Защита от DDoS-атак. Опыт и практика

Стандартный заголовок новостей по информационной безопасности последних нескольких месяцев начинается со слов "Отмечен резкий рост DDoS-атак на…". Дальше следуют страна, название компании, отрасли. Так, в последнее время часто атаковались СМИ, сайты госструктур, промышленные объекты, больницы, банки, ИТ-компании, компании, связанные с ОПК. Если вы не нашли в этом кратком списке ваш бизнес, вам повезло, но никто уже не может быть уверен, что его деятельность не интересна злоумышленникам.

Тема защиты от атак на отказ в обслуживании (DoS – Denial of Service) не нова. Впервые с более-менее серьезными DOS-атаками я столкнулся в своей практике в 2009–2010 гг. во время волны атак на системы дистанционного банковского обслуживания (ДБО) юридических лиц. У злоумышленников некоторое время была тактика, что после проведения несанкционированного списания средств со счетов какой-то организации они пыталось DoSить сервис ДБО. Возможно, они опасались, что клиент быстро отреагирует на несанкционированное списание, и таким образом пытались помешать ему получить информацию о состоянии расчетного счета. Но очень скоро они поняли, что достаточно вывести из строя компьютер бухгалтера организации, с которого они крали логин/пароль и ключи электронной цифровой подписи, и отказались от DoS-атак. Что касается самих DoS-атак, то они были достаточно просты, не отличались большой мощностью и редко достигали цели – банковские системы ДБО продолжали работать.

Много воды утекло с тех пор. Технологии шагнули далеко вперед, в том числе технологии проведения DDoS-атак (Distributed Denial of Service) и защиты от них.

Актуальность защиты от DDoS-атак

Мы с вами живем в эпоху цифровой трансформации. Практически любая уважающая себя компания имеет или использует какие-то сервисы в интернете. С учетом пандемии многие используют удаленный формат работы, как минимум есть возможность удаленной работы с электронной почтой. Все эти сервисы могут стать мишенью для DoS-атаки. Так что актуальность DoS- и DDoS-атак растет с каждым годом. Долгое время многие компании считали, что DDoS-атаки им не грозят, что они никому не интересны, никто их DDoSить не будет. Но цели злоумышленников могут быть совершенно различны. Вас могут атаковать с целью вымогания денег за прекращение DDoS-атаки и восстановление работоспособности вашего сервиса, вас могут "заказать" конкуренты, вас могут DDoSить по политическим мотивам!

События марта-апреля 2022 г. показали, что никто не застрахован от DDOS-атак. Атакам подверглось огромное количество компаний в России из разных областей деятельности.

Основной удар пришелся на государственные структуры, финансовый сектор и СМИ, но и остальным отраслям тоже досталось. В текущей ситуации кибератаке может подвергнуться любая российская организация. В арсенале хакеров значительное число различных кибератак, но весной 2022 г. основную часть составляли именно DDoS-атаки. Связано это с участием в них значительного числа политически мотивированных хактивистов, основная цель которых – навредить. А относительно простые и наиболее деструктивные атаки – это атаки на отказ в обслуживании.

Как же защитить свою ИТ-инфраструктуру от DDoS-атак?

Если вы решили защищаться от DDoS-атак, принципиально вы можете выбрать для себя одну из трех стратегий:

1. Пытаться организовать защиту самостоятельно у себя на периметре. Недостатки такого решения очевидны: вам могут забить все входящие интернет-каналы, и тогда никакое установленное у вас оборудование вас не спасет. Само оборудование для защиты от DDoS-атак достаточно дорогостоящее, а специалисты для его обслуживания тоже на дороге не валяются. Поэтому более целесообразным выглядит вариант передачи этой функции на аутсорсинг. и здесь есть следующие варианты.
2. Заключить договор с вашим интернет-провайдером. Казалось бы, это самый простой и правильный вариант, обычно этот сервис идет как опция к основному договору на канал передачи данных. Но тут важно убедиться, что это не просто галочка в договоре, а реально работающая система защиты. Большинство провайдеров защищают от атак сетевого уровня, а с прикладным ситуация обстоит не так хорошо. Стоит внимательно ознакомиться с условиями данного сервиса, так как провайдер услуг, как правило, не берет на себя практически никакой ответственности, если предоставляемый сервис окажется неэффективным.
   Если вы используете какие-то известные облачные сервисы или хостинги, то такую услугу вам может предоставлять владелец облачного сервиса или хостинга. Здесь ситуация во многом аналогична только что рассмотренному случаю.
3. 3аключить договор со специализированными сервисами очистки трафика. Первый вариант подключения – это когда весь трафик всегда идет через облако провайдера такого сервиса; второй – когда трафик заворачивается на сервис очистки только в момент самой DDoS-атаки. второй вариант, как правило, существенно дешевле. При взаимодействии со специализированными сервисами очистки трафика могут быть технологические и технические сложности заведения трафика в облако провайдера и определенные ограничения, например отсутствие реальных IP-подключаемых клиентов (которые необходимы для работы систем фрод-анализа).

