Защита веб-приложений: анти-DDoS

Руслан Рахметов, Security Vision

Рис. 1 – защита от атак на отказ в обслуживание

Перед разбором средств защиты от DDoS-атак стоит разобрать, что это такое. DDoS (Distributed Denial of Service) расшифровывается как распределённый отказ в обслуживании. Это атака на веб-сервис, которая «топит» его потоком трафика и ненужными запросами, повышая нагрузку на оборудование и попросту делая ресурс недоступным для всех остальных пользователей.

Существуют различные типы таких атак: массовые (которые загружают всю ширину канала), UDP, ICMP и другие уровни согласно модели OSI. Цель одних атак - загрузить ресурсы системы большими запросами. Мощности железа, на котором работает сервис, не бесконечны, поэтому вызвать отказ в доступе можно, заполнив всю память хакерскими запросами. Иногда злоумышленник заставляет ресурсы жертвы отвечать на запросы подменных адресов. Другие атаки основаны на массовости атакующих узлов. Для организации атаки злоумышленники используют целую сеть ботов или устройств, заражённых вирусами (смартфоны, устройства умного дома, компьютеры и т.д.), которые будут являться источниками мусорного трафика. Ещё один тип атак пытается «подставить» жертву в рассылке вредоносного трафика. В таком случае злоумышленник организует массовую рассылку, подменяя свой адрес адресом жертвы, чтобы её «забанили».

Поскольку существует несколько видов DDoS-атак, сами средства защиты также можно разделить на группы по эффективности, скорости обработки тех или иных запросов, возможности остановить атаку определённого типа и по другим параметрам. В классификации и особенностях разных типов систем защиты разберёмся в этой статье.

Рис. 2 – расположение сервисов anti-DDoS

Большая часть программных продуктов класса anti-DDoS разворачивается не на периметре сети компании, а на глобальных маршрутах трафика по всему миру. Некоторые вендоры имеют сеть из 12-15 уpлов на основных магистралях трафика, у других в распоряжении более 30-ти точек обработки трафика на каналах поменьше. Специальные сервисы, обрабатывающие трафик «на лету», отсеивают мусорные запросы ещё до момента поступления их на атакуемый сервер.

Существуют также сервисы, разворачивающиеся локально. Такие решения дороже своих облачных коллег по рынку, однако по скорости реагирования и минимизации задержки они выигрывают у своих конкурентов. Системы, работающие на L3–L4 уровнях сетевой модели, могут защитить от пакетного флуда (от атак, основанных на большом потоке данных), таких как флуд UDP, ICMP и SYN.

Существуют также и решения гибридного плана, которые пытаются взять от облачных решений лучшее: перевести часть поддержки на собственную экспертизу и снизить требования к работникам заказчиков, фильтрации атак на веб-сайты на уровне приложения (L7) и т.д. Защита на уровне приложений обычно самая трудоёмкая и интересная, поскольку сами атаки отлично маскируются под полезный трафик и трудны для обнаружения.

Поскольку anti-DDoS решения сами по себе пропускают огромное количество трафика, где бы они ни находились, они сами могут стать жертвой атаки. Поэтому сервисы устроены таким образом, чтобы они могли обрабатывать огромное количество запросов, а соединение с интернет было бы даже шире, чем у защищаемого сервиса. Именно из-за этого требования к оборудованию у подобных систем защиты настолько высоки, что популярностью пользуются облачные или гибридные сервисы.

Рис. 3 – уровни защиты веб приложений от DDoS-атак

Почти все решения разбираемого нами сегодня класса могут фильтровать пакеты транспортного и сетевого уровней (как в примере с локальными сервисами выше), но поскольку большинство атак используют слабые места уровня приложений, стоит выделить и защиту на уровне L7. Некоторые системы осуществляют балансировку нагрузки и распределение ресурсов для обработки запросов. Таким образом обеспечивается не только защита, но и оптимизация скорости для веб-приложений, работающих на неподходящем «железе». С небольшой оговоркой к системам класса anti-DDoS можно отнести и средства фильтрации почтового трафика, отсеивающий спам и лишние запросы к серверу почты. Ещё один тип атаки связан с перебором паролей (брутфорс, brutforce), с которым можно эффективно бороться и внутри периметра. Для этого используются детекторы и сборщики логов в связке с SIEM (которая коррелирует отдельные попытки ввода пароля) и IRP (которая организует процессы и автоматическое реагирование без необходимости работы аналитика в режиме 24х7).

Рис. 4 – алгоритмы работы anti-DDoS

Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика с использованием методов поведенческого анализа помимо классической фильтрации трафика. При это сама фильтрация также бывает различной: есть решения, которые анализируют только входящий трафик (такие решения используют ассиметричные алгоритмы) или весь поток данных целиком (симметричная установка, которая анализирует взаимодействие между приложением и пользователем целиком).

Из-за особенностей функционирования и отличий по скорости работы те или иные решения выбираются для разных задач. Крупные ЦОД и провайдеры связи обычно выбирают on-premise решение с гибкими возможностями настроек и возможностью организации MSSP модели лицензирования для своих клиентов. Часто провайдеры также используют решения с асимметричным анализом (только входящего трафика). Однако для защиты критичных приложений и сервисов клиенты выбирают anti-DDoS с полным (симметричным) анализом трафика. Для оптимизации расходов на дополнительное железо в таком случае выбираются облачные или гибридные системы.