fbpx

INDEX.PHP: Anti-DDoS: какие существуют методы защиты, и почему комплексный подход выгодно выделяется на фоне других

 

Всем привет!

Я Иван Рудницкий , Sales Engineer в компании BAKOTECH. Подчеркну (ибо не все знают), что Sales Engineer не равняется Sales Manager, Sales Engineer – это технический инженер с навыками продаж. У меня более 15 лет опыта в качестве IТ-инженера, и в настоящее время моей основной специализацией является защита веб-приложений.

В работе я очень часто сталкиваюсь с запросами клиентов, которые звучат вроде бы просто: «Нам нужна защита от DDoS-атак». Однако на самом деле здесь много нюансов, из-за чего возникает множество вопросов.

От какого типа DDoS-атаки требуется защита?

Для какой инфраструктуры? On-prem или облачной?

Какова специфика бизнеса компании-заказчика?

Конечно, существует несколько подходов к развертыванию средств противодействия DDoS-атакам и вторжениям, которые имеют свои плюсы и минусы. Об этом и пойдет речь в этой статье.

Но сначала — немного аналитики.

Согласно статистике, DDoS-атаки – одна из самых распространенных угроз для кибербезопасности, с которыми сегодня сталкиваются организации. С началом полномасштабной войны Украина заняла первое место по количеству DDoS-атак. Только за 9 месяцев их общее количество пересекло отметку в 1 200 000 случаев.

 

Динамика DDoS-атак в Украине за первое полугодие 2022 года

 

С 2005 по 2013 год общее количество инцидентов в мире выросло с сотен до тысяч, а сейчас уже составляет миллионы в год. И с каждым годом эта цифра продолжает увеличиваться. Злоумышленники все более умело обходят киберзащиту и придумывают все новые пути предотвращения традиционного смягчения последствий DDoS.

 

Динамика ежедневного количества DDoS-атак в мире по регионам (2022-2023)

 

Как организовать эффективную защиту от DDoS и минимизировать негативное влияние этих атак на рабочие процессы? Давайте разбираться.

В статье рассмотрим:

 

Требования к современной anti-DDoS-системе

 

Система должна обеспечивать автоматизированное противодействие DDoS-атакам на сетевую инфраструктуру и приложения на 2-7 уровнях модели OSI.

Эти системы архитектурно состоят из следующих компонентов:

 

Способы реализации компонентов безопасности

 

Рекомендуется устанавливать аппаратно-программный комплекс в разрыв сети (inline) – на маршруте движения трафика. Такой подход считается эффективным с точки зрения противодействия DDoS-атакам, но в случае сбоя компонента защиты, фильтрующего трафик, есть шансы, что весь трафик вообще исчезнет. Поэтому необходимо обеспечить отказоустойчивость решения и возможность «bypass» трафика (т.е. прохождения его без фильтрации в случае нетрудоспособности устройства, фильтрующего трафик).

При установке в inline достигается сразу два положительных момента:

1) возможность проверить «на лету» весь трафик, а не только его части;
2) возможность защитить все составляющие инфраструктуры компании от DDoS-атак как внешних, так и внутренних злоумышленников.

Также происходит проверка исходящего трафика, являющегося важным элементом защиты.

 

Схема inline внедрения решения для защиты от DDoS атак

 

Следует учитывать, что поскольку маршрутизаторы и брандмауэры часто используют внешние «белые» IP-адреса, это открывает возможность для атаки системы. Дело в том, что информация об этих IP-адресах легко доступна злоумышленнику. Следовательно, он может начать с определения открытых портов, версии операционной системы и служб системы, а затем, используя известные «особенности» стека TCP/IP, атаковать саму систему.

В этом случае именно установка системы защиты inline позволяет выявить и отразить эти атаки, защитив всю инфраструктуру в целом.

 

Подходы к архитектуре решений для защиты от DDoS

 

Рассмотрим четыре основных подхода, с учетом их преимуществ и недостатков.

 

Традиционный метод

 

Традиционным методом защиты от DDoS-атак является установка в сеть дата-центра специализированного решения On-Premise, основной и единственной функцией которого является фильтрация паразитического трафика.

Основные преимущества:

Основные недостатки:

Крайне важно своевременно обновлять сигнатуры и программное обеспечение решений On-Premise, чтобы поддерживать их в актуальном состоянии.

