Внедрение системы защиты от DDoS атак – основные аспекты.

Внедрение системы защиты от DDoS атак

Когда интернет проект выходит на этап самоокупаемости и дальнейшая его работа на прямую зависит от бесперебойной работы, самое время подумать о надежной защите от ddos. Предложений на рынке достаточно много. Но как правильно выбрать правильного вендора? С которым развитию вашего проекта ничего не помешает. При всей своей тривиальности, это задача не простая. Рынок насыщен так называемыми “ресселерами” которые просто перепродают услуги защиты от ddos атак предоставляемых крупными провайдерами. В этом случае вы рискуете получить очень низкий сервис и скорость реагирования на возникающие проблеме. Имея за плечами 10-ти летний опыт, мы раскажем вам о основных вопросах, на которые стоит обратить внимание.

1. Защита от ddos своими силами

Реализация защиты на своей инфраструктуре пока довольно дорога. Именно с этим мы столкнулись на начальном этапе в 2007 году. Речь всегда идет о затратах в пару сотен тысяч $. Причем при изучении вопроса становится понятно, что в ближайшее время эти затраты никак не «отобьются». Если вопрос нивелирования данных затрат не решить, то этот нюанс может остановить всю деятельность в этом направлении, что рождает другие нюансы:

  • Раз уж данные затраты могут себе позволить не все, то необходимость предоставления услуг типа «защита от ddos-атак»,  многие крупные компании, особенно из госсектора, используют при объявлении тендера, как заградительный барьер под конкретную компанию. Иногда смотришь на требования и понимаешь, что цифра какая-то странная. К примеру, один раз столкнулись с требованием, среди прочих: «пропускная способность центра защиты — 180 Гбит/сек». Почему именно 180? Не 50, не 100, не 500, а именно 180? Как вывели данную цифру, из каких соображений? Пока коллеги не открыли глаза на то, что у определенного оператора именно такая пропускная способность ядра сети. Кстати, подтвердить данную возможность нужно было, предоставив «справку по произвольной форме, подписанную руководителем», а канал под фильтрованный трафик запрашивался в 1 Гбит/сек.
  • Если минимизировать данные затраты известными способами, то тогда полноценную защиту от ddos атак на своей сетевой инфраструктуре компания может предоставить только с серьёзными оговорками. Иногда речь идет об агентской схеме, через кого-то, иногда речь идет о защите только до 4-го уровня OSI. Некоторые об этом честно заявляют: «реализуем только фильтрацию трафика средствами…», либо «предоставим услугу по партнерской схеме». В этом конечно ничего страшного нет. Но, как говорится в известном анекдоте: «ложечки-то нашлись, но осадок остался». То есть, всё важное, как в тех кредитных договорах, «написано мелко и в конце».
  • Если все затраты принять, то поставщику данной услуги выгодно работать только с большими объемами. Сталкивался с тем, что в одной серьёзной компании при проверке имитированной ddos атакой в 120Мб/с аномалии в статистике не фиксировалась. На вопрос, а почему так, был заявлено, что они фильтруют все аномалии, но фиксируют в статистике атаки, начиная с 1Гб/с. То есть, если клиент имеет доступ в Интернет в 20Мб/с, то он никогда не будет информирован по атакам. С одной стороны — хорошо, лишь бы работало. С другой — не очень, ибо нет понимания, за что клиент платит.

2. Определение терминов и требований по ддос защите.

Из потенциальных клиентов редко кто понимает, что конкретно хочет получить. Общался как-то с руководителем ИТ-департамента одного крупного банка по данному вопросу. Казалось бы, он-то точно должен знать, что в рамках «защиты от ddos-атак» должен получить в количественном выражении. Ответ немного сбил с толку: «Ну я вот тут погуглил, есть же продукт «Защита от любых ддос атак», сделайте нам то же, что он может».
Интересно следствие данного нюанса.

Один потенциальный клиент собирался сменить поставщика услуги «защита от ddos», из-за того, что его не устраивало то, что он сейчас имеет. На вопрос, а что конкретно не устраивает, внятного ответа никто дать не смог.

статистика ддос атак

3. Выполнение условий по безопасности информации.

Услугу «защита от ddos-атак» стоит рассматривать как дополнение к услугам «доступ в Инет» или «каналы связи». Весь входящий трафик должен идти через центр защиты, что по сути обеспечивается, когда предоставляется доступ в сеть. Данный нюанс имеет интересное следствие.

Поясню. В случаях реализации удаленной защиты ресурса (к примеру сайта) от множественных попыток несанкционированного доступа, если речь идет о шифрованном трафике, то ключи шифрования (сертификаты) должны быть переданы сервису по защите от ддос, что сводит на «нет» смысл шифрования. В этом случае мы, к примеру, предоставляем шифрованный тоннель GRE или редирект трафика на бекенд клиента на 443 порт.

4. Мониторинг и фиксация сетевых аномалий.

Фиксируемые ddos-аномалии очень часты, но относительно кратковременны. Статистика показывает, что система защиты фиксирует аномалии в основном на операторском трафике, длительностью до 30 минут. На корпоративном трафике их меньше. Когда начинаешь разбираться с данными аномалиями обычно вырисовывается картина «Закон Паретто в действии» — 80% аномалий к атакам отношения не имеют:

  • Причина проблемы кроется в сетевой инфраструктуре клиента. Либо является отличительной особенностью подобной сети («это не баг — это фича»). То есть, у клиента сетевая инфраструктура такая, что её активность, либо сетевые проблемы, фиксируются центром защиты как аномалии, о чем центр и сигнализирует. К этой категории смело можно отнести все географически распределённые локальные сети, особенно если пользователи в них работают через какие-то vpn-каналы.
  • Исходящая активность, инициированная, к примеру, вирусами (не клиента атакуют, а он кого-то). Хотя тут можно предположить, что ресурс клиента всё-равно является участником ddos-атаки, только не как цель.
  • Активность игроков сетевых игр. В первую очередь наш центр записывал в аномалии трафик WoW.
  • Мультикаст-трафик видеорегистраторов. С этим вообще отдельная тема. Особенно по «публичным» регистраторам, на которые доступ роздан всем. Заблокировать трафик нельзя, а понять, кто обслуживает «сей девайс» — практически невозможно.

Основной тип аномалий в этом случае — udp-flood или tcp-syn-flood. Когда начинаешь разбираться по данным вопросам, заканчивается это тем, что приходится настраивать работу центра защиты созданием разного рода «белых» списков и исключений, ибо клиент заверяет, что у него всё нормально, а «эта» аномалия — это следствие «чего-то-там», в дальнейшем «это прошу не фиксировать».

5. Не стоит недооценивать последствия DDoS атак.

В процессе внедрения услуги неоднократно возникал вопрос: «Кому всё-таки нужна данная услуга?». Запросов, честно говоря, на неё не много. Видимо пока «гром не грянет — мужик не перекрестится». Скорей всего, мало кто задумывается о подобной угрозе, пока не попадает под реальную ddоs-атаку. Вот тогда сразу появляется понимание, что реальная атака — это очень серьёзно, и не зря считается правонарушением. Атакуют всегда с какой-то целью, в основном, видимо, по политическим мотивам, либо по заказам конкурентов, либо при взломе защиты сети.

То есть, в любом случае это логическое следствие основной деятельности организации. На мой взгляд, вряд ли кто-то просто так будет атаковать, к примеру, Интернет-магазин, торгующий одеждой. Можно конечно говорить об экспериментах начинающих хакеров, или «мести злобных покупателей», но серьёзность данных атак вряд ли значительна. Поэтому, на мой взгляд, потенциальными целями ddos-атак могут быть:

  • с целью маскирования одновременных параллельных целей, типа взлома ресурса:
    сетевые ресурсы банков, других финансовых организаций, финансовых подразделений компаний;
    сетевые ресурсы организаций, связанных с государственной или коммерческой тайной;
  • для дезорганизации деятельности:
    сетевые ресурсы политических партий, государственных организации, связанных с политической деятельностью (выборы и т. д.);
    сетевые ресурсы силовых ведомств;
  • с целью затруднения доступа: газеты, журналы, другие новостные медиа-ресурсы;
    организации, публикующие компрометирующую информацию;
    организации, «сильно мешающие» своей деятельностью конкурентам;
    возможно сетевые ресурсы тендеров и аукционов, где результат предрешен;
  • с целью хулиганства — по сути любые ресурсы.

Честно говоря, про «хулиганство» указал исключительно под случаи, когда атакуют сайты туроператоров в разгар сезона…

Операторам связи сервис по защите от DDoS нужен, если они собираются продавать данную услугу. В других случаях у оператора связи изначально есть ресурсы для своей защиты. Персонал знает, что делать, магистральных каналов несколько, их пропускная способность не малая. Да и атаковать оператора связи особого смысла нет. А если всё-таки атакуют какое-нибудь туристическое агенство, да так, что оператору связи тоже достается, то всегда можно попросить коллег up-link-оператора «заблэкхолить» источник.

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
12 апреля 2017, 05:56

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *