ЧТО ПРОИСХОДИТ ВО ВРЕМЯ АТАКИ DDoS

Во время атаки DDoS большое количество хостов посылают разрешенные по форме, хотя и злонамеренные по сути запросы на обслуживание, на один целевой объект. Целью может служить любой ресурс, связанный с сетью Интернет, включая серверы DNS, сервисы электронной почты, онлайновые приложения или интерфейсы маршрутизации. В худшем случае, сталкиваясь с лавиной запросов, либо Вэб-сервер, либо маршрутизатор расположенный у выше стоящего оператора связи выходят из строя, и весь трафик останавливается. Чаще происходит перенасыщение канала связи и оборудования, в результате чего возможен пропуск лишь части трафика – как от благонадежных, так и от злоумышленных пользователей.

В числе рисков, связанных с атаками DDoS:

• Простои и снижение производительности.
• Значимая потеря доходов от продаж и услуг сопровождения из-за неработоспособности. Наибольший ущерб от атаки DDoS могут получить компании, которые используют Вэб-сайты для коммерческих операций, важнейших услуг сопровождения или ключевых направлений деятельности, в числе которых новостные сервисы или поисковые серверы.
• Ущерб для репутации компании, вытекающий в долговременную потерю доходов. Если клиент пользуется Вэб-сайтом конкурента, пока тот поставщик, чьим услугам он отдает предпочтение, временно не работает в связи с атакой DDoS, клиент может переметнуться к конкуренту, что приведет к падению текущих доходов.
• Кража информации – В некоторых случаях хакеры запускают атаки DDoS в качестве отвлекающего маневра, и просматривают конфиденциальную клиентскую или корпоративную информацию, например, номера кредитных карт или объекты интеллектуальной собственности.
• Шантаж – Хакер предлагает остановить (или не инициировать) атаку DDoS в обмен на наличные. Первоначально попытки шантажа предпринимались в отношении оффшорных компаний, занимающихся азартными играми, но в последнее время они распространились и на фирмы, входящие в список Fortune 500.**
• Манипулирование биржевыми ценами – В определенных сферах бизнеса недоступность Вэб-сайтов приводит к падению биржевых цен. В некоторых случаях хакеры запускают атаку DDoS, чтобы получить прибыть от трейдинговых операций в течение дня.
• Недобросовестная конкуренция – Недавний случай: компания, занимающаяся розничной продажей кирпича и строительных смесей, наняла компьютерного консультанта, чтобы запустить атаку DDoS против конкурента, предлагающего свои услуги через Интернет.

** NetworkWorld, "Растет шантаж с использованием DDoS," 16-е мая 2005 г.

МНОГОСТУПЕНЧАТЫЙ ПОДХОД К УСТРАНЕНИЮ АТАК DDoS

Cisco Systems® предлагает для устранения атак DDoS различные технологии, обеспечивающие всестороннюю защиту. В их числе Cisco Security Agent, Cisco Intrusion Prevention System (IPS), маршрутизаторы Cisco и Cisco Guard. Каждый из этих инструментов играет определенную роль в подавлении атак DDoS.

Программа-агент обеспечения безопасности Cisco Security Agent

Cisco Security Agent, инсталлированный на вэб-сервере, способен ограничивать количество попыток соединения, которые может предпринять любой конкретный клиент. При атаках DDoS может происходить более 200 соединений в минуту, в то время как “законопослушный” клиент, как правило, инициирует лишь несколько соединений в минуту. Например, если компания оговаривает, что любой конкретный клиент не должен пытаться установить соединение более 15 раз в минуту, 16-е и последующие попытки получают отказ до тех пор, пока не истечет заданная задержка времени. Этим путем Cisco Security Agent замедляет атаки DDoS до такого уровня, при котором они не препятствуют обработке благонадежного трафика.

Хотя Cisco Security Agent эффективно защищает отдельные серверы от злоумышленных атак, он не обеспечивает защиту канала связи. И, если возникает насыщение выше стоящего канала связи прохождение трафика на серверы невозможно. Компании могут дополнить Cisco Security Agent, воспользовавшись решением Cisco Guard, описанным в этом документе ниже, которое защищает выше стоящие каналы связи и устройства.

Система предотвращения вторжений Cisco Intrusion Prevention System

Cisco Intrusion Prevention System (IPS), развернутая в подсети, способна устранять угрозу атак DDoS, возникающую ниже места расположения сенсорного устройства. Эта система распознает различные сигнатуры лавинных (flood) атак и затем автоматически реализует ответные действия, которые команда IT задала для данной сигнатуры. В числе таких действий может быть сброс соединения, сброс пакетов на участке датчика, при котором они не достигают намеченной цели, или модификация списков контроля доступа (ACL) на граничном маршрутизаторе или коммутаторе рядом с затронутой зоной. IPS также может вводить политику нормирования, т.е. ограничения объема на единицу времени, на граничном маршрутизаторе. Например, после выявления лавинной атаки SYN устройство IPS может задать на маршрутизаторе политику, которая ограничивает количество пересылаемых пакетов SYN, тем самым снижая нагрузку на внутреннюю сеть и на целевое устройство.

Как и Cisco Security Agent, Cisco IPS защищает подсеть и ее хосты от многих злоумышленных угроз, но не может полностью устранить воздействие целого ряда сложных атак DDoS, которые существуют на сегодняшний день.

Маршрутизаторы Cisco

Маршрутизаторы Cisco на границе сети помогают устранять атаки DDoS определенных типов, используя списки ACL, сброс в “черные дыры”, нормирование и отчеты о движении потоков трафика:

• Списки ACL обеспечивают грубую фильтрацию трафика, который несомненно нежелателен, например, того трафика, который подделывает адреса компании или нацелен на управляющие порты Windows. Однако, когда атаки DDoS исходят от широкого спектра поддельных адресов, списки ACL оказываются не в состоянии предотвратить крупномасштабную атаку DDoS из-за большого количества адресов и неспособности отличить благонадежных пользователей от злоумышленных. Кроме этого, спискам ACL не хватает углубленности для учета трансляции сетевых адресов (NAT). Если несколько человек на одном сайте, где действует NAT, попытаются получить доступ к ресурсам, может показаться, что весь трафик поступает с одного и того же адреса.
• Применение “черных дыр” может эффективно блокировать весь трафик, исходящий из данного источника или посылаемый на данный адрес. Однако, он не может отличить плохой трафик от хорошего, например, в тех случаях, когда Вэб-трафик от источника хороший, а трафик DNS плохой.
• Нормирование эффективно в уменьшении воздействия, которое оказывают атаки DDoS, однако не устраняет угрозу полностью.
• В отчетах о потоках трафика происходит постоянное сопоставление сетевого трафика с базовыми нормами сети.

Отчеты о потоках трафика можно получать, используя технологию Cisco NetFlow, которая предусматривает сбор информации о потоках трафика и ее последующую пересылку в инструмент корреляции и выявления угрозы атак с целью обнаружения аномалий. Cisco NetFlow – это наиболее широко развернутая в отрасли технология идентификации атак DoS и анализа потоков сетевого трафика, доступная в аппаратном обеспечении, в программном обеспечении Cisco IOS® и в программном обеспечении операционной системы Cisco Catalyst®.

Cisco NetFlow классифицирует пакеты по потокам, причем каждый поток определяется семью уникальными характеристиками. Это входной интерфейс, тип протокола IP, байт типа сервиса (ToS), исходный и целевой IP-адреса и номера исходного и целевого портов. Эти характеристики дают достаточно информации для создания базового профиля нормальных закономерностей поведения трафика. Составляя детальный отчет о потоках трафика, Cisco NetFlow позволяет пользователям IT выявлять отклонения от типовых закономерностей поведения трафика, т.е. ранние признаки потенциальных атак DDoS.

Как правило, Cisco NetFlow развертывается на границе сети. Кроме того, эту технологию могут реализовать провайдеры услуг для контроля граничных и равноуровневых интерфейсов (peer interfaces), которые являются типовыми точками проникновения большинства атак. Маршрутизатор поддерживает активную кэш-память Cisco IOS NetFlow для отслеживания текущих потоков. Компании могут экспортировать информацию о потоках IP из кэш-памяти на внешний коллектор для последующего анализа. Анализ этих экспортированных данных помогает администраторам составить классификацию угроз и применить надлежащие приемы устранения, доступные в программном обеспечении Cisco IOS. В частности, это списки входного контроля доступа, распознавание приложений на базе сети (Network-Based Application Recognition (NBAR),NBAR) и однонаправленная проверка передачи по обратному пути (Unicast Reverse Path Forwarding, uRPF).

Для анализа данных Cisco NetFlow компании могут использовать бесплатные инструменты, в числе которых cflowd, flow-tools и autofocus. Кроме этого, поставщики, в частности Arbor Networks предлагают прикладной инструмент – коллектор на базе GUI для крупномасштабного сбора данных, анализа в целях выявления атак DoS и DDoS и централизованной отчетности. Когда программа Arbor Networks Peakflow выявляет аномалию при анализе статистики Cisco NetFlow, она может направить в Cisco Anomaly Guard сигнал о необходимости "вычистить" злоумышленный трафик. Дополнительную информацию о возможностях классификации и идентификации трафика, заложенных в программное обеспечение Cisco IOS, вы найдете по адресу http://www.cisco.com/en/US/about/ac123/ac114/ac173/Q3-04/dept_ttips_threat.html.

РЕШЕНИЕ CISCO ПО УСТРАНЕНИЮ АТАК DDoS: CISCO GUARD

Решение Cisco Guard скорее дополняет, а не заменяет списки ACL, межсетевые экраны, черные дыры с дистанционной инициацией, отчеты о потоках трафика, системы IPS и другие инструменты принудительной реализации политики и средства устранения. Cisco Guard защищает не только целевой сервер и его подсеть, но и всю предшествующую полосу пропускания между Cisco Guard и целевым хостом. Это решение, разработанное специально для защиты ценных для бизнеса ресурсов от атак DDoS, обеспечивает пропуск благонадежного трафика, блокирует злоумышленный трафик и не допускает переполнения ресурсов, которые расположены ниже данного места, злоумышленным трафиком. Cisco Guard – это не встраиваемое в канал решение, но постоянно работающее в активном режиме. Cisco Guard действует по запросу, на основании отклонений.

Превентивное смягчение с одного взгляда

Решение Cisco Guard для защиты от атак DDoS состоит из двух компонентов. Это детектор аномалий трафика Cisco Traffic Anomaly Detector и инструмент защиты от аномалий Cisco Anomaly Guard (Рис. 1). Обе составляющие доступны в форме приложений или модулей для коммутаторов Cisco Catalyst серии 6500 и маршрутизаторов Cisco серии 7600. При первоначальном развертывании решения Cisco по DDoS администратор создает профиль поведения нормального трафика. Этот процесс именуется обучением. Компания использует приложения обычным образом в течение 24 часов на протяжении одной недели, и трафик приложения проходит через Cisco Traffic Anomaly Detector. В период обучения Traffic Anomaly Detector собирает базовую информацию для понимания нормальной работы сети, куда входят:

• Интенсивность пакетов для каждого типа пакетов, измеренная как количество пакетов в секунду (pps).
• Соотношение пакетов, например, соотношение пакетов SYN и пакетов FIN.
• Количество одновременных TCP-соединений, открытых одним источником.

Базовая информация собирается по каждому целевому адресу хост-ПК, целевой подсети, исходному адресу хост-ПК и исходной подсети.

После окончания периода обучения Cisco Traffic Anomaly Detector переводится в режим мониторинга, а Cisco Anomaly Guard – в резервный режим готовности. До тех пор, пока нет активно-развивающейся атаки, входящий трафик из сети Интернет проходит через коммутатор без какого-либо вмешательства со стороны Cisco Anomaly Guard. Копия входящего трафика посылается для анализа на Cisco Traffic Anomaly Detector через внешний анализатор протоколов (SPAN) или виртуальные списки ACL. Если Cisco Traffic Anomaly Detector выявляет аномальное по сравнению с базовой информацией поведение трафика, начинается процесс устранения:

• Cisco Traffic Anomaly Detector направляет в Cisco Anomaly Guard команду начать процесс изменения направления.
• Anomaly Guard отклоняет (“захватывает”) трафик, адресованный на атакуемый IP-адрес, переадресуя его на самого себя.
• Anomaly Guard подвергает трафик многоступенчатому анализу и применяет контрмеры для отделения благонадежных источников от источников атаки. Этот процесс именуется очисткой или вычищением.
• Anomaly Guard сбрасывает трафик атаки и пересылает благонадежный трафик обратно на нормальный маршрут прохождения трафика к цели. Этот процесс именуется инъекцией.

Рис. 1. Решение Cisco Guard

Детектор аномалий трафика Cisco Traffic Anomaly Detector

Cisco Traffic Anomaly Detector – это пассивное устройство мониторинга, которое постоянно выявляет признаки, указывающие на присутствие атаки DDoS, направленной против защищенного места назначения, также именуемого зоной. Это может быть сервер, интерфейс межсетевого экрана или интерфейс маршрутизатора. Cisco Traffic Anomaly Detector анализирует копии всего входящего трафика, адресуемого в защищенные зоны, через SPAN или ответвление пассивной сети. Этот анализ включает сопоставление текущего поведения трафика с базовыми пороговыми параметрами, которые также именуются зональной политикой, для выявления аномального поведения трафика. Если аномальное поведение обнаружено и выглядит как возможная атака, Cisco Traffic Anomaly Detector через внеполосную управленческую сеть Ethernet посылает в Cisco Anomaly Guard сигнал о начале анализа и устранения атаки.

Устройство защиты от аномалий Cisco Anomaly Guard

Cisco Anomaly Guard – это автономное устройство анализа и фильтрации трафика. Начиная прием трафика, адресованного в конкретную зону, которая, по-видимому, подвергается атаке, Cisco Anomaly Guard проводит точный анализ этого трафика. Если результаты анализа подтверждают, что трафик злоумышленный, Cisco Anomaly Guard применяет контрмеры, например, механизмы анти-спуфинга и фильтрацию разного уровня (см. Таблицу 1). Конечный результат заключается в том, что трафик из злоумышленных источников сбрасывается, а трафик из благонадежных источников пересылается в предусмотренный пункт назначения.

Атаки DDoS – Выявление и устранение

В Таблице 1 перечислены типы атак DDoS, которые может выявлять и устранять решение Cisco Guard.

Таблица 1. Категории и особые типы атак DDoS

Полное описание атак DDoS вы найдете в публикации "The Internet Protocol Journal" по адресу: http://www.cisco.com/en/US/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html.

Возможные варианты изменения направления трафика

Специалисты по IT могут использовать описанные ниже варианты изменения направления трафика с его пересылкой из сети, расположенной выше лежащего оператора связи, на Cisco Anomaly Guard. Этот процесс также именуется “захватом” трафика:

• Сообщения пограничного шлюзового протокола (Border Gateway Protocol, BGP) из Cisco Anomaly Guard на маршрутизаторы, расположенные у выше лежащего оператора связи, с информацией о том, что трафик, адресованный на защищенный адрес назначения, будет перенаправлен на Cisco Anomaly Guard.
• Использование внешних механизмов изменения направления трафика, например, маршрутизаторов удаленного обновления BGP.
• Сообщения об инъекции очищенного трафика на маршруте (Route Health Injection, RHI) от Cisco Anomaly Guard для процесса маршрутизации в Cisco Catalyst серии 6500 или в систему надзора Cisco серии 7600. Эти сообщения помещают статический маршрут в глобальную таблицу маршрутизации, в которой модуль Cisco Anomaly Guard обозначен как следующий узел.

