Нюансы реализации защиты от DDoS-атак

Как говорится, Истина и Ложь заключаются в мелочах. Точнее Истина — в наличии оных, а Ложь — в их отсутствии. Некоторым нюансам реализации «защиты от ddos-атак» и посвящена данная статья.
Теории по «ddos-атакам» и «защите от них» в Инете довольно много, поэтому на данных аспектах останавливаться не буду. В статье постарался озвучить свои размышления по данной теме.

e33eb235265848599f9d2f7d46e9c163.jpg

Итак, в ходе внедрения новой услуги «защита от ddos-атак» в своей компании столкнулся с некоторыми нюансами, которые навели на цепочку рассуждений.

1. Реализация защиты на своей инфраструктуре пока довольно дорога, как, собственно, и всего нового в этой жизни. Именно с этим столкнулись в первую очередь, когда начали внедрять центр защиты от ddos-атак на своей инфраструктуре. Речь всегда идет о затратах в десяток миллионов руб. Либо больше. Причем при изучении вопроса становится понятно, что в ближайшее время эти затраты никак не «отобьются». Если вопрос нивелирования данных затрат не решить, то этот нюанс может остановить всю деятельность в этом направлении, что рождает другие нюансы:

— Раз уж данные затраты могут себе позволить не все, то необходимость предоставления услуг типа «защита от ddos-атак», а точнее «нужные характеристики центра защиты», многие крупные компании, особенно из госсектора, используют при объявлении тендера, как заградительный барьер под конкретную компанию. Иногда смотришь на требования и понимаешь, что цифра какая-то странная. К примеру, один раз столкнулись с требованием, среди прочих: «пропускная способность центра защиты — 180 Гбит/сек». Почему именно 180? Не 50, не 100, не 500, а именно 180? Как вывели данную цифру, из каких соображений? Пока коллеги не открыли глаза на то, что у определенного оператора именно такая пропускная способность ядра сети. Кстати, подтвердить данную возможность нужно было, предоставив «справку по произвольной форме, подписанную руководителем», а канал под фильтрованный трафик запрашивался в 1 Гбит/сек.

— Если минимизировать данные затраты известными способами, то тогда полноценную защиту от ddos-атак на своей сетевой инфраструктуре компания может предоставить только с серьёзными оговорками. Иногда речь идет об агентской схеме, через кого-то, иногда речь идет о защите только до 4-го уровня OSI. Некоторые об этом честно заявляют: «реализуем только фильтрацию трафика средствами…», либо «предоставим услугу по партнерской схеме». В этом конечно ничего страшного нет. Но, как говорится в известном анекдоте: «ложечки-то нашлись, но осадок остался». То есть, всё важное, как в тех кредитных договорах, «написано мелко и в конце».

— Если все затраты принять, то поставщику данной услуги выгодно работать только с большими объемами. Сталкивался с тем, что в одной серьёзной компании при проверке имитированной dos-атакой в 120Мб/с аномалии в статистике не фиксировалась. На вопрос, а почему так, был заявлено, что они фильтруют все аномалии, но фиксируют в статистике атаки, начиная с 1Гб/с. То есть, если клиент имеет доступ в Интернет в 20Мб/с, то он никогда не будет информирован по атакам. С одной стороны — хорошо, лишь бы работало. С другой — не очень, ибо нет понимания, за что клиент платит.

2. Из потенциальных клиентов редко кто понимает, что конкретно хочет получить. Общался как-то с руководителем ИТ-департамента одного крупного банка по данному вопросу. Казалось бы, он-то точно должен знать, что в рамках «защиты от ddos-атак» должен получить в количественном выражении. Ответ немного сбил с толку: «Ну я вот тут погуглил, есть же продукт «Харбор пик флоу» (не пишу реальное название, ибо реклама), сделайте нам то же, что он может».
Интересно следствие данного нюанса.
Один потенциальный клиент собирался сменить поставщика услуги «защита от ddos», из-за того, что его не устраивало то, что он сейчас имеет. На вопрос, а что конкретно не устраивает, внятного ответа никто дать не смог.

3. Услугу «защита от ddos-атак» стоит рассматривать как дополнение к услугам «доступ в Инет» или «каналы связи». Весь входящий трафик должен идти через центр защиты, что по сути обеспечивается, когда предоставляется доступ в сеть. Данный нюанс имеет интересное следствие. Поясню. В случаях реализации защиты ресурса (к примеру сайта) от множественных попыток несанкционированного доступа, если речь идет о шифрованном трафике, то ключи шифрования (сертификаты) должны быть переданы 3-й стороне (в чьём ведении центр защиты), что сводит на «нет» смысл шифрования.

