și conectivității rețelei, precum și rutarea și comutarea corespunzătoare a pachetelor.

IP primește ACL.

Această funcție permite filtrarea și controlul traficului de servicii destinat procesorului de router și de rutare.

  • acesta este deja aplicat direct pe echipamente de rutare înainte ca traficul să ajungă la procesorul de rutare, oferind protecție "personalizată";
  • aplicată după ce traficul a trecut listele obișnuite de control al accesului - sunt ultimul nivel de protecție pe drumul către procesorul de rutare;
  • aplicați la întregul trafic (și intern și extern și tranzit către rețeaua operatorului de rețea).

Infrastructura ACL.

De obicei, accesul la adresele proprii ale aparatelor de router este necesar numai pentru gazdele din rețeaua proprie a operatorului de rețea, însă există excepții (de exemplu, EBGP, GRE, IPv6 pe tunel IPv4 și ICMP). Controlul accesului la infrastructură:

  • instalat de obicei la granița rețelei de operator de rețea ("la intrarea în rețea");
  • sunt destinate să prevină accesul la gazdele externe la adresa infrastructurii operatorului;
  • furnizați traficul de tranzit neîngrijit peste granița rețelei de operator;
  • furnizați mecanisme de protecție de bază din activitatea de rețea neautorizată, descrisă în RFC 1918, RFC 3330, în special, protecția împotriva spoofingului (spoofing, folosind adrese IP sursă falsă pentru a deghiza atunci când porniți atacul).

Autentificarea vecinului.

Scopul principal al autentificării routerelor vecine este de a preveni atacurile în ceea ce privește protocoalele false de rutare pentru schimbarea rutării în rețea. Astfel de atacuri pot duce la o penetrare neautorizată într-o rețea, o utilizare neautorizată. resurse de rețea, precum și faptul că atacatorul va captura traficul pentru a analiza și a obține informațiile necesare.

Configurarea BGP.

  • filtrarea prefixelor BGP (filtre prefixe BGP) - utilizate astfel încât informațiile despre rețeaua internă a operatorului de comunicații să nu distribuie internetul (uneori aceste informații pot fi foarte utile pentru atacator);
  • restricționarea numărului de prefixe care pot fi acceptate de la un alt router (prefix limitarea) - utilizat pentru a proteja împotriva atacurilor DDOS, a anomaliei și a defecțiunilor în rețelele partenere Pyring;
  • utilizarea parametrilor comunității BGP și filtrarea acestora poate fi, de asemenea, utilizată pentru a limita distribuția informațiilor despre traseu;
  • monitorizarea și compararea datelor BGP cu trafic observate sunt unul dintre mecanismele de detectare precoce a atacurilor DDOS și a anomaliei;
  • filtrarea prin parametru TTL (Time-to-Live) - Folosit pentru a verifica partenerii BGP.

Dacă atacul asupra protocolului BGP este lansat din rețeaua Partener de Piace, dar dintr-o rețea mai îndepărtată, parametrul TTL la pachetele BGP va fi mai mic de 255. Puteți configura routerele de frontieră ale operatorului de telecomunicații, astfel încât acestea să renunțe la toate BGP pachete cu valoarea TTL.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Protecția la nivelul datelor (planul de date)

În ciuda importanței protecției nivelului de administrare și control, cea mai mare parte a traficului în rețeaua de operator de rețea este date, tranzit sau detectate pentru abonații acestui operator.

Unicast Reverse Tray Forwarding (URPF)

Adesea, atacurile au început să folosească o tehnologie de spionaj (spoofing) - adresele IP sursă sunt falsificate astfel încât sursa atacului să fie imposibil de urmărit. Adresele IP falsificate pot fi:

  • de la spațiul de adrese efectiv utilizat, dar într-un alt segment de rețea (în segmentul în care se desfășura atacul, aceste adrese false nu sunt rutate);
  • din spațiul de adrese neutilizat în această rețea;
  • din spațiul de adrese care nu este direcționat pe internet.

Implementarea privind routerele mecanismului URPF va împiedica rutarea pachetelor cu adresele sursă care sunt incompatibile sau neutilizate în segmentul rețelei din care au intrat în interfața routerului. Această tehnologie poate filtra uneori în mod eficient traficul nedorit cel mai apropiat de sursa sa, adică cea mai eficientă. Multe atacuri DDOS (inclusiv rețele de inundații smurf și tribale) utilizează un mecanism de cablare și o schimbare constantă a adreselor de sursă pentru a înșela mijloace standard Protecția și filtrarea traficului.

Folosind mecanismul URPF de către operatorii de telecomunicații care oferă abonaților accesul la Internet va împiedica în mod eficient atacurile DDOS utilizând o tehnologie de spoofing regizat de propriii săi abonați împotriva resurselor de Internet. Astfel, atacul DDOS este suprimat cel mai aproape de sursa sa, adică cel mai eficient.

