DDoS-атаки: ловушки, тренды, способы защиты. Интервью с аналитиком DDoS-Guard
Мы поговорили о DDoS-атаках с аналитиком команды защиты инфраструктуры в компании DDoS-Guard Петром Макаровым. Узнали, почему защита обратным проксированием на уровнях L3-L4 — это лукавство, в чём минусы блокировки трафика по IP, какую защиту от атак выбрать при ограниченном бюджете и как менялся характер DDoS-атак за последние годы. Обещаем, будет интересно, — загляните под кат.
Петр Макаров, аналитик команды защиты инфраструктуры в компании DDoS-Guard
Какие методы защиты от DDoS cуществуют?
Через reverse proxy — это та технология, которая используется в модуле DDoS-Guard в ispmanager. Это наиболее массовый инструмент, у него есть куча плюсов. Reverse proxy может быть основан на физическом решении или на облачном. Облачное решение колоссально масштабируется, а физическое — ограниченно. У нас используется облачное.
Схема доставки трафика при использовании reverse proxy: запросы поступают на фильтрующие серверы. Легитимный трафик пропускается далее на веб-сервер клиента, а несанкционированный — отбрасывается
Остальные способы защиты от DDoS основаны на усечении фильтрации, то есть её упрощении и удешевлении. Так можно не разбирать HTTPS-трафик, анализировать по заголовкам HTTP-запросы и при подозрении на атаку блокировать IP-адреса. Доступ к этой технологии есть у всех: её реализуют в свободном программном обеспечении, но встречаются и платные решения.
Но в силу того, что решение упрощённое, есть риск, что будут заблокированы добропорядочные пользователи. Это пользователи за NAT или за общим IPv4. Например, у мобильных операторов запросто может быть до 100 реальных пользователей за одним IP. Если система аналитики основана только на блокировке IP-адресов, при подозрительном трафике и блокировке одного IP десятки посетителей будут потеряны на время или навсегда. Мы называем такое потерей легитимного трафика, и для коммерческих клиентов это неподходящее решение. Однако технология существует, работает, и её продают. По современным меркам она достаточно гуманна, но её применение ограничено, и скорее это решение для некоммерческих продуктов, новостных агентств. Среди инструментов защиты на уровне L7 это всё.
Как отдельный вариант можно ещё рассматривать фильтрацию на своём оборудовании: когда разворачивается приложение на входе в сеть. Но здесь получаются большие ограничения по ёмкости приёма. Количество запросов и ширина полосы, которую можно обработать, будут ограничены сотнями или десятками гигабит и тысячами, а не миллионами запросов. Если обратиться к публичной статистике, недавно Google писал об атаке около 400 миллионов запросов в секунду. Да, она длилась две минуты. Но если пользователь посчитает, сколько ему нужно железа на то, чтобы отбить эту атаку самостоятельно, цифры будут как минимум восьмизначные в долларовом эквиваленте.
Поэтому и существуют облачные операторы с распределённой инфраструктурой, которые принимают все эти атаки. По публичным сведениям, наша ёмкость меньше, чем у Google, но сравнима с CloudFlare. CloudFlare описывала свою самую масштабную атаку как 71 с лишним миллион запросов в секунду, и казалось, что это очень много. А теперь есть Google почти с 400 миллионами запросов. Как с этим жить, вопрос открытый.
По каким параметрам вы можете заподозрить, что трафик нелегитимный?
Мы анализируем параметры каждого HTTP-запроса: например, версию браузера, расширения экрана и другие. Есть и поведенческий анализ, который мы обязательно добавляем. Мы изучаем весь трафик сайтов под нашей защитой. Их там всего 400 тысяч — есть что анализировать.
Мы составляем score, то есть суммарный показатель более чем из 100 метрик. Анализируются как метрики пользователей конкретного ресурса под защитой, так и метрики из общего среза пользователей ресурсов под нашей защитой. Согласно этому прогнозируем дальнейшее поведение пользователей. Процесс дополнительной проверки — это точечная ситуация, когда ресурсы атакуют ботнеты. Для обычных ресурсов такая ситуация экстраординарная, а для высоконагруженных уровня HeadHunter — повседневная.
В 2022 году было много DDoS-атак. Как это повлияло на ваш сервис?
Что касается подхода к атакам в целом, по-прежнему преобладают короткие всплески вредоносного трафика до 20 минут, однако в 2023 году наметился тренд на длительные атаки, больше суток. Самая длинная атака, которую мы фиксировали в последнее время, составила 48 часов 36 минут. Сама интенсивность атак тоже растёт, больше 1 Тбит/с. Это связано с тем, что сейчас можно запустить у себя на компьютере или на арендованной виртуальной машине скачанное из публичного интернета программное обеспечение и стать элементом ботнет-сети для атаки. Этот подход повсеместно распространился и иногда монетизируется. Люди предоставляют вычислительные ресурсы, а на их базе атакуют, например, проправительственные ресурсы, или делают заказные коммерческие атаки. Для ботнет-атак используют даже IOT-устройства.
Это явление подстегнуло нас развивать свои решения. У нас появился внутренний алгоритм, когда мы раскатываем созданные для DDoS программные продукты в тестовой среде и проверяем, как они работают с защищаемыми ресурсами.
Можно ли сказать, что успех DDoS-атаки зависит от бюджетов атакующего и обороняющегося?
Есть мнение: на сколько растут мощности атак, на столько приходится расти и операторам защиты. Кажется, это почти бесконечная битва, в которой с разной степенью вероятности, в зависимости от масштабов оператора, будут разные победители.
Для решения нужно универсальное средство защиты, которое подойдёт всем. Вероятно, это возможно через ещё большее применение искусственного интеллекта и машинного обучения — всего того, что есть под капотом у нас и, наверное, у конкурентов. Атаки с применением ИИ и технологии защиты с ними же здорово развились за последние полтора года.
Искусственный интеллект — один из трендов, которые вы ожидаете в будущем?
Конечно. Раньше его называли обраткой биг даты, потом трендовым стало название «искусственный интеллект». Но суть не поменялась: она в обработке всех 400 тысяч сайтов под нашей защитой, обработке всех запросов, анализа и прогнозирования. В любом случае это уже не человеческие ресурсы, а зачастую автоматизированные обучаемые системы. Можно сказать, что здесь применяется нейросеть, но конкретно в нашем решении — в ограниченном функционале.
Какие ещё тренды вы наблюдаете?
В прошлом году часть атак была из-за рубежа и меньшая часть — внутри страны. Но сейчас атаки смещаются всё ближе и ближе к атакуемой цели. Количество атак внутри российской сети растёт, и, похоже, так будет и дальше.
Для сравнения, в 2020 году и раньше было много китайских атак, а теперь ботнеты активно появляются в России. Это не хорошо и не плохо. Но с точки зрения операторов, которые фильтруют трафик не только в Российской Федерации, это задержки в обработке. Например, если у оператора защиты мощности в Таллине или Румынии, то трафик идёт из России в другие страны и обратно — это дополнительное время на обработку. Подробнее о других трендах атак коллеги писали в нашем октябрьском дайджесте.
Что можете посоветовать для защиты от DDoS-атак администраторам с небольшим и средним бюджетом?
Самое быстрое и дешёвое решение — включить защиту на сетевом уровне своего хостингового оператора. Мы так делаем где-то для 75% хостинговых операторов в России, они подключены к нашей защите. Это работает для массового сегмента и означает доступность для конечного пользователя.
Смотрите, клиент может прийти к нам напрямую и заплатить 8 тысяч в месяц за базовый тариф. Эта защита так же замечательно работает, как и на старших тарифах, а также у клиента есть доступ к личному кабинету и техподдержке DDoS-Guard. На этом тарифе нет доступа к дополнительному функционалу — статистике и, к примеру, более тонким параметрам фильтрации. Но некоторым не критичны возможности даже базового тарифа — им достаточно защиты в максимально ограниченном, но доступном и при этом эффективном варианте. Такие люди могут купить нашу защиту очень дешёво у наших партнёров, в том числе ваш модуль в панели ispmanager. У этого продукта фиксированная цена, независимо от объёма трафика.
Как вы гарантируете высокую пропускную способность трафика?
Количеством узлов фильтрации и геораспределённостью. У нас есть четыре узла в России, а также несколько узлов в Америке, Европе и Азии. При этом в архитектуре нашей сети задумано так, что каждый из наших узлов отказоустойчив, подключён к разным сетям (как географически, так и аплинкам). И выход из строя даже двух из них не влияет на доступность услуги в целом. Он влияет на увеличение задержек, если, например, сбитый с курса экскаваторщик будет работать в пригороде Санкт-Петербурге и перекопает электрические и оптические магистрали. Но это означает, что пользователи из Ленинградской области будут работать с узлом фильтрации в Москве. К задержкам добавится 10–12 миллисекунд, и функциональность услуги не будет нарушена.
Точки присутствия DDoS-Guard
Второй важный момент: мы фильтруем трафик с раскрытием SSL-сертификатов — так меньше вероятность заблокировать легитимные запросы. Отказ от раскрытия сертификата может привести к блокировке легитимных пользователей, которые выходят в сеть с NAT IPv4, и вызвать другие проблемы.
Влияет ли включение защиты от DDoS-Guard на сторонние инструменты аналитики, которые учитывают геопозиции пользователей, приходящих на сайт?
Это будет сказываться, потому что автоматически включается наш CDN (сеть доставки контента), сжимает трафик и отдаёт его вместо бэкенда клиента. Поэтому для части внешних чекеров ранжирование в поисковой выдаче растёт благодаря быстрой загрузке статики с веб-ресурса.
С другой стороны, с точки зрений поисковых и индексированных систем, которые проводят внешние проверки, эти боты не всегда попадают на ресурс, независимо от геоблокировок. То есть на рынке есть решения, в которых при включённой блокировке США отрезается весь трафик ботов Google, индексирующих этот регион. Но это не наш подход. Мы знаем всех легитимных ботов Google, Yahoo, «Яндекса», DuckDuckGo и других поисковиков. И наша геоблокировка, даже для других стран, будет пропускать этих легитимных ботов. Мы исходим из того, что эти внешние ресурсы должны по-прежнему индексировать ваш ресурс.
Сколько у вас сейчас фильтрующих узлов во всём мире и планируете ли расширять сеть?
Вопрос в том, как считать узлы фильтрации. К примеру, по геоточкам. Конечно, в каждом узле в Москве, Санкт-Петербурге, Ростове-на-Дону не одна единица фильтрующего оборудования, а десятки. Поэтому можно сказать, что у нас от четырёх узлов в России и десяток или более — по миру. В зависимости от того, как считать. Количество же фильтрующих устройств внутри каждой геоточки определяется ёмкостью сети и объёмами легитимного трафика. Прямо скажем, в сегменте Казахстана и в сегменте Москве объёмы легитимного трафика отличаются на три порядка, и строить в Казахстане такой же узел, как в Москве, нет необходимости.
Стойка в дата-центре DDoS-Guard
В целом мы считаем, что загрузка больше 80%, даже с длительностью от 5 секунд — это уже сигнал к увеличению числа фильтрующего оборудования на этом направлении. Мы продолжаем исходить из концепции, что развитие зависит от загрузки. Считаю, так и должно быть.
Насколько важна защита на уровнях L3-L4 и почему её нет в минимальном тарифе DDoS-Guard?
Другие поставщики называют защиту, которую вы перепродаёте (модуль DDoS-Guard в ispmanager. — Прим. ред.), защитой на L3-L4 тоже. Но с нашей точки зрения, это некоторое лукавство.
Когда мы даём защищённый IP-адрес и через него проходит трафик только портов 80 и 443, а всё остальное просто отбрасывается, то кажется, что в целом L3-L4 защитой это не является. То есть у администратора, включившего, например, ваш продукт в наборе ispmanager, остаётся целевой IP-адрес. Он расположен либо в вашем, либо в отдельном сегменте. Он есть, и вмешательство в трафик на уровнях L3-L4 включением защиты L7 с reverse-proxy никоим образом невозможно. Строго говоря, этот трафик всегда будет проходить через его аплинк: будет МТС, «Вымпелком» или другой оператор. Поэтому это вопрос позиционирования на рынке.
Мы указываем в описании тарифов только те уровни защиты, на которые непосредственно влияет конкретный сервис. На минимальном тарифе это L7, веб-трафик. Ничто не мешает позиционировать эту услугу как защиту L3-L4. Но мы так не делаем: L3-L4 обеспечивается операторами связи. Поэтому для сервиса reverse-proxy это слишком грубое обобщение. Мы предоставляем защиту L3-L4 как отдельный сервис защиты инфраструктуры.
Модуль DDoS-Guard в панели ispmanager со скидкой до 100%!
До 31 декабря используйте промокод trick-or-treat при покупке модуля DDoS-Guard в Личном кабинете ispmanager и получите скидку:
Первый месяц — 30%
Второй месяц — 50%
Третий месяц — 70%
А четвёртый месяц — бесплатно!