Елманов Владимир Александрович – студент Российского университета транспорта.
Аннотация: В данной статье рассматривается проблема DDoS-атак на различные отрасли, а также методы защиты от них. Цель исследования – показать, какие существуют виды DDoS-атак, рассмотреть их на примере. В результате мной обозначены условия для успешной защиты от мошенников, а также проанализированы методы технологий защиты от DDoS-атак.
Ключевые слова: DDoS-атаки, хакер, киберинцидент, HTTP-флуд, ICMP-флуд, SYN-флуд, тяжелые пакеты, информационная безопасность, технологии защиты от DDoS-атак.
Читая современные сводки новостей о происходящих киберинцидентах, можно сделать выводы о том, что сейчас, в 2020 году ситуация с DDoS по всему миру намного улучшилась по сравнению с предыдущими тремя годами. Эксперты говорят нам о снижении активности атакующих по различным направлениям и обещают постепенный спад в вопросах с DDoS. Однако, мы можем наблюдать, что периодически всплывают статьи о нейтрализации атак, например, в первой половине 2020 года началась одна из первых волн хакерских атак по сегменту СМИ, кроме того увеличилось количество спам-атак, специально искажающих информацию о пострадавших от пандемии, а в третьем квартале 2020 года стало известно о серии DDoS-атак на публичные сервисы для отслеживания полетов (например, шведский ресурс Flightradar24 и британский Plane Finder). В чем же причины этих атак? Задаемся мы вопросом, а причины могут быть абсолютно разными, начиная от желания добыть ценные сведения и заканчивая намеренным причинением финансового или репутационного ущерба. В любом случае, для нас безопасность должна быть на первом месте.
DDoS-атаки можно классифицировать следующим образом:
HTTP-флуд – это отправка серверу такого специального пакета, ответом на который будет пакет гораздо большего размера, другими словами, атакующий заменяет свой IP-адрес на сетевой идентификатор машины внутри сети-жертвы;
ICMP-флуд – в данном случае хакер отправляет ICMP-пакет усиливающей сети, то есть на сервер-жертву приходит ответ на команду, увеличенный во столько раз, сколько машин содержит усиливающая сеть, аналогично с вышеуказанным пунктом;
SYN-флуд – проще говоря, отправляя ложные запросы, можно использовать все ресурсы компьютерной системы, которые зарезервированы на установку соединений;
И последний класс - это так называемые «Тяжелые пакеты» - для их реализации хакер с помощью ботнета отправляет серверу трудные для обработки пакеты данных, которые, в свою очередь, не переполняют канал связи, но отнимают значительную часть ресурсов процессора, а это, в итоге, может привести к его перегреву или перегрузке [3].
Наибольшее «внимание» хакеры уделяют таким отраслям, как: платежные системы, электронная коммерция, купонные сервисы, информационные агрегаторы, и, наконец, игровые площадки. Защититься от DDoS-атак можно и нужно. Надежная защита обеспечивается соблюдением таких условий, как: использование проверенного решения для непрерывной защиты от DDoS-атак; разработка плана действий на случай угрозы — DDoS Response Plan; а также, проведение постоянного healthcheck системы и устранение уязвимостей приложений [4].
Основные современные технологии защиты предполагают следующее:
Triple Filter: тройная очистка трафика – суть этой технологии состоит в том, что весь трафик, идущий к серверу, очищается в 3 местах таких, как: Пограничные маршрутизаторы - в данном случае они настроены так, чтобы разграничивать тот трафик, который не должен к нам попадать по определению. В результате, данный уровень фильтрации позволяет не опасаться атак в несколько сотен гигабит в секунду, т.к. здесь блокируется вся TCP- и UDP-амплификация); Аппаратные фильтры - на данном этапе блокируется большая часть TCP/UDP флуда. В результате, с помощью аппаратных фильтров удается добиться высокой скорости обработки пакетов; Stateful-фильтры – это уровень тонкой фильтрации. На данном уровне блокируются любые атаки, даже такие, как атаки ботами. Когда речь идет о защите сайта, следом идет уровень HTTP-фильтрации с системой очистки BanHammer [1].
Система FlowSense – суть системы заключается в том, что она постоянно просматривает все потоки данных, которые идут непосредственно к серверу, кроме того, отслеживает различные аномалии и автоматически определяет тип атаки, идущей на сервер. По итогу происходит динамическая подстройка параметров защиты.
BanHammer: фильтр HTTP-флуда - это система умных методов фильтрации, которые основаны на поведенческом и сигнатурном анализе, что, в свою очередь, позволяет снизить процент ложных срабатываний до минимальных величин, а также максимизировать процент отфильтрованных запросов.
Технология Global Session – суть технологии заключается в том, что фильтрующие узлы получают информацию о том, что клиент подключился к серверу и если один из узлов трафика недоступен, то он автоматически направляется на другой ближайший узел.
Технология ZeroNAT Tunnels – данная технология используется для разных целей, например, для организации тоннелей во некоторых сервисах Anti-DDoS. При подключении защиты туннелированием повышается производительность, так как система потребляет значимое количество ресурсов, снижается время отклика и самое главное, по числу портов нет никакого лимита [2].
Таким образом, сервисы по защите от DDoS-атак – это один из главных сегментов отрасли информационной безопасности, как и, например, антивирусы. Современные сервисы защиты от DDoS-атак сейчас предоставляют подавляющее большинство российских провайдеров, а также некоторые хостинг-провайдеры. Результатом их работы будет своевременное обнаружение и незамедлительное предотвращение DDoS-атак, а также непрерывное функционирование сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь вследствие простоя интернет-ресурса.
Список литературы