Мы провели опрос и выяснили, что среди распространенных в прошлом году атак одними из самых популярных стали DDoS, и сейчас они продолжают удерживать пальму первенства. Причем, как показывает практика, сервисов по защите от DDoS-атак не всегда может быть достаточно, чтобы чувствовать себя спокойно, и нужно разворачивать on-prem защиту.
Мы решили глубже разобраться в вопросах: хватает ли для защиты MSSP и ISP? От каких атак они могут защитить, а какие потребуют on-prem защиты? Как можно построить эшелонированную защиту крупной корпоративной сети с публичными сервисами? Мы подготовили совместную статью с продакт-менеджером российской компании-разработчика on-prem решения по защите от DDoS-атак MITIGATOR, Глебом Хохловым. Тем, кто занимается защитой крупной корпоративной сети, обмен опытом в свете последних атак будет не лишним.
MSSP и ISP: почему они не защитят крупный бизнес?
Услуги по защите от DDoS-атак могут предоставляться интернет-провайдерами или специализированными сервисами. Для простоты повествования будем считать, что:
* ISP — поставщик услуги, который поставляет очищенный трафик по выделенному каналу, то есть с которым у защищаемого ресурса есть прямая сетевая связность;
* MSSP — поставщик услуги, который поставляет очищенный трафик через интернет. В идеале, сеть должна быть защищена как на уровне ISP, так и на уровне MSSP. При этом разные сервисы и части инфраструктуры защищаются разными ‘эшелонами (уровнями защиты).
На практике у защищаемой сети обычно есть несколько провайдеров ISP с защитой, несколько — без защиты. Также возможно, что какие-то сервисы стоят на защите у MSSP.
При защите от DDoS-атак как на уровне MSSP, так и на уровне ISP может возникнуть несколько концептуальных проблем.
1. Атака на последнюю милю
Суть атаки на последнюю милю (т.е. на тот участок, по которому к заказчику идет уже очищенный трафик) заключается в переполнении каналов, по которым происходит доставка легитимного трафика, путем отправки трафика атаки в обход устройств фильтрации.
Это первая проблема, от которой могут пострадать клиенты MSSP, т.к. для доставки очищенного трафика используется Интернет. Существует множество способов узнать настоящий IP-адрес защищаемого ресурса, и это значительно проще при размещении ресурса в корпоративной сети.
С ISP немного сложнее:
“Мы на своей практике неоднократно наблюдали, как атакующие, используя особенность маршрутизации на сети провайдера, атаковали в обход устройств фильтрации. Например, используя зараженные CPE-устройства и амплификаторы в сети ISP. При предоставлении услуг защиты хостингу были случаи, когда атакующие арендовали сервера в той же стойке и проводили атаку в рамках ToR коммутатора”, - говорит Хохлов.
2. Отсутствие защиты под специализированные сервисы
У провайдеров MSSP и ISP зачастую нет защиты под специализированные сервисы.
В основном MSSP рассчитаны на защиту HTTP, HTTPS, иногда DNS. Но сеть крупного энтерпрайза этим далеко не ограничивается. В ней есть множество других сервисов: удаленные рабочие столы, VPN, VoIP, почта. Если говорить про банки, то это различные системы ДБО, POS-терминалы, сигнализация с банкоматов и так далее. Десятки разных протоколов, для которых у MSSP нет инструментов защиты. Для защиты TCP-сервисов применяются только базовые механизмы, а UDP-сервисы практически вовсе не защищаются.
ISP, как правило, используют вендорские решения. Они предлагают несколько простых механизмов защиты HTTPS и DNS, но в остальном защищают только на уровне TCP и UDP. Главное предназначение ISP — защита от volumetric-атак, направленных на перегрузку сетевого канала. Если нужно защитить что-то специализированное на сети заказчика — это попросту не их специфика, и они не всегда могут качественно решить задачу.
3. Некачественные профили защиты и детектирование
Сеть оператора связи (ISP) достаточно сложна, часто сильно распределена территориально, через неё проходят большие объемы легитимного трафика множества клиентов. В таких условиях операторы вынуждены осуществлять детектирование с помощью анализа телеметрии, получаемой по flow-протоколам.
Затем нужно правильно завернуть трафик на очистку, а потом правильно доставить его до клиента. Интернет-провайдеру сложно настроить профили защиты так, чтобы они были эффективны для всех сервисов всех клиентов, поэтому используются общие шаблоны защиты. В специфику сервисов конкретного клиента провайдер погружается редко. На практике детектирование и заворот на очистку в сети ISP занимает от минуты и больше. За такое время атака может серьезно навредить сервису и всей корпоративной сети.
4. Ограничения постоянно включенной защиты на сети оператора связи
Недостаток скорости детектирования можно обойти за счет постоянно включенной защиты. Но в случае ISP это не решение, а только новые проблемы:
1. Чем больше территориальная распределенность сети, тем сложнее и дольше маршрутизация на центры очистки.
Если представить сеть федерального масштаба, то клиенты, которые размещаются во Владивостоке, не очень-то рады «гонять» трафик на проверку в Москву, а потом обратно к себе. Одно дело когда неоптимальные маршруты возникают в момент атаки, и совершенно другое - когда они возникают на постоянной основе.
2. Постоянно включенная фильтрация может оказывать негативное влияние на легитимный трафик.
Контрмеры для работы на постоянной основе должны тонко настраиваться таким образом, чтобы не оказывать влияния на легитимный трафик, но при этом эффективно фильтровать трафик атаки. Зачастую это невозможно как в силу специфики алгоритмов контрмер, так и из-за особенностей трафика защищаемого ресурса.
Например, некоторые методы защиты TCP негативно влияют на легитимный трафик, особенно при асимметричном прохождениии.
3. Постоянно включенная защита означает, что устройство очистки загружено даже когда атаки нет.
“Наличие фонового трафика также неизбежно нагружает систему защиты. Возникает риск получить вариант так называемого «секонд-хэнд DDoS»: когда через устройство очистки фоново идет весь трафик клиента, в момент атаки подключают клиента номер два, устройство не справляется, и страдают в полной мере сразу два клиента”, - считает Хохлов.
4. Возрастает нагрузка на инженеров ISP при появлении у защищаемого клиента нового сервиса, который требуется также поставить под защиту.
Таким образом, постоянно включенная защита создает проблемы и для оператора и для клиента, а включение по необходимости связано с рисками несвоевременного обнаружения аномалии и некачественной фильтрации.
Что показали атаки 2022 года
Атаки 2022 года ярко подсветили дополнительные сложности.
1. DDoS-атака на дежурную смену.
Веерные атаки проводились одновременно на инфраструктуру различных крупных компаний. Дежурные смены MSSP и ISP не справлялись с количеством обращений, персонал оказывался перегружен. Качество защиты значительно ухудшалось. Увеличивалась нагрузка как на каналы связи, так и на устройства фильтрации. Большое количество обращений вызывало больше ошибок, все эти ошибки нужно было изучать и устранять. Практически все первое полугодие 2022 года сервисы защиты от DDoS-атак были перегружены.
2. Из-за своей экономической модели многие поставщики услуг, особенно MSSP, были вынуждены пересмотреть тарифы, что привело к удорожанию услуг защиты.
“С ISP возникла еще более интересная история. Все-таки у провайдеров связи защита сетей — не их основной бизнес. Поэтому когда они рассматривают свои линки, они в первую очередь смотрят на загруженность канала легитимным трафиком. И стараются держать ее около 80%. После начала массовых атак провайдеры были вынуждены расширять свои каналы связи, что сказалось на стоимости услуг для клиентов”, - утверждает Хохлов.
Со временем число атакующих снизилось, но их компетенция, наоборот, выросла. Сейчас они подбирают разные сочетания техник, которые даже подготовленным Enterprise доставляют сложности в подавлении.
Что можно сделать? Строим эшелонированную защиту
Надежная защита от DDoS-атак должна существовать на шести разных уровнях:
1. Защита на сервере “жертвы”
На сервере должны быть как минимум установлены различные механизмы, выявляющих ботов или пользователей, которые делают что-то нехарактерное. Здесь проще всего установить скрипты блокировки (например, fail2ban). Также сервер приложений должен быть готов работать на нескольких кластерах, чтобы иметь возможность балансировать между ними нагрузку.