Возможные варианты инъекции трафика

Инъекция трафика – это процесс, применяемый в Cisco Anomaly Guard для пересылки очищенного благонадежного трафика в точку назначения, которая подвергается атаке. Решение Cisco Guard поддерживает различные варианты инъекции трафика. В варианте 2-ого уровня топологии, очищенный трафик пересылается из Cisco Anomaly Guard на статически-конфигурированный следующий адрес захода. Этот адрес находится на маршрутизаторе, расположенном ниже и соединенным с той же VLAN или подсетью, что и интерфейс/VLAN инъекции трафика Cisco Guard. Инъекцию трафика на 2-м уровне проще всего конфигурировать, поскольку здесь не требуется вносить какие-либо существенные изменения в конфигурацию маршрутизатора, расположенного ниже.

Варианты инъекции трафика 3-го уровня:

• Маршрутизация и пересылка по VPN (VPN Routing and Forwarding, VRF).
• Маршрутизация на основе политики (Policy-Based Routing, PBR).
• Транкинг VLAN (VLAN Trunking).
• Инкапсуляция по общей маршрутизации (GRE) или инкапсуляция IP в туннеле IP (IPIP).

Результаты: ложные положительные события, ложные отрицательные события

Атаки, которые останавливает Cisco Guard

Cisco Guard перехватывает и останавливает более чем 95% злоумышленного трафика. Небольшое количество ложных отрицательных событий потенциально не могут причинить много вреда, поскольку благонадежные, не вредоносные пакеты, например, пакеты SYN, часто используемые в атаках DDoS, приносят незначительный или вообще нулевой ущерб. Обратите внимание: те вредоносные пакеты или злоумышленное использование на уровне приложений, которые могут причинить ущерб, способна остановить Cisco IPS.

Почему Cisco Guard не останавливает благонадежные пакеты

Работа Cisco Guard отражается менее чем на пяти процентах благонадежных пакетов, и это соотношение отрицательных и положительных событий ниже, чем у типовых систем выявления вторжений (IDS) или других решений на базе сигнатур. Такое низкое соотношение отрицательных и положительных событий обусловлено тем, что решение Cisco Guard сначала подвергает источники многоуровневому инспектированию, и лишь затем классифицирует их как злоумышленные источники атаки DDoS. Виды инспектирования:

• Анализ по конкретным точкам назначения.
• Реализация мер анти-спуфинга на основе анализа по конкретным точкам назначения.
• Анализ по конкретным источникам.
• Применение к конкретным источникам фильтров сброса на основе анализа по конкретным источникам.

ВАРИАНТЫ РАЗВЕРТЫВАНИЯ

Компании могут развернуть решение Cisco Guard полностью внутри фирмы, полностью у провайдера услуг, или же установить Cisco Traffic Anomaly Detector у себя, а Cisco Anomaly Guard - у провайдера услуг (Таблица 2).

Таблица 2. Сопоставление вариантов развертывания Cisco Guard

Аспекты и лучшие практические приемы развертывания в компаниях

Те компании, которые развертывают решение Cisco Guard в центре обработки данных, как правило, инсталлируют и Cisco Anomaly Guard, и Cisco Traffic Anomaly Detector на коммутаторе Cisco Catalyst серии 6500, который является первой точкой входа для входящего Интернет трафика.

Cisco Guard, если он развернут в сети провайдера услуг, может защитить только предшествующий канал связи. Поэтому, перед тем как принять решение о развертывании решения Cisco Guard внутри компании, специалистам по IT требуется определить, достаточна ли мощность канала связи, идущего от центра обработки данных к провайдеру услуг, чтобы выдержать атаку DDoS. Каналы связи с провайдером услуг, как правило, имеют низкую пропускную способность, и поэтому они особенно уязвимы для атак DDoS. Например, многие компании, входящие в список Fortune 500, используют несколько каналов DS-3 (45 Мб/с) для формирования канала на 200 Мб/с. Атаки DDoS, масштаб которых варьируется от менее одного Гб до нескольких Гб, могут за короткое время полностью заполнить эти каналы связи или вывести их из строя. Cisco рекомендует при развертывании внутри компаний использовать как минимум 500 Мб/с, а предпочтительнее 1 Гб. Однако некоторые компании могут посчитать, что для их потребностей достаточно и менее мощного канала связи с провайдером услуг.

