170 likes | 359 Views
Шевцов А.А. DDoS: типы, характеристики, тенденции. Что такое DDoS атака ?. Во время DDoS ( Distributed Denial of Service) атаки зараженные хосты (боты) из разных сетей перегружают ресурсы цели нелегитимным трафиком, вызывая отказ в обслуживании легитимных клиентов.
E N D
Шевцов А.А. DDoS:типы, характеристики, тенденции
Что такое DDoS атака? Во время DDoS (Distributed Denial of Service)атаки зараженные хосты (боты) из разных сетей перегружают ресурсы цели нелегитимным трафиком, вызывая отказ в обслуживании легитимных клиентов.
Сложность современных DDoS атак ОТКАЗ СЕРВИСА ПЕРЕПОЛНЕНИЕ СЕССИЙ IPS ПЕРЕГРУЗКА Load Balancer ЦОД Сервера и приложения Трафик атаки Легитимный трафик Сегодня DDoS вызывает (1) перегрузку канала, (2) переполнений таблиц сессий на stateful устройствах, (3) отказ сервиса – часто все вместе происходит при одной атаке и влечет недоступность сервиса.
Угрозы для ЦОД DDoS атаки уровня приложения Провайдер 1 Неазконный траффик НЕДОСТУПНОСТЬ СЕРВИСОВ ОБЪЕДИНЕНИЕ Хороший траффик Интернет Сервис Провайдер ЦОД Провайдер 2 Балансировщик нагрузки IPS Провайдер n Цель: сервисы и приложения ОбъемныеDDoS атаки Как объемные атаки, так и атаки уровня приложения могут привести к отказу в обслуживании сервисов в ЦОД
Почему обычные средства защиты не справляются с DDoS? Существующие системы защиты периметра не нацелены на обеспечение доступности данных Межсетевые экраны (МСЭ/FW), включая WAF, обеспечивают конфиденциальность данных или процедур, которое могут быть доступны только авторизованным сторонам Intrusion Prevention Systems (IPS) обеспечивают целостность данных, обеспечивая возможность изменять информацию авторизованными методами Все МСЭ и IPS являются устройствами с контролем сессий (stateful), поэтому сами по себе могут быть целью DDoS. ПЕРЕПОЛНЕНИЕ СЕССИЙ IPS IPS Load Balancer Трафик атаки Легитимный трафик Сервера и приложения ЦОД
Жертвы атак Россия (публичные) • Сбербанк • Альфа-банк • Газпромбанк • ВТБ • Центробанк • и другие Украина • ??? • CloudFlare • LiveJournal • WikiLeaks • Visa/MasterCard • MegaUpload • Twitter • eBay • Wordpress • Укртелеком • и другие!
Недоступность сервисов влечет не только финансовые последствия:
Основные угрозы атак типа DDoS в банковской сфере • Недоступность системы клиент-банк • Недоступность интернет-банкинга • Недоступность процессинга пластиковых карт • Недоступность межбанковских платежей
Планирование рисков доступности DDoS – угроза доступности №1 – должна быть частью анализа рисков Измеряя риски доступности и надежности сервиса, необходимо понять, где риск угрозы DDoS в Вашем случае? Оценка доступности
Доходы украинских банков за 6 месяцев 2013 г. Источник: НБУ, 01.07.2013
Выбор правильного инструмента • Современные атаки сложны, и только законченноерешение защищает все сервисы: • Услуги: HTTP, SSL, DNS, Mail, VoIP • Протоколы: TCP/IP, UDP, ICMP • Полоса: канал от вышестоящих операторов • Решение, не принимающее во внимание все аспекты DDoS и защищающее только HTTP/S, не сработает. • Выбор правильных инструментов в зависимости от угроз:
Современные тенденции в области DDOS атак • количество DDoS-атак на полосу постоянно снижается • мощные атаки не могут продолжаться долго, так как магистральные провайдеры начинают испытывать связанные с ними проблемы • преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%) • интеллектуальные атаки на приложение коварны тем, что даже при наличии стратегии защиты вы скорее всего потеряете некую, пусть мизерную, часть легитимных пользователей. • не менее 50% атак Layer 7 – это «долбежка» в один URI, интеллектуальных атак всего около 10% • количество ботов с полноценными Web browser capabilities (TCP, HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных атаках. Индустрия движется в сторону использования полноценных браузеров для выполнения DDoS-атак
Виды (протоколы) Информация: qrator.net
География заражения компьютеров Информация: qrator.net
О защите от DDoS • От любой атаки можно защититься • Поведенческий анализ — один из наиболее эффективных методов фильтрации трафика • «Серебряной пули нет»
Варианты решения • Собственное оборудование и решения: • ARBOR Networks • RADWARE • Специализированные сети очистки трафика • В РФ:Qrator, Kaspersky Lab,отдельные сервисы • В Украине ??? Что делать? Решение принимать ВАМ!!!