Безопасность онлайн-проектов, корпоративных ИТ-ресурсов, дата-центров – один из ключевых приоритетов, требующий постоянного внимания и развития. Термин «DDoS» многим знаком на собственном опыте или хотя бы по сообщениям в прессе. К сожалению, это явление получило широкое распространение. При DDoS-атаке происходит распределенное нападение на ИТ-систему организации для того, чтобы довести ее до отказа. В таком случае легальные пользователи системы не могут получить доступ к ее ресурсам, либо этот доступ затруднен.


DDoS-атакам подвергаются интернет-проекты и сайты по всему миру. Так в 2015 году компанией Wallarm было зафиксировано более 100 млн атак на веб-ресурсы своих клиентов. Нередко такие атаки заказывают конкуренты. Другая причина организации атак – вымогательство путем шантажа.


По данным Qrator Labs, за 2015 год рост числа атак в России составил 100%.

Между тем, по информации Qrator, в России в 2015 году количество DDoS-атак увеличились вдвое по сравнению с 2014 годом. В 84% случаев наблюдается чередование DDoS-атак и попыток взлома сайтов. В мире также участились подобные инциденты. Эксперты Solar JSOC связывают рост числа DDoS-атак в течение всего 2015 года, прежде всего, с обострившейся к концу года конкурентной борьбой.


Увеличение частоты DDoS-атак в мире (данные Ponemon Institute, 2016 год).

Мишенью таких атак становятся самые разные организации.

Проанализировав статистические данные за 2 квартал 2016 года, специалисты провайдера защиты DDoS-GUARD пришли к иному выводу: активность хакеров заметно снизилась, но действовать они стали жестче. DDoS-атак зафиксировано на 57% меньше, чем в предыдущем квартале — всего 12583. Но качество атак, мощность и сложность заметно возросли. Исходя из этого, можно предположить, что весной и в начале лета большая часть DDoS-атак была организована и осуществлена профессиональными хакерами.

Кого атакуют?


По данным DDoS-GUARD, во втором квартале 2016 года по сравнению с прошлым кварталом, атаковать ресурсы из Китая и России стали немного меньше, но тройка лидеров осталась прежней:

Китай — 41%
Россия — 30%
США — 29%

Для компаний из банковского, телекоммуникационного и государственного секторов противодействие атакам DDoS остается острым вопросом. Главная мишень злоумышленников — компании из сферы электронной коммерции, банки, социальные сети и даже игровые ресурсы. Также в 2015 году в ряду самых частых целей оказались туристические компании и агентства недвижимости. По данным исследования 42Future, 25% крупнейших ритейлеров сталкивались с DDoS за последний год. Количество атак на сайты ритейлеров возросло примерно на 70% по сравнению с 2014 годом.

Рост среднего количества DDoS-атак на сайты разных отраслей в 2015 году
Amplified DDoS
All DDoS
Интернет-магазины
25%
70%
Социальные сети
73%
159%
Купоны
-25%
-10%
Forex
-53%
-62%
Платежные системы
74%
37%
Игры
42%
110%
Торговые площадки
-15%
-18%
Банки
121%
61%
СМИ
-29%
17%
Агрегаторы контента
-43%
-28%
Промо сайты:
Агентства недвижимости
113%
144%
Рекламные агентства
-40%
-16%
Микрофинансы
-30%
-36%
Турфирмы
-1%
145%
Такси
116%
108%
Медицина
-20%
-54%
Остальные промо-сайты
-58%
-34%

Во всем мире эти атаки приводят к серьезному материальному ущербу.


Средний ущерб от одной DDoS атаки в разных отраслях, тыс. долларов (данные Ponemon Institute, 2016 год).

В Qrator Labs выделяют следующие категории ресурсов – мишеней для целенаправленных атак:

1. Электронная коммерция и прежде всего интернет-ритейлеры. Фрод с бонусными баллами, охота за пользовательскими базами.
2. Платежные системы и агрегаторы, финансовые брокеры и другие финансовые учреждения. Попытка получить доступ к базе данных с возможностью изменения балансов.
3. Игровая индустрия. Фрод с внутренней экономикой игр, краха исходных кодов и т.д.
4. Рекламные сети. Мошенничество с внутренними балансами счетов и фрод с количеством показов.
5. СМИ. Нарушение доступности и работоспособности ресурсов.

При этом взлом веб-приложений нередко становится ступенькой к доступу ко внутренней инфраструктуре компании.


Наиболее серьезные виды финансового ущерба компаний от DDoS-атак – потеря прибыли, нарушения в роботе, снижение продуктивности пользователей, проблемы технической поддержки, ущерб или порча ИТ-ресурсов (данныe исследований HPE (красный) и Emerson Network Power (синий), 2016 год).

Целью злоумышленников могут быть и вычислительные ресурсы, которые они в дальнейшем используют для дальнейших DDoS-атак, в качестве прокси-сервера, майнинга криптовалют, и т.д.


По данным DDoS-GUARD, во втором квартале 2016 года замечено значительное усиление атак на интернет-магазины и игровые проекты. Серверы популярных онлайн-игр — излюбленная цель хакеров.

Как атакуют?


DDoS-атаки становятся сложнее и изощреннее. Понижение пиковых скоростей DDoS-атак, отмечавшееся в 2015 году, компенсировалось ростом их сложности. Увеличение технической сложности атак делает защиту от DDoS классическим примером «соревнования брони и снаряда», поэтому обновлять свою систему защиты компаниям нужно регулярно, отмечают эксперты. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений. В 84% случаев атака DDoS сопровождается попытками взлома сайта.


В мире DDoS-атаки все чаще становятся основной причиной незапланированных простоев в ЦОД (данные Ponemon Institute, 2016 год).

Кроме того, если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки становятся комплексными, могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры. Участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). При этом хакеры используют интеллектуальные автоматизированные средства. Противостоять этому можно разными способами.


Изменение средней стоимости DDoS-атак (данные Ponemon Institute, 2016 год).

Одна из тенденций — атаки типа Amplification. На сервер, содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. В качестве серверов, поневоле участвующих в таких атаках, могут использоваться DNS-, NTP-, SSDP-серверы и другие.

При атаках типа Amplification ботнеты для генерации первой волны мусорного трафика используются редко. Обычно для этих целей арендуются серверы, либо используется чужие взломанные. За Amplification-атакой может следовать атака на приложения (L7).


Организация атаки типа Amplification обходится недорого, злоумышленнику достаточно генерировать запросы со скоростью в несколько Гбит/сек и направлять их на сервер с уязвимостью, который увеличит эту скорость на несколько порядков (данные Qrator Labs).

Фактические затраты злоумышленника на инфраструктуру, необходимую для организации атаки в несколько десятков раз меньше, чем требуются компании-жертве, чтобы самостоятельно нейтрализовать такую атаку.

Подход DD4BC (комбинирование атак различных классов) также набирает популярность. Вслед за прекратившейся DDoS-атакой скорее всего будет предпринята попытка взлома сайта и наоборот.

Кроме того, хакеры используют средства сканирования интернета в поисках ресурсов с известными уязвимостями. Сегодня практически каждый сайт ежедневно обходится проверяющим ботом. Любой ресурс, в том числе малоизвестный и практически не посещаемый, может быть взломан автоматизированными инструментами.


Распределение DDoS-атак по типам (по данным «Лаборатории Касперского»).

По данным Wallarm, 31% сайтов содержат критические уязвимости. Такой сайт может быть взломан даже не высококвалифицированным специалистом. Увеличивается количество атак на облачные инфраструктуры (AWS, Azure и т.п.). Злоумышленники пользуются частыми ошибками в администрировании облачных ресурсов.