Другие лучшие практические приемы развертывания внутри компании:

• Определяя, какая входящая полоса пропускания вам необходима, проанализируйте, какой риск для бизнеса создает потеря возможности использовать сервис. Если атака по размеру не превышает доступную полосу пропускания, Cisco Anomaly Guard пропускает весь “законопослушный” трафик. Если масштаб атаки превышает доступную полосу пропускания, Anomaly Guard только очищает трафик, который проходит по переполненному каналу связи. В составе этого трафика может вообще не быть или практически не быть благонадежного трафика, из-за чего Anomaly Guard становится менее эффективным “чистильщиком” атаки DDoS.
• Убедитесь в том, что расположенные “выше по течению” устройства, используемые для отсылки трафика на Cisco Anomaly Guard, способны справиться с тем объемом, который возникает во время атаки. Используйте коммутаторы Cisco Catalyst серии 6500 или маршрутизаторы Cisco серии 7600. Не используйте для этой цели маршрутизаторы Cisco серии 7200.
• Развертывайте Cisco Anomaly Guard как можно ближе к границе. Anomaly Guard защищает только то, что находится позади него. Поэтому развертывайте его на достаточном расстоянии выше, чтобы сбрасывать трафик атаки до того, как у него появится возможность наводнить компоненты инфраструктуры сети (межсетевые экраны, системы IPS, коммутаторы и маршрутизаторы).

Управляемый сервис: устранение атак DDoS внутри сети

Некоторые провайдеры услуг предлагают защиту от атак DDoS в форме управляемого сервиса, дополняющего предлагаемые услуги Интернет-соединения. В рамках управляемого сервиса Cisco Anomaly Guard развертывается в сети провайдера услуг для очистки злоумышленного трафика. Провайдер услуг использует программное обеспечение Arbor Peakflow для анализа трафика Cisco NetFlow от маршрутизаторов. Обнаружив аномальный трафик, система Arbor Peakflow переадресует этот трафик-“нарушитель” в Cisco Guard, который вычищает трафик атаки и затем пересылает очищенный трафик в его адрес назначения (Рис. 2).

Рис. 2. Управляемый сервис с применением Cisco NetFlow, Arbor Peakflow и Cisco Guard

Управляемый сервис: Cisco Traffic Anomaly Detector внутри компании

Многие провайдеры услуг понимают, что компании не располагают пропускной способностью, которая необходима, чтобы противостоять крупномасштабной атаке DDoS, но при этом они хотят получить больший контроль над выявлением атак, нацеленных на их критические ресурсы. Либо провайдер услуг либо сама компания могут инсталлировать Cisco Anomaly Detector внутри компании для мониторинга и анализа трафика, адресованного на ресурсы компании. После того как обнаружена атака, Cisco Anomaly Detector может перенаправить поток трафика в Cisco Guard, размещенный у провайдера услуг. Cisco Guard устраняет злоумышленный трафик и переадресует благонадежный трафик и благонадежные данные обратно на ресурсы компании (Рис. 3).

Рис 3. Управляемый сервис с установкой Cisco Traffic Anomaly Detector внутри компанииъ

ПРЕДОТВРАЩЕНИЕ АТАК DDoS, НАПРАВЛЕННЫХ ВОВНЕ

Вредоносные программные средства, в том числе вирусы, черви и шпионское программное обеспечение, могут вносить в работу настольных ПК и серверов такие нарушения, при которых они будут генерировать вредоносный исходящий трафик. Как правило, пользователь не знает о том, что кто-то другой использует настольный ПК или сервер для внедрения атаки. Хотя атаки DDoS, направленные вовне, не несут в себе угрозы для прибылей, они создают неудобства и могут привести к возникновению ответственности компании перед другими лицами, и поэтому специалисты по IT должны эффективно с ними бороться.

Cisco Systems предлагает несколько технологий, реализуемых на разных уровнях сети, которые помогают компаниям устранить риск неумышленного участия в исходящих атаках DDoS. Например, система выявления вторжений, Cisco Intrusion Detection System, развернутая в подсети, борется с угрозами DDoS, возникающими ниже места нахождения сенсорного устройства, в том числе и с атаками DDoS, нацеленными вовне.

Аналогичным образом, Cisco Security Agent может предотвратить инсталляцию вредоносных программных средств на настольных ПК или серверах. Один из видов вредоносных программных средств, программы-зомби, приводят к тому, что компьютер участвует в атаке DDoS, цель которой находится вне компании. Вредоносные программные средства другого вида – шпионское программное обеспечение - создает подобие атаки DoS против системы, в которой оно находится. Эти программы замедляют работу настолько, что компьютер становится неработоспособным. Cisco Security Agent предотвращает инсталляцию на настольные ПК всех видов вредоносных программных средств без прямого разрешения пользователя.

ПЛАНИРОВАНИЕ ОПЕРАЦИЙ

В этом разделе документа описаны те решения и действия, которые Cisco рекомендует принять/реализовать командам IT до момента развертывания решения Cisco Guard.

Управленческие аспекты

Управление безопасностью – важный фактор, влияющий на способность компании выявить и предотвратить угрозы, которым подвергается сеть и ценные ресурсы. Для того чтобы управление безопасностью было эффективным, оно должно обеспечить четкое всеобъемлющее решение вопросов безопасности, сбор и анализ информации в реальном времени, и реализацию ответных действий, необходимых для быстрого устранения угрозы. В системе мониторинга, анализа и ответных действий в сфере безопасности Cisco Security Monitoring, Analysis and Response System (CS-MARS) обобщается информация об инцидентах, связанных с безопасностью, поступающая от хостов, сетевых устройств, межсетевых экранов и устройств IPS. Предупреждающие сигналы и регистрационные журналы из различных источников, в числе которых и NetFlow, проходят корреляцию, и анализ в реальном времени. В результате формируется определение аномального поведения, что позволяет немедленно провести верификацию и реализовать ответные действия.

На основании выявленной топологии сетевого устройства и информации о конфигурации устройства выполняется идентификация хакеров вплоть до уровня MAC-адреса, рабочего терминала и имени пользователя и т.д., и отслеживается полный путь атаки от источника до точки назначения. Инструментальная панель CS-MARS динамически выдает информацию об инцидентах с учетом их приоритета и с возможностью полного углубленного анализа. Операторы могут тотчас же идентифицировать, проанализировать, исследовать, исключить инциденты и применить ответные меры простым нажатием на кнопку. В графической форме показаны “горячие точки” действия сетевой атаки, визуальная карта компании, инциденты с учетом их приоритетности, информацией о маршруте атаки и возможностью воспроизведения, а также полные сведения об инциденте (в том числе описание сопутствующих правил, необработанные данные о событиях и корреляция, которая привела к возникновению инцидента). Спектр инцидентов: от известной последовательности традиционных атак и специфических контрольных списков компаний до коррелирующего аномального поведения, которое демонстрируют существующие проблемы в управлении сетью и неизвестные черви.

Гарантия сохранения работоспособности маршрутизаторов во время атаки

Маршрутизатор может являться непосредственной целью атаки или понести сопутствующий ущерб. Если маршрутизатор выходит из строя во время атаки DDoS, у пользователей нет доступа к Интернет, DNS или к серверам электронной почты, даже если эти ресурсы технически доступны. Поэтому специалисты по IT должны уделять особое внимание защите маршрутизаторов, связанных с теми сервисами, защиту которых обеспечивает Cisco Guard.

Указанные ниже меры предосторожности помогают обеспечить работоспособность и доступность сетевой инфраструктуры во время атак DDoS:

• Разверните подходящий маршрутизатор в уязвимых точках. Коммутаторы Cisco Catalyst серии 6500 и маршрутизаторы Cisco серии 7600, применяемые совместно с системой надзора Supervisor Engine 720, обеспечивают нормирование на базе аппаратных средств.
• Разверните функции защиты уровня контроля маршутизатора (Control Plane Policing). Эти правила оговаривают приемлемые виды трафика по таким параметрам как отправитель, получатель, протокол и т.д. Функция защиты уровня контроля маршутизатора могут выполняться аппаратно, чтобы не истощать ресурсы устройства во время атаки DDoS.
• Обязательно используйте лучшие практические методы углубленной полномасштабной защиты.

