Введение


По данным компаний Akamai и Arbor Networks в первом квартале 2016-ого года был зафиксирован рекорд по количеству мощных DDoS-атак — 19, мощность каждой превысила 100 Гбит/с. В среднем активность DDoS-атак выросла чуть менее, чем вдвое, если сравнивать показатели год к году, а пик мощности атаки почти достиг 600 Гбит/с.

Аналитики отрасли говорят о том, что ситуация ухудшается и положительной динамики ожидать не приходится. Сегодня все шире распространяются бесплатные или недорогие онлайн-сервисы, которые позволяют легко и быстро организовать DDoS-атаку. Широко известен LizardStresser от хакерской группы Lizard Squad. На его основе построен не один десяток ботнетов. При том, что хакеры усиливают свои мощности, большинство интернет-ресурсов «ложится» от самой простой атаки,
не превышающей по мощности и 1 Гбит/с.

Методы атак при этом известны. Хакеры используют особенности сетевых протоколов. С помощью чужих серверов организуется атака на жертву, которая забивает канал связи и уводит его в оффлайн. Наиболее популярный метод – DNS-усиление, доля которого составляет почти 1/5 от всех атак. За ними идут NTP-, CHARGEN- и SSDP-усиление. Более половины атак при этом сочетают в себе все эти методы, не оставляя жертве практически никаких шансов для отражения атаки. Единственной позитивной динамикой обладает время атак – он в среднем сократилось на 1/3 по сравнению с 2015-ым годом. Эти рекордные показатели, как по количеству, так и по мощности все больше беспокоят владельцев бизнеса, которые зависят от интернет-ресурсов.

Именно поэтому набирает популярность аналитическая DDoS-защита.

Как организовать защиту от DDoS-атак


Организовать качественную DDoS-защиту в рамках собственной инфраструктуры может позволить себе далеко не каждый бизнес, тем более малый. Это затраты и прямые, и косвенные (на поиск квалифицированных кадров). Именно поэтому бизнес все чаще обращается к провайдерам защиты от DDoS-атак и отдает эту функцию на аутсорс.

К примеру, наша компания RUVDS предлагает клиентам аналитическую защиту от DDoS-атак по цене, за которую вы не сможете даже провести собеседование потенциального сотрудника.

Виды атак


Приведем список потенциальных типов атак и их классификацию.

Переполнение канала:


  • DNS амплификация и флуд
  • NTP амплификация и флуд
  • ICMP флуд и фрагментированный ICMP-флуд
  • Ping флуд
  • UDP флуд и флуд с помощью ботнета, фрагментированный UDP флуд
  • VoIP флуд
  • Флуд медиа-данными
  • Атака широковещательными ICMP ECHO пакетами и UDP пакетами


Атаки на уязвимость сетевых протоколов:


  • Атаки с модификацией поля TOS
  • ACK / PUSH ACK флуд
  • RST/FIN флуд
  • SYN и SYN-ACK флуд
  • TCP null/ IP null атака
  • Атака поддельными TCP сессиями, в том числе с несколькими ACK
  • Атака с подменой адреса отправителя адресом получателя
  • Атака с помощью перенаправления трафика высоконагруженных сервисов
  • Ping смерти


Атаки на уровне приложений:


  • HTTP флуд, одиночными запросами, одиночными сессиями
  • Атака с целью отказа приложения
  • Атака фрагментированными HTTP пакетами
  • Сессионная атака. Атака медленными сессиями
  • DDoS атаки “нулевого” дня


Как видите, угроз немало, а сам список не окончательный. Однако 99% атак, которые происходят каждый день, подпадают под данную классификацию, а значит, их можно отразить.

Что представляет собой данная защита от подобных атак?


Провайдер помещает IP адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке производится сопоставление трафика, идущего к клиенту, по отношению к известным шаблонам атак. В итоге клиенту доходит уже чистый, отфильтрованный трафик, таким образом, что пользователи ресурса и не узнают, что была предпринята атака.

Для организации такого сервиса в первую очередь создается гео-распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика для конечного клиента. Емкость подобной сети превышает 1500 Гбит/с.

Сначала в борьбу вступают аппаратные средства защиты – производится анализ сигнатуры, статистики и поведения, проверяется соблюдения требований используемых трафиком протоколов (суть уровень защиты L2, L3, L4).

После этого начинается более тонкая аналитическая работа на уровнях L5-L7. Система производит интеллектуальную фильтрацию, проводится анализ атак на протоколы HTTP, HTTPS, поведенческий и корреляционный анализ.

Принимая во внимание список самих атак, эти три этапа защиты превращаются в неподъемную задач для рядового владельца интернет-ресурса.

Что делать?


Выход из данной ситуации есть – переход в облако. Так как основной бизнес провайдера облачной инфраструктуры – информация, он уже позаботился о ее защите, начиная от надежности связи и антивирусах, заканчивая DDoS-защитой себя и своих клиентов. Именно это позволяет провайдеру оказывать услуги по защите по минимальной цене, ведь он, с одной стороны, уже вложился в ее организацию и стремится окупить затраты, с другой стороны знает, что если цена не будет конкурентной, он потеряет клиента по своему основному бизнесу – аренде виртуальных серверов. То есть здесь мы видим полное совпадение интересов клиента и провайдера. А значит в данном случае это наиболее выгодный и правильный метод защиты вашего интернет-ресурса от большинства видов атак.

Судите сами, всего за 400 рублей в месяц можно спать спокойно и забыть о хакерах. Это ли не прекрасно?
Поделиться с друзьями
-->

Комментарии (1)


  1. riot26
    05.08.2016 22:23

    Весь смысл статьи в «бойтесь атак», а потом «купите у нас защиту». RUVDS, вы серьёзно?