Все большее количество компаний из разных отраслей переводит свои сайты на защищенную передачу данных по протоколу HTTPS. Вслед за этим хакеры уделяют больше внимания атакам на приложения, работающие по этому протоколу. Общее увеличение количества DDoS и стабильный ежегодный рост зашифрованного трафика (в 2015-м году он вырос в мире примерно в два раза) говорят о том, что в 2016 году число DDoS-атак на HTTPS-сервисы вырастет соответственно.

По данным DDoS-GUARD, во втором квартале 2016 года максимальный уровень паразитного трафика по UDP составил 217,7 Гбит/с, что на 71% выше, чем за первый квартал 2016. Самая сильная DDoS-атакa по протоколу TCP достигла отметки в 119,8 Гбит/с, что на 49% мощнее, чем за первый квартал. Средняя мощность всех атак тоже выросла — на 10% — и составила 1,15 Гбит/с.


Распределение атак по типам протоколов по данным DDoS-GUARD за второй квартал 2016 года.

Если говорить про пакетные и волюметрические атаки, то их объем за отчетный период вырос в 12 раз и в среднем составил составил 450 603 пакетов в секунду. Тренды весенне-летнего сезона:

1) мультивекторность, т.е. атака сразу на несколько протоколов одного интернет-ресурса,
2) комбинация маломощного продолжительного флуда с кратковременными «игольчатыми» атаками большого объема,
3) использование социальных сетей для генерации паразитного трафика.

Число инцидентов, связанных с атаками на сетевую инфраструктуру (на серверы DNS, а также атаки, связанные с ошибками BGP), также будет расти в ближайшие несколько лет.


Распределение DDoS-атак по длительности по данным «Лаборатории Касперского». Около 70% атак приходится на кратковременные акции продолжительностью в 4 часа и менее. При этом существенно снизилась максимальная продолжительность атаки.


Изменение средней и максимальной продолжительности атак по данным DDoS-GUARD.

По прогнозу Qrator Labs, в 2016 году 5-10% автономных систем провайдеров доступа в интернет будет испытывать проблемы с доступностью своих сервисов. Также возрастет количество значимых инцидентов BGP, приводящих к недоступности сотен и даже тысяч сетей.

В перспективе серьезную угрозу будет предтавлять «интернета вещей» (IoT). Все устройства, подключенные к интернету, потенциально могут стать частью инфраструктуры злоумышленников и быть задействованы в DDoS-атках.

Как защититься?


При построении системы сетевой безопасности важно учитывать современные угрозы и особенно направленные и DDoS-атаки. Многие владельцы веб-ресурсов знакомы с DDoS-атаками не понаслышке, вкладывают большие деньги в хостинг и защиту своих сервисов от DDoS, и достигли хороших результатов в отражении таких атак. В случае атак на канальный уровень компании обычно рассчитывают на защиту, предоставляемую провайдером. Для виртуализированных серверов по сути действуют те же правила защиты, что и для физических. Для защиты от атак на ИТ-инфраструктуру часто используют локальные решения.


Превентивные меры защиты от DDoS в дата-центрах и их результаты (красный – незапланированный простой в результате атаки, синий – удалось избежать простоя (данные Ponemon Institute, 2016 год). Наиболее распространенные меры охватывают уровень управления, включают средства резервирования, интеллектуальные аналитические инструменты и средства борьбы с угрозами, предусматривают наличие плана реагирования на инциденты и развертывание средств защиты от DoS.

Между тем средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными. Выстраивать защиту от DDoS следует сразу на всех уровнях. Компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается достаточно успешно нейтрализовать данные риски.

Например, для обеспечения доступности сайта на уровне 95-99,5% можно пропускать весь его трафик через сеть очистки трафика, обеспечивать защиту ресурса на транспортном и сетевом уровнях, где происходит фильтрация и анализ входящего трафика, блокировка IP-адресов, а также формирование отчетов об инцидентах.

Таким образом, только одновременное использование разнопрофильных средств защиты (включающих защиту от DDoS и атак на приложения, а также средства мониторинга BGP), может эффективно противостоять DDoS. Защищаться от угроз безопасности следует с помощью комбинированных интегрированных решений.

Защита от DDoS-атак на уровне приложений требует максимальной экспертизы и скорости реакции на изменение вектора атаки, для чего используются автоматизированные системы, в том числе работающие на основе алгоритмов машинного обучения. Для противодействия сложным, комплексным DDoS-атакам и взломам необходимо использовать профессиональные решения.

Если владелец ЦОД не обладает достаточным опытом и специальными техническими средствами, DDoS-атака может вызвать недоступность его сетевых устройств и ИТ-инфраструктуры его клиентов. Внедрение защиты от DDoS-атак в ЦОД – необходимая мера для обеспечения стабильной и надежной работы приложений и ресурсов заказчиков.

Заключение


Постепенно уходят в прошлое попытки самостоятельно справиться с атаками канального уровня (L2). Ведь для этого необходимо организовать и содержать дорогой канал связи и распределенную инфраструктуру (в нескольких дата-центрах). Поэтому компании предпочитают полагаться на своих интернет-провайдеров или начинают использовать профессиональные сервисы противодействия DDoS, способные справиться с многовекторными атаками в режиме реального времени.

Провайдеры, как правило, обладают достаточными возможностями и квалификацией, чтобы не только обеспечить безопасность собственных сервисов, но и предложить различные решения для защиты данных клиентов, организации безопасного доступа и хранения информации.

Спектр предлагаемых российскими провайдерами сервисов безопасности сегодня достаточно широк. Причем защита от DDoS-атак – одна из самых распространенных услуг наряду с такими сервисами как межсетевой экран, шифрование канала доступа (VPN).


По данным опроса российских провайдеров (21 компания), проведенного OSP Data в 2015 году, 85% из них в том или ином виде предоставляют клиентам услугу защиты от DDoS.

Аналитика и защита от DDoS-атак – популярная услуга, обеспечивающая достаточно эффективную защиту размещаемых в дата-центрах провайдера физических и виртуальных серверов (VPS/VDS), тем более что стоит она недорого. Для этого провайдеры и хостеры используют современные партнерские решения. Анализ сетевого трафика производится в режиме 24/7, а защита позволяет стабильно выдерживать мощные атаки — до 1500 Гбит/сек.
Поделиться с друзьями
-->

Комментарии (3)


  1. SicYar
    30.08.2016 09:43

    Интересная статья. Возник такой вопрос после прочтения. Время атаки по график состовляет довольно большой промежуток времени. Неужели заблаговременно в крупных организациях нельзя сделать систему блокировки ip, проявляющих подозрительную активность? Сам в свое время баловался заваливанием пакетами, потом работал в крупных энтерпрайзах с хитрым проксированием, мониторингом и блокировками, во времена админства один раз блочил такую атаку.
    P.S. без сарказм мода, правда интересно, особенно в отношении организаций финансовых например. Лень админов или на столь высоком уровне все не так просто?


    1. simpleadmin
      30.08.2016 11:26

      Неужели заблаговременно в крупных организациях нельзя сделать систему блокировки ip, проявляющих подозрительную активность?

      Если логика работы сайта не меняется, то можно. Неплохой пример(зачем-то запёрли на гиктаймс) — https://geektimes.ru/post/136237/
      Но как универсальное решение не годится и если админ сделает «умную» защиту, а веб-мастер прикрутит новый аяксовый модуль делающий 100 запросов при обновлении страницы то «частотник» может сломаться.

      «Более общее» решение — https://github.com/kyprizel/testcookie-nginx-module от kyprizel. Оно тоже не позволит решить вопросы при фулл-веб-стековых атаках, но 99% ботов отсечёт.


  1. maiketa
    31.08.2016 09:48
    -1

    Хорошие парни, отличный продукт.
    Допилите в вебке возможность вешать несколько vhost на один IP