Я не сторонник реализации систем защиты от DDoS собственными силами (on-premise), но все же перечислю те классы устройств, которые вы можете использовать для решения данной задачи.

• Межсетевой экран (FWNG) + система предотвращения атак (IPS). На межсетевом экране вы блокируете весь ненужный трафик, а с помощью IPS выявляете и блокируете паразитный трафик, который идет по разрешенным протоколам.

IPS обычно имеют в своем составе преднастроенные политики и правила защиты от DoS-атак. Но возможности IPS по защите от DDoS-атак достаточно ограниченны. По умолчанию это правила по обрезанию трафика при достижении пороговых значений, при этом режется любой, в том числе и легальный, трафик. Как таковая чистка трафика не производится.

Можно разработать более интеллектуальные правила, но это требует высокой квалификации и значительных временных затрат, в том числе на постоянную актуализацию таких правил.

• Специализированный межсетевой экран для веб-приложений (WAF). Данное средство позволяет реализовать правила защиты от DDoS-атак прикладного уровня. В целом рабочий инструмент, но тоже требует постоянного внимания и подстройки. При внедрении такого WAF с точки зрения его производительности необходимо также ориентироваться не на стандартные параметры веб-трафика к вашему сервису, а на параметры в несколько раз большие. В противном случае сам WAF может стать точкой отказа при DDoS-атаке.
• Специализированные программно-аппаратные комплексы для защиты от DDoS-атак. Это наиболее эффективное, но и наиболее дорогостоящее оборудование.

На самом деле эффективность отражения DDoS-атаки зависит не столько от ваших действий по ее отражению в ходе самой атаки, сколько от правильной подготовки системы защиты и ваших бизнес-сервисов, которые вы защищаете.

На что стоит обратить внимание при построении системы защиты от DDoS?

Как мы выяснили в предыдущей части, целесообразнее использовать внешний сервис защиты от DDoS, а не реализовывать систему защиты самостоятельно. Прежде всего надо убедиться, что провайдер услуги обеспечивает защиту от DDoS-атак как сетевого, так и прикладного уровня. Защиту от DDoS сетевого уровня обеспечивают практически все крупные телеком- и интернет-провайдеры, а вот с защитой от DDoS прикладного уровня ситуация не всегда так же хороша.

В свое время мы столкнулись с ситуацией, когда только один из двух интернет-провайдеров обеспечивал защиту от DDoS прикладного уровня. Нам пришлось вырабатывать довольно хитрые схемы переключений, чтобы при DDoS-атаках прикладного уровня весь трафик шел только через этого провайдера.

Настройки МСЭ должны быть выверены, никаких лишних открытых портов и протоколов. Еще лучше, если вы заранее продумаете, от каких сервисов вы готовы отказаться во время DDoS-атаки.

Необходимо определить геолокацию основного пула пользователей ваших сервисов. Тогда при DDoS-атаке вы сможете заблокировать все, кроме конкретных стран и регионов (например, оставить только российский сегмент).

Важно убедиться, что системы, на которых построены ваши интернет-сервисы, имеют запас не просто под пиковые нагрузки, а под небольшую DDoS-атаку. В момент начала DDoS-атаки, даже если у вас есть сервис защиты от провайдера, на систему будет повышенная нагрузка, так как система очистки трафика включается не мгновенно. И важно, чтобы ваш сервис не "лег" в этот момент.

Хорошей практикой является размещение разных сервисов или даже элементов одного сервиса на разных серверах. В этих случаях вам проще будет сохранить работоспособность наиболее важных для вас сервисов. Если у вас есть возможность оперативного увеличения ресурсов системы – это будет дополнительным плюсом при DDoS-атаках.

Хорошо, если у вас не один интернет-канал, а несколько и от разных провайдеров. Это делает систему защиты более гибкой, как минимум снижает вашу зависимость от одного провайдера.

Особое внимание хочу уделить вопросу профилирования трафика для организации более эффективного отражения DDoS-атак. Профили должны разрабатываться для каждого из ваших сервисов, причем с учетом специфики его работы – у вас могут быть недельные, месячные или квартальные пики, какие-то другие особенности. Чем лучше выстроен профиль нормального трафика для конкретного сервиса, тем проще выявлять и блокировать различные аномалии.

Любая система очистки трафика режет какой-то процент легальных сессий. Профилирование трафика позволяет существенно снизить этот процент.

Ошибки тестирования системы защиты от DDoS-атак

Независимо от того, какой способ реализации системы защиты от DDoS вы выбрали, как и любую систему защиты, ее нужно проверять, тестировать. Опыт весны 2022 г. показал, что этому не уделяется должного внимания.