Определение зон в Cisco Anomaly Guard и Cisco Traffic Anomaly Detector

Во-первых, определите, какие объекты нуждаются в защите: IP-адреса точек назначения для серверов, других хостов, интерфейсов маршрутизаторов и интерфейсов межсетевых экранов. Затем создайте зоны точек назначения и объекты, которые демонстрируют сходное поведение. Компании, которые интенсивно или по-разному используют полосу пропускания, как правило, классифицируют объекты по роду их активности, например, “Все Вэб-серверы”. Компании с небольшой совокупной полосой пропускания могут сгруппировать неоднородные объекты, например, серверы Интернет, электронной почты и DNS, которые сходным образом используют полосу пропускания, например, “от 10 до 100 Мб/с” или “более 100 Мб/с”. Чем больше сходства в поведении объектов в группе, тем проще выявить аномальное поведение. Зона может содержать от 1 до 100 целевых IP-адресов.

Планирование производительности по обработке пакетов

Каждый Cisco Anomaly Guard способен обрабатывать до одного миллиона 64-битных пакетов в секунду. Компании, у которых очень высокие требования к полосе пропускания, могут собрать в кластер до восьми модулей Cisco Anomaly Guard, используя механизмы распределения нагрузки на базе решения Cisco Express Forwarding. Благодаря этому производительность по обработке зонального трафика достигает 8.000.000 пакетов/с / 8 Гб/с .

Планирование емкости по зонам

Каждый Cisco Anomaly Guard может обслуживать до 500 зон с обеспечением одновременной защиты 30 зон. Разверните необходимое количество модулей Cisco Anomaly Guard.

Как часто следует изменять правила политик для зоны

У каждой зоны есть базовая политика, которая устанавливает нормальное поведение. Компании должны периодически пересматривать политику, причем эта периодичность зависит от двух факторов:

• Изменчивость поведения трафика. Тем компаниям, где поведение трафика изменяется еженедельно или ежемесячно, возможно, следует проводить “переобучение” с такой же периодичностью. Если поведение трафика статично, изменения будут необходимы реже.
• Добавление новых приложений. После развертывания нового приложения специалисты по IT должны фиксировать нормальное поведение приложения в период от 24 часов до одной недели, чтобы впоследствии Cisco Traffic Anomaly Detector мог идентифицировать аномальное поведение трафика.

Специалисты могут изменять базовую политику, либо помещая зону в режим обучения, либо вручную подстраивая пороговые значения. Как правило, подстройка вручную применяется, только когда хакер беспрерывно корректирует атаку DDoS с учетом контрмер, которые применяет Cisco Anomaly Guard.

Установление контроля доступа и контроля за изменениями

Используйте функцию аутентификации, авторизации и учета TACACS+ (AAA), чтобы установить механизмы контроля доступа для решения Cisco Guard. Функция TACACS+ также может создавать аудиторский след, записывая действия конкретных пользователей.

ЗАКЛЮЧЕНИЕ

Поскольку угроза подвергнуться атакам DDoS распространяется на все большее количество компаний, растет важность борьбы с такими атаками для защиты доходов и репутации компаний. Традиционные решения по устранению атак DDoS, например, системы IPS, защищают лишь отдельные компоненты и не могут обеспечить защиту полосы пропускания, находящейся у вышестоящего оператора связи, в результате чего “защищенный” сервер становится недостижимым. Решение Cisco Guard – это передний край защиты ценных бизнес-сервисов. Cisco Guard защищает не только сервер, но и предшествующую сетевую инфраструктуру и полосу пропускания. Если компании применяют решение Cisco Guard в сочетании с другими решениями по самозащищающимися сетям - Cisco Self-Defending Network – например, с Cisco Security Agent и Cisco IPS, они получают в свое распоряжение многоуровневую защиту, которая гораздо эффективнее любого конкретного решения.

Дополнительную информацию о решениях Cisco по устранению атак DDoS вы найдете на странице http://www.cisco.com/go/ddos.