 

Облачный сервис DDoS-защиты

 

В свете простоты создания массированных DDoS-атак возникает вопрос защиты канала связи. Справиться с этой проблемой помогают облачные сервисы для защиты от DDoS-атак, предлагая технологии защиты в облаке – удаленную и, как правило, топологически распределенную сеть.

Основные преимущества:

Основные недостатки:

 

Услуга DDoS-защиты у оператора связи

 

По сути, это частный случай облачного решения. Многие поставщики услуг связи дополнительно предлагают услугу защиты от DDoS-атак на основе своего оборудования. С определенной точки зрения этот сервис напоминает облачное решение для защиты от DDoS-атак, но с отсутствием необходимости в раздельном перенаправлении трафика, ведь он уже проходит через оборудование провайдера (т.е. вы получаете все абсолютно прозрачно, и вам не нужно самостоятельно перенаправлять трафик в облако).

Несмотря на очевидные преимущества такого подхода, существует ряд недостатков, наиболее критичным из которых является отсутствие (в большинстве случаев) гарантий того, что провайдер связи справится с DDoS-атакой самостоятельно. Если нет, это может привести к недоступности защищенной услуги.

Поэтому я не рекомендую выбирать услугу «защиту от DDoS-атак», предоставляемую провайдером связи, как единственную меру защиты. Крайне желательно использовать ее совместно с On-Premise, облачным или гибридным решением (при условии, что провайдер, если не справится с DDoS-атакой, пропустит часть паразитического трафика дальше).

 

Гибридные решения: подход, позволяющий успешно противодействовать DDoS в крупных организациях

 

Гибридный подход к противодействию DDoS-атакам состоит в объединении On-Premise и облачного/провайдерского решения для компенсации отдельных недостатков каждого из решений.

В этом подходе два решения используются параллельно. В то же время, решение On-Premise используется для защиты от атак прикладного уровня постоянно, а облачное решение предназначено для фильтрации всех других атак и может работать как always-on, так и по запросу.

Основные преимущества:

Основные недостатки:

Следовательно, каждый из подходов имеет свои «за» и «против». Придерживаясь только одного из них, вы рискуете оставить слабые места в вашей защите. Поэтому я предлагаю сосредоточиться на сильных сторонах решений, объединив их в более мощную защиту. Представим, что перечисленные подходы к архитектуре anti-DDoS-решений похожи на Мстителей: в одиночку сильные, но вместе — почти непобедимы.

Что мы видим?

 

Комплексный подход к развертыванию средств противодействия атакам и вторжениям

 

Чтобы защититься от современных атак, независимо от типа выбранной архитектуры решения, следует придерживаться комплексного подхода к построению безопасности.

Решение для защиты от сетевых атак, направленное на исчерпание ресурсов серверов и сетевого оборудования, следует разместить перед border-маршрутизатором дата-центра компании, тем самым защитив всю инфраструктуру компании от атак такого класса.

Имейте в виду, что такой подход помогает оградить не только серверы центров обработки данных, но и border-брандмауэр. Если вы используете внешнее или облачное решение, это требование выполняется автоматически.

Решение защиты от атак приложений (WAF) должно быть установлено за модулем защиты от сетевых атак.

Такая архитектура позволит эффективно противодействовать почти всем известным атакам. Структурно система комплексного противодействия может выглядеть, например, как на рисунке ниже. Там также показаны компоненты решения, защищающие от типичных атак, а именно:

  1. DdoS Cloud protection – облачное решение для защиты от DDoS-атак;
  2. DdoS On-premise – решение в инфраструктуре клиента;
  3. WAF – решения, обеспечивающие DDoS-защиту на уровне приложений.

 

Схема построения архитектуры защиты от DDoS атак на базе комплексного подхода

 

Вместо вывода

 

DDoS остается актуальным и не собирается умирать – злоумышленники не прекращают осовременивать тактику и методы осуществления гибридных DDoS-атак, а их объемы продолжают расти. Поэтому компании должны рассматривать новые способы защиты от DDoS, чтобы эффективно противодействовать увеличению сложности этих атак.

Однако, справедливости ради, должен отметить, что я довольно часто сталкиваюсь с тем, что компании думают о защите от DDoS в последнюю очередь – «нет DDoS, нет проблем». Но когда хакеры начинают атаковать, становится уже слишком поздно. Это распространенная тенденция как в украинских компаниях, так и в зарубежных. И, к сожалению, пока не все организации сознательно подходят к риску DDoS-атак и возможным финансовым и репутационным потерям из-за них.