Распределённые DDoS-атаки: чем одолеть лавину?

Это бесспорно одно из наибольших зол Интернета. Хотя в исполнении DDoS-атаки могут быть не слишком быстрыми и не слишком лёгким занятием, последствия — тяжёлые, а главное, от них очень сложно отбиться. Принято считать, что надёжных средств защиты пока нет…
…Но, попытки создать таковые не прекращаются. Нам удалось найти одно готовое технологическое решение, а также узреть громкое заявление Intel о том, что они запатентовали технологию защиты от DDoS-атак. И решили разобраться.

Что такое Распределённые DDoS-атаки?

Эта аббревиатура расшифровывается как “распределённая атака, приводящая к отказу в доступе”. Суть таковой состоит в том, что хакер заставляет большое количество компьютерных систем слать бесконечные “мусорные” запросы одному или нескольким серверам, тем самым вызывая их перегрузку — и отказ в доступе. Для этого злоумышленник внедряет в насколько возможно большее количество компьютеров троянские программы. Они могут не выполнять никаких функций и не причинять никакого ущерба до тех пор, пока не будут “разбужены” самим хакером, — или до какого-то определённого, заданного заранее, момента времени.

Вот и представьте себе: несколько тысяч этих троянов “просыпаются” и заставляют компьютеры постоянно слать бессмысленные пакеты данных по одному и тому же адресу. Для сервера это даже не ковровая бомбардировка, это даже не расстрел из сотни крупнокалиберных пулемётов. Это сравнимо, разве что с направленным ядерным взрывом. Жертвами таких “взрывов” падали в 2000 году всемирно известные ресурсы Amazon.com, Yahoo!, eBay — и ещё ряд сверхпопулярных сайтов. В октябре 2002 года произошла атака на корневые серверы Интернета — семь из тринадцати оказались временно недоступными.

21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое. Вопрос, зачем кому-то нужно творить такие безобразия — риторический. Это тоже самое, что и написание вирусов (о том, кто этим занимается, мы уже писали). В интервью “Мембране” хакер Nostalg1c заявил, что взломать чей-то сервер — это отменный способ отомстить.

Но в случае с “глобальными” DDoS-атаками — это просто демонстрация безмозглой силы. Из тех же побуждений деревенские бездельники бьют стёкла в электричках — пойманные за шиворот, они лишь тупо улыбаются и на вопрос “зачем?” вразумительного ответа не дают. Главная проблема пока в том, что не существует простой и надёжной защиты от таких атак. Потенциально уязвим любой сервер. Если он не защищён никак, то и в результате не слишком массированной атаки он с перепугу упадёт в обморок. В конце концов, взлом даже самой мощнейшей системы, способной обрабатывать колоссальное количество запросов — это дело техники, а точнее, вопрос количества компьютеров, на которые подсажены трояны.

Главная проблема — это защита.

Нельзя, впрочем, сказать, что с DDoS-атакой невозможно справиться. Самое действенное — это поставит брандмауэр (он же Firewall), позакрывать все лишние порты и не пропускать никаких транзакций, кроме как с тех портов и приложений, которые администратор прописал заранее. Но подобный изоляционизм далеко не всех устраивает. Можно вручную блокировать источники мусорного трафика — но если таких источников несколько тысяч, это едва ли поможет. Попытки автоматизировать этот процесс предпринимаются уже довольно давно. Даже выпущены некоторые специализированные решения, например FloodGuard (производитель — Reactive Networks). FloodGuard — это то, что называется программно-аппаратный комплекс. Довольно крупная и увесистая, надо сказать, штука: 4 см в высоту, 44,7 — в ширину, 68,6 — в длину. Весит почти 16 кг.

Принцип работы этой системы выглядит примерно так;
На брандмауэрах, свитчах и маршрутизаторах располагаются детекторы, которые постоянно мониторят трафик и создают его “профиль” (или “маску”), исходя из таких характеристик, как объём пакетов данных, их тип, источник, направление и так далее. Соответственно, в случае возникновения каких-то аномалий, детектор немедленно поднимает по тревоге исполнительные модули (actuators), посылая им информацию об этих аномалиях, об источнике атаки, объёмах паразитного трафика и типах посылаемых пакетов. Исполнительные модули, размещённые в разных сегментах сети на маршрутизаторах, также постоянно отслеживают трафик, и получив данные о появлении паразитных пакетов, начинают отыскивать их в тех данных, которые проходят через них. Если паразитные пакеты обнаруживаются, исполнительный модуль немедленно посылает сигнал тревоги предыдущему по ходу трафика модулю вместе с рекомендациями по активизации фильтров на соответствующих маршрутизаторах. Таким образом, лавине “мусорных” данных возводится восходящий заслон, причём блокируется не всё подряд, а именно вредоносный трафик. Заслон может возводиться в автоматическом режиме, но существует возможность ручной настройки.

Теперь — что предлагает Intel?

Запатентованная инженерами Дэвидом Патзолу (David Putzolu) и Тоддом Андерсоном (Todd Anderson) система подразумевает модификацию самих маршрутизаторов так, чтобы они автоматически реагировали на сигнал тревоги со стороны атакованного компьютера. Более того, в патентной заявке Патзолу и Андерсон похваляются тем, что их система взлому подлежать не будет — испытывая судьбу, как выразился журнал New Scientist.

Предполагается, что сигнал тревоги будет содержать копию вредоносного пакета. Маршрутизаторы немедленно создают его профиль (маску) и отсекают все похожие сообщения. Если обнаружится, что вредоносное сообщение обходит возведённый барьер, то сигнал тревоги изменяется и барьер подстраивается так, чтобы наглухо заблокировать паразитный трафик.

Ну, а чтобы злобные хакеры не пытались одурачить компьютеры и заставить их блокировать “законный” трафик, маршрутизатор и атакованный компьютер должны идентифицировать друг друга с помощью “цифровых сертификатов” вроде тех, что используются для обеспечения безопасности финансовых транзакций через Интернет.
Иными словами, нынешнее предложение Intel весьма сходно в технологическом плане с тем, что предлагает — причём уже два года — Reactive Networks.

Просто Intel предлагает выпускать маршрутизаторы нового поколения (очевидно, с security-начинкой от Intel), которые сами будут обнаруживать и блокировать вредоносный трафик, а Reactive Networks уже продаёт “софтово-железный” комплекс, который сам превращается в многоголового “цензора”. Или “цербера”.

Рейтинг материала
[Голосов: 0 Рейтинг: 0]
16 декабря 2013, 16:48

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *