Предприятия и провайдеры Internet не могут допустить, чтобы их защита оказалась слабее все более мощных инструментальных средств, которые хакеры применяют с целью воспрепятствовать пользователям в получении доступа к важной информации, размещаемой в сети.
Cобытия 11 сентября 2001 г. имели одно положительное следствие — количество атак по типу «отказ в обслуживании» (DoS) против сетей и сайтов Web несколько сократилось. Это касается не только получивших мировую огласку атак DoS, обрушившихся на eBay, Yahoo! и Amazon в феврале 2000 г., но и «уличных хулиганов».
По словам Алана Паллера, директора по исследованиям SANS Institute, где организуются курсы обучения сетевой защите для администраторов, многие так называемые хакеры в сложившейся ситуации уже не одобряют нападения на другие сайты, поэтому общее количество атак DoS практически перестало расти. Данные Computer Security Institute и ФБР подтверждают эту тенденцию; в частности, они показывают, что количество атак по типу «отказ в обслуживании» на сайты Internet в 2001 г., по сравнению с 2000 г., увеличилось весьма незначительно.
В ежегодном опросе «Исследование по вопросам компьютерных преступлений и защиты» (Computer Crime and Security Survey), проведенном совместно CSI и ФБР, отчет о котором был выпущен весной 2002 г., 40% из 503 респондентов, работающих в корпорациях, государственных агентствах и университетах, сообщили, что их организации в 2002 г. пострадали от атак DoS. Это не намного больше 38% респондентов, переживших подобные атаки в 2001 г. Однако в 2000 г. об атаках DoS заявили всего 27% опрошенных.
Неприятный момент заключается в том, что стабилизация, скорее всего, продлится недолго, и ситуация, по-видимому, в ближайшее время обострится. Эрик Хеммендингер, директор по исследованиям группы информационной безопасности Aberdeen Group, считает, что «положение дел скорее ухудшится, нежели улучшится, и станет как никогда угрожающим».
В 2001 г. атаки DoS и Distributed DoS (DDoS) особенно тяжело отразились на работе Internet-компаний. В опросе CSI об атаках DDoS сообщили около 55% респондентов — владельцев сайтов электронной коммерции — одного из самых соблазнительных объектов для нападения (CSI принадлежит компании CMP Media LLC, которая издает Network Magazine). В другом исследовании, проводимом в течение трех недель в середине 2001 г., ученым университета шт. Калифорния (Сан-Диего) удалось выявить примерно 12 800 атак DoS, которым подверглись более 5000 организаций.
Что делать предприятию, когда на его вычислительные ресурсы направлена атака «отказ в обслуживании»? В данной статье приводятся примеры некоторых стратегических и тактических решений, реализация которых позволяет предотвратить атаки DoS или, по крайней мере, смягчить наносимый ими вред, а также рассказывается о новых продуктах, выпущенных недавно созданными производителями с целью предупредить такие злонамеренные действия.
Серьезный риск DDOS
Результаты, полученные специалистами CSI и университета шт. Калифорния (Сан-Диего), не удивили Чада Робинсона, ведущего аналитика компании Robert Francis Group. Он считает, что атаки DDoS представляют собой одну из самых серьезных опасностей, с которыми сталкиваются их клиенты — корпорации и провайдеры услуг.
Таким образом, он подтвердил уникальность атак DoS в том смысле, что специалисты по защите не могут просто отклонить трафик, направленный на их сайты. Подобная тактика, очевидно, блокирует соединения легитимных пользователей. Что касается сайтов электронной коммерции, то даже непродолжительное прерывание их работы вследствие атак DDoS грозит недополученной прибылью внушительных размеров.
Сайты электронной коммерции и информационные сайты Web — не единственные объекты для подобных атак. Робинсон и другие аналитики отмечают, что они способны угрожать любой службе на базе IP, в том числе все более популярным виртуальным частным сетям и службам Web. Хакеры инициируют атаки DoS, устанавливая на компьютеры, которые они выбрали своей целью, так называемый «зомбированный» код, для чего используют широко известные бесплатно распространяемые инструментальные средства, например Trinoo и Stacheldraht. Зомбированный код позволяет хакерам с помощью компьютеров бомбардировать сайт-жертву множеством пакетов данных, расходуя пропускную способность Internet этого сайта и загружая серверы так, что они не могут обрабатывать легитимный трафик.
