RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



DDoS-атаки: механизмы создания и способы защиты

 Что представляют собой DDoS-атаки?

Вредоносный трафик первых атак DoS (Denial of Service) и DDoS (Distributed Denial of Service) являлся набором паразитного сетевого трафика, по объему превышавший способности атакуемой жертвы к обработке, отсюда возникали перебои сервиса. До определенного момента проблематика DDoS пошла на спад, но появление бот-сетей и их активная коммерциализация сделали проблему вновь актуальной. К тому же, если ранние атаки служили для хакеров неким способом самоутвердиться, то сейчас DDoS связаны непосредственно с получение прибыли. И объем  DDoS-атак возрастает из года в год. Согласно информации Arbor Networks, объем максимальной атаки в 2010 г. составил 100 Гбайт, а уже в 2011 г. – в 140 Гбайт.

К широко распространенным простым flood-атакам в последние годы добавились атаки уровня приложений (7-й уровень модели OSI). С такими атаками сложно бороться, так как с точки зрения традиционных средств периметральной защиты (межсетевой экран и система IPS), трафик такой атаки является легитимным с учетом построения полноценного TCP 3-way handshake.

В 2010 г. особо распространились атаки малой мощности (slow level). Основная причина их распространенности в том, что с элементарным лавинообразным флудом уже научились бороться и флудовые атаки являются не столь эффективными. Для подобных атак вполне достаточно небольшой бот-сети, пары сотен зараженных зомби-машин, а отдача от такой атаки будет значительной. 

Атаки на DNS-серверы – это еще один тип DDoS-атак, пока не очень распространенных в России. Внимания DNS-серверам уделяется недостаточно, поэтому зачастую это старенькие не особо мощные серверы. Это и на руку злоумышленникам: организуя атаку на DNS-серверы и выводя их из строя, они делают недоступным определенный сайт или сервис, т. к. перестают разрешаться доменные имена.

Кроме того, в 2011 году был отмечен вариант бот-сетей хак-тивистов. Пользователи, к примеру, недовольные политической ситуацией, действиями правительства, по собственной воле скачивают и запускают у себя код, используя таким образом свой компьютер для атаки и выражая этим свое несогласие, недовольство.

Несовершенное законодательство в области IT-технологий является одной из основных проблем в защите от DDoS . А кроме этого, программы для организации бот-сетей и создания DDoS-атак просты и доступны.

 

Варианты защиты

Использование балансировщиков и настроек существующего оборудования ИБ 

Компании пытаются использовать для защиты от DDoS существующие средства ИБ: балансировщики, в том числе и аппаратные, дополнительные настройки защиты на Web-серверах.

Несомненно, использование данных настроек помогает отразить некоторые виды атак, но подобные решения не являются полноценной защитой. В последнее время встречались DDoS-атаки, цель которых выведение из строя балансировщиков, используя уязвимость программного обеспечения или особенности алгоритмов балансировки. Имеющиеся средства ИБ также являются мишенью атаки, т. к. большинство из них базируются на statefull-решениях, являясь уязвимыми для DDoS-атаки. К тому же, функция по защите от DDoS в активном сетевом оборудовании представляет собой маркетинговый шаг, и кнопка "Включить защиту от DDoS" в Web-интерфейсе обычного домашнего маршрутизатора никоим образом не связана с реальной защитой.

Сторонний сервис по защите 

Данный способ защиты представляет собой услугу дополнительного платного сервиса. Трафик заказчика, проходя через центр очистки, анализируется и обрабатывается, и только потом легитимный трафик отправляется на серверы заказчика. Услуга предоставляется как на абонентской основе, так и в режиме скорой помощи: при возникновении атаки на серверы заказчик обращается к провайдеру за помощью.


 Устройства для защиты от DDoS

Компаний, предоставляющих решения по защите от DDoS, всего несколько. При покупке подобного устройства заказчик получает полный набор инструментов для защиты.

Стандартно такие решения устанавливаются на стороне провайдера. Принцип работы таков: у провайдера создается центр очистки трафика, способный очищать многогигабитные атаки. Решение анализирует трафик (по BGP/flow/SNMP) с разных участков сети провайдера – с границы, опорной сети, сети агрегации, и в случае идентификации атаки зараженный трафик отправляется в центр очистки, где, в конечном, и очищается, и уже чистый трафик доставляется непосредственно к клиенту.

Появление в последнее время атак slow level, направленных на Web-серверы, обусловило необходимость защиты и на последней миле. Ввиду малой мощности трафика атаки детектирование на стороне провайдера порой может быть затруднительным. Для подобных случаев существуют решения для защиты от DDoS на последней миле, где анализируются все проходящие пакеты и в результате могут детектироваться все возможные DDoS-атаки. То есть, в настоящее время полноценным решением по защите от DDoS является эшелонированная защита: очистка на уровне провайдера для отсечения лавинообразных атак и решение для защиты на последней миле.

Единственный недостаток - цена. Но зачастую стоимость устройств несопоставима со стоимостью возможных потерь компании из-за недоступности сервисов.

 

И еще. Если сайт небольшой, размещен в сети Интернет с каналом до 100 Мбайт, то вполне достаточно воспользоваться внешней услугой по защите от DDoS. Если же доступность сети крайне важна для ведения бизнеса и недостпность сайта даже в несколько часов грозит крупными убытками, правильнее всего установить полноценную эшелонированную защиту от DDoS, при этом самый подходящий вариант – это защита и на стороне провайдера, и на стороне клиента.


Оставьте свой отзыв:

Tags:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы