David Monahan, директор по исследованию безопасности в EMA, поделился несколькими важными наблюдениями за DDoS-атаками, которые помогут вам лучше противостоять угрозам и сделать веб-сайт более защищенным.
3 типа DDoS-атак
Существует три базовых типа DDoS-атак, которые злоумышленники часто комбинируют для достижения максимального эффекта, но атаки эти направлены на принципиально разные ограничения инфраструктуры веб-сайта. Также важно отметить, что каждое решение по защите от DDoS обычно фокусируется на каком-то одном типе DDoS-атак для достижения максимальной эффективности. И важно понимать, против какого типа атак работает ваше текущее решение, чтобы оперативно идентифицировать и предотвратить другие типы атак.
- Атака на канал / флуд. Атака направлена на исчерпание пропускной способности канала. Самый простой прием — последовательная загрузка одного и того же «тяжелого» объекта. В совокупности с другими векторами атак это может быть как главная страница, так и страница каталога товаров или прайс-лист. Если размер файла достаточно большой (например, более 1 Мб в несжатом виде), то достаточно небольшого количества запросов в единицу времени, чтобы полностью исчерпать среднюю пропускную способность канала (обычно до 100 Мбит/с). И использование небольшого ботнета (до 100 адресов) позволяет это сделать в обход ограничений на количество подключений с 1 IP адреса.
- Атака на ресурсы. Самой популярной мишенью является процессорное время (CPU), которое может быть легко исчерпано для конкретного сайта: при значительном времени ответа сервера на запросы к веб-страницам (например, результатам поиска — более 1 секунды) также небольшое количество одновременных запросов может полностью «положить» хостинг. Дополнительно могут идти атаки на использование памяти, доступные сокеты или место на диске. В некоторых случаях обнаружение атак затруднено: большое количество «висящих» соединений с веб-сайтом (или серверных процессов) не отображается в стандартной панели хостинг-провайдера, но может полностью заблокировать доступ к сайту.
- Атака на приложение. Менее популярный, но самый опасный тип атак. Обычно злоумышленники находят уязвимость в приложении, которая позволяет отключить не только сам сайт, но и находящуюся за ним инфраструктуру (проникнуть в корпоративную сеть, взломать сам сервер или сервер баз данных). Такой тип атак может скрываться за первыми двумя и быть ими замаскирован.
Как узнать о DDoS?
Кроме подключения решения, которое будет фильтровать входящий запросы и обеспечивать должный уровень безопасности для сайта, возможно обеспечить мониторинг ресурсов серверной инфраструктуры, обслуживающей сайт. И благодаря такому мониторингу оперативно узнавать о возможных проблемах с сайтом. Задачей мониторинга может являться не столько однозначное установление факта начала DDoS-атаки, но сигнализация о возможных симптомах «болезни» сайта. Зачастую это может быть связано как раз с DDoS.
Использование сигнализации может быть особенно эффективно при подстройке существующего решения защиты от DDoS для более сильной фильтрации запросов в случае усиления атаки. В частности, в Айри применяется как раз такая техника: при существенном увеличении времени ответа от хостинга сайта включаются дополнительные механизмы, блокирующие вредоносные запросы.
Для мониторинга и сигнализации можно использовать следующие параметры сетевой инфраструктуры:
- Ширина и % активного использования сетевого канала подключения к серверу (хостингу).
- Состояние систем ИТ-защиты и критических ресурсов (например, % CPU, Load Average или % wait).
- Известная информация о структуре атаки: атакующие подсети, исользуемый канал, тип атаки.
- Эффективность или неэффективность текущих средств защиты (сигнатуры, проверка на пользователя, блокировка).
К сигналам, которые могут быть использованы для повышения эффективности (или предупреждения) защиты от DDoS, можно также отнести любую информацию о серверной инфраструктуре, если она будет выходить за рамки обычного поведения: скорость заполнения жесткого диска, количество операций и процессов, время ответа сервера.
Предоставление обратной связи от инфраструктуры веб-сайта позволит средствам защиты гибче подстаиваться под известные типы DDoS-атаки и гарантировать больший процент легитимного трафика, проходящего к веб-сайту.