| Каждая компания имеющая достаточно весомое значение не только в реальной жизни, но и в сети интернет, подвергается атакам со стороны тех, кто ей завидует или просто хочет навредить из за зависти. Первые атаки на наш сайт были не столь значительны и мы не обращали на это внимание, но в последнее время они участились весьма сильно. Могу порадовать наших клиентов и дилеров тем, что мы переехали на защищенный дата центр, в виду тех событий которые произошли за последние 3 суток. На протяжении всех 3 дней выставки в которой наша компания участвовала, кто то пытался организовать DDoS атаки, и испортить нам жизнь. Данные действия послужили стимулом к переезду на более хорошую хостинг площадку. Немного о том что такое Защита от DDoS атак. Современные тенденции развития информационных технологий, а так же способы хранения, обработки и получения информации всё больше и больше переходят в интерактивную среду – различные WEB ресурсы, профильные сайты, форумы. Это даёт возможность быстро и комфортно доносить информацию конечным пользователям, своевременно вносить необходимые изменения в её содержание. Информация, размещаемая в сети Интернет, стала ценным источником который предназначен для интерактивно-активной целевой аудиторий современного общества. Как пример, можно привести сайты государственных учреждений, которые предоставляют интерактивный доступ к таким важным данным как: Законы, Кодексы, Указы, Распоряжения, статистические данные.фильные сайты, форумы. Это даёт возможность быстро и комфортно доносить информацию конечным пользователям, своевременно вносить необходимые изменения в её содержание. Информация, размещаемая в сети Интернет, стала ценным источником который предназначен для интерактивно-активной целевой аудиторий современного общества. Если вспомнить последние случившиеся в Украине события, связанные с умышленным блокированием работы сайтов МВД Украины, Президента Украины, Службы Безопасности Украины и др. можно сделать вывод, что существующие системы защиты сетевой инфраструктуры гос. учреждений абсолютно не способны обеспечить бесперебойную работу WEB сервисов. Это указывает на полную несостоятельность применяемых механизмов защиты, слабый аппаратный уровень используемого оборудования, некомпетентность и низкий уровень подготовки профильных специалистов.сделать вывод, что существующие системы защиты сетевой инфраструктуры гос. учрежде Атаки типа DoS/DDoS становятся всё более распространёнными. Предугадать, кто станет следующей жертвой довольно трудно. Важно понимать, что неготовность противодействовать и упреждать данного рода угрозы может стать очень удобным и действенным механизмом в политическом противостоянии, что может привести к обострению социального недовольства и возникновению беспорядков. Интернет манипуляции с информацией, её подмены, искажения, блокирование доступа, могут привести к искажению фактов, которые имеют место быть, что может спровоцировать социальный протест в обществе, подорвать доверие к власти. Как «атака» может быть классифицирован «повышенный интерес» к Интернет-ресурсам учреждений, организаций, во время проведения социальных акции, флеш-мобов, выборов (посещение сайта ЦВК во время процесса подсчёта голосов народного волеизъявления). При этом важно учесть, что атаки типа DDoS проводятся параллельно с легитимными запросами пользователей, которым действительно необходим доступ к информации. Необходимо обеспечивать бесперебойный доступ к ресурсам для легитимных пользователей, при этом блокировать злоумышленников и ограничивать неумышленно активных пользователей, из-за которых может резко увеличиваться нагрузка на оборудование, обеспечивающее различные WEB сервисы. Защита от DDoS Предугадать все возможные сценарии DoS атак – задача не тривиальная. Тем не менее, современные средства защиты сети имеют в своём составе средства смягчения и предотвращения наиболее распространённых типов DoS-атак. Сценарий защиты от DDoS должен учитывать следующее: Достаточная мощность серверной фермы. Обеспечение разгрузки серверов приложений средствами балансировки нагрузки, кэширования и ускорения отработки запросов. Обеспечение достаточной мощности сетевой инфраструктуры и инфраструктуры сетевой безопасности. Применение специализированных устройств защиты от DDoS. Применение глобального оповещения об источниках и типах атак. Описание схемы комплексной архитектуры защиты от DDoS. На схеме отображено три основные группы объектов: Пользователи Средства защиты Целевые сервера Пользователи Всех пользователей условно можно разделить на четыре группы: Легитимные пользователи.Доступ этой категории пользователей должен быть обеспечен. Пользователи, проявившие внезапный интерес.В результате социальных процессов (выборы, публичные события, слухи о недоступности ресурсов) всё больше пользователей проявляют интерес к атакуемым ресурсам, тем самым создавая дополнительную нагрузку. Это усугубляет течение DDoS. Тем не менее, эти пользователи также должны получить доступ. На этапе планирования архитектуры необходимо предусмотреть ожидаемый максимум обращений пользователей. Для этого необходимо предусмотреть достаточную мощность серверной фермы и разгрузку серверов приложений от отработки одинаковых запросов. Как правило, эта категория пользователей ограничивается просмотром стартовой станицы или конечного числа страниц, которые могут быть помещены в кэш для ускорения ответов без привлечения значительных вычислительных мощностей на целевом сервере приложений. Пользователи, которые участвуют в бот-сетях.Наиболее лёгкий способ организации контролируемой DDoS атаки – использование распределённого вычислительного ресурса бот-сетей. Большинство DDoS атак нацелены на получение прибыли, поэтому контролируемость процесса проведения и остановки атаки очень важна. Зачастую пользователь даже не знает, что его ПК является частью бот-нета. Ведущие разработчики решений информационной безопасности отслеживают активность бот-сетей и командных центров бот-сетей по всему миру. Глобальные репутационные списки позволяют определить потенциальные источники DDoS атаки и проактивно их блокировать. Трафик, исходящий от таких пользователей имеет типовую структуру, указывающую на работу скрипта или робота. Так например, тяжело представить, чтобы легитимный пользователь зашёл на атакуемый сайт 1000 раз в секунду и продолжал делать это в течении нескольких часов. Специализированные средства защиты от DDoS могут определять и блокировать такой трафик. Классические средства сетевой защиты (IPS, L7-Firewall) могут определить такой трафик и заблокировать, но имеют ограничения в функциональных возможностях блокирования DDoS. Сложные типы атак могут быть направлены на устройства сетевой защиты, тем самым организовывая DDoS вследствие исчерпания вычислительных ресурсов средств сетевой защиты. Злоумышленики.К этой категории пользователей относятся как обычные хулиганы, принимающие добровольное участие в атаках, так и организаторы атак, которые могут использовать бот-сети либо специализированные инструменты проведения сложных атак. Средства защиты Система защиты от DDoS должна предполагать эшелонированность, учитывать весь спектр возможных DDoS атак, а также вероятность их возникновения. Для обеспечения высокой эффективности отражения DDoS атак необходимо предусмотреть специализированные средства защиты на всех уровнях прохождения трафика к целевым серверам, что предполагает: Определение глобальной репутации источника трафика Фильтрация трафика специализированными устройствами защиты от DDoS Обеспечение достаточной производительности сетевого оборудования и устройств сетевой защиты, сигнализацию о характере трафика на специализированные средства защиты от DDoS (например, используя технологию Netflow) Обеспечение распределения нагрузки между серверами приложений, что исключает пики нагрузки на единичный сервер и позволяет легко расширять вычислительные ресурсы системы в целом. Ускорение обработки запросов пользователей. В идеале, сервера приложений должны обрабатывать только уникальные запросы, не выполнять ресурсоёмкие операции (например, шифрование SSL должно обеспечивается на специализированных устройствах, размещённых перед серверной фермой). Фильтрация специфических для веб-серверов атак. Узкоспециализированные средства могут отразить более сложные типы веб-ориентированных атак. Целевые сервера На целевых серверах необходимо обеспечить достаточные вычислительные мощности для обработки запросов пользователей в час предполагаемой максимальной нагрузки.Веб-сайт должен быть реализован таким образом, чтобы исключить (или минимизировать) ресурсоёмкие операции. Высокая скорость обработки типовых запросов может значительно уменьшить негативный эффект от DDoS атаки. При разработке сайта (портала) необходимо определить требования к безопасности. Нередко DDoS реализуется используя уязвимости программного обеспечения атакуемого сайта. Реализация многоуровневой архитектуры (вынесение серверов баз данных) позволяет значительно разгрузить сервера приложений Планирование системы защиты от DDoS атак Система защита от DDoS будет обеспечивать максимальную эффективность блокирования DDoS только в случае правильного планирования. Планирование системы защиты от DDoS необходимо проводить используя данные анализа сетевой инфраструктуры, систем защиты, уровня безопасности серверов приложений. Необходимо предусмотреть инструменты визуализации событий информационной безопасности для своевременной реакции на атаки. Необходимо предусмотреть обучение специалистов, эксплуатирующих систему. Необходимо предусмотреть регулярные проверки корректности настроек оборудования и действий обслуживающего персонала согласно разработанного плана реагирования на DDoS Общие рекомендации Стоит понимать, что вопрос защиты от DoS/DDoS атак довольно комплексный и требует детального анализа в каждом конкретном случае. От типа атаки, задействованных под атаку мощностей, используемых средств и многих других факторов зависит насколько эффективными будут предложенные решения. Если учесть, что типовое подключение к провайдеру услуг Интернет имеет скорость не более 10 Гбит/с, и текущий канал в Интернет 1 Гбит/с и менее, то вполне оправданно использовать приведённые в описании средства защиты от наиболее распространённых типов DoS-атак. Кроме прочего, необходимо убедится, что провайдер услуг Интернет также принимает некоторые меры по смягчению DDoS атак. Если атака носит нетривиальный характер, использует сложные техники обхода средств защиты или имеет суммарную мощность превышающую ёмкость каналов связи – необходимо использовать специализированные средства защиты от DDoS. Также, необходимо учесть, что DDoS может быть организован и легитимными запросами пользователей вследствие «повышенного интереса» к Интернет-ресурсам организации (социальные акции, флеш-мобы). В этом случае необходимо обеспечить достаточные вычислительные мощности серверной фермы для предполагаемой максимальной нагрузки. Система мониторинга и обобщения событий информационной безопасности - важный элемент системы защиты. Разработку таких решений необходимо учесть.
|
