Защита от DDOS


Имеются две области в защите против DDoS-атак: предохранение систем от зомби и защита против наводнения. Разумеется, вы не хотите, чтобы ваши системы были для зомби гостеприимным домом!

Поскольку большинство зомби устанавливаются атакующими при помощи стандартных эксплойтов против плохо настроенных систем, следует своевременно исправлять и обновлять системы. Если атакующий не сможет получить доступ к вашим машинам, то на ваших системах не будет зомби.

Тем не менее, некоторые атакующие способны вломиться в систему и установить зомби, поэтому не пренебрегайте выходными «противообманными» фильтрами на внешнем маршрутизаторе или брандмауэре. Такие фильтры сбросят весь исходящий трафик, у которого не найдут исходного IP-адреса вашей сети. Такие пакеты показательны для неправильно сконфигурированного главного компьютера или атаки спуфингом. Поскольку DDoS-атаки почти всегда включают обманные пакеты, выходные «противообманные» фильтры имеют большое значение для защиты внешнего мира от зомби, работающего на одной из ваших машин.


Защита от DDOS атаки



Кроме того, если вы подозреваете, что одна из ваших систем была взломана и выполняет программу-зомби, воспользуйтесь бесплатным инструментальным средством Find DDoS, распространяемым Национальным центром защиты инфраструктуры (National Infrastructure Protection Center - NIPC) - организацией, принадлежащей правительству США. Программу Find DDoS можно найти по адресу Nipc.gov.

Если вы обнаружили, что одна из ваших систем - активный зомби, задействуйте инструмент Zombi Zappe, созданный Группой безопасности Bindview’s Razor, чтобы немедленно остановить. Этот инструмент связывается с разными типами зомби, включая TrinOO, TFN, Stacheldraht и Shaft, при помощи применяемых по умолчанию портов и паролей и погружает их в сон. Вы можете бесплатно загрузить Zombi Zappe с сайта Razor.bindview.com.

Вы работаете очень интенсивно, удерживая зомби подальше от своей системы, чтобы ваши машины нельзя было использовать для нападения на других, но все же несколько десятков человек где-то на земном шаре не установили исправления на свои системы. Атакующий проникает на их машины, устанавливая огромное количество зомби, чтобы начать атаку против вас. Как же вам защититься против назревающего DDoS-наводнения?

Как и в случае других методов наводнений, рассмотренных в данной главе, адекватная пропускная способность, избыточные линии связи через несколько Internet-провайдеров и инструментальные средства формирования трафика обязательны для критических Internet-коммуникаций.

Однако даже при всей той пропускной способности, которую ваша партнерская программа может себе позволить, достаточно большая группа зомби подавит любую сеть. Подумайте: в феврале 2000 года Amazon был ненадолго выведен из строя в результате "наступления". Вы можете позволить себе большую пропускную способность, чем Amazon? В

ряд ли. Нельзя выиграть в этой гонке вооружений лишь за счет приобретения все больших каналов. Нужно иметь адекватную пропускную способность для предотвращения простого наводнения от «сценариста», но попытка усовершенствовать линии связи, чтобы справиться с массивной DDoS-атакой, большинство организаций приведет к банкротству.


Как защититься от DDOS атаки



Лучшая защита против массированной DDoS-атаки включает быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования Internet-провайдера. Необходимо использовать инструментальные средства IDS, которые быстро поднимут тревогу, если начнется она.

Если у вас есть критические системы в Internet (например, серверы электронной торговли, от которых зависит благосостояние вашей организации, или другие ценные системы), то вы, получив такое предупреждение, должны позвонить в группу чрезвычайного реагирования Internet-провайдера. Тот обязан моментально развернуть входные фильтры, чтобы блокировать наводняющий мобильный трафик в тех точках, где он входит в сеть провайдера. Хотя такая стратегия защиты основана на очень быстрой реакции, это действительно лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить.

Мотивация атакующих при использовании этих инструментальных средств весьма различна: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин атакующие хотят поставить систему-мишень на колени, задействуя множество атак в диапазоне от локального прекращения сервиса до массивного наводнения. Учитывая ущерб, который может быть причинен решительным атакующим, вы должны защитить критически важную систему от таких нападений.

Итак, атакующий завершил 3-й этап, получив (или воспретив) доступ к системам-мишеням. Теперь он переходит к 4-му этапу - поддержанию доступа, - используя множество восхитительных инструментов и методов для сохранения контроля над взломанными системами.

DoS-атаки не дают атакующему доступ к системе, но позволяют лишить законных пользователей доступа к ней. Часто не изящные технически, вторжения способны серьезно воздействовать на партнерскую программу, что делает защиту весьма важной. Эти атаки делятся на две основные категории: прекращение сервиса и истощение ресурса, причем каждая из них может быть начата локально или через сеть.

Локальное прекращение сервисов лишает пользователей доступа к ним. Атакующий может уничтожить процесс, обеспечивающий данный сервис, реконфигурировать систему так, чтобы она не предлагала этот сервис, или даже обрушить его. Интеллектуальная бомба представляет собой особенно опасный метод запуска локальной атаки. Чтобы защититься от локальной DDoS-атаки, следует своевременно вносить исправления в системы и быть осторожными при распределении привилегий супервизора.

Другой прием состоит в локальном истощении ресурсов. Подобные атаки включают переполнение таблицы процессов, расходование всех ресурсов файловой системы или перегрузку исходящих линий связи. Для обеспечения безопасности нужно, чтобы у пользователей был минимально необходимый для их рабочих функций уровень привилегий. Кроме того, вы должны оснастить системы адекватными памятью, объемом дисков и пропускной способностью линий связи.

Атакующий может начать DDoS-атаку, дистанционно прекращая сервисы. Обычный прием здесь состоит в отправке «битого» пакета, который использует дефект операционной системы или приложения-мишени, вызывая в них аварийный сбой. Имеется большое количество инструментальных средств для атак «битыми» пакетами. Для защиты против таких атак своевременно вносите исправления в систему и применяйте «противообманные» фильтры.

Последняя категория наиболее популярна - это дистанционное истощение ресурсов. В пределах данной области доминируют инструментальные средства, затопляющие жертву пакетами. Чтобы защититься против подобных приемов, обеспечьте адекватную пропускную способность системы и избыточные линