Еволюция на DDOS от flood атаки до атаки на приложния слой, ChannelForIT
През последните няколко години атаките с разпределен отказ на услуга (DDoS) се развиха от относително прости flood атаки до сложни и многоетапни атаки. Освен това, наред с традиционните атаки на високо ниво, които изпращат огромни количества трафик, за да претоварят сървъра, фирмите също са изправени пред целеви атаки. Те използват сравнително малко количество трафик, насочен към приложения, които обработват огромни количества данни. Освен това тези атаки не се откриват от традиционните решения за защита от DDoS. Прекъсване, причинено от DDoS атака, може да доведе до огромни бизнес загуби, независимо от размера на компанията или организацията, която е атакувана.
Първата разпределена DDoS атака се проведе през 2000 г. и беше насочена към Amazon, eBay и други сайтове за електронна търговия. Като инструмент за извършване на широкомащабни атаки, киберпрестъпниците използваха ботнет от много компютри, които генерираха огромен брой заявки и натовариха сървърите, обслужващи порталите за електронна търговия, толкова много, че вече не можеха да обработват потребителски заявки. Общите щети от атаките се оценяват на около 1,7 милиарда долара.
Оттогава DDoS атаките се развиха драматично, от примитивен инструмент, който използва атаки с висок трафик, за да претовари уеб сървърите, до сложни, сложни атаки на приложния слой, предназначени да насочват стратегическите бизнес ресурси. През 2012 г. бяха извършени поредица от такива атаки срещу банковата индустрия с цел извършване на финансови измами. Секторите на образованието и електронната търговия също са били мишена на киберпрестъпниците повече от веднъж.
2013 г. показа товаDDoS атаките се издигнаха на ново ниво и доведоха до още повече споменавания в медиите. Докато много компании продължават да вярват, че техните уебсайтове и инфраструктура на приложения са адекватно защитени срещу кибератаки, други вече се подготвят за защита срещу по-сложната структура на DDoS атаките. Според независимо проучване 64% от ИТ специалистите (с повече от 10 години опит) казват, че силата на кибератаките нараства, докато само 25% казват, че имат способността да предприемат подходящи контрамерки. Само 22% от вземащите решения в ИТ вече са внедрили DDoS защита.
2012 г. показа рязко увеличение на DDoS атаките като Layer 7. Тези атаки остават незабелязани, защото представят трафика си за легитимен. Атаките на ниво 7 или на ниво приложение се фокусират върху уязвимости в кода на самото приложение, вместо да използват фронтална атака за постигане на желаните резултати. Целта на повечето атаки на приложния слой е добре познат софтуер, който използва HTTP, HTTPS, DNS и VoIP (Session Initiation Protocol или SIP). Подобно на flood атаките, L7 атаките изискват много малко усилия от страна на киберпрестъпниците. Напълно възможно е да парализирате големи уебсайтове от един лаптоп, като изпратите 40 до 60 идентични заявки в секунда (PPS или накратко пакети в секунда). В същото време при flood атаки се изпращат от няколкостотин или хиляди PPS до милиони. Външната законност е това, което прави L7 атаките често срещани и изключително трудни за откриване и блокиране.
Атаките на приложния слой не винаги могат да бъдат открити от системата за сигурност, тъй като хакерите се възползват от слабост в технологията за откриване, която използва принципа на мрежовия поток и техниката за прагове. RUDY (R-U-Dead-Yet) и Slow Loris са два типа атаки на приложния слой,които са насочени към HTTP протокола. Нападателите се опитват да стартират много трудни за обслужване заявки, изчерпвайки ресурсите на приложението и бързо парализирайки уебсайта.
DNS сървърите са привлекателни цели, защото обикновено са много големи, работят на широколентов интернет и не могат да бъдат включени в черен списък толкова лесно.
1000 пъти обема на трафика, като по този начин бомбардира жертвата с масивна вълна от трафик. Взети поотделно, тези DNS заявки са легитимни, както и данните за отговор; въпреки това, чрез камуфлаж, нападателят може да остане анонимен и да манипулира публично достъпен DNS, за да отблъсне атаките и да увеличи тяхната мощ. Използвайки такива методи за атака през 2013 г., малка група престъпници успяха да генерират най-голямата DDoS атака в историята, достигайки непрекъснат поток от трафик на ниво от 300 Gbps. Хакери атакуваха spamhaus.com, организация, която публикува "черни" списъци на спамъри в интернет.
Атаките на приложния слой все повече са насочени срещу онлайн банкирането на онлайн магазини. Тези атаки често са скрити в криптиран (HTTPS/SSL) трафик и остават невидими за традиционните решения. Като пример, такава атака може да бъде стартирана чрез стартиране на функция „добавяне в кошницата“ на уеб сървър, генерирайки повече трафик, отколкото приложенията могат да обработят, претоварвайки сайта и генерирайки съобщения за грешка за крайните потребители, които се опитват да направят онлайн покупки. Тези атаки не се откриват, докато не стане твърде късно, защото използват законни канали за трафик, за да проникнат в уеб сървъри и приложения.
Атаките от нулев ден са DDoS мегатенденции, насочени към последните открити уязвимости в уеб приложенията, а не към наводняване на данни. Огроменброят на уеб приложенията днес работят на мобилни устройства (помнете тенденцията BYOD), което излага компаниите на висок риск от DDoS атаки от нулев ден.
Въздействие върху бизнеса
Статистиката на DDoS атаките на приложния слой е тревожна. Gartner изчислява, че 70% от всички заплахи са насочени към слоя уеб приложения. Проучване на Ponemon Institute установи, че средната годишна цена на DDoS атака се оценява на $3,5 млн. Друго скорошно проучване на Forrester изчислява средна финансова цена от $2,1 млн. за всеки 4 часа престой и $27 милиона за всеки 24 часа престой, причинен от DDoS атаки. Forrester посочва, че честотата на атаките във всички индустрии е приблизително 1 път на месец, докато във финансовия сектор това се случва 1 път седмично. Въз основа на публично достъпни оценки на щетите, предоставени от организации, които са били атакувани, финансовите компании са претърпели средно около 17 милиона долара щети на инцидент през 2012 г. И въпреки че финансовите институции са най-често атакувани, изследването на Forrester показва, че държавните институции средно са обект на по-продължителни атаки. Това е така, защото финансовите институции са склонни да използват по-добра защита срещу кибератаки.
Въпреки тази тревожна статистика, по-малко от 25% от компаниите са внедрили решения за защита от DDoS.
Необходимостта от специално локално DDoS решение
Защитата от наводнения на ниво 3 и 4 традиционно се извършва в облака с решение, което проверява обратния трафик. Тези атаки, които изискват широк канал, са доста лесни за откриване и отклоняване от доставчик на услуги. Всъщност клиентите може дори да не забележат никакви проблеми. Има обаче много среди, в които, главно от съображения за сигурност, данните просто не могатнапуснете частни мрежи. Освен това „ниските и бавни“ атаки на приложния слой не могат да бъдат отразени в облака, тъй като тези атаки обикновено не консумират много трафик и са скрити в легитимен трафик.
Отразяването на тези атаки изисква отделно локално решение в корпоративния център за данни. Специално DDoS решение е необходимо поради различни причини:
• Система за защита на периметъра, която включва защитна стена, NG защитна стена и отделни системи за предотвратяване на проникване, не е подходяща за защита срещу DDoS атаки, тъй като добре подготвените атаки могат бързо да преодолеят таблицата за състоянието на връзката и да парализират защитната стена или IPS, излагайки на риск цялата мрежа.
• Защитните стени и IPS системите сами по себе си могат да бъдат цел на "отказ" атака, изискваща защита.
• Защитните стени и IPS системите не могат да издържат на по-сложни атаки на приложния слой, защото тези решения са проектирани да заобикалят точните протоколи, използвани по време на тези атаки; всеки хакер знае, че защитната стена обикновено позволява преминаването на HTTP и HTTPS трафик, тъй като повечето системи изискват такъв достъп, за да комуникират правилно с уеб услуга.
Ограничения на традиционните решения за отблъскване на DDoS атаки
Традиционните решения за откриване на DDoS са ограничени в своите възможности, те са в състояние да управляват само мрежова телеметрия, като мрежов поток (netflow), който не носи атрибути на приложния слой и оставя огромна дупка в откриването на модерни атаки на приложния слой. В допълнение, всички тези решения осигуряват откриване на базата на сигнатури и отблъскване на локални атаки, което не е ефективно срещу неизвестни атаки от нулевия ден. Освен това такива решения оценяват само входящия трафик въз основа на базата със сигнатури на заплахи, оставяйки уязвимости всигурност за преминаване на злонамерен трафик. Един пример е атака с усилване на DNS.
