Обратимся к понятию DoS (Denial of Service) – хакерская атака на вычислительную систему с целью довести ее до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ будет затруднен. DDoS (Distributed Denial of Service) – распределенная DoS-атака, то есть одна и та же процедура, производимая сразу несколькими узлами сети. То есть ситуация, когда пользователи не могут получить доступ к ресурсам, которые предоставляет сервер, либо доступ к ним существенно затруднен.
Современные хакеры возлагают подобные операции на бот-сеть (botnet). Узлами в таких сетях являются инфицированные рабочие станции пользователей, серверы, «серые» сотовые телефоны и взломанные сетевые устройства. Кстати, о последних мы писали в одной из наших статей. Зачастую пользователь даже не подозревает, что является узлом подобной сети.
Цели и типы атак бывают разные. Назначение DDoS – вымогательство, заказной характер, демонстрация силы и даже просто так. Думаю, в объяснении не нуждается. Типы атак проще разделить на их предназначение:
- переполнение полосы пропускания;
- исчерпание ресурсов сервера;
- использование уязвимостей в серверном ПО и уязвимостей «нулевого дня».
Почему нужно бороться с элементами ботнет в сети провайдера?
Во-первых, чем меньше паразитного трафика идет из сети провайдера, тем меньше вопросов со стороны администраторов других сетей и различного рода надзорных органов.
Во-вторых, меньшая нагрузка на сеть оператора связи.
В-третьих, меньше внимания со стороны правоохранительных органов и спецслужб к клиенту вашей же сети. Как-никак возможна ответственность по статье 272 УК РФ.
Как происходят DDoS-атаки на сервер с использованием ботнетов
Переполнение полосы пропускания, он же флуд (англ. Flood – переполнять, наводнять). Суть атаки кроется в отправке большого количества бессмысленных и/или неправильно сформированных пакетов. Результат – исчерпание аплинка, насколько это возможно.
Со временем флуд стал более конкретизирован в своих целях. Например, атака на конкретный сервис средствами SYN-флуд. Вспомним о «трех рукопожатиях».
В случае DDoS-атаки атакующий ботнет не отправляет ACK-сегмент, следовательно, TCP-соединение не устанавливается. Однако сервер продолжает ожидать этот сегмент. Далее атакующая сторона устанавливает новое соединение. Как итог – на сервере будет достигнут лимит подключений на порт. Задачей злоумышленника становится только поддержание числа открытых сессий.
Нельзя оставить без внимания smurf-атаку и ping-флуд. При проведении подобного типа атак есть шанс насыщения полосы пропускания. Многие скажут, что заполнить полосу, скажем, для хостинга или выделенного сервера нереально. Однако не стоит забывать, что трафик так или иначе шейпируется, да и атака проводится бот-сетью, которая включает в себя несколько тысяч устройств.
Как бороться с DDoS и элементами ботнет?
Для противодействия DDoS необходимо понять не только тип атаки, но и ее направление – откуда атакуют, приблизительное число атакующих; на кого нацелена атака – конкретный клиент сети, группа клиентов, активное оборудование инфраструктуры провайдера. Разумеется, такие средства, как межсетевой экран и оптимизация настроек операционных систем, никто не отменял. А что если это сможет сделать ваш DPI?
В обновлении 8.1 СКАТ DPI оснастили мини-файрволом. Вопрос «Для чего он нужен?» напрашивается сам собой.
Во-первых, дополнение СКАТ DPI, BRAS и CG-NAT собственным (!) межсетевым экраном позволяет динамически настраивать хождение трафика. Да, это можно сделать с помощью firewall из ядра операционной системы, но это не будет гибким и мультифункциональным решением.
Во-вторых, MiniFirewall в коллаборации с QoE позволит установить конкретного клиента-жертву, на которого направлена атака, или выявить клиента, который сам атакует, а также уведомить клиента о подозрительной активности.
В-третьих, MiniFirewall значительно проще в настройке, чем межсетевой экран операционной системы, так как имеет всего 4 параметра:
- max_port – номер порта, ниже которого блокируется доступ;
- port_holes – список портов, к которым разрешается доступ в обход ограничения max_port;
- out_port – список портов, на которые закрыт исходящий трафик;
- login – учетная запись клиента, к которой применяется правило.
Отметим, что защита от DDoS для всей системы реализована в СКАТ DPI по умолчанию.
Единого средства противодействию DDoS не существует – это должен быть комплекс мероприятий. Решения от VASExperts не только помогут защитить ваших клиентов от DDoS-атак, но и предотвратят их из внутренней сети.
Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о функции мини-файрвола вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.