DDoS protection — описание, оценка потерь, тенденции

DDoS protection — описание, оценка потерь, тенденции

Современные интернет-технологии значительно упростили ведение бизнеса, а вместе с тем сеть не становится безопасной. В этом цикле статей нам предстоит разобраться с тем, что такое DDoS и как с ним бороться
Трудно представить себе современное предприятие, не имеющее своего представительства в сети. Кроме того, существует огромное количество компаний, чей бизнес напрямую связан с Интернетом и вне его не существует: поставщики облачных услуг, хостеры и другие. В качестве примера возьмем интернет-магазин как наиболее простой и понятный вариант. Итак, мы достигли отличных результатов, и наш интернет-магазин имеет невероятный успех. Двести-триста заказов в день! Вдруг вы заметили сокращение объема заказов. Стали поступать жалобы от постоянных клиентов, что сайт магазина не отвечает или работает крайне медленно, невозможно разместить заказ. Эта ситуация начинает повторяться все чаще. Наконец, практически все время к магазину становится невозможно получить доступ. Как же так? Ведь нет никаких видимых причин. Сервер, на котором у нас запущен сайт, работает без сбоев, провайдер услуг всегда был стабильным и надежным. В чем же дело? Вы оказались слишком успешны. Вам объявили кибервойну! Теперь на службе у преступников информационные технологии. Интернет- магазин не работает, заказы уходят к конкурентам, мы стали жертвой DoS/DDoS-атак, которые происходят с завидной регулярностью. Так что же такое DDoS?

DoS – сокращение от английского Denial of Services или отказ в обслуживании. Атака на вычислительную систему, целью которой является создание таких условий, при которых легальные пользователи системы не могут получить доступ к системным ресурсам, либо этот доступ существенно затруднен.

DDoS (Distributed Denial of Service) подразумевает многочисленные, приходящие с разных точек (распределенные) запросы, приводящие к невозможности работы целевого узла.


Целью DoS/DDoS-атак является блокировка возможности сервиса адекватно и своевременно реагировать на запросы настоящих клиентов, вплоть до полной невозможности работы с сервисом. Причинами атаки могут быть:

• конкуренция, то есть финансовый вопрос

• хактивизм, когда атакующий в боль- шей степени мотивирован идеологическими разногласиями

• шпионаж

• политические мотивы

• другие причины
Кстати, владелец нашего магазина может, сам того не зная, заблокировать работу пользователей: желая увеличить продажи, скажем, объявив скидку 50% на какую-то линейку товаров. Количество клиентов, желающих воспользоваться столь фантастическим предложением, резко возрастет, и сервер может просто не справиться с таким наплывом клиентов. Будет ли это DDoS? Нет. Все запросы к нам вполне легальны и желательны, однако их стало слишком много. Мы не справляемся. Стало быть, рост «правильного» трафика и запросов при таких акциях, безусловно, следует учесть, чтобы не оказаться в столь неприятной ситуации.

• Как отличить рост посещений клиентов от злонамеренных действий конкурентов, хакеров и других нежелательных нам персон?

• Чем зловредный запрос отличается от легального?

• Как оценить вред от действий злоумышленников в финансовом выражении?

• Как защититься от всех этих неприятностей?

DDoS – простые примеры

Приведем аналогию из реальной жизни. Допустим, вы проводите лекцию, и вам задают вопросы студенты. Когда вас спрашивают последовательно, или когда занятие проходит в форме дискуссии, все в порядке, преподаватель вполне справляется. А вот если все начали говорить одновременно? Спрашивать, давать какие-то реплики, нести чушь. Лекция будет сорвана. Почему? Да просто преподаватель не справится с потоком входящей информации.

Другой пример: кто-то по ошибке или намеренно дал ваш телефон в рекламном объявлении, и вы получаете огромное количество звонков. В конце концов вы просто перестаете брать трубку и пропускаете важные для вас звонки. То есть наш «правильный» пользователь не смог к нам подключиться. Ключевым здесь является то, что вы просто «захлебываетесь» в потоке бесполезной информации и не имеете возможности работать с настоящими клиентами.

Как же это выглядит в компьютерной сети?

Тысячи или даже десятки тысяч компьютеров обращаются с запросами к серверу, заставляя его реагировать на них. Сразу возникает вопрос: а как такое произошло, откуда взялось такое дикое количество атакующих узлов? Дело в том, что огромное количество компьютеров заражено вирусами и троянами, и злоумышленник может послать управляющую команду этим узлам. Такие компьютеры называются зомби. Это именно из них и сформировали бот-сеть, то есть сеть зараженных узлов, которой и управляет злоумышленник. В результате вся эта сеть начнет обращаться с какими-то запросами к целевой системе. Пытаясь обработать весь этот шквал запросов, она просто не будет иметь возможности отвечать настоящим клиентам. Цель злоумышленника достигнута! Наши потенциальные покупатели больше не могут к нам подключиться. Здесь мы рассмотрели пример с веб-сервером, но возможны и другие варианты.

DDoS-атаки значительно развились. Основной их принцип остался неизменным – огромное количество географически распределенных хостов начинает бомбардировать запросами серверы, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать «правильные» запросы реальных клиентов. Кроме того, появился целый класс так называемых медленных атак, которые не требуют большого количества хостов в ботсети, при этом создавая не меньшие проблемы для атакуемых систем. (Мы подробнее рассмотрим техническую сторону типовых DDoS-атак в следующей статье.) Целью атаки может стать абсолютно любая организация, независимо от ее масштаба и сферы деятельности. DDoS-атака также может быть использована в качестве маскировки взлома сайта и похищения конфиденциальных данных.

Существует огромное число организаций, предлагающих DDoS как услугу, по сути, облачный и недорогой сервис

Узнать, как защитить свой бизнес от DDoS атак

Оценка потерь от DDoS-атак

Как нам оценить финансовые потери от DDoS-атаки? Убытки вполне поддаются учету, когда речь идет об интернет-магазине. Существует простой способ оценки затрат. Если нам известно, сколько в среднем выполняется покупок в течение интервала времени, то мы легко можем понять, во что выльется простой, скажем, в течение часа, и оценить прямые потери от атаки. Например, для компании Amazon такой простой выльется в гигантские суммы. Однако, помимо прямых потерь, существуют еще и косвенные, оценить которые намного сложнее, но вред от них часто оказывается весьма серьезным. К таковым относится потеря репутации. Если пользователь не смог зайти на сайт, то совсем не исключено, что он обратится к альтернативной компании. Изучая материалы опроса, проведенного компанией Radware, приведенные в отчете за 2014 год, нетрудно убедиться, что почти половина опрошенных компаний в качестве наиболее серьезных называют именно репутационные потери. Теперь что касается защиты. Может быть, обратиться к провайдеру услуг веб-хостинга? Он-то наверняка должен знать, что со всем этим делать. На первый взгляд да, но на самом деле это далеко не всегда актуальный вопрос для компании, предоставляющей сервис. Для провайдера становится актуальным вопрос защиты от таких атак в ситуации, когда избыточной нагрузке подвергается его канал связи и проблемной становится работа всех его клиентов. Что в этом случае следует сделать? Самый простой вариант – отключить того клиента, на которого выполняется атака. Нет возможности подключиться – нет атаки. Таким образом, удается решить проблемы остальных. Проще заплатить неустойку одной компании, чем обеспечивать эффективную защиту от DDoS для всех. Такой уровень сервиса может устраивать только до первой атаки. Как только компания сталкивается с подобной ситуацией, для нее наступают серьезные потери.

Легко ли организовать DDoS-атаку?

К сожалению, DDoS стал методом нечестной конкурентной борьбы, получившим широкое распространение ввиду именно простоты его использования. Существует огромное число организаций, предлагающих DDoS как услугу, по сути, облачный и недорогой сервис. Мало того, сервис предоставляется на хорошем профессиональном уровне, и оплата может браться только в случае успешной атаки. Так что не так уж и сложно будет уничтожить ваш бизнес с помощью информационных технологий.

Тенденции развития DDoS-атак

Согласно данным, полученным в результате исследования, проведенного компанией Radware, в 2014 году количество атак и их сложность существенно возросли. Порядка 15% от общего количества составили продолжительные атаки, от месяца и больше. То есть в случае успеха такой атаки предприятие на месяц выпадает из работы. Но есть примеры и более продолжительного негативного воздействия, длившегося три месяца. Ни одна сфера деятельности не ускользнула от внимания киберпреступников. Атакам подвергаются не только ставшие традиционными направления: правительства, финансовые учреждения, компании-хостеры и поставщики облачных услуг, игровая и интернет-индустрия, но и ритейлеры, образовательные учреждения, организации здравоохранения, то есть компании, внимание к которым со стороны киберпреступников раньше было не слишком значительным. Мы видим, что для достижения политических целей или продвижения каких-либо идей стали активно использоваться DDoS-атаки. Это и есть хактивизм, то есть это может быть как киберэкстремизм, так и социально направленный хакинг. Вспомним историю, когда группа Anonymous провела серию DDoS-атак в поддержку WikiLeaks. Как мы уже имели возможность убедиться, конкуренция также является существенным основанием для DDoS-атак. Недовольные сотрудники тоже могут создать сложности своему предприятию. Исследования последних лет показывают, что кибератаки становятся более продолжительными по времени, более сложными (многовекторными). Если еще не так давно типовая атака состояла из одного метода воздействия на целевую систему, то теперь используется одновременно несколько, тем самым атака усложняется, и защититься от нее становится значительно труднее. Согласно отчету компании Radware, угрозы возрастают и становятся значительно серьезнее. Возросло количество атак на приложения. Такой вариант не требует большого объема трафика, а, значит, оказывается весьма эффективным решением для злоумышленника, не требующим избыточных затрат на организацию мощной бот-сети. Вместе с тем возросло количество компьютеров-зомби в ботсетях. Теперь их число может достигать сотен тысяч.
Средняя продолжительность DDoS-атаки
Политические мотивы и хактивизм составляют весьма серьезный процент от общего количества атак, а, значит, никто не будет в безопасности. Итак, мы выяснили, что DDoS-атаки чрезвычайно опасны для компаний практически любого размера и сферы деятельности, работающих в сети. Организация атак не требует глубоких знаний в области ИТ и ИБ, и они доступны для широкого круга злоумышленников. Убытки от DDoS могут быть весьма значительны и приводят к серьезным последствиям, вплоть до остановки бизнеса.
Причины осуществления DDoS-атак
Узнать, как защитить свой бизнес от DDoS атак

Автор — Леонид Шапиро, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE.

Источники:
1. Разумов А. Что необходимо знать о DDoS-атаках. // «БИТ», №7, 2013 г. – С. 16-17 (http://bit.samag.ru/archive/article/1297).
2. Radware Global Application & Network Security Report 2014-2015.
3. Коржов В. Современные DDoS- атаки – http://www.osp.ru/lan/2014/09/13042710