2. Защита на инфраструктуре “жертвы”
Она должна быть готова принять больше трафика, чем обычно, приоритизировать его и сбалансировать нагрузку по нескольким серверам. Также на этом втором уровне находится инфраструктура WAF и дополнительный инструментарий, который умеет выделять атакующих, и дальше отправлять их IP-адреса на уровень выше, чтобы не тратить на них собственные ресурсы.
3. Защита с использованием специальных on-prem устройств
Следующий эшелон — on-prem защита, позволяющая настроить для каждого сервиса определенные правила фильтрации. Фильтрация осуществляется разными способами: челленджи, лимиты, сигнатуры; фильтрация статическая, динамическая и поведенческая. Здесь могут помочь как специальные устройства от производителей, так и самостоятельно разработанные решения на DPDK, netmap и pfring.
Собственная защита нужна, в первую очередь, таким организациям, у которых есть своя инфраструктура внутри, и эта инфраструктура содержит не только веб-сервера (то есть есть сервисы, которые они не могут вынести в MSSP). В таком случае, даже имея канал в один Гигабит/с, можно эффективно защищаться в рамках этого канала от атак, которые были пропущены провайдером связи. Потому что провайдер связи тоже часто не готов полноценно подавить DDoS-атаку, особенно если она смешанная.
4. Защита на периметре сети
На границе сети тоже должна стоять фильтрация, контролирующая избыточный лишний трафик.
“Был кейс, когда атакующие просто генерировали случайный номер протокола, и этот трафик от них проходил дальше во внутреннюю сеть, хотя он мог быть легко срезан на границе. А в другой ситуации разрешался проход трафика, где SRC IP является адрес самой же защищаемой сети”, - рассказывает Хохлов.
5. Защита со стороны ISP
Провайдеры нужны для защиты последней мили от переполнения. От этого никуда не деться. На самом деле, когда кто-либо сталкивается с проблемой DDoS-атаки, в первую же очередь он должен пойти и купить услугу такой защиты. И уже потом, если она его не удовлетворяет, переходить к построению следующих эшелонов.
В защиту от ISP входят ACL, BGP FlowSpec, BGP community (например, как у ReTN), фильтрация на специальных устройствах. В этот же эшелон попадают хостинги со своей защитой. Желательно иметь несколько ISP с защитой.
6. Защита со стороны MSSP
Эшелон в виде MSSP нужен для защиты специфичных сервисов. Например, защиты веба или DNS. То есть DNS-хостинг авторитетных серверов внутри своей сети должен быть обоснован.
Здесь есть возможность выбора среди множества сервисов: Qrator, DDoS-Guard, CloudFlare, MITIGATOR Cloud и так далее.
Для эффективной защиты требуется настроить взаимодействие между этими шестью эшелонами. Каждый из них закрывает часть векторов возможной атаки, но является уязвимым для других видов атак. Только все вместе они способны обеспечить безопасность и стабильность работы сервисов в любых условиях.
Итоги
Прошлый год показал, что многие компании игнорировали угрозу защиты от DDoS-атак, и были удивлены, что их, казалось бы, не особо заметные интернет-сервисы вообще могут массированно атаковать.
Атаки были эффективны в первую очередь потому, что большинство, даже среди крупных компаний, не в полной мере учитывали этот риск и не ожидали разнообразия методов и средств атак. А потом прилетел черный лебедь, и началась серия неприятных открытий. Оказалось, в любой момент вообще все может перестать работать, и никакие провайдеры не защитят.
“Даже некоторые клиенты, у которых было установлено on-prem-решение по защите от DDoS, не были готовы к подавлению атак — трафик на устройство не перенаправлялся или политики защиты устройства не были обновлены после ввода в эксплуатацию новых сервисов”, - делится Хохлов.
Поэтому сейчас, спустя полтора года, все вполне очевидно: если работа крупных компаний зависит от доступности Интернет-сервисов, им нужно иметь собственные возможности защищаться. Для российских банков и ритейла это сейчас особенно важно, т.к. они находятся в числе наиболее желанных целей.
Обойтись без построения эшелонированной защиты от DDoS-атак могут разве что компании, не ведущие бизнес в Интернете: если в их работе от атаки ничего не остановится, то им можно не выстраивать защиту. Нужно смотреть на структуру конкретной организации, и оценить, во сколько ей обойдется простой, то есть время недоступности Интернет-сервисов.