Именно таким образом юный канадский хакер, известный под псевдонимом Mafiaboy, в одиночку организовал нашумевшие атаки DDoS на Yahoo!, Schwab, Amazon.com, eTrade, CNN.com и другие сайты Web в феврале 2000 г. Для подобных компаний любое длительное прерывание работы означает потерю миллионов долларов прибыли.
Эксперты по DDOS
Возможно, лучше других осознает угрозу Дейв Диттрих, ведущий инженер-исследователь Вашингтонского университета. Диттрих, признанный специалист по DDoS, стал первым ученым, кто выступил с предупреждениями о потенциальной опасности DDoS; он хорошо изучил проблему и инструментальные средства, предназначенные для борьбы с такими атаками.
Web-страница Диттриха содержит обширный список ссылок и информацию о DDoS в Internet, в том числе детальный анализ большого количества инструментальных средств для организации атак по типу «отказ в обслуживании», в том числе Trinoo и Stacheldraht, а также некоторые бесплатные средства защиты: в частности, Remote Intrusion Detector (RID) и Zombie Zapper компании BindView, применяемые для противостояния DDoS.
Будучи супервизором сети университета, Диттрих не понаслышке знает об атаках DDoS, поскольку ему приходилось испытывать их на себе и как обычному пользователю, и как сетевому администратору. Ему слишком хорошо известно, что тысячи студенческих ПК в его сети неуправляемы, неконтролируемы, и контролировать их невозможно, в силу чего они остаются беззащитными перед атаками со стороны.
Он вспоминает, как еще в середине 1999 г. получил сообщения от других компаний, где утверждалось, что компьютеры Вашингтонского университета стали источником пакетов данных, заполонивших их сайты. Фактически, как было впоследствии обнаружено, в Вашингтонском университете атакующая программа Trinoo инфицировала 28 его систем с Sun Solaris, а в Европе с помощью этих систем группа хакеров организовала атаку на серверы Internet Relay Chat (IRC) другой группы.
Такие нападения, когда объединившиеся хакеры обрушиваются на ресурсы IRC другого сообщества, пожалуй, самые распространенные атаки DDoS. «Очень немногие атаки DDoS инициируются по экономическим или политическим мотивам», — заметил Диттрих.
Это не означает, что компании, предприятия электронной коммерции или провайдеры Internet должны легкомысленно относиться к DDoS. «Многие совершенствуют подобные инструментальные средства, так что их применение приводит к серьезным последствиям, причем выполняемые на регулярной основе атаки используют огромную пропускную способность — достаточную для отключения небольших предприятий или провайдеров Internet», — подчеркнул Диттрих.
Он считает, что так называемые «личинки» IRC DDoS становятся все совершеннее. При организации атак для проникновения на незащищенный компьютер достаточно небольшой «личинки» (bot), или фрагмента кода, а затем данный компьютер инфицируется с помощью более совершенных программ. Они пересылают трафик в рамках атаки DDoS, который передается от IRC к IRC, существенно осложняя работу по отслеживанию компьютеров, задействованных в нападении. Они могут также самостоятельно обновляться с появлением новых инструментальных средств.
Разработчики такого рода программы могут направить свое оружие на любую цель, в том числе и на сайты электронной коммерции. «Я не хочу сгущать краски, но реальность такова, что подобные инструментальные средства годятся для атаки на что угодно», — подчеркнул Диттрих.
Помимо ранее упомянутой атаки Mafiaboy, многие инциденты, связанные с DoS, касались коммерческих или политических организаций. Диттрих отметил, что Пакистан и Индия используют DDoS против друг друга; в то же время так называемые «Электрохиппи» (ElectroHippies), свободная организация сетевых бунтовщиков организовала атаку DDoS, которая в январе 2002 г. временно вывела из строя сайт Web Всемирного экономического форума.
Еще более ужасными оказались последствия подобной атаки для британского провайдера Internet CloudNine Communications, результатом которых стало закрытие компании. CloudNine вынуждена была продать свой бизнес и передать конкуренту 2500 пользователей после атаки DDoS, из-за которой клиенты не смогли попасть в Internet, а размещенные в ее сети сайты Web оказались отключенными.
От атак DDoS пострадали также британский портал итальянского провайдера Internet — компании Tiscali, чья работа была прервана на несколько дней, а британский провайдер Internet Donhost прекратил обслуживание на несколько часов. Кроме того, отчеты новостных агентств свидетельствуют, что Goldman Sachs и Investcorp тоже стали жертвами атак DDoS, которые тем не менее не отключали свои сайты.
Обратитесь к CERT
Отвечая на вопрос, как защититься от DDoS, Диттрих сослался на отчет, выпущенный после семинара Distributed-Systems Intrusion Tools Workshop, проведенного в ноябре 1999 г. координационным центром CERT Coordination Center университета Карнеги-Меллона. В его подготовке приняли участие несколько специалистов CERT, сам Диттрих, группа SHADOW из центра Naval Surface Warfare Center и руководители нескольких компаний, специализирующихся на защите и инфраструктуре Internet.
В отчете излагаются базовые принципы защиты от DDoS для некоторых классов пользователей Internet, в том числе провайдеров Internet, системных администраторов и специалистов из так называемых групп немедленного реагирования (Incident Response Team, IRT). Изложенные в нем рекомендации охватывают широкий круг решений, от общих (для менеджеров) до специализированных (для провайдеров, системных администраторов и IRT).
Например, «менеджеры должны обладать полной информацией о природе атак и их возможных последствиях. Высшему руководству компании необходимо получать краткие отчеты непосредственно от специалистов по защите с целью достижения требуемого уровня взаимопонимания». На производителей предлагается оказывать давление с тем, чтобы они «организовали более надежную защиту для своих служб и конфигураций по умолчанию».
Согласно отчету, еще важнее, чтобы корпоративные менеджеры установили ответственность за реализацию минимально допустимой защиты в соответствии с принятой политикой безопасности, отключая неконтролируемые соединения Internet пользователей, в том числе и руководителей, чьи бюджеты могут оказаться скомпрометированы или подвергаются риску стать объектом атаки DDoS.
Отчет CERT дает особые рекомендации для системных администраторов. Он предлагает способы защиты, выявления и реагирования, указывая меры, которые следует предпринять немедленно (в течение 30 дней), в короткие сроки (от 30 до 180 дней) и на протяжении достаточно продолжительного времени (полгода и больше).
К непосредственным действиям по организации защиты относятся применение на границе сети правил противодействия фальсификации соединений для того, чтобы сделать сайт Web менее соблазнительной целью для хакеров, а также установка заплаток для программного обеспечения и анализ правил защиты на границах сети с тем, чтобы гарантировать корректное отсечение входящих пакетов. Кроме того, необходимо сразу же создать одобренный руководством детальный план для взаимодействия с IRT, провайдерами Internet и правоохранительными органами.
К краткосрочным мерам относятся создание эталонных систем с помощью инструментальных средств шифрования с проверкой контрольных сумм и периодическое сканирование систем в поисках хорошо известных изъянов. Отчет предлагает предприятиям «оценить и, по возможности, развернуть систему обнаружения вторжений». Кроме того, системным администраторам рекомендуется совместно со своими провайдерами Internet утвердить соглашение об уровне обслуживания (Service Level Agreement, SLA), где бы указывалась ответственность провайдера за контроль и блокирование трафика, передаваемого в рамках атак DoS и DDoS.
В дальнейшем (долговременные меры) следует назначить ответственного системного администратора за каждую систему и определить, кто обладает правом, ведет обучение и предоставляет ресурсы для защиты системы от атак DDoS. И опять-таки, в отчете предполагается, что системные администраторы должны работать со своими провайдерами Internet над включением усовершенствованных требований к защите и возможностей в рамках SLA. В отчете CERT также говорится о срочных, краткосрочных и долгосрочных сценариях выявления атак DDoS и ответных мерах со стороны провайдеров Internet и IRТ.
Что касается провайдеров Internet, то диапазон этих сценариев необыкновенно широк, от очевидных до трудно выполнимых. Отчет призывает внедрить кризисные правила и процедуры и довести их до сведения сотрудников и пользователей. К более детальным рекомендациям относится создание сетевой инфраструктуры, которая позволяет выявлять атаки как можно ближе к их источнику. Для IRT предлагается создать кризисный план и определить оперативные, краткосрочные и долгосрочные цели по борьбе с распределенными атаками. В отчете также подчеркивается необходимость выработки критериев для выявления атак на распределенные системы.
Ссылки на инструментарий
Как уже было замечено ранее, Вашингтонский университет, где работает Диттрих, предлагает ссылки на различные инструментальные средства обнаружения и защиты от атак DDoS. К ним относятся RID и Zombie Zapper.
По сведениям Theory-Group, консалтинговой службы, представляемой Дэвидом Брумлеем и Джоэлом де ла Гарза, RID может обнаруживать многие из популярных инструментальных средств организации атак DDoS, в том числе клиента атаки DDoS Trinoo, клиента атаки переполнения сети DDoS Tribal и клиента атаки DDoS Stacheldraht.
Как подчеркивается, RID не следует использовать ни как инструментарий для оценки уязвимости, ни как сетевую систему выявления вторжений (Intrusion Detection System, IDS), поскольку она не ведет постоянный мониторинг сети, подобно коммерческим IDS. RID выявляет удаленное программное обеспечение, которое реагирует определенным образом на конкретный поток пакетов. Он рассылает предварительно сформированные пакеты, затем «выслушивает» соответствующие ответы.
Zombie Zapper компании BindView представляет собой бесплатную, свободно распространяемую программу, причем она может заставить инфицированную «зомбированную» систему прекратить передачу трафика. Она действует против таких программ организации атак, как Trinoo, TFN, Stacheldraht, Trinoo for Windows и Shaft.
По утверждению специалистов группы RAZOR компании BindView, сетевые менеджеры могут использовать Zombie Zapper для обнаружения и прекращения лавинных атак, инициаторы которых находятся внутри их собственных сетей или во внешнем источнике. Группа RAZOR состоит из специалистов по защите, совместно работающих над выявлением новых изъянов защиты и путей их устранения.
В BindView предупреждают, что применение Zombie Zapper против другого сайта может породить серьезные проблемы, в том числе отключение трафика с неверного IP-адреса, если лавинный трафик был «фальсифицирован» или передан с невинной системы, инфицированной и захваченной хакером. Еще один риск связан с возможностью привлечь внимание правоохранительных органов, если выяснится, что кто-то использовал Zombie Zapper против легитимного сайта.
Однако на сайте BindView отмечается, что «все больше специалистов стремятся использовать Zombie Zapper для организации защиты по принципу «ответного удара» вместе с IDS или программным обеспечением межсетевого экрана, в особенности со свободно распространяемыми решениями, которые поддерживают или, при соответствующей модификации, способны поддерживать другие свободно распространяемые решения».
Сайт RAZOR компании BindView предлагает большое количество другой информации, призванной помочь специалистам по ИТ решить задачи в области защиты. Отметим предупреждение о том, что пользователи Proxy v3.x компании Funk Software уязвимы для некоторых атак, осуществление которых может привести к несанкционированному доступу посредством удаленного управления. На сайте можно ознакомиться с детальными инструкциями для смягчения последствий любых атак, при этом, как отмечается, Funk Software работает вместе с BindView над решением данной проблемы.
Сайт RAZOR содержит также множество других инструментальных средств. К примеру, он предоставляет ссылку на VLAD the Scanner, свободно распространяемый бесплатный инструментарий для выявления часто встречающихся изъянов защиты, перечисленных в списке «20 наиболее серьезных угроз защите Internet» (Top 20 Most Critical Internet Security Risks), составленном SANS Institute.
На домашней странице Диттриха можно найти ссылки на информационные бюллетени CERT, посвященные DDoS, соответствующие статьи и законодательные предложения, а также ссылки на сайты производителей, работающих над решением вопросов, касающихся DDoS. К ним относятся Arbor Networks, Asta Networks, Captus Networks и Mazu Networks.
Отражение атаки DOS
Стив Гибсон, президент компании Gibson Research, признанный специалист по вопросам борьбы с атаками по типу «отказ в обслуживании», дорого заплатил за свои взгляды. Его сайт Web дважды пострадал от атак DDoS. Последний раз это произошло 11 января 2002 г., когда сайт был отключен в результате так называемой «распределенной отраженной атаки по типу «отказ в обслуживании» (см. Рисунок).
Хакеры воспользовались пакетами SYN/ACK, которыми браузеры Web и клиенты ftp обмениваются при установлении соединений с компьютером по протоколу TCP, для того, чтобы обрушить поток нелигитимных пакетов на сотни маршрутизаторов Internet. По словам Гибсона, маршрутизаторы были запружены пакетами, поступающими, как предполагалось, с сайта по адресу: http://www.grc.com, но на самом деле они стали жертвами «фальсификации» IP-адреса, когда вместо реального IP-адреса пакета подставляется иной. Это, вероятно, самый распространенный метод для генерации трафика DDoS большого объема.
«Вредоносные пакеты SYN были «отражены» ничего не подозревающими серверами TCP, — отметил Гибсон на своем сайте Web. — Их ответы SYN/ACK были использованы для затопления нашей системы и атаки на пропускную способность». К тому времени, как Гибсон смог остановить этот поток, попросив своего провайдера установить фильтры на маршрутизаторе для блокирования трафика, провайдер удалил свыше 1 млрд (1 072 519 399) злонамеренных пакетов SYN/ACK. Столь мощная атака, по мнению Гибсона, показала, с какими проблемами сталкиваются предприятия и сайты электронной коммерции при отражении атак DoS. «Со своей стороны я ничего не могу предпринять для решения проблемы. Поток необходимо фильтровать на уровне провайдера Internet», — подчеркнул он. До сих пор для этого инженеры провайдеров Internet и ферм серверов Web должны были анализировать журналы регистрации трафика вручную, чтобы выяснить, какой именно трафик является «плохим», т. е. передается в рамках атаки, а какой поступает от легитимных пользователей. Здесь-то и могут прийти на помощь недавно созданные компании, в том числе Arbor Networks, Asta Networks, Captus Networks, Mazu Networks и др.
Развертывание в системах провайдеров INTERNET
Продукты этих новых компаний предназначены для развертывания на маршрутизаторах или коммутаторах провайдеров Internet или рядом с ними. В этом случае устройства размещаются в точках с высоким уровнем трафика в сети, например точках обмена трафиком. Устанавливаемые автономно, вне основного потока сетевого трафика, они выполняют мониторинг и анализ трафика. По мнению производителей, такие устройства способны распознавать принадлежность пакетов к входящей атаки DDoS и могут также предлагать провайдерам Internet способы фильтрации трафика атаки.
По существу, эти экспертные системы проверяют сетевой трафик на соответствие параметрам нормальной деятельности: Peakflow компании Arbor Networks, Vantage System от Asta Network и TrafficMaster Inspector компании Mazu Networks, выявляют атаки DoS с помощью функций маршрутизатора, сообщающих о потоках трафика, передаваемых через интерфейсы маршрутизаторов. Продукты для предотвращения распределенных атак по типу «отказ в обслуживании» предлагают также компании Captus Networks, Lancope и WanWall, которая планирует сменить название на Riverhead.
Информация, собираемая этими системами, помогает сетевым менеджерам решить, как предотвратить атаку. Этого можно добиться, в частности, за счет изменения списков контроля доступа на маршрутизаторе или отключения определенных интерфейсов маршрутизатора.
Скотт Блейк, вице-президент по защите информации компании BindView и руководитель группы RAZOR, скептически относится к заявлениям о том, что названные продукты способны работать так, как обещают их создатели. По его словам, при передаче трафика на гигабитных скоростях «необходимый для распознавания атак DDoS уровень интеллектуальности слишком высок для современных технологий».
