Атаки DDoS (распределенный отказ в обслуживании) существуют уже много лет, но в последнее время они стали более громкими, поражая более крупные цели. Это теперь не только область хактивистских групп — вымогательство — чаще название игры.
Представьте себе сценарий: вы запускаете сайт, способный приносить много денег каждый час дня. Однажды ваш сайт будет взломан DDoS-атакой, и вы получите сообщение о том, что, если вы не заплатите выкуп, ваш сайт останется недоступным на неопределенный срок.
Чем ты занимаешься? С одной стороны, вы не хотите поддаваться на вымогательство и платить плохим парням, но с другой стороны, вы действительно не хотите терять свой сайт и его доход.
Поучительная история
Именно такая атака недавно уничтожила Code Spaces, которая в течение семи лет предлагала внушительную клиентскую базу хранилищам исходного кода и службам управления проектами.
Согласно заявлению Code Spaces , после DDoS-атаки на сайт злоумышленнику удалось получить доступ к панели управления Amazon Web Services. Злоумышленник взял управление на себя и связался с сотрудниками Code Spaces, предложив вернуть контроль над панелью — как только они получили большую сумму денег. Пробелы кода попытались восстановить контроль, и злоумышленник ответил, удалив записи панели случайным образом.
Большинство данных компании, резервных копий, конфигураций компьютеров и удаленных резервных копий были частично или полностью удалены к тому времени, когда они восстановили контроль. За 12 часов злоумышленник нанес достаточно ущерба, чтобы навсегда вывести из строя Code Spaces. Ущерб был не только финансовым, но и человеческим — шесть человек, по-видимому, потеряли работу, когда бизнес рухнул.
Для пояснения, серверы AWS никогда не были взломаны, а база данных Code Spaces не была украдена. Похоже, произошло то, что злоумышленник нашел способ доступа к панелям управления, но не имел доступа к закрытым ключам.
Была ли атака предотвратима? Неясно, какие шаги предприняли Code Spaces для восстановления контроля, просто значительный ущерб был нанесен, когда команда была заблокирована. Ясно, что полагаться на одну услугу для всей вашей инфраструктуры — плохая идея.
Пространства кода не верят, что атака была совершена бывшим или нынешним сотрудником, поэтому 2FA (двухфакторная аутентификация) также могла предотвратить атаку. У них также не было плана реагирования на бедствия / инциденты. Если бы они быстро переехали и сообщили об этом в AWS раньше, очень вероятно, что они могли бы сэкономить день — и бизнес.
Типы атаки
Существует множество различных типов атак DDoS, но некоторые из них более распространены, чем другие. Наиболее распространенными являются:
- Атаки CP-соединений — они пытаются использовать все доступные соединения и подключаться к инфраструктурным устройствам, таким как балансировщики нагрузки, серверы приложений и брандмауэры.
- Объемные атаки — они потребляют пропускную способность в целевой сети и / или между сетью и остальной частью Интернета.
- Фрагментарные атаки — они посылают поток целых фрагментов UCP или TCP в целевую сеть / жертву, что лишает возможности повторной сборки потоков, что, в свою очередь, значительно снижает производительность.
- Атаки приложений — они могут быть эффективными даже без огромного ботнета, для атаки требуется всего несколько атакующих машин, которые пытаются сокрушить определенную часть приложения или службы.
- Атаки на основе NTP становятся все более распространенными и могут усиливать запросы трафика почти так же, как атака фрагментации, используя протокол NTP для запроса больших ответов.
Остановка DDoS-атак
Выше приведена карта глобальных DDoS-атак, происходящих в режиме реального времени — атаки отображаются в виде пунктирных линий и показывают страны отправителя и страны назначения трафика атаки.
К сожалению, Code Spaces — это далеко не единичный случай, и DDoS-атаки чрезвычайно трудно, если не почти невозможно , обнаружить и предотвратить. Согласно последнему ежеквартальному глобальному отчету о атаках DDoS, подготовленному Prolexic, по сравнению с аналогичным периодом 2013 года, в 2014 году количество атак увеличилось на 22%.
