Transcript здесь
DDoS:
типы, характеристики, тенденции
Шевцов А.А.
Что такое DDoS атака?
Во время DDoS (Distributed Denial of Service) атаки
зараженные хосты (боты) из разных сетей перегружают
ресурсы цели нелегитимным трафиком, вызывая отказ в
2
обслуживании
легитимных клиентов.
Сложность современных DDoS атак
ОТКАЗ
СЕРВИСА
ПЕРЕПОЛНЕНИЕ
СЕССИЙ
ПЕРЕГРУЗКА
IPS
Load Balancer
ЦОД
Сервера и приложения
Трафик атаки
Легитимный трафик
Сегодня DDoS вызывает (1) перегрузку канала, (2)
переполнений таблиц сессий на stateful устройствах, (3)
отказ сервиса – часто все вместе происходит при одной
атаке 3и влечет недоступность сервиса.
Угрозы для ЦОД
Как объемные атаки, так и атаки уровня
приложения могут привести к отказу в
обслуживании сервисов в ЦОД
DDoS атаки уровня
приложения
Провайдер 1
Неазконный траффик
Хороший траффик
Интернет
Сервис
Провайдер
ЦОД
НЕДОСТУПНОСТЬ
СЕРВИСОВ
Провайдер 2
ОБЪЕДИНЕНИЕ
IPS
Балансировщик
нагрузки
Провайдер n
Объемные
DDoS атаки
Цель: сервисы и
приложения
Почему обычные средства защиты
не справляются с DDoS?
Существующие системы защиты периметра не нацелены на
обеспечение доступности данных
Межсетевые экраны (МСЭ/FW), включая WAF, обеспечивают
конфиденциальность данных или процедур, которое могут быть
доступны только авторизованным сторонам
IPS
Intrusion Prevention Systems (IPS) обеспечивают целостность
данных, обеспечивая возможность изменять информацию
авторизованными методами
Все МСЭ и IPS
являются
устройствами с
контролем сессий
(stateful), поэтому
сами по себе могут
быть целью DDoS.
ПЕРЕПОЛНЕНИЕ
СЕССИЙ
IPS
Load
Balancer
Трафик атаки
Легитимный трафик
ЦОД
Сервера и приложения
Жертвы атак
•
•
•
•
•
•
•
•
•
•
CloudFlare
LiveJournal
WikiLeaks
Visa/MasterCard
MegaUpload
Twitter
eBay
Wordpress
Укртелеком
и другие!
Россия (публичные)
• Сбербанк
• Альфа-банк
• Газпромбанк
• ВТБ
• Центробанк
• и другие
Украина
• ???
Недоступность сервисов влечет
не только финансовые последствия:
IT отдел
Help Desk
Потеря
данных
Напрасная
работа
Штрафы
Потеря
бизнеса
Ущерб
репутации
Сколько
людей
требуется
для
отражения
атаки?
Сколько
звонков
будет во
время
атаки?
Сколько
ручной
работы
нужно
сделать
если сервис
прерван?
Каков объем
работы,
проделанно
й зря, если
сервис
недоступен?
Сколько
необходимо
выплатить
при
нарушении
SLA?
Сколько
стоит потеря
новых
клиентов?
Сколько
стоит ущерб
имиджу
компании?
Основные угрозы атак типа DDoS
в банковской сфере
• Недоступность системы клиент-банк
• Недоступность интернет-банкинга
• Недоступность процессинга
пластиковых карт
• Недоступность межбанковских
платежей
Планирование рисков доступности
DDoS – угроза доступности №1 – должна быть частью
анализа рисков
Оценка доступности
Выбор площадки
Физическая безопасность
Пожарная безопасность
Электричество
Окружающая среда
DDoS
9
Измеряя риски
доступности и
надежности сервиса,
необходимо понять, где
риск угрозы DDoS в
Вашем случае?
Доходы украинских банков за 6 месяцев 2013 г.
№
Банк
Прибыль / убыток, тыс. грн.
1
2
3
4
5
6
7
8
ПРИВАТБАНК
УКРГАЗБАНК
РАЙФФАЙЗЕН БАНК АВАЛЬ
ОЩАДБАНК
СБЕРБАНК РОСІЇ
СІТІБАНК
ВТБ БАНК
КРЕДІ АГРІКОЛЬ БАНК
1 382 571
528 167
521 863
294 026
265 827
251 036
239 184
176 697
9
ПУМБ
159 164
10
11
12
13
14
15
16
17
18
19
ДЕЛЬТА БАНК
КРЕДИТ ЄВРОПА БАНК
БАНК 3/4
IHГ БАНК УКРАЇНА
УКРЕКСІМБАНК
УНIКРЕДИТ БАНК
БАНК РЕНЕСАНС КАПІТАЛ
МІСТО БАНК
ТАСКОМБАНК
"КЛІРИНГОВИЙ ДІМ"
136 462
114 204
109 848
103 568
87 240
79 828
55 225
46 191
37 530
35 881
20
ФОЛЬКСБАНК
28 706
Источник: НБУ, 01.07.2013
Выбор правильного инструмента
Современные атаки сложны, и только законченное решение
защищает все сервисы:
Услуги: HTTP, SSL, DNS, Mail, VoIP
Протоколы: TCP/IP, UDP, ICMP
Полоса: канал от вышестоящих операторов
Решение, не принимающее во внимание все аспекты DDoS и
защищающее только HTTP/S, не сработает.
Выбор правильных инструментов в зависимости от угроз:
1. Объемные атаки
(Flood DDoS)
• Услуги по защите от
оператора
• Возможность
управления услугой
2. Атаки на
переполнение сессий
• Защита от DDoS по
периметру
• Полный контроль
средств защиты
3. Атака на
приложение
• DDoS защита в сети
• Быстрая остановка
атак, ухудшающих
сервис
Современные тенденции в области DDOS атак
• количество DDoS-атак на полосу постоянно снижается
• мощные атаки не могут продолжаться долго, так как
магистральные провайдеры начинают испытывать связанные с
ними проблемы
• преступники отдают предпочтение высокоуровневым
атакам транспортного и прикладного уровня (82%)
• интеллектуальные атаки на приложение коварны тем, что даже
при наличии стратегии защиты вы скорее всего потеряете
некую, пусть мизерную, часть легитимных пользователей.
• не менее 50% атак Layer 7 – это «долбежка» в один
URI, интеллектуальных атак всего около 10%
• количество ботов с полноценными Web browser capabilities (TCP,
HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных
атаках. Индустрия движется в сторону использования
полноценных браузеров для выполнения DDoS-атак
Виды (протоколы)
Информация: qrator.net
География заражения компьютеров
Информация: qrator.net
О защите от DDoS
• От любой атаки можно защититься
• Поведенческий анализ — один из
наиболее эффективных методов
фильтрации трафика
• «Серебряной пули нет»
Варианты решения
Собственное оборудование и
решения:
Специализированные
сети очистки трафика
• ARBOR Networks
• RADWARE
•В РФ: Qrator, Kaspersky
Lab,отдельные сервисы
•В Украине ???
Что делать? Решение принимать
ВАМ!!!
Благодарю за внимание!