Освен това традиционните решения не са в състояние да разграничат легитимен и машинно генериран (зловреден) трафик. Следователно системата трябва да бъде конфигурирана ръчно, за да дефинира високи/средни/ниски прагове, при които трафикът трябва да бъде блокиран. Този подход води до компромис между нисък фалшив положителен праг и агресивна защита.
Ако прагът е зададен твърде високо, това създава фалшив положителен проблем, което води до блокиране на големи количества легитимен трафик. Ако прагът е намален, тогава ще бъде разрешен потенциално злонамерен трафик, което ще доведе до хакване. Липсата на инструменти за защита на ниво 7 и невъзможността за прилагане на мониторинг на защитените ресурси правят традиционните DDoS решения неефективни срещу съвременни атаки, които се случват извън периметъра на сигнатурата. Статичният праг не отговаря на изискванията за защита. Има и административен проблем, свързан с поддръжката на набор от подписи и ръчната настройка на прага.
Накратко, предоставянето на пълен набор от защити срещу днешните DDoS атаки изисква самостоятелно решение с ниска латентност, разположено локално в периметъра на центъра за данни. Това решение оценява производителността на всяко приложение, от слой 7 до мрежовите ресурси, необходими за осигуряване на тяхната наличност, като следи както входящия, така и изходящия трафик. Това е най-ефективният подход за предотвратяване на известни и неизвестни атаки чрез разграничаване на легитимен и злонамерен трафик и минимизиране на фалшивите положителни резултати. В този случай дори не е необходимо ръчно да регулирате прага на сигнала, което винаги е било необходимо, нотъй като създава постоянно работно натоварване и винаги изостава от реалните промени в модела на трафика. Такъв новаторски евристичен подход е описан по-подробно по-долу.
JuniperDDoSSecure- Защита от атакиDDoS
Juniper Networks пусна DDoS Secure решение, което беше "тествано в битка" и показа високи резултати при откриване и отблъскване на DDoS атаки. Към днешна дата продуктът е помогнал да се избегнат щети в размер на около 60 милиарда долара за компании, работещи в областта на медиите, онлайн търговията на дребно, онлайн игрите, финансите, образованието и държавните органи.
За разлика от традиционните решения, DDoS Secure използва технологии без подпис за откриване и отблъскване на атаки на приложния слой. Програмата инспектира целия входящ и изходящ трафик по периметъра на центъра за данни, а също така следи производителността на приложението при всяка входяща клиентска заявка. Преди да използва прагов метод или настройка за отблъскване на атаки, DDoS Secure използва специален алгоритъм, CHARM, за количествено определяне на рисковете в реално време, свързани с двупосочния трафик. Продуктът анализира ресурсите на целевото приложение, когато последното бъде атакувано. Ако приложение бъде атакувано, то повишава прага CHARM, необходим за достъп до приложения, блокирайки най-рисковия трафик. Чрез съпоставяне на входящите рискове и изходящите отговори, DDoS Secure е в състояние да открие стелт атаки, които обикновено заобикалят традиционните базирани на подпис DDoS защитни решения.
DDoS Secure се самообучава и не изисква конфигурация или прагове. Той следи как приложението реагира и анализира всяка атака. Това иновативноевристичният подход позволява на технологиите да определят как трябва да изглежда нормалният трафик и нормалният отговор от приложението. Когато възникне нова атака, DDoS Secure актуализира алгоритъма, за да включи характеристиките на новата атака, създавайки високо интелигентна система за защита от DDoS, която включва динамични актуализации. В случай на атака с усилване на DNS, DDoS Secure прилага интелигентен подход към DNS ресурса, за да отблъсне атаката, преди да парализира DNS сървъра. Специални DDoS Secure филтри отстраняват повтарящи се DNS заявки за една и съща информация, като по този начин предотвратяват атаки за усилване на DNS и защитават целите на нападателите от злонамерени заявки, които засягат тяхната наличност.
При подготовката на статията са използвани материали от Juniper Networks
ХарактеристикиJuniper DDoS Secureсрещу конкурентArbor Networks Pravail APS
Juniper DDoS Secure
Технология за откриване и отблъскване на атаки