В наши дни большинство атак используют ботнеты. Они являются наиболее эффективной формой атаки, они полностью распределяют атаку и относительно просты в исполнении. Большинство ботнетов используют компьютеры Windows в качестве ботов, но в 2012 году ботнет Flashback заразил более 600 000 компьютеров Mac.
Ботнет может выступать в роли усилителя для повышения эффективности атаки, как показано на рисунке выше.
Не каждый злоумышленник будет владеть ботнетом, но вы можете арендовать его по часам всего за 200 долларов в день . Идеально подходит для работы в течение нескольких дней, вымогая деньги у владельцев сайтов.
Идеальным решением было бы устранить ботнеты, но поскольку мы не выигрываем борьбу с киберпреступностью, поскольку авторы вредоносных программ становятся все более изощренными, это маловероятно.
Предупреждение является ключевым
Один простой способ избежать атаки — просто купить больше пропускной способности, но этого недостаточно, чтобы остановить крупномасштабную атаку. Лучше, когда это возможно, разбросать несколько серверов по нескольким центрам обработки данных и использовать правильную балансировку нагрузки, которая может быть обеспечена с помощью облачных сервисов, таких как Rackspace .
Есть несколько коммерческих услуг, доступных от нескольких компаний, которые могут помочь уменьшить риск и быстро убрать, когда один из их клиентов подвергся нападению. Опять же, это достигается благодаря наличию крупномасштабной сети, и можно с уверенностью предположить, что они могут быть слишком дорогими для многих небольших компаний или частных лиц.
CDN (сети доставки контента) также можно использовать для распределенной отправки файлов клиентам, что также помогает защитить от DDoS-атак.
Защита вашей сети
Максимально отключите вашу сеть, чтобы предотвратить атаки. Убедитесь, что маршрутизаторы настроены правильно, отбросьте ненужные пакеты и, если вам не нужны определенные протоколы, такие как ICMP, остановите их. Вы также должны иметь высококачественный аппаратный брандмауэр и убедиться, что на всех подключенных компьютерах запущено программное обеспечение для обеспечения безопасности и установлены все самые последние программные исправления, применяемые как для ОС, так и для другого стороннего программного обеспечения, такого как Office, продукты Adobe и Джава.
Поскольку многие современные веб-сайты используют динамические ресурсы, это затрудняет снижение риска. Это часто приводит к сбою базы данных, когда происходит атака, даже если она относительно небольшого масштаба. Рассмотрите возможность использования серверов кэширования для предоставления статического содержимого, где это возможно.
Также неплохо иметь систему мониторинга , поскольку DDoS-атаки постепенно усиливаются по мере усиления атаки. Чем раньше вы сможете получить предупреждение и принять меры, тем больше у вас шансов. Сначала следует установить мониторы для записи того, что считается «нормальным трафиком» для сети. Затем следует настроить оповещения, чтобы в случае обнаружения увеличения пропускной способности и сетевого трафика ИТ-администратор мог получать уведомления и пытаться смягчить атаку.
Раннее обнаружение является ключевым моментом, если необходимо избежать полномасштабной атаки, и даже в этом случае трудно сделать многое без большей пропускной способности, чем атакующий. Хуже всего то, что в настоящее время размер отдельных DDoS-атак также увеличивается.
Составление плана реагирования на инциденты
Чтобы иметь возможность быстро реагировать на любую угрозу и особенно потерю данных , план реагирования на инциденты жизненно важен для выживания бизнеса. Хотя многие компании не используют план, их не сложно написать и реализовать, но они являются ключевой частью быстрого восстановления системы.
Документ должен охватывать:
- План реагирования на чрезвычайные ситуации : он должен охватывать то, что необходимо сделать немедленно, чтобы привести план в действие. Если для запуска плана необходимы полномочия, тогда контактная информация и процедуры должны быть указаны здесь в первую очередь.
- Люди : должен быть предоставлен список важных контактов, таких как используемая компания ИТ-поддержки и ключевое контактное лицо. Кроме того, важно назначить хотя бы одного человека, который занимается резервным копированием и восстановлением, чтобы системы могли снова подключаться к сети с минимальным временем простоя. Если в компании используется служба защиты от DDoS, то они также должны быть в списке, а также имена ключевых внутренних ИТ-сотрудников и тех, кто отвечает за реализацию планов обеспечения непрерывности бизнеса.
- Документация : в ней должен быть указан список всей необходимой документации для любой конкретной ситуации. Помните, что планы реагирования на инциденты будут охватывать такие вещи, как пожар и кража, поэтому важно, чтобы вся информация, даже если она хранилась за пределами площадки, была доступна для всех случаев.
- Процедуры резервного копирования и восстановления : это должно охватывать, как данные резервируются и где они хранятся, а также кто несет ответственность и какие правила должны соблюдаться в отношении правил для таких вещей, как PCI DSS.
- Альтернативная технология простоя . В случае простоя потеря доходов часто усугубляется, поскольку сотрудники не могут физически работать на своих машинах, как обычно. Имея это в виду, рекомендуется создать условия, чтобы работа продолжалась как можно дальше от сети. Это может означать, что сотрудники работают из дома, пока система восстанавливается, или настройка систем резервного копирования для ключевого персонала.
- Политики и процедуры : чтобы люди не бегали, как цыплята без головы, важно установить для них пошаговые процедуры в зависимости от их роли. Например, ИТ-персонал должен информировать вспомогательные компании и материалы, и в документе должны быть четкие инструкции и контакты, которые позволяют им делать это быстро и уверенно.
Важно, чтобы сотрудники знали о плане и о том, что от них требуется для выполнения их конкретной роли. Также важно регулярно пересматривать план по мере появления новых практик в компании, чтобы всегда быть в курсе.
Что может сделать сообщество?
Помимо максимально возможной блокировки наших собственных сетей, блокировки тех портов на уровне брандмауэра, которые не требуют маршрутизации трафика, а также мониторинга пропускной способности и файлов, обычный человек не может ничего сделать. Однако, как сообщество, легче всего дать отпор через образование. DDoS-атаки намного выше в общественном сознании, поскольку Anonymous и LulzSec стали появляться в новостях более регулярно, особенно когда они поражают крупные цели, такие как PayPal.
Эти хактивистские группы сейчас практически мертвы в воде, так как ФБР и другие международные правоохранительные органы преследуют по суду многих из лидеров групп. Но они означают, что все больше людей знают о существовании таких атак.
Интернет-сообщество обязано проявлять бдительность и делать все возможное, чтобы информировать людей о вредоносных программах. Около 80 000 человек в день все еще страдают от фишинг-атак, которые часто кажутся хорошо осведомленными.
Мы можем сказать нашим клиентам — в конце концов, бизнес-клиент, который понимает, как его прибыль может быть затронута, вероятно, прислушается — как защитить себя. Мы можем рассказать родным и друзьям и принять участие в обсуждении. Социальные сети — отличный канал, и есть онлайн-ресурсы, которые предупреждают людей о распространенных мошенничествах, таких как Hoax Slayer и Snopes , которые могут помочь повысить уровень образования.
Вывод
Хорошая защита на уровне отдельных компьютеров и сетей жизненно важна для преодоления этой проблемы в долгосрочной перспективе. Профилактика, защита сети и надежный план реагирования на инциденты могут помочь вам обезопасить себя. Но проблема гораздо шире: если более широкое сообщество не знает об опасностях, они будут по-прежнему заражены вредоносными программами, нанятыми в бот-сети, и DDoS-атаки будут продолжать наносить ущерб бизнесу.
Вы подготовили план реагирования на инцидент? Чему вас научил опыт борьбы с интернет-угрозами?