Одним из компромиссов, решаемых при работе ЦОДа, является достижение необходимого уровня доступности и безопасности. А одним из аспектов последнего слова является защищенность от распределенных атак класса «Отказ в обслуживании» (далее DDoS, Distributed Deny of Services). Павел Антонов, технический консультант Cisco Systems, разъясняет: «DDoS атака - это инцидент в сфере информационной безопасности, приводящий к нарушению режима штатного функционирования информационной системы без нарушения целостности и конфиденциальной информации. Применительно к ЦОДам, когда основным показателем качества их функционирования является доступность, предоставляемых сервисов, борьба с этим типом угроз становится весьма актуальной».
DDoS атаки в современном мире производятся злоумышленниками при помощи ботнетов: систем «компьютеров-зомби», попавших под управление злоумышленников после их заражения вредоносным кодом. Сама атака выглядит, как аномально возросший уровень трафика, направленного в сторону атакуемого узла сети. Использование ботнетов является ключевым отличием от DoS атак, хотя результат их воздействия один и тот же.
Эксперт продолжает: «DDoS атаки сейчас являются типовым продуктом киберкриминального сообщества, для которого важна прибыль. В связи с этим, набор наблюдаемых сценариев реализации угрозы, также является типовым и не отличается разнообразием. Это – «завал» серверов TCP пакетами, атаки на веб-сайты при помощи запросов HTTP GET, DNS сервера атакуются при помощи DNS Query/Malformed Flood. При необходимости заблокировать пропускную способность используется UDP или ICMP Flood (большие пакеты со случайно сгенерированными номерами портов, и зачастую применяются фрагментированные пакеты). От этого вида угроз сильнее всего страдают операторы связи. Очень часто при реализации DDoS атак используется спуфинг IP адресов отправителей. Организация специфической для конкретного узла атаки встречается крайне редко из-за убыточности подобных вещей для представителей криминала, ориентированных на «вал». Поэтому в подавляющем большинстве (90-95%) случаев встречаются только перечисленные выше приемы».
Какие методы возможно применить для защиты от DDoS атаки? Все зависит от структуры сетевого трафика. В случае если она отличается от того, что является нормальным в обычное время. Тогда используются, например, «access list» и фильтруется все то, что является ненормальным. Но этот метод не работает против HTTP GET. Тоже самое относится и к ограничению количества сессий. Можно ли надеяться на сигнатурные технологии, реализуемые устройствами IDS/IPS? Вряд ли, поскольку первоначальные протокольные запросы (если они выступают в качестве аномального трафика) присутствуют в структуре нормального сетевого трафика. Они хороши от атак, направленных на конкретную уязвимость и от известных эксплойтов.
Более менее часто применимая мера защиты (по крайней мере операторами связи) это - «Black-hole routing». Суть ее заключается в обнаружении атаки на клиента или группу IP-адресов оператором и информировании об этом факте вышестоящих операторов и(или) запрете входа в сеть определенным IP адресам. Атака прекращается, но с точки зрения клиента это выглядит как полное отключение. Поэтому с крупными клиентами и важными ресурсами так не поступишь. Кроме того, атакующий может подставлять адреса, например, корневых DNS (source IP spoofing), которые попадут в Black-hole. А это совершенно не допустимо…
Так что же делать? Выход один – использовать специально разработанные для подавления DDoS атак решения. В их основе лежит принцип обучения устройства тому, что может быть охарактеризовано, как «нормальное состояние» трафика и последующее обнаружение аномалий, чем практически всегда характеризуются рассматриваемые атаки. После того, как выявлены эти аномалии, включаются механизмы защиты разного уровня.
«Если рассматривать в качестве примера решения Cisco Clean Pipes, -рассказывает Павел Антонов, - то в этом решения реализовано три уровня проверок трафика. Первый – самый «мягкий» и предназначен для фильтрации спуфинга. Фильтры построже выявляют «зомби». И самый строгий фильтр – это блокирование трафика с атакующих IP адресов».
Что представляют собой подобные решения с точки зрения сетевого оборудования? Первая компонента это детектор, предназначенный для обнаружения аномалий. Это пассивный элемент, через который трафик не проходит. Его основная задача: на первом этапе - обучение, потом выявление аномалий. В ЦОДах детекторы ставят ближе к серверам ЦОДа. Вторая компонента решения предназначена для фильтрации сетевого трафика (в Clean Pipes – это Cisco Guard). Захват трафика осуществляется при помощи маршрутизации.
В случае обнаружения детектором аномалии (не обязательно связанной с атакой, например, резкий всплеск трафика на сайт был вызван интересной новостью). Что бы связать факт аномалии с DDoS необходимо вмешаться в трафик и начать его анализировать. Для этого детектор передает команду фильтру на контроль определенной зоны в сети и весь трафик зоны идет через него. Основной функционал понятен из названия - разбор трафика на вредоносную и легитимную составляющие
Ключевым моментом здесь является то, что фильтр (Guard), будучи активной компонентом, не является инфраструктурным сетевым элементом. Трафик постоянно через него не проходит. А, значит, сам он не может быть подвержен атаке. На фильтр попадает только тот трафик, который содержит атаку. Все остальное проходит мимо. Это, кстати, уменьшает и процент ложных срабатываний. Экономятся средства и на производительности фильтра. В случае операторов крупных операторов связи Guard рекомендуется размещать на уровне магистрали, у более мелких ОС и в случае ЦОДов как можно ближе к внешним каналам. Как отмечалось, детектор ставят как можно ближе к защищаемым устройствам. Это и удобно, и там легче понять «нормальную» структуру трафика этих устройств.
Дмитрий Огородников, директор департамента информационной безопасности NVision Group, резюмирует: «Рассматриваемые специализированные решения, в частности Cisco Clean Pipes, действительно обеспечивают защиту клиента от большинства существующих типов DDoS атак. Но следует понимать что, защита от DDoS атак только на уровне ЦОД не всегда приводит к желаемым результатам. Злоумышленник может провести атаку на каналы связи ЦОД с внешним миром, используя стандартные типы атак, например, UDP и ICMP flood. В этом случае никакие устройства расположенные непосредственно в ЦОД не смогут оказать адекватную защиту и атакующий добьется своего результата нарушив доступность предоставляемых центром обработки данных сервисов».
Для защиты от атак на канал связи, по мнению эксперта, необходимо устанавливать систему защиты уже не на уровне ЦОД, а на уровне оператора связи, предоставляющего услуги подключения. В случае «Оператора связи» наиболее обоснованными являются решения защиты от DDoS основанные на анализе NetFlow статистики, получаемой с маршрутизаторов сети оператора. Работая с NetFlow статистикой, а не с непосредственным трафиком системы имеют возможность обрабатывать большие объемы трафика. Такие решения непрерывно моделируют структуру трафика, проходящего по сети, и также рассчитывают его нормальный профиль трафика. При обнаружении серьезных отклонений от расчетного профиля, система также уведомляет оператора, и, при необходимости, активирует Cisco Guard. Очистка трафика происходит в сети оператора, после чего клиенту пересылается очищенный трафик.
Дмитрий Огородников продолжает: «Оператор имеет гораздо более толстые каналы связи и в состоянии очистить DDoS атак на порядок превышающую скорость подключения клиента. Клиент же в свою очередь имеет четкое представление о тех сервисах, которые нужно защищать и имеет возможность провести более тонкую настройку системы защиты от DDoS. Совместная работа клиента и его оператора по защите от DDoS атак позволяет достигнуть более значительного результата, используя преимущества обоих методов установки».
Что касается практики, то многие операторы связи планируют или уже внедрили подобные решения для защиты своей собственной инфраструктуры и предоставления дополнительных сервисов по защите от DDoS атак своим клиентам. В результате внедрения операторы и сервис-провайдеры получают ряд преимуществ: высокую доступность ресурсов и сервисов, бесперебойную работу сети, повышение защищенности каналов и т.д. Кроме того, повышается репутация провайдера услуг, что благоприятно сказывается на привлечении новых клиентов.
|