Он считает, что производители инструментальных средств для предотвращения DDoS сталкиваются с теми же проблемами, что и поставщики решений, отслеживающих вторжения и вирусы. Им необходимо постоянно обновлять свои продукты по мере возникновения новых видов атак: например, когда созданный хакерами новый код «научится» обходить алгоритмы поиска шаблонов, применяемые в таких продуктах.
Поскольку эти инструментальные средства относительно новы, Robert Francis Group советует своим пользователям развертывать их вместе с традиционными IDS. Он отмечает, что производители «пока только ищут наилучшие решения для наборов своих правил и максимально эффективной их конфигурации».
Другие компании, в том числе Cs3 и Webscreen Technology, разрабатывают продукты DDoS, рассчитанные на развертывание именно на предприятиях. В отличие от решений, ориентированных на провайдеров Internet, их продукты устанавливаются непосредственно на пути входных данных, где они принимают, контролируют и анализируют каждый пакет, передаваемый через предприятие.
Помимо обнаружения атак DDoS из внешних источников, Reverse Firewall компании Cs3 может обнаружить, какие компьютеры внутри предприятия оказались носителями зомбированного кода. Это устройство регулирует поток исходящего из сети трафика, предлагая то, что в компании называют «справедливым обслуживанием исходящих потоков пакетов». Тем самым ограничивается уровень неожидаемых пакетов или тех, которые не являются ответами на пакеты, переданные ранее в другом направлении.
Сетевая приставка WS100 компании Webscreen для выявления атак DDoS использует эвристические алгоритмы. WS100 анализирует природу сетевого доступа, а не точную сигнатуру шаблона пакетов, и присваивает пакетам «магический», или числовой, коэффициент. Этот коэффициент вычисляется с учетом ряда факторов, в том числе IP-адресов отправителя и получателя и находящейся внутри пакета информации. Продукт создает динамически меняющуюся базу данных с итоговыми коэффициентами для каждого пакета и допускает пакеты с большим коэффициентом, но отклоняет с меньшим.
Представители Webscreen считают, что их эвристический подход для определения вредоносных пакетов DDoS решает проблему модернизации алгоритма поиска по шаблону DDoS каждый раз, когда появляется новый инструментарий DDoS. Компания сообщила о постоянном обновлении базы данных с итоговыми коэффициентами, что позволяет динамически отражать новые виды атак DDoS.
В апреле 2002 г. Webscreen анонсировала версию своего продукта, предназначенную для провайдеров Internet под названием WS1000. Эта программа устанавливается перед серверами, которые провайдер Internet должен разместить таким образом, чтобы весь трафик, передаваемый из Internet на сайты Web, проходил через устройство Webscreen, по существу останавливающих атаки DDoS.
Предприятия и провайдеры услуг могут рассчитывать на то, что на рынке скоро появится множество новых продуктов для предотвращения атак DDoS. Беда лишь в том, что хакеры по-прежнему будут придумывать новые средства для организации атак на сетевые системы.
Джим Карр — независимый журналист, специализирующийся на вопросах бизнеса и технологий. С ним можно связаться по адресу: jecarr13@charter.net.
Ресурсы Internet
Более подробную информацию о группе RAZOR компании BindView можно найти на сайте по адресу: http://razor.bindview.com/.
Сайт Web Attrition.org посвящен вопросам компьютерной защиты, в том числе сбору и распространению информации в рамках отрасли. На нем имеется Denial of Service Database 2.0. Более подробную информацию можно найти по адресу: http://www.attrition.org/security/denial/.
Рекомендации CERT CC Workshop находятся по адресу: http://www.cert.org/reports/dsit_ workshop-final.html.
Сайт Web Дэвида Диттриха, посвященный Distributed Denial of Service (DDoS), расположен по адресу: http://staff.washington.edu/dittrich/misc/ddos/.
Информация по Remote Intrusion Detector (RID) опубликована по адресу: http://www.theorygroup.com/Software/RID/.
Информация института System Administration, Networking, and Security (SANS) Institute представлена по адресу: http://www.sans.org/newlook/home.php.
Составленный SANS список десяти самых опасных угроз защите Internet находится по адресу: http://www.sans.org/topten.htm.
? CMP Media LLC