УДК 004.056.53(043.2)
Засоби
захисту від DDoS-атак на WEB-ресурси
Хоменко І.Ю.,
6-й курс, xomenko2igor@gmail.com
Національний
авіаційний університет, м. Київ
Якщо ви помітили зниження кількості користувачів вашого WEB-ресурсу через перевантаження трафіка, ви, ймовірно, є жертвою розподіленої атаки на відмову (DDoS).
DDoS-атаки стали кошмаром для компаній з активним відвідуванням в Інтернеті. Від порталу BBC до Twitter, від WEB-сайту Дональда Трампа до Netflix.
У постійно мінливому світі високотехнологічних гаджетів і зростаючої популярності Інтернету, кількість DDoS-атак збільшилися в 2,5 рази протягом останніх 3 років і стають дедалі частішими.
Крім того, згідно до звіту Cisco, в 2016 році середній розмір DDoS збільшився і наближається до 1 Гбіт / с, чого достатньо, щоб зробити не доступним великий бізнес для його клієнтів. В цілому, темп DDoS-атак зріс на 25% у 2015 році та, ймовірно, зросте на 260% до 2020 року.
Від грошової оцінки до вартості бренда, DDoS-атаки впливають на кожну частину бізнесу. Збитки які може завдати атака, можуть бути колосальними. (Авіакомпанія Virgin Blue втратила 20 мільйонів доларів США за перерву в IT, яка тривала 11 днів у 2010 році.)
Сьогодні підприємствам потрібно
посилити ремені безпеки для роботи та безпечного проживання у високорозвиненій мережі
Інтернет. Сама для цього приведений наступний перелік засобів захисту від DDoS-атак:
1. Створити план дій на майбутнє
Навіщо чекати DDoS-атак, щоб зруйнувати ваш ресурс? Інтелект реагує на можливі напади, перш ніж вони виникають.
Зосередьтеся на створенні системи, яка поглине потенційну DdoS-атаку. Хоча створення плану дій заздалегідь - це не 100% надійний спосіб захисту, він допомагає в значній мірі пом'якшити ризик.
План дій може складатися з наступних елементів:
· Використовуйте
датчики, які надсилають сповіщення кожного разу, коли WEB-сайт
відвідують.
· У
разі будь-якої зловмисної діяльності швидко зробіть резервну копію журналу
аудиту.
· Зверніться
до свого інтернет-провайдера, щоб зрозуміти, яку вони можуть надати допомогу
DDoS.
· Підтвердження
DNS TTL (час очікування) для систем, на які може бути напад у майбутньому.
· Придбайте
засоби захисту від DDoS-атки для пом'якшення грошової втрати через напади.
План дій є
корисним, коли ваш WEB-сайт зазнає атаки, оскільки це дозволить
зменшити розмір шкоди, заподіяної хакерами.
2.
Контролювати трафік
DDoS-атака приносить безпрецедентний обсяг трафіку на ваш сервер, що збільшує звичайни обсяг трафік в рази.
Фактично, ідеальний час для будь-якого хакера, щоб напасти, випадає вмоменти коли ваш сервер буде обслуговувати якомога більше клієнтів. Трафік атаки поєднуються зі справжнім контентом і перевантажує сервер безпрецедентним трафіком, який врешті-решт призведе до відмови серверу(-ів).
Тому найкращим способом швидко помітити DDoS-атака є звернення уваги на нестандартне збільшення трафіку на ваш WEB-сайт. Якщо ви очікуєте 500 відвідувачів на 10 хвилин, то приплив 4000 відвідувачів на хвилину повинен викликати сумніви.
Постійне попередження, моніторинг трафіку та встановлення
граничних меж, коли трафік виходить за межі певного рівня, допоможе вам у боротьбі проти DDoS-атак.
3. Мати додаткову пропускну здатність
Має сенс мати більшу пропускну здатність, ніж ви потребуєте, тому що перевизначення вашої пропускної спроможності дає додатковий час для ідентифікації та усунення нападу. Це також дозволяє серверу враховувати безпрецедентні розміри трафіку і в деякій мірі знижує інтенсивність атаки.
Якщо ви використовуєте пропускну здатність на 200 відсотків або 600 відсотків ніж потребуєте, це не зупинить атаку, але це виграє вам час, перш ніж ваші ресурси будуть перевантажені.
Тому при визначенні пропускної спроможності вашого WEB-ресурсу, враховуйте також і додаткові ресурси, щоб пом'якшити ризик від кібератак.
