Распределённые DDoS-атаки: чем одолеть лавину?

Это бесспорно одно из наибольших зол Интернета. Хотя в исполнении DDoS-атаки могут быть не слишком быстрыми и не слишком лёгким занятием, последствия — тяжёлые, а главное, от них очень сложно отбиться. Принято считать, что надёжных средств защиты пока нет...

...Но, попытки создать таковые не прекращаются. Нам удалось найти одно готовое технологическое решение, а также узреть громкое заявление Intel о том, что они запатентовали технологию защиты от DDoS-атак.

 

 

И решили разобраться.

Эта аббревиатура расшифровывается как "распределённая атака, приводящая к отказу в доступе".

Суть таковой состоит в том, что хакер заставляет большое количество компьютерных систем слать бесконечные "мусорные" запросы одному или нескольким серверам, тем самым вызывая их перегрузку — и отказ в доступе.

Для этого злоумышленник внедряет в насколько возможно большее количество компьютеров троянские программы.

Они могут не выполнять никаких функций и не причинять никакого ущерба до тех пор, пока не будут "разбужены" самим хакером, — или до какого-то определённого, заданного заранее, момента времени.

Вот и представьте себе: несколько тысяч этих троянов "просыпаются" и заставляют компьютеры постоянно слать бессмысленные пакеты данных по одному и тому же адресу. Для сервера это даже не ковровая бомбардировка, это даже не расстрел из сотни крупнокалиберных пулемётов. Это сравнимо, разве что с направленным ядерным взрывом.

Жертвами таких "взрывов" падали в 2000 году всемирно известные ресурсы Amazon.com, Yahoo!, eBay — и ещё ряд сверхпопулярных сайтов.

В октябре 2002 года произошла атака на корневые серверы Интернета — семь из тринадцати оказались временно недоступными.

21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое.

...А Reactive Networks предлагает установить несколько вот таких вот устройств на ключевых узлах сети.

Вопрос, зачем кому-то нужно творить такие безобразия — риторический. Это тоже самое, что и написание вирусов (о том, кто этим занимается, мы уже писали).

В интервью "Мембране" хакер Nostalg1c заявил, что взломать чей-то сервер — это отменный способ отомстить.

Но в случае с "глобальными" DDoS-атаками — это просто демонстрация безмозглой силы. Из тех же побуждений деревенские бездельники бьют стёкла в электричках — пойманные за шиворот, они лишь тупо улыбаются и на вопрос "зачем?" вразумительного ответа не дают.

Главная проблема пока в том, что не существует простой и надёжной защиты от таких атак. Потенциально уязвим любой сервер. Если он не защищён никак, то и в результате не слишком массированной атаки он с перепугу упадёт в обморок.

В конце концов, взлом даже самой мощнейшей системы, способной обрабатывать колоссальное количество запросов — это дело техники, а точнее, вопрос количества компьютеров, на которые подсажены трояны.

Главная проблема — это защита.

Нельзя, впрочем, сказать, что с DDoS-атакой невозможно справиться. Самое действенное — это поставит брандмауэр (он же Firewall), позакрывать все лишние порты и не пропускать никаких транзакций, кроме как с тех портов и приложений, которые администратор прописал заранее.

Но подобный изоляционизм далеко не всех устраивает.

Можно вручную блокировать источники мусорного трафика — но если таких источников несколько тысяч, это едва ли поможет.

Попытки автоматизировать этот процесс предпринимаются уже довольно давно. Даже выпущены некоторые специализированные решения, например FloodGuard (производитель — Reactive Networks).

FloodGuard — это то, что называется программно-аппаратный комплекс. Довольно крупная и увесистая, надо сказать, штука: 4 см в высоту, 44,7 — в ширину, 68,6 — в длину. Весит почти 16 кг.

Принцип работы этой системы выглядит примерно так.

На брандмауэрах, свитчах и маршрутизаторах располагаются детекторы, которые постоянно мониторят трафик и создают его "профиль" (или "маску"), исходя из таких характеристик, как объём пакетов данных, их тип, источник, направление и так далее.

Соответственно, в случае возникновения каких-то аномалий, детектор немедленно поднимает по тревоге исполнительные модули (actuators), посылая им информацию об этих аномалиях, об источнике атаки, объёмах паразитного трафика и типах посылаемых пакетов.

Исполнительные модули, размещённые в разных сегментах сети на маршрутизаторах, также постоянно отслеживают трафик, и получив данные о появлении паразитных пакетов, начинают отыскивать их в тех данных, которые проходят через них.

Если паразитные пакеты обнаруживаются, исполнительный модуль немедленно посылает сигнал тревоги предыдущему по ходу трафика модулю вместе с рекомендациями по активизации фильтров на соответствующих маршрутизаторах.

Таким образом, лавине "мусорных" данных возводится восходящий заслон, причём блокируется не всё подряд, а именно вредоносный трафик. Заслон может возводиться в автоматическом режиме, но существует возможность ручной настройки.

Схема работы системы FloodGuard.

Теперь — что предлагает Intel?

Запатентованная инженерами Дэвидом Патзолу (David Putzolu) и Тоддом Андерсоном (Todd Anderson) система подразумевает модификацию самих маршрутизаторов так, чтобы они автоматически реагировали на сигнал тревоги со стороны атакованного компьютера.

Более того, в патентной заявке Патзолу и Андерсон похваляются тем, что их система взлому подлежать не будет — испытывая судьбу, как выразился журнал New Scientist.

Предполагается, что сигнал тревоги будет содержать копию вредоносного пакета. Маршрутизаторы немедленно создают его профиль (маску) и отсекают все похожие сообщения. Если обнаружится, что вредоносное сообщение обходит возведённый барьер, то сигнал тревоги изменяется и барьер подстраивается так, чтобы наглухо заблокировать паразитный трафик.

Ну, а чтобы злобные хакеры не пытались одурачить компьютеры и заставить их блокировать "законный" трафик, маршрутизатор и атакованный компьютер должны идентифицировать друг друга с помощью "цифровых сертификатов" вроде тех, что используются для обеспечения безопасности финансовых транзакций через Интернет.

Злоумышленник заставляет подчинённые компьютеры слать "мусорные" сообщения. Чем больше уязвимых компьютеров атакуют, тем выше вероятность "победы" хакера.

Иными словами, нынешнее предложение Intel весьма сходно в технологическом плане с тем, что предлагает — причём уже два года — Reactive Networks.

Просто Intel предлагает выпускать маршрутизаторы нового поколения (очевидно, с security-начинкой от Intel), которые сами будут обнаруживать и блокировать вредоносный трафик, а Reactive Networks уже продаёт "софтово-железный" комплекс, который сам превращается в многоголового "цензора". Или "цербера".

Статья получена: Membrana.ru