АНАЛИТИЧЕСКИЙ МАТЕРИАЛ



БОРЬБА С АТАКАМИ DDoS

Атаки с распределенным отказом в обслуживании (DDoS) – это реальная и растущая угроза, с которой сталкиваются компании во всем мире. Эти атаки, неуязвимые для самых популярных на сегодняшний день инструментов выявления, способны быстро истощить ресурсы компании, выбранной в качестве жертвы. Убытки будут исчисляться тысячами, если не миллионами долларов недополученной прибыли и невыпущенной продукции. Используя новые решения, специально созданные для выявления атак DDoS и борьбы с ними, компании получат гарантию спокойной устойчивой работы.

Атаки DDoS – это оружие массового поражения. В отличие от атак доступа, которые проникают по периметру систем защиты с целью кражи информации, атаки DDoS парализуют Интернет-системы, наводняя серверы, сетевые каналы связи и сетевые устройства (маршрутизаторы, межсетевые экраны и т.д.) фальсифицированным трафиком. Первоначально атаки DDoS были орудием хакеров, политических «хактивистов», кибер-шантажистов и международных кибер-террористов. Атаки DDoS, которые несложно нацелить на ограниченные ресурсы защиты, ориентированы не только на конкретные вэб-сайты или серверы на границе сети. Эти атаки нацелены на сеть как таковую. На первых порах эти атаки были нацелены непосредственно на сетевую инфраструктуру, например, аккумулирующие или центральные маршрутизаторы и коммутаторы, или на серверы систем доменных имен (DNS) в сетях провайдеров. В октябре 2002 года предвестником будущих крупномасштабных атак стала мощная атака DDoS, которая затронула 8 из 13 корневых серверов DNS, важнейшие системы, служившие “картой” практически для всех Интернет-коммуникаций.

Растущая зависимость от ресурсов Интернет приводит к тому, что финансовые и иные последствия успешных атак DDoS все больнее ударяют по провайдерам услуг, компаниям и правительственным ведомствам. Новые, более мощные инструменты DDoS создают угрозу еще более разрушительных атак в ближайшие месяцы и годы.

Поскольку DDoS относятся к тем атакам, защититься от которых труднее всего, перед всеми компаниями, которые зависят от сети Интернет, стоит сложная задача – применять против этих атак действенные и эффективные меры. Сетевые устройства и традиционные технологии периметрической защиты, в частности, межсетевые экраны и системы выявления вторжений (IDS), хотя и служат важными составляющими стратегии безопасности в целом, не обеспечивают полномасштабную защиту от DDoS. Для защиты от сегодняшних нападений DDoS, нацеленных на ресурсы Интернет, требуется специально разработанная архитектура, в которой, в частности, должна быть предусмотрена возможность выявлять и устранять все более сложные, изощренные и неуязвимые атаки.

В этом документе рассмотрены следующие вопросы:

  • Растущая угроза атак DDoS и негативные последствия успешных атак для компаний.
  • Почему для создания полномасштабной защиты от DDoS существующие маршрутизаторы и технологии периметрической защиты необходимо подкреплять дополняющими решениями.
  • Какие базовые требования должны быть соблюдены для отражения атак DDoS.
  • Как инновационные технологии и архитектура Cisco Systems® обеспечивают полномасштабную защиту от атак DDoS.

УГРОЗА, СОЗДАВАЕМАЯ АТАКАМИ DDoS

В атаке DDoS участвуют сотни или даже тысячи взломанных «зомби»-хостов, которые нападают на один целевой объект. Этими «зомби»-хостами неумышленно становятся миллионы незащищенных компьютеров, которые выходят в Интернет через широкополосные постоянно-активные соединения. Подсаживая на эти компьютеры «спящие» коды, хакеры получают возможность быстро создать целые легионы «зомби», которым достаточно лишь дать команду на запуск атаки DDoS. Если в атаке участвует достаточно большое количество «зомби»-хостов, ее масштабы могут быть поистине колоссальными.

Последствия атаки DDoS

Успешная атака DDoS вызывает самые разнообразные последствия: существенно ухудшается быстродействие сайтов, что вызывает обоснованное недовольство клиентов и других пользователей. Нарушаются обязательства по договорам обслуживания (Service-level agreements, SLA) и приходится возвращать немалые деньги за неоказанные услуги. На репутацию компаний ложится темное пятно, иной раз несмываемое. Неполученные прибыли, падение производительности, рост расходов на IT, судебные издержки – убытки ширятся и растут. Цифры поистине ошеломляющие. По оценке Forrester, IDC, и прогнозам Yankee Group убытки от 24-часового перерыва в работе для крупной компании в сфере электронной коммерции приближаются к US$30 млн. Серия атак DDoS на Amazon, Yahoo, eBay и другие крупные сайты в феврале 2000 года, по оценкам Yankee Group, принесла совокупные убытки в размере US$1,2 млрд. А в январе 2001 года Microsoft из-за атаки DDoS на ее сайт потеряла около US$500 млн. всего за несколько дней. Очевидно, что компании должны защитить себя от этих разрушительных атак, обеспечив надежную защиту различных уязвимых точек (см. Рис. 1).

Рис. 1. Различные уязвимые точки и возникающие сбои


Атаки DDoS – Взгляд изнутри

Как идет атака DDoS? Она использует Интернет-протоколы и очень выгодную для хакеров возможность доставки пакетов данных через Интернет практически из любого источника на любой без исключений адрес.

Фактически именно поведение пакетов определяет сущность атаки DDoS: либо применяется огромное количество пакетов, которые переполняют сетевые устройства и серверы, либо используются умышленно неполные пакеты, которые быстро истощают ресурсы сервера. Атаки DDoS очень сложно предотвратить, поскольку «злоумышленные» пакеты неотличимы от «благонадежных», и выявить угрозу непросто: типовое сопоставление «сигнатур», выполняемое системами IDS, здесь не действует. Во многих атаках данного типа также применяются поддельные исходные IP-адреса. Это затрудняет идентификацию источника при помощи инструментов мониторинга, которые действуют на базе аномалий и контролируют появление нетипично больших объемов трафика из конкретных источников.

Ниже описаны две наиболее типичные разновидности атак DDoS:

  • Атаки с заполнением полосы пропускания – Эти атаки DDoS истощают ресурсы сетевой полосы пропускания или сетевого оборудования, наводняя полосу и/или оборудование большим количеством пакетов. Выбранные в качестве жертвы маршрутизаторы, серверы и межсетевые экраны, каждый из которых имеет лишь ограниченные ресурсы обработки, под действием атаки могут стать недоступны для обработки корректных транзакций или выйти из строя под большой нагрузкой. Самая распространенная форма атаки с заполнением полосы пропускания – это лавинная атака с отправкой пакетов, при которой большое количество внешне благонадежных пакетов протокола TCP, протокола пользовательских датаграмм (UDP) или протокола управления сообщениями в сети Интернет (ICMP) направляется в конкретную точку. Для того чтобы еще больше затруднить выявление такой атаки, можно подделать исходный адрес, т.е. имитировать IP-адрес, с которого, предположительно, поступил запрос, чтобы сделать идентификацию невозможной.
  • Атаки на приложения – В этих атаках DDoS хакеры эксплуатируют ожидаемое поведение протоколов, в частности, TCP и HTTP. Они захватывают вычислительные ресурсы, не давая им возможности обрабатывать транзакции и запросы. Пример атак на приложения: это атаки с полуоткрытыми соединениями HTTP и с ошибочными соединениями HTTP.

Атаки DDoS несут в себе все более разрушительную угрозу

Хакеры, применяющие атаки типа DDoS, все шире используют изощренные приемы спуфинга и важнейшие протоколы (вместо проколов второстепенной важности, которые можно заблокировать), благодаря чему атаки DDoS становятся еще более неуловимыми и разрушительными. Эти атаки, в которых применяются корректные разрешенные прикладные протоколы и сервисы, очень трудно идентифицировать и устранить. Применяемые меры фильтрации пакетов или ограничения производительности обработки только упрощают задачу хакера: они приводят к отключению всех ресурсов и отказу от обслуживания легитимных пользователей.


СЕГОДНЯ МЕТОДЫ ЗАЩИТЫ ОТ АТАК DDoS НЕДОСТАТОЧНЫ

Независимо от типа атаки DDoS, те приемы борьбы с ними, которые применяются сегодня, не обеспечивают требуемое устранение угрозы и надежную непрерывную работу. Некоторые наиболее распространенные ответные меры борьбы с атаками DDoS, например, маршрутизация в «черные дыры” и фильтрация на маршрутизаторах, не оптимизированы для борьбы с сегодняшними атаками, которые становятся все более и более изощренными. В системах IDS есть ряд отличных ресурсов обнаружения атак, однако они не могут устранить последствия атак. Межсетевые экраны обеспечивают защиту на рудиментарном уровне, но, подобно «черным дырам» и фильтрации на маршрутизаторах, они не предназначены для защиты от более совершенных атак, которые сталь распространены на сегодняшний день. И другие стратегии, например, ресурсообеспечение с резервированием, не обеспечивают достаточную защиту от атак, масштабы которых постоянно растут, поскольку такая стратегия предотвращения атак DDoS оказывается слишком дорогостоящей.

Маршрутизация в «черные дыры»

Процесс маршрутизации в «черные дыры» применяется провайдером услуг для блокировки всего трафика, адресованного на целевой объект, в как можно более ранней точке. «Снятый с маршрута» трафик маршрутизируется в «черную дыру» для защиты сети провайдера и других его клиентов. Маршрутизацию в «черные дыры» нельзя назвать удачным решением, поскольку вместе со злоумышленным трафиком атаки отбраковываются и благонадежные пакеты. Жертвы полностью лишаются своего трафика, и хакер празднует победу.

Маршрутизация

Многие полагают, что маршрутизаторы, на которых применяются списки контроля доступа (ACL) для фильтрации «нежелательного» трафика, обеспечивают защиту от атак DDoS. Действительно, списки ACL могут защитить от простых и известных атак DDoS, например, от ICMP-атак, фильтрация второстепенных, неиспользуемых протоколов.

Однако на сегодняшний день в атаках DDoS, как правило, используются корректные действующие протоколы, которые необходимы для присутствия в сети Интернет, и поэтому фильтрация протоколов становится менее эффективным средством защиты. Маршрутизаторы также могут блокировать зоны с некорректными IP-адресами, однако хакеры, чтобы их не обнаружили, обычно подделывают корректные IP-адреса. В целом, хотя списки ACL на маршрутизаторах служат первой линией обороны от базовых атак, они не оптимизированы для защиты от следующих сложных атак DDoS:

  • SYN, SYN-ACK, FIN и другие лавинные атаки. Списки ACL не могут заблокировать атаку SYN с произвольным выбором объектов спуфинга или атаки ACK и RST на 80-й порт Вэб-сервера, при которых поддельные IP-адреса источника постоянно меняются, поскольку для этого потребовалось бы вручную отследить и идентифицировать каждый подделанный источник, а эта задача практически невыполнима. Единственный возможный вариант здесь состоит в том, что заблокировать весь сервер, а именно в этом и состоит задача хакера.
  • Proxy – Поскольку списки ACL не могут отличить друг от друга «благонадежные» и «злоумышленные» SYN, поступающие из одного исходного IP или Proxy, то, пытаясь остановить сфокусированную атаку со спуфингом, они вынуждены, по определению, блокировать весь трафик клиентов жертвы, поступающий из определенного исходного IP или Proxy (модуля доступа).
  • DNS или протокол пограничного шлюза (Border Gateway Protocol, BGP) – Когда запускаются атаки с произвольным выбором объектов спуфинга на сервер DNS или на маршрутизатор BGP, списки ACL, как и в случае с лавинными атаками SYN, не могут отследить быстро меняющийся объем трафика с произвольно выбранными объектами спуфинга. Кроме этого, списки ACL не в состоянии отличить поддельные адреса от корректных.
  • Атаки на уровне приложений (клиентские) – Хотя списки ACL теоретически могут блокировать клиентские атаки, например, атаки с ошибочными соединениями HTTP и с полуоткрытыми соединениями HTTP (при условии, что есть возможность точно идентифицировать источник атаки и конкретные не подделанные источники), пользователям потребуется конфигурировать сотни, а в некоторых случаях и тысячи списков ACL для каждой потенциальной жертвы.

Еще одна стратегия предотвращения атак DDoS на базе маршрутизаторов – применение однонаправленной проверки передачи по обратному пути (Unicast Reverse Path Forwarding, uRPF) для остановки атак со спуфингом на внешней стороне – как правило, оказывается неэффективной в борьбе с сегодняшними атаками DDoS, поскольку основополагающий принцип uRPF состоит в том, чтобы блокировать исходящий трафик, если IP-адрес не относится к подсети. Однако, поскольку хакеры могут подделывать IP-адреса из той же подсети, за которой они скрываются, они способны без труда обойти этот заслон. Кроме этого, для того чтобы uRPF была действительно эффективной, ее необходимо внедрить перед каждым потенциальным источником атаки, а реализовать такую схему на практике непросто, и даже практически невозможно.

Межсетевые экраны

Хотя межсетевые экраны играют исключительно важную роль в системе безопасности любой компании, они не созданы именно как инструмент предотвращения атак DDoS. Фактически, у межсетевых экранов есть ряд исходных свойств, которые не позволяют им обеспечить полную защиту от самых изощренных современных атак DDoS.

Прежде всего, речь идет о местоположении. Межсетевые экраны находятся в слишком удаленной от нижерасположенного оператора связи на пути следования данных, и это не обеспечивает достаточную защиту канала доступа, который тянется от провайдера к граничному маршрутизатору на периферии корпоративной системы, из-за чего эти компоненты становятся уязвимой мишенью для атак DDoS. Фактически, поскольку межсетевые экраны встраиваются по линейной схеме, они часто становятся мишенью хакеров, которые пытаются истощить ресурсы обработки сеансов, чтобы вызвать сбой.

Вторая проблема – это отсутствие механизма выявления аномалий. Межсетевые экраны в первую очередь предназначены для контроля доступа в частные сети, и они отлично справляются с этой задачей. Один из путей выполнения этой задачи – отслеживание сеансов, которые инициированы изнутри (на «чистой» стороне) и адресованы на внешний сервис, и последующий прием только особых откликов от ожидаемых источников на («грязной») внешней стороне. Однако такая схема не действует применительно к таким сервисам как Вэб, DNS, и к другим сервисам, которые должны быть открыты для общего доступа, чтобы была обеспечена возможность принимать запросы. В подобных случаях межсетевые экраны выполняют операцию, которая называется «открыванием канала»: они пропускают трафик HTTP на IP-адрес Вэб-сервера. Хотя такой подход и обеспечивает некоторую защиту, поскольку разрешены лишь определенные протоколы, адресуемые на определенные адреса, он не слишком эффективен в борьбе с атаками DDoS, поскольку хакеры могут без труда воспользоваться «разрешенным» протоколом (в данном случае HTTP) для переноса трафика атаки. Отсутствие возможностей для выявления аномалий означает, что межсетевые экраны не могут распознать ситуацию, в которой носителем атаки служат корректные разрешенные протоколы.

Третья причина, по которой межсетевые экраны не могут обеспечить полнофункциональную защиту от атак DDoS – это отсутствие ресурсов борьбы со спуфингом. Если выявлена атака DDoS, межсетевые экраны могут заблокировать конкретный поток трафика, связанный с атакой, но не могут применить меры антиспуфинга на попакетной основе, чтобы отделить хороший, «благонадежный» трафик от плохого, а именно эта операция важна для защиты от атак, в которых используется большой объем подделанных IP-адресов.

Системы IDS

Хотя системы IDS отлично могут выявлять атаки на уровне приложений, у них есть и слабая сторона: они не могут выявить атаку DDoS, в которой используются корректные пакеты, а на сегодняшний день в большинстве атак используются именно корректные пакеты. Хотя в системах IDS предусмотрены определенные механизмы, действующие на базе аномалий, которые необходимы для выявления данных атак, требуется их масштабная подстройка вручную, и они не идентифицируют конкретные потоки трафика атак.

Другая потенциальная проблема использования систем IDS в качестве платформы для защиты от атак DDoS состоит в том, что они только выявляют атаку, но не предпринимают никаких действий для устранения ее последствий. В решениях на базе IDS могут быть рекомендованы фильтры для маршрутизаторов и межсетевые экраны, но, как уже было сказано выше, не обеспечивается в полной мере эффективное устранение современных изощренных атак DDoS. Если применяются системы IDS, необходимо дополняющее решение по устранению атаки, которое обеспечило бы более высокий уровень идентификации конкретных потоков трафика атаки с немедленной реализацией ответных мер.

В общем, системы IDS – это оптимальный инструмент выявления атак на уровне приложений на основе сигнатур. Поскольку сложные атаки DDoS выявляются по аномальному поведению на 3-м и 4-м уровнях, современная технология IDS не приспособлена для выявления и устранения атак DDoS.

Реакция на атаки DDoS, инициируемая вручную

Процедуры защиты от атак DDoS, инициируемые вручную, можно охарактеризовать словами «слишком мало, слишком поздно». Первая реакция жертвы на атаку DDoS, как правило, заключается в том, что он просит ближайшего предшествующего провайдера услуг соединения (это может быть провайдер Интернет-услуг (ISP), провайдер услуг хостинга или магистральный) попытаться идентифицировать источник. Если адреса подделаны, этот процесс может оказаться долгим и трудным, и для его реализации будет необходимо объединить усилия многих провайдеров. Хотя источник, возможно, и будет идентифицирован, блокировка этого источника выльется в блокировку всего трафика – и плохого, и хорошего.

Другие стратегии

Специалисты компаний могут использовать для противостояния атакам DDoS различные стратегии, в частности, применение резервных ресурсов, т.е. закупку резервной полосы пропускания или резервных сетевых устройств, которые помогут справиться с любым пиковым ростом спроса. Такой подход не отличается высокой рентабельностью, особенно из-за того, что необходимо вводить резервные сетевые интерфейсы и устройства. И, независимо от первоначального эффекта, для того чтобы одолеть эти дополнительные мощности хакерам понадобится лишь увеличить масштабы атаки.


ОБЕСПЕЧЕНИЕ ДОСТУПНОСТИ

У любой компании, которая работает в онлайновой среде, есть ряд причин – экономических и иных - вкладывать средства в защиту от атак DDoS. Крупные компании, правительственные ведомства и провайдеры услуг должны защищать элементы своей инфраструктуры (Вэб-серверы, серверы DNS, серверы электронной почты и конференций, межсетевые экраны, коммутаторы и маршрутизаторы), чтобы обеспечить устойчивую непрерывную работу и более эффективно использовать технический персонал.

Модели доходности инвестиций, вкладываемых в защиту от атак DDoS

Безусловно, внедрение полнофункциональной защиты от атак DDoS связано с определенными затратами. Однако доходность инвестиций (ROI) во внедрение такой программы защиты неоспорима.

  • Электронная коммерция – Затраты на защиту сайтов электронной коммерции от атак DDoS могут окупиться за считанные часы, если сопоставить их с размером потенциальных убытков, сопряженных с атакой DDoS. Объемы транзакций на сайте электронной коммерции, средняя доходность одной транзакции, доходы от рекламы, нематериальные активы, например, репутация торговой марки и юридические обязательства, а также трудозатраты технического персонала, необходимые для восстановления атакованного сайта – все эти факторы необходимо принимать в расчет, оценивая финансовые аспекты любых простоев, возникающих вследствие атаки DDoS. Прибавьте сюда то, что внедрение защиты от атак DDoS, возможно, позволит перейти на менее дорогостоящие широкополосные каналы связи, и показатели ROI станут еще более внушительными.
  • Провайдеры услуг – Для провайдеров услуг поддержание работоспособности собственной сети играет колоссальную роль как фактор ROI. Если инфраструктура провайдера (маршрутизаторы, DNS и другие объекты) подвергается атаке, возникает сбой всех услуг, оказываемых клиентам, т.е. нарушение обязательств по договорам об обслуживании. Затраты на защиту от атак DDoS – это страхование от катастрофических последствий, масштаб которых может быть на несколько порядков выше, как в аспекте доходов, так и в аспекте негативной реакции клиентов. Однако стремление оградить себя от убытков – это не единственный стимул к внедрению полнофункционального решения по защите от атак DDoS для провайдеров услуг хостинга, транзита и сервисных услуг.

Таким пользователям можно предложить защиту от атак DDoS как ценный дополнительный сервис, который генерирует новые потоки доходов и приносит выгодные конкурентные преимущества.


УСТРАНЕНИЕ УГРОЗЫ DDoS

Атаки DDoS набирают силу, и необходим новый подход, который позволит не только выявлять все более изощренные и хорошо замаскированные угрозы, но и устранять последствия атаки, обеспечивая стабильную непрерывную работу компаний и доступность ресурсов.

Полнофункциональная защита от атак DDoS строится на четырех принципах:

  1. Устранение, а не только подавление.
  2. Точное разграничение благонадежного трафика и злоумышленного трафика, которое позволяет не только выявить присутствие атаки, но и обеспечить устойчивую работу без прерывания деловой активности.
  3. Особые функциональные характеристики и архитектура, развертываемая на предшествующем отрезке маршрута трафика для защиты всех уязвимых точек.
  4. Обеспечение надежной и рентабельной масштабируемости.

Оборонительные характеристики защиты от атак DDoS, которая простроена на этих принципах:

  • Мгновенный отклик на атаки DDoS с применением встроенных механизмов выявления и блокировки, даже в случае атаки со спуфингом, когда происходит непрерывное изменение идентификационных параметров и профилей хакеров.
  • Более полные ресурсы верификации по сравнению с существующими на сегодняшний день ресурсами статических фильтров маршрутизаторов и сигнатур IDS.
  • Распознавание аномалий на базе поведения позволяет выявлять внешне корректные пакеты, которые отправлены со злым умыслом, для переполнения сервисных ресурсов.
  • Идентификация и блокировка конкретных поддельных пакетов для защиты благонадежных корректных транзакций.
  • Механизмы, предназначенные для обработки крупномасштабных атак DDoS без ущерба для защищенных ресурсов.
  • Развертывание, в соответствии с потребностями для защиты сети во время атак без возникновения точек сбоя, и дополнительных затрат на линейно-встраиваемое решение.
  • Обработка (со встроенной интеллектуальной логикой) только загрязненных потоков трафика, что обеспечивает максимальную надежность и минимальные затраты на масштабирование.
  • Устранение зависимости от ресурсов сетевых устройств и от конфигурационных изменений.
  • Применение стандартных протоколы для всех коммуникаций, это помогает обеспечить максимальное взаимодействие и надежность.

ПОЛНОФУНКЦИОНАЛЬНОЕ РЕШЕНИЕ CISCO SYSTEMS ПО ЗАЩИТЕ ОТ АТАК DDoS

Cisco Systems предлагает полнофункциональное решение по защите от атак DDoS, основанное на принципах выявления, переориентации, верификации и пересылки, применение которых гарантирует полную защиту. Если атака DDoS запущена против объекта, который находится под защитой решения Cisco, действуют следующие механизмы:

  • Выявление атаки DDoS.
  • Переотправка информационного трафика, адресованного целевому объекту, на устройства Cisco для обработки.
  • Анализ и фильтрация с отделением потоков «плохого» трафика от потоков «хорошего» трафика. При этом злоумышленный трафик не ухудшает быстродействие, и обеспечено выполнение легитимных транзакций.
  • Пересылка «хорошего» трафика обеспечивает устойчивую непрерывную работу.

Комплексное решение Cisco

Решение Cisco обеспечивает полнофункциональную защиту от атак DDoS всех видов, включая совершенно новые разновидности. Активные ресурсы устранения позволяют быстро выявить атаку и отделить злоумышленный трафик от легитимного. Поэтому решение Cisco обеспечивает оперативную реакцию на атаки DDoS, скорость которой измеряется секундами, а не часами. Решение Cisco можно легко развернуть рядом с важными маршрутизаторами и коммутаторами, его можно масштабировать, благодаря чему устраняются любые точки возможного сбоя и не ухудшается быстродействие и надежность существующих сетевых компонентов. В комплексном решении Cisco две важнейшие составляющие - Cisco Traffic Anomaly Detector (TAD) XT и Cisco Guard XT – совместная работа которых обеспечивает полнофункциональную защиту от атак DDoS практически в любой среде.

  • Cisco Traffic Anomaly Detector XT – Действуя как система раннего предупреждения, Cisco TAD XT выполняет углубленный анализ даже самых сложных атак DDoS. Cisco TAD XT ведет пассивный мониторинг сетевого трафика и выявляет любые отклонения от «нормального» или базового поведения, которые указывают на атаку DDoS. Если идентифицирована атака, Cisco TAD XT посылает предупреждение в Cisco Guard XT и выдает подробные отчеты и специфические сигналы тревоги для оперативной реакции на угрозу. Например, Cisco TAD XT может выявить, что интенсивность пакетов UDP, поступающих из одного IP-источника, выходит за заданные рамки, даже в том случае, если совокупные пороговые значения не превышены.
  • Cisco Guard XT - Cisco Guard XT – это краеугольный камень комплексного решения Cisco по защите от атак DDoS. Это высокопроизводительное устройство для устранения атак DDoS, развертываемое на вышестоящем отрезке маршрута трафика, в центре обработки данных ISP или на внешнем периметре крупной компании, для защиты ресурсов сети и центра обработки данных. Когда Cisco Guard XT получает уведомление об атаке на целевой объект (от Cisco TAD XT или от другого защитного устройства мониторинга, например, от детектора вторжений или от межсетевого экрана), трафик, адресуемый атакуемому объекту, пересылается на связанный с ним модуль (или модули) Cisco Guard. Затем трафик подвергается скрупулезному пятиступенчатому анализу и фильтрации для удаления всего злоумышленного трафика и беспрепятственного пропуска «хороших» пакетов. Cisco Guard XT располагается рядом с маршрутизатором или коммутатором в отдельном сетевом интерфейсе, благодаря чему обеспечивается защита, отвечающая конкретным потребностям и не влияющая на трафик данных других систем. В зависимости от местоположения, Cisco Guard XT может одновременно обеспечить защиту нескольких потенциальных жертв атаки, в числе которых могут быть маршрутизаторы, Вэб-серверы, DNS-серверы, пропускная способность LAN и WAN.

Архитектура MVP Cisco Systems

Решение нового поколения Cisco Guard XT, обеспечивающее защиту от атак DDoS, основано на уникальной патентуемой архитектуре процесса мульти-верификации (Multiverification Process, MVP). Эта архитектура интегрирует различные методы верификации, анализа и ответных действий, чтобы идентифицировать и отделять злоумышленный трафик от благонадежного трафика (см. Рис. 2).

Этот процесс санации состоит из пяти модулей или этапов:

  • Фильтрация – В этот модуль включены статические и динамические фильтры DDoS. Статические фильтры, которые блокируют второстепенный трафик, не пропуская его к атакуемой жертве, могут быть конфигурированы пользователем. Cisco поставляет эти фильтры с предварительно заданными параметрами, действующими по умолчанию. Динамические фильтры вводятся в действие другими модулями на базе наблюдаемого поведения и подробного анализа потоков трафика. При этом в реальном времени формируются обновления, которые повышают уровень верификации, применяемой к подозрительным потокам, или блокируют источники и потоки, которые по результатам верификации признаны злоумышленными.
    Рис. 2 Архитектура MVP Cisco Systems
  • Активная верификация – Этот модуль проверяет на спуфинг все пакеты, поступающие в систему. В Cisco Guard XT применен целый ряд уникальных патентуемых механизмов аутентификации источников, которые не позволяют поддельным пакетам добраться до жертвы атаки. Кроме этого, в модуле активной верификации есть ряд механизмов, которые помогают правильно идентифицировать благонадежный трафик и фактически устраняют риск уничтожения корректных пакетов.
  • Распознавание аномалий – Этот модуль выполняет мониторинг всего трафика, который не был остановлен модулями фильтрации и активной верификации, и сопоставляет этот трафик с базовым поведением, зафиксированным в течение определенного периода времени. Ведется контроль за отклонениями, которые указывают на источник появления злоумышленных пакетов. Базовый принцип, на котором основана работа этого модуля, таков: закономерности поведения трафика, поступающего от источника, в котором расположился «таинственный злодей», существенно отличаются от закономерностей поведения благонадежных источников в режиме нормальной работы. Этот принцип применяется для идентификации источника и типа атаки, а также для формирования рекомендаций по блокировке трафика или проведению более детального анализа подозрительной информации.
  • Анализ протоколов – В этом модуле обрабатываются те потоки, которые были признаны подозрительными на этапе распознавания аномалий. Задача состоит в идентификации атак, связанных с конкретными приложениями, например, атак с ошибочными соединениями HTTP. Затем выявляются любые транзакции по протоколу, в которых есть аномалии поведения, в частности, неполные транзакции или ошибки.
  • Нормирование – В этом модуле заложены другие ответные меры. Он не допускает, чтобы потоки с аномалиями поведения наводняли целевой объект во время более подробного мониторинга. Этот модуль формирует трафик по каждому конкретному потоку, применяя штрафные санкции к источникам, которые потребляют чрезмерный объем ресурсов (например, по полосе пропускания или количеству соединений) на протяжении слишком длительного периода.

Важно отметить, что в периоды между атаками Cisco Guard XT находится в режиме «обучения», выполняет пассивный мониторинг закономерностей поведения трафика и потоков, адресованных различным защищаемым ресурсам. Этим путем Cisco Guard XT изучает нормальное поведение и формирует базовый профиль. Позднее эта информация используется для подстройки правил политики в целях распознавания и фильтрации известных и неизвестных, никогда не встречавшихся ранее атак, при работе сети в режиме реального времени.


РАЗВЕРТЫВАНИЕ РЕШЕНИЯ CISCO ПО ЗАЩИТЕ ОТ АТАК DDOS

Cisco предлагает гибкие, масштабируемые сценарии развертывания защиты центров обработки данных (серверов и сетевых устройств), каналов связи ISP и магистральных устройств (маршрутизаторов и серверов DNS) от атак DDoS.

Провайдеры

Модуль Cisco Guard XT можно развернуть в стратегических точках инфраструктуры провайдера, например, в каждой точке взаимного обмена трафиком, чтобы защитить центральные маршрутизаторы, последующие граничные устройства, каналы связи и ресурсы клиентов (см. Рис. 3). Кроме того, этот модуль можно развернуть на граничном маршрутизаторе для выделенной защиты клиента. Механизмы выявления можно расположить рядом с границей системы провайдера или в системе клиента. Масштабируемое решение Cisco для защиты самой сети и различных клиентских центров обработки данных, развертываемое на предшествующем отрезке маршрута трафика, способствует соблюдению требований, которые предъявляет провайдер.

Компании и центры обработки данных

В центрах обработки данных компаний решение Cisco Guard XT развертывается на распределительном уровне в центре обработки данных для защиты менее высокоскоростных последующих каналов связи и серверов. Модуль Cisco Guard XT можно подключить к распределительному коммутатору, и он может поддерживать конфигурацию с резервированием (см. рис. 4).

Рис. 3 Система защиты Cisco в рабочей среде ISP.


Трафик, адресуемый на целевое устройство, пересылается в модули Cisco Guard XT; чистый трафик возвращается в систему.

Рис. 4 Система защиты Cisco в рабочей среде компании.


Только трафик, адресуемый на целевое устройство, пересылается в модуль Cisco Guard XT, который возвращает в систему только «чистые» транзакции.


ЗАКЛЮЧЕНИЕ

Масштабы и разрушительная сила атак DDoS продолжают расти, поскольку применяются все более мощные и легкодоступные инструменты атаки, в сети Интернет много уязвимых точек, и растет «Интернет-зависимость» компаний. Поскольку ущерб от таких атак увеличивается, провайдеры, компании и правительственные ведомства должны применять ответные меры для защиты своих инвестиций, доходов и услуг.

Здесь требуется решение нового типа, которое дополнило бы существующие решения по обеспечению безопасности, в частности, межсетевые экраны и системы IDS, и могло не только выявлять самые изощренные атаки DDoS, но и блокировать все более изощренный и трудноуловимый трафик атак без ущерба для благонадежных транзакций. При таком подходе требуется более доскональная, чем в существующих на сегодняшний день решениях, проверка и анализ трафика атаки.

Технология и архитектура Cisco Systems – это новый инновационный подход с наиболее скрупулезным на сегодняшний день анализом трафика, который не позволяет реализовать цель атак DDoS – нарушить деятельность компаний. Помимо простой фильтрации, в решении Cisco предусмотрена «очистка» данных для удаления злоумышленного трафика и пропуска легитимных пакетов, с обеспечением устойчивой непрерывной работы и деловой активности.