В 2010 году рост числа кибератак и вредоносных программ достиг масштабов эпидемии, и остановить его пока не удается: эксперты фиксируют более 9000 атак в день, на которые приходится 3–5% всего интернет-трафика. В 2010 году мощность средней атаки составляла от 3 до 6 Гбит/с, максимальной — 100 Гбит/с (для сравнения, в 2008 году — 80 Гбит/с, в 2007-м — 20 Гбит/с). Сегодня постоянно появляются новые типы и варианты атак, поэтому проблема DDoS становится особенно важной для тех компаний, бизнес которых зависит от присутствия в Интернете.

В недалеком прошлом наблюдались небольшие атаки, инициированные сотнями зараженных компьютеров по протоколам ICMP с целью привлечения внимания и по другим причинам личного характера. Сегодня это налаженный бизнес: ботнеты сдаются в аренду за деньги. Атаки становятся все сложнее, в них уже задействуются основные протоколы: HTTP, DNS и др. Один ботнет способен заразить сотни тысяч компьютеров. Размеры пакетов увеличились на порядок, а объемы атак (как и их частота) — на порядки. И эта тенденция продолжает укрепляться. По мнению экспертов в области DDoS, в среднем 90 из 100 интернет-сайтов можно сделать недоступными в результате атаки даже небольшого ботнета в 20 000 зомби (естественно, не одновременно — в интернете не существует такого количества ботнетов, чтобы сделать недоступными 90% всех сайтов).

Попробуем оценить возможные убытки от атак DDoS. Наглядный пример — авиакомпания-дискаунтер, чьи билеты продаются исключительно через Интернет. Предположим, что средняя стоимость билета не превышает 50 Евро, парк состоит из 250 самолетов, каждый из которых имеет 120 мест и за день выполняет 8 рейсов (реальные цифры для местных и международных линий на примере одной из крупных европейских компаний). Тогда, по самым скромным подсчетам, убыток может достигать полумиллиона евро в час.… При этом мы не рассматриваем косвенный ущерб в виде снижения доверия к компании — его подсчитать гораздо сложнее. В эту же группу риска попадают все банки, осуществляющие интернет-обслуживание.

Как ни странно, но больше всего о своей безопасности беспокоятся всевозможные игровые онлайн-сервисы, расположенные в оффшорных зонах. Это наиболее атакуемые ресурсы в Интернете, и им, как никому другому, приходится обороняться.

При всей кажущейся неотвратимости угрозы существуют эффективные способы защиты от атак DDoS. Данные сервисы можно разделить на несколько типов:

  • предложения небольших компаний, перепродающих услуги по защите от атак DDoS, которые им предоставляют оптовые провайдеры (upstream provider);
  • услуги защиты на базе больших хостинговых центров, при этом устройства очистки трафика географически сконцентрированы в одном-двух местах;
  • услуги магистральных операторов связи по защите от атак DDoS на своей сети, в этом сценарии оператор реализует распределенную сеть платформ очистки (Cleaning farm), которые находятся на всех (или многих) магистральных узлах оператора.

В случае услуг защиты от хостинговых центров их взаимодействие с клиентами может осуществляться любым из трех способов:

  • Дополнительная услуга. Защита от атаки DDoS предоставляется клиенту как дополнительная услуга, очисткой трафика занимается сам центр.
  • Удаленная защита. Атакуемый ресурс может находиться в одном месте (например, в России), но весь его трафик через туннель GRE отправляется в другое — в ЦОД, предоставляющий услугу защиты от DDoS, — и там очищается от паразитного трафика. Через параллельный туннель GRE на запрашиваемый хост отправляется только легитимный трафик.
  • Защита с помощью DNS Proxy. Если определенному URL (www.host.com) соответствует определенный IP-адрес, можно не создавать никаких туннелей GRE. В случае атаки этот IP-адрес меняется на адрес платформы для очистки трафика, которая географически может находиться совсем в другом месте.

У каждой из трех технологий есть плюсы и минусы. Когда услуга по очистке трафика географически не распределена и осуществляется силами одного-двух дата-центров, при достаточно большом объеме паразитного трафика все каналы будут переполнены, и он просто не дойдет до платформы очистки. В этой ситуации хостинг-центру придется удалить весь трафик, предназначенный атакуемому узлу, чтобы не пострадали остальные клиенты.

Если услуги предоставляют магистральные операторы, то при атаке трафик, предназначенный атакуемому клиенту, перенаправляется на ближайшую (если рассматривать место поступления этого трафика в сеть оператора) платформу очистки, где он проходит обработку согласно предустановленному алгоритму. Клиенту отправляется уже очищенный трафик. Такая распределенная сеть позволяет справляться с атаками объемом более 100 Гбит/с и отражать большое количество одновременных атак.

При борьбе с атаками DDoS основная трудность состоит в том, что их типы постоянно меняются, а сложность — растет; не существует каких-либо стандартных фиксированных средств, гарантирующих100-процентную защищенность. Опыт показывает, что ни одно из существующих аппаратных, программных или технологических решений не может справиться со всем спектром ежедневно активируемых атак DDoS. Единственным разумным решением может быть синтез различных технологий.

Залогом успеха в противодействии атакам DDoS являются квалифицированный инженерный персонал, современное оборудование по фильтрации трафика, магистральная емкость операторского уровня (от 100 Гбит/с) и наличие хорошо сбалансированного продукта, который предлагается клиенту (SLA, детально отработанная процедура взаимодействия, разумная ценовая политика).

Услуги по защите от атак DDoS стоят дорого, и прежде всего потому, что квалифицированных специалистов, работающих в этой области, пока еще не так много (ведь эта проблема появилась не так давно, даже если судить по скоротечной шкале времени развития Интернета). Опыт таких специалистов часто является основой успеха эффективного противодействия атаке DDoS.

В наше время, когда цена на базовый интернет-доступ быстро падает, магистральные операторы ищут дополнительные источники доходов, предлагая своим клиентам сопутствующие сервисы, однако далеко не все операторы первого уровня предоставляют услугу по защите от атак DDoS (хотя, казалось бы, что может быть логичнее). Это связано со сложностью формирования самого продукта, недостаточным количеством профессионалов и высокой стоимостью решений операторского класса.

Для успешной борьбы со сложными атаками необходимо заранее знать, какой ресурс нужно защищать, заблаговременно подготовить профиль типичного трафика и внимательно следить за поведением трафика, направляемого на этот ресурс. В случае возникновения аномалии — оперативно принимать меры по очистке трафика согласно уже имеющемуся шаблону, хотя при сложных атаках может потребоваться более тонкая настройка.

Одним из лидеров оборудования по защите от DDoS-атак является компания Arbor Networks. Это, пожалуй, единственный вендор, выпускающий серийное оборудование, решения на основе которого могут справляться с атаками на скоростях 100 Гбит/с. В свое время Cisco приобрела компанию Riverhead вместе с линейкой ее оборудования и выпустила модуль для Catalyst 6500/Cisco 7600. В данный момент все эти устройства уже не производятся. Теперь Cisco предлагает оборудование Arbor в составе своих решений для защиты от атак DDoS. Увы, инвестиции в решения Arbor под силу только крупным операторам связи.

В случае не столь масштабных проектов, можно обратить внимание на разработки компаний IntruGuard (http://intruguard.com), IntelliGuard (http://intelliguardit.net) и RioRey (http://www.riorey.com). Они очень похожи и решают примерно одинаковые задачи. Эти устройства значительно доступнее решений Arbor, но хуже масштабируются, да и построить на их основе продукты операторского класса по защите от атак DDoS значительно сложнее.

 

ВЫВОДЫ

Для компаний, бизнес которых неразрывно связан с Интернетом, защита онлайн-ресурсов стала объективной жизненной необходимостью. При наличии определенного опыта, четко сформулированной стратегии и необходимого бюджета можно защититься практически от любой известной атаки или свести ее эффект к минимуму.

Сложность и объемы атак растут, но индустрия защиты от них тоже не стоит на месте. Я думаю, в ближайшее время этот паритет будет соблюдаться, а со временем он начнет смещаться в сторону сервисов защиты. Отрасль взрослеет, цены на предоставление гарантированной защиты снижаются, и постепенно появляется понимание того, что любой значимый публичный интернет-ресурс должен быть дополнительно защищен соответствующим сервисом от атак DDoS.

На данный момент идеальным решением может быть приобретение услуги защиты от атак DDoS у крупных операторов связи или центров обработки данных типа Prolexic. Выбор зависит от множества факторов, и нужно очень внимательно изучать возможности поставщика этих высокоинтеллектуальных услуг.

Разумным дополнением к стороннему сервису будет установка собственного недорогого локального интеллектуального устройства (IntruGuard, IntelliGuard, RioRey), которое хоть и не предназначено для предотвращения flood-атак с огромными объемами трафика, но находится под локальным управлением и может хорошо справляться со сложными интеллектуальными атаками при небольших объемах трафика.

 

Александр Котов — консультант по техническим решениям Cable&Wireless.