Receptinerul a declanșat neglijele (RTBH)

ReceetNet declanșate Blackholes sunt folosite pentru a "scăpa" (distrugerea, trimiterea "la nicăieri") care intră în rețea prin rutarea acestui trafic la interfețele speciale Null 0. Această tehnologie este recomandată pentru a fi utilizată pe limita rețelei pentru a reseta atacul de trafic DDOS când este introdus în rețea. Restricția (și esențială) a acestei metode este că se aplică întregului trafic destinat unei anumite gazde sau gazde, care este scopul atacului. Astfel, această metodă poate fi utilizată în cazurile în care un atac masiv este expus la unul sau mai mulți gazde, ceea ce provoacă probleme nu numai pentru gazdele atacate, ci și pentru alți abonați și rețele de operațiuni de rețea în general.

Găurile negre pot fi controlate atât manual, cât și prin intermediul protocolului BGP.

Propagarea politicii QoS prin intermediul BGP (QPPB)

Controlul QOS prin intermediul BGP (QPPB) este destinat să gestioneze politicile prioritare pentru traficul destinat unui anumit sistem autonom sau blochează adresele IP. Acest mecanism poate fi foarte util pentru operatorii de telecomunicații și întreprinderile mari, inclusiv pentru a gestiona nivelurile prioritare pentru traficul nedorit sau traficul care conține un atac DDOS.

Chiuvete.

În unele cazuri, este necesar să nu eliminați complet traficul folosind găuri negre, ci să îl îndepărtați de principalele canale sau resurse pentru monitorizarea și analiza ulterioară. Este vorba de acest "canale de prindere" sau găuri de chiuvete.

Găurile de chiuvete sunt cele mai des utilizate în următoarele cazuri:

  • pentru a elimina în partea și analiza traficului cu adresele destinației, care aparțin spațiului de adresă al rețelei operatorului de rețea, dar în același timp nu sunt utilizate cu adevărat (nici echipamentele sau utilizatorii nu au fost evidențiate); Un astfel de trafic este a priori suspectat, deoarece adesea mărturisește să încerci să scaneze sau să pătrundă în rețea un atacator care nu are informații detaliate despre structura sa;
  • pentru a redirecționa traficul din scopul atacului, care funcționează efectiv în rețeaua operatorului de resurse, pentru monitorizarea și analiza acestuia.

Protecția DDOS utilizând mijloace speciale

Cisco Clean Concept Concept - Sport din industrie

Conceptul modern de protecție împotriva DDO-ACTOCK a dezvoltat (da, da, nu sunteți surprins! :)) Compania Cisco Systems. Dezvoltat de Cisco, conceptul a fost numit Cisco Clean Țevi ("Canale purificate"). În conceptul dezvoltat de aproape 10 ani în urmă, principiile de bază și tehnologia de protecție împotriva anomaliilor anormale în trafic, majoritatea fiind folosite astăzi, inclusiv alți producători, au fost descrise în detaliu.

Conceptul de țevi Cisco Clean sugerează următoarele atacuri DDOS de detectare și supresie Principii.

Punctele sunt selectate (site-uri de rețea), traficul în care este analizat pentru identificarea anomaliei. În funcție de faptul că protejăm, cu astfel de puncte pot exista conexiuni ale operatorului de comunicații cu operatori superiori, punctele de conectare ale afirmațiilor inferioare sau abonaților, canalele pentru conectarea centrelor de date în rețea.

Detectoarele speciale analizează traficul la aceste puncte, pentru a construi (studi) profilul de trafic în starea sa normală, când apare atacul DDOS sau anomalia - detectarea acestuia, studiile și formați dinamic caracteristicile sale. În plus, informațiile sunt analizate de către operatorul de sistem și într-un mod semi-automatic sau automat, procesul de suprimare a atacului este pornit. Suprimarea este că traficul destinat "victimei" este redirecționat dinamic prin dispozitivul de filtrare, pe care se formează filtrele formate de detector și reflectând caracterul individual al acestui atac acest trafic. Traficul purificat este introdus în rețea și trimis către destinatar (deoarece conductele curate originare - Abonatul primește un "canal curat" care nu conține un atac).

Astfel, întregul ciclu de protecție a atacurilor DDOS include următoarele etape principale:

  • Caracteristicile de control al traficului (profilare, învățare de bază)
  • Detectarea detectării și anomaliei (detecție)
  • Redirecționarea distribuției pentru a trece prin dispozitivul de curățare (Diversion)
  • Filtrarea traficului pentru a suprima atacurile (atenuarea)
  • Introduceți traficul înapoi la rețea și trimiterea destinatarului (injecție).

N Caracteristici esențiale.
Două tipuri de dispozitive pot fi utilizate ca detectori:

  • Detectoare de producție Cisco Systems - Cisco Trafic Detector Detector Module Module destinate instalării în șasiul Cisco 6500/7600.
  • ARBOR Rețele de producție Detectoare de producție - Dispozitive SP CP Arbor Peakflow SP CP.

Mai jos este un tabel care compară detectoarele Cisco și Arbor.

Parametru

Detector de anomalie de trafic Cisco

Arbor Peakflow SP CP

Primirea informațiilor de trafic pentru analiză

Copie a traficului a fost alocată pe șasiul Cisco 6500/7600

NetFlow-date privind traficul primit de la routere este permisă pentru a regla proba (1: 1, 1: 1 000, 1: 10.000, etc.)

Principiile de detectare utilizate

Analiza alarmei (detectarea abuzivă) și detectarea anomaliei (dinamicprofil)

În principal, detectarea anomaliei; Analiza anterioară este folosită, dar semnăturile sunt generale

FORMULAR FACTORULUI

module de service în șasiul Cisco 6500/7600

dispozitive separate (servere)

Performanţă

Traficul de testare până la 2 Gbps

Practic nelimitat (puteți reduce rata de eșantionare)

Scalabilitate

Instalare de până la 4 moduleCisco.DetectorSm. Un șasiu (cu toate acestea, modulele acționează independent unul de celălalt)

Abilitatea de a utiliza mai multe dispozitive într-un sistem de analiză unică, dintre care unul este atribuit statutului liderului

Monitorizarea traficului și rutării

Funcționalitatea este practic absentă

Funcționalitatea este foarte dezvoltată. Mulți operatori de telecomunicații cumpără Arbor Peakflow SP datorită funcționării profunde și dezvoltate cu privire la monitorizarea traficului și a rutei în rețea

Furnizarea portalului (interfață individuală pentru un abonat pentru a monitoriza numai partea relativă a rețelei direct la aceasta)

Nu e disponibil nu e asigurat nu e prevazut

Furnizate. Este un avantaj serios al acestei soluții, deoarece operatorul de comunicare poate vinde servicii individuale de protecție a DDOS abonaților lor.

Dispozitive de curățare a traficului compatibil (suprimarea atacului)

Cisco. Modulul de servicii de pază.

 Arbor Peakflow SP TMS; Modulul de servicii Cisco Guard.
Protecția centrelor de date (centru de date) la conectarea la Internet Monitorizarea conexiunilor în aval ale rețelelor de abonat la rețeaua de operator de rețea Detectarea atacurilorÎn amonte- Operatorul de rețea de conexiuni la rețelele de furnizori mai mari Monitorizarea operatorului de rețea
Ultimul rând al tabelului arată utilizarea detectorilor Cisco și a arborelui, care au fost recomandate de Cisco Systems. Datele scriptului se reflectă în următoarea schemă.

Ca dispozitiv Cisco de curățare a traficului, se recomandă utilizarea modulului de service Cisco Guard, care este instalat în șasiul Cisco 6500/7600 și comanda primită de la detectorul detectorului Cisco sau cu arborele Peakflow SP CP este o redirecționare dinamică, curățarea și Intrarea inversă a traficului în rețea. Mecanismele de redirecționare sunt fie actualizate BGP către routere mai mari, fie manageri direcți față de supraveghetor utilizând protocolul proprietar. Când utilizați actualizările BGP, routerul din amonte este indicat de noua valoare NEX-HOP pentru traficul care conține atacul - astfel încât acest trafic cade pe serverul de curățare. În același timp, este necesar să se ocupe de faptul că aceste informații nu implică organizarea bucla (astfel încât routerul din aval să nu încerce să completeze acest trafic pe dispozitivul de curățare atunci când îl introduceți pentru a fi curățat). În acest scop, mecanismele de control al distribuției actualizărilor BGP în funcție de parametrul comunitar sau utilizarea tunelurilor GREN la intrarea în traficul curățat.

O astfel de stare de lucruri a existat până când rețelele Arbor a extins semnificativ linia de produs peakflow SP și nu a mers pe piață cu o decizie complet independentă privind protecția împotriva atacurilor DDOS.

Arbor Peakflow SP TMS Aspect

Cu câțiva ani în urmă, Rețelele Arbor a decis să-și dezvolte linia de produse pentru a proteja împotriva atacurilor DDOS pe cont propriu și, indiferent de ritmul și politica de dezvoltare a acestei direcții de la Cisco. Soluțiile PEAKFLOW SP CP au avantaje fundamentale față de detectorul Cisco, deoarece au analizat informațiile cu flux cu posibilitatea de a reglementa frecvența eșantionului, ceea ce înseamnă că nu au existat restricții privind utilizarea operatorilor de comunicații în rețele și pe canalele de trunchi (spre deosebire de Cisco Detector, care analizează o copie de trafic). În plus, avantajul serios al lui Peakflow SP a fost posibilitatea ca operatorii să vândă servicii de monitorizare individuală abonaților și să-și protejeze segmentele de rețea.

Având în vedere aceste sau alte considerente, Arbor a extins semnificativ linia de produs peakflow SP. Au apărut o serie de dispozitive noi:

Peakflow SP TMS (Sistem de management al amenințărilor) - furnizează atacuri DDOS prin filtrare în mai multe etape pe baza datelor obținute de la Peakflow SP CP și de la laboratorul de azert, deținute de rețelele arbore și monitorizarea și analizarea atacurilor DDOS pe Internet;

Peakflow SP BI (Business Intelligence)- dispozitivele care furnizează scalare a sistemului, creșterea numărului de obiecte logice care trebuie monitorizate și furnizând redundanță date colectate și analizate;

Peakflow SP PI (interfața portalului)- dispozitivele care furnizează o creștere a abonaților care au o interfață individuală pentru gestionarea propriului lor siguranță;

Peakflow SP FS (cenzor de curgere)- Dispozitive care asigură monitorizarea routerelor abonaților, a conexiunilor la rețelele inferioare și centrele de prelucrare a datelor.

Principiile de funcționare ale sistemului Arbor Peakflow SP au rămas în principal la țevi Cisco Clean, dar arborele se dezvoltă și își îmbunătățește sistemele, astfel încât funcționalitatea produselor Arbor în mulți parametri este mai bună decât Cisco, inclusiv performanța.

La zi, performanță maximă Modeturile Cisco Guard care urmează să fie realizate prin crearea unui cluster de module de 4 gardă într-un șasiu Cisco 6500/7600, în timp ce grupul complet al acestor dispozitive nu este implementat. În același timp, modelele superioare ale arborelui Peakflow SP TMS au o capacitate de până la 10 GB / s, și, la rândul lor, pot fi gustative.

După ce arborele au început să mă poziționeze ca pe un jucător independent pe piața de detectare și suprimare a atacurilor DDOS, Cisco a început să caute un partener care să o ofere ca monitorizare necesară a datelor fluxului privind traficul de rețea, dar nu ar fi direct concurent. O astfel de companie a devenit Narus, care produce un sistem de monitorizare a bazei de date cu flux (NarusInsight) și a intrat în parteneriat cu sistemele Cisco. Cu toate acestea, acest parteneriat nu a primit o dezvoltare și prezență serioasă pe piață. Mai mult, potrivit unor mesaje, Cisco nu intenționează să investească în soluțiile de detector Cisco și Cisco Guard, de fapt, lăsând această nișă pentru compania companiei Forbor Rețele.

Unele caracteristici ale soluțiilor Cisco și Arbor

Este demn de remarcat câteva caracteristici ale soluțiilor Cisco și Arbor.

  1. Cisco Garda poate fi utilizată atât în \u200b\u200bcombinație cu detectorul, cât și în mod independent. În ultimul caz, acesta este instalat în modul în linie și efectuează funcțiile detectorului care analizează traficul și, dacă este necesar, se aprinde filtrele și curăță traficul. Minusul acestui mod este că, în primul rând, un punct suplimentar este adăugat potențial eșec și, în al doilea rând, întârzierea de trafic suplimentară (deși este mică atâta timp cât mecanismul de filtrare este pornit). Recomandat pentru modul Cisco Guard - Așteptarea unei comenzi pentru redirecționarea traficului care conține atacul, filtrarea și intrarea înapoi în rețea.
  2. Dispozitivele ARBOR PEAKFLOW SP TMS pot, de asemenea, să funcționeze atât în \u200b\u200bmodul off-rampă, cât și în modul în linie. În primul caz, dispozitivul așteaptă pasiv o comandă să redirecționeze un trafic care conține un atac pentru a curăța și a intra înapoi în rețea. În al doilea rând, el sări peste tot traficul, produce date pe baza lui Arborflow pe baza acesteia și le transmite către Peakflow SP CP pentru analizarea și detectarea atacurilor. Arborflow este un format similar cu NetFlow, dar îmbunătățit de arborele pentru sistemele SP Peakflow SP. Monitorizarea traficului și detectarea atacurilor efectuează Peakflow SP CP pe baza datelor Arborflow obținute din datele TMS. Atunci când se detectează un atac, operatorul Peakflow SP CP oferă comanda la suprimarea sa, după care TMS se transformă în filtre și elimină traficul de atac. Spre deosebire de Cisco, serverul Peakflow SP TMS nu poate funcționa independent, necesită un server de peakflow SP CP la locul de muncă, care efectuează analiza traficului.
  3. Astăzi, majoritatea specialiștilor sunt de acord că sarcinile de a proteja zonele locale ale rețelei (de exemplu, conectarea CD-urilor sau a conexiunii rețelelor din aval)

Articole similare