4. Фиксируемые ddos-аномалии очень часты, но относительно кратковременны. Статистика показывает, что система защиты фиксирует аномалии в основном на операторском трафике, длительностью до 30 минут. На корпоративном трафике их меньше. Когда начинаешь разбираться с данными аномалиями обычно вырисовывается картина «Закон Паретто в действии» — 80% аномалий к атакам отношения не имеют:

— Причина проблемы кроется в сетевой инфраструктуре клиента. Либо является отличительной особенностью подобной сети («это не баг — это фича»). То есть, у клиента сетевая инфраструктура такая, что её активность, либо сетевые проблемы, фиксируются центром защиты как аномалии, о чем центр и сигнализирует. К этой категории смело можно отнести все географически распределённые локальные сети, особенно если пользователи в них работают через какие-то vpn-каналы.
 — Исходящая активность, инициированная, к примеру, вирусами (не клиента атакуют, а он кого-то). Хотя тут можно предположить, что ресурс клиента всё-равно является участником ddos-атаки, только не как цель.
 — Активность игроков сетевых игр. В первую очередь наш центр записывал в аномалии трафик WoW.
 — Мультикаст-трафик видеорегистраторов. С этим вообще отдельная тема. Особенно по «публичным» регистраторам, на которые доступ роздан всем. Заблокировать трафик нельзя, а понять, кто обслуживает «сей девайс» — практически невозможно.
Основной тип аномалий в этом случае — udp-flood или tcp-syn-flood. Когда начинаешь разбираться по данным вопросам, заканчивается это тем, что приходится настраивать работу центра защиты созданием разного рода «белых» списков и исключений, ибо клиент заверяет, что у него всё нормально, а «эта» аномалия — это следствие «чего-то-там», в дальнейшем «это прошу не фиксировать».

Следствием этого нюанса является следующий, по сути заключительный.

1e4766d55d3f4c8080a154c0bd0b8f35.jpeg

5. В процессе внедрения услуги неоднократно возникал вопрос: «Кому всё-таки нужна данная услуга?». Запросов, честно говоря, на неё не много. Видимо пока «гром не грянет — мужик не перекрестится». Скорей всего, мало кто задумывается о подобной угрозе, пока не попадает под реальную ddоs-атаку. Вот тогда сразу появляется понимание, что реальная атака — это очень серьёзно, и не зря считается правонарушением. Атакуют всегда с какой-то целью, в основном, видимо, по политическим мотивам, либо по заказам конкурентов, либо при взломе защиты сети. То есть, в любом случае это логическое следствие основной деятельности организации. На мой взгляд, вряд ли кто-то просто так будет атаковать, к примеру, Интернет-магазин, торгующий одеждой. Можно конечно говорить об экспериментах начинающих хакеров, или «мести злобных покупателей», но серьёзность данных атак вряд ли значительна. Поэтому, на мой взгляд, потенциальными целями ddos-атак могут быть:

— с целью маскирования одновременных параллельных целей, типа взлома ресурса:
сетевые ресурсы банков, других финансовых организаций, финансовых подразделений компаний;
сетевые ресурсы организаций, связанных с государственной или коммерческой тайной;
 — для дезорганизации деятельности:
сетевые ресурсы политических партий, государственных организации, связанных с политической деятельностью (выборы и т. д.);
сетевые ресурсы силовых ведомств;
 — с целью затруднения доступа:
газеты, журналы, другие новостные медиа-ресурсы;
организации, публикующие компрометирующую информацию;
организации, «сильно мешающие» своей деятельностью конкурентам;
возможно сетевые ресурсы тендеров и аукционов, где результат предрешен;
 — с целью хулиганства — по сути любые ресурсы.
Честно говоря, про «хулиганство» указал исключительно под случаи, когда атакуют сайты туроператоров в разгар сезона…

Операторам связи «центр защиты от ddos-атак» нужен, если они собираются продавать данную услугу. В других случаях у оператора связи изначально есть ресурсы для своей защиты. Персонал знает, что делать, магистральных каналов несколько, их пропускная способность не малая. Да и атаковать оператора связи особого смысла нет. А если всё-таки атакуют какое-нибудь туристическое агенство, да так, что оператору связи тоже достается, то всегда можно попросить коллег up-link-оператора «заблэкхолить» источник.

P.S. При написании статьи появилась новая статья. Задумался, а этот случай под какую категорию можно подвести? Скорей всего под 2-ю — попытка дезорганизации деятельности. Хотя, конечно, банки логичней ddos-ить для взлома… Похоже неудачная попытка, судя по ответу СБ банков.

Комментарии (0)

© Habrahabr.ru