4. Блокувати підроблені IP-адреси
· Створіть
список контролю доступу (ACL), щоб відхилити весь вхідний трафік за допомогою
певного джерела IP адрес.
· Зосередьтеся на використанні переспрямування зворотного маршруту (RPF) або перевірки IP. Це працює як і антиспам-рішення.
· Фільтруйте
як вихідний, так і вхідний трафік, щоб підвищити захист від DDoS.
· Змініть
конфігурацію ваших комутаторів і маршрутизаторів таким чином, щоб вони
автоматично відхиляли пакети, що надходять з-за меж вашої мережі.
· Зосередьтеся
на шифруванні різних сеансів на своєму маршрутизаторі, щоб дозволити доступ для
довірених хостів, які знаходяться за межами вашої мережі.
5. Агресивний моніторинг напіввідкритих підключень
Зазвичай тристороння рукостискання:
· Запиту
клієнт на зв’язок, відправка пакета SYN (синхронізувати) на сервер,
· Сервер
повертає пакет клієнту SYN-ACK (синхронізація-підтвердження)
· Клієнт
відповідає ACK (Acknowledge), що пакет прийнятий і комунікація починається.
У напіввідкритих з'єднаннях пакети не надсилаються ворожому клієнту. Однак клієнт надсилає декілька запитів до портів сервера за допомогою підроблених IP-адрес. Таке з'єднання не закрито і залишається відкритим, що робить його вразливим для атаки.
Виявлення таких напіввідкритих з'єднань здійснюється за допомогою:
· Додавання
порожнього повідомлення keepalive до оформлення протоколу застосування
· Додавання
нульового повідомлення keepalive до оформлення фактичного протоколу програми
· Використання
явного таймера
· Зміни
параметра keepalive TCP
6. Використовувати проксі-захист
Проксі-сервера забезпечує додатковий рівень захисту від DDoS для будь-якого WEB-сайту та захищає ваш сайт від складних комп'ютерних порушен. Проксі-сервера приховує ваш реальний IP від хакерів і надсилає проксі-трафік через свою мережу пом'якшення наслідків. Найкраща частина полягає в тому, що весь процес відбувається без того, щоб відвідувачі реалізували його. Крім того, захист від віддаленого проксі підвищує безпеку і продуктивність HTTP-додатків.
7. RST Cookies
RST Cookie-файли є дієвим захистом від DDoS-атак, оскільки сервер надсилає клієнту неправильний ACK + SYN, а потім клієнт пересилає пакет, який повідомляє серверу про потенційну помилку.
8. Фільтрувати UDP-трафік за допомогою блекхолінгу
Фільтрування UDP трафіку за допомогою блекхолінгу може ефективно припинити небажаний трафік. Блекхолінгу - це метод фільтрації коли підозрілий трафік пересилається, а потім скидається. Коли атака виявляється, він відсіює весь трафік на основі IP-адрес та місця призначення. Ось три кроки для його налаштування:
· Підготуйте
нульовий маршрут
· Підготуйте
карту маршруту
· Створіть
маршрут жертви на маршрутизаторі
8. Запобігати причинам які можуть
спричиняти атаку
Профілактика
причин, що спонукають осіб організовувати і вживати DDoS-атаки.
(Дуже часто кібер-атаки взагалі є наслідками особистих образ,
політичних, релігійних та інших розбіжностей, провокуючого поведінки жертви
тощо)
9.Використовувати зворотній
DDoS
Перескеровування
трафіку, що використовується для атаки на атакуючого.
10.Створити
розподілену
систему
Побудова
розподілених і дублюючих систем, які не припиняють обслуговувати користувачів,
навіть якщо деякі їхні елементи стануть недоступні через DDoS-атаки. Коли обчислювальні потужності або пропускна здатність каналу закінчуються,
всі нові клієнти перенаправляються на інший сервер (або ж поступово
"розмазуються" по серверах за принципом round-robin). Це неймовірно
дорога, але дуже стійка структура, завалити яку практично нереально.
11. Ухилятись від атаки
Відведення
безпосередньої мети атаки (доменного імені або IP-адреси) подалі від інших
ресурсів, які також часто піддаються впливу разом з безпосередньою метою атаки.
12. Застосовувати
активні заходи у відповідь
Вплив на
джерела, організатора або центр управління атакою, як техногенними, так і
організаційно-правовими засобами.
12. Використовувати
спеціалізоване обладнання
Використання
обладнання (hardware)
для відображення DDoS-атак. Наприклад DefensePro® (Radware), Периметр (МФІ
Софт), Arbor Peakflow® і від інших виробників.