Когда мы начинали тестировать нашу систему защиты от DDoS более пяти лет назад, далеко не все ИБ-интеграторы предоставляли такую услугу. Сейчас ситуация существенно улучшилась, но тем не менее зачастую тестирование носит достаточно формальный и упрощенный характер:

• проверяется исключительно срабатывание автоматизированных механизмов защиты;
• атака идет с небольшого количества IP;
• используется очень ограниченный набор DDoS-атак;
• тестирование проводится в течение короткого времени, как правило не более получаса на один сервис.

Как правило, проверка осуществляется не на боевых системах, а на тестовых, конфигурация которых не всегда соответствует боевым. При атаках прикладного уровня не проводится анализ атакуемого веб-приложения, просто открывается главная страница сайта (сервиса). Ни атакующая сторона не проводит никакого анализа, как реагирует система защиты на те или иные методы атак, не пытается в зависимости от этого менять векторы атаки; ни защищающаяся, ни на уровне провайдера, ни на стороне самого клиента тоже не проводит никакого анализа. Отбила система провайдера тестовые DDoS-атаки в автоматическом режиме – хорошо, нет – пишем провайдеру ругательное письмо.

Все это приводит к тому, что данные тесты очень далеки от реальных условий, когда на вас проводится настоящая DDoS-атака.

Тестирование от DDoS должно быть аналогом пентеста. Исполнитель должен не просто выполнять последовательность атак, а пытаться вывести из строя ваш сервис. Если вы проводите киберучения, то в план таких киберучений стоит включать и учения по защите от DDoS-атак.

Цели тестирования системы защиты от DDoS-атак

Основной целью тестирования является оценка эффективности всех компонентов защиты от DDoS-атак в условиях, приближенных к реальным.

Тестирование помогает в отработке действий персонала по отражению атак, взаимодействия между службами внутри организации и со специалистами, оказывающими внешний сервис. Довольно часто можно наблюдать, что специалисты атакуемой организации просто не знают, что им делать, когда в какой-то момент система защиты перестает справляться с атакой.

Очень важно, чтобы тестирование проводилось либо на боевой системе, либо на тестовой, максимально приближенной к боевой. Узким местом может оказаться не обязательно конечный атакуемый сервер. В одном из случаев у нас узким местом оказался, например, балансировщик нагрузки. Выявление и устранение проблемных мест в ИТ-инфраструктуре при DDoS-атаках – это одна из целей тестирования.

В ходе тестов вы можете определить предельные нагрузки для ваших сервисов. Понятно, что есть нагрузочные тестирования, но, как правило, они не учитывают специфику проведения DDoS-атак прикладного уровня. Интернет-сервисы постоянно развиваются, появляется новый функционал, поэтому важно периодически проводить такую переоценку. В ходе тестов вы можете скорректировать тактики масштабирования ИТ-активов для повышения устойчивости атакуемых сервисов, принять иные меры по совершенствованию процедур реагирования на DDoS-атаки.

Подготовка и проведение тестирования системы защиты от DDoS-атак

Успех тестирования во многом зависит от правильной подготовки и проведения тестирования. Сейчас появились сервисы для самостоятельного проведения теста системы защиты от DDoS, но я бы рекомендовал привлекать к этому специализированные компании, имеющие опыт проведения подобных работ. Мы, как правило, пользовались услугами именно таких компаний. Важно, так сказать, "на берегу" согласовать с исполнителем все основные моменты проведения тестирования. Все-таки это довольно деструктивное воздействие на ИТ-инфраструктуру, а ваша задача не в том, чтобы вывести из строя тот или иной интернет-сервис, а в том, убедиться в эффективной работе системы защиты.

Поэтому важно составить список всех атакуемых узлов и определить типы атак в зависимости от их назначения и используемых протоколов, определить предельные нагрузки – максимальную мощность DDoS-атаки.

Важно согласовать проведение работ внутри организации, чтобы, если что-то пойдет не так, у вас были подтверждения того, что вы не занимались самодеятельностью, а все работы были согласованы и все участники были предупреждены о возможных последствиях. Поэтому важно, чтобы в тестировании принимали участие не только специалисты ИБ, но и администраторы защищаемых сервисов, сетевые администраторы – все те, кто будет участвовать в отражении реальной атаки.

В ходе атаки целесообразно фиксировать не только доступность атакуемых систем, но и все основные их параметры, а также параметры сетевого оборудования и устройств, через которые проходит трафик. Все это необходимо будет проанализировать по итогам тестирования. Полезно сравнить полученные результаты с предыдущими тестами, оценить динамику.

Заключение

DDoS-атаки – достаточно специфический вид кибератак. Зачастую есть большое желание отдать функцию защиты на аутсорсинг и забыть об этой проблеме. Но так не работает ни одна система безопасности. Необходимо регулярно тестировать вашу систему защиты, и только тогда реальная DDoS-атака не застанет вас врасплох.

Опубликовано в журнале "Системы безопасности" № 5/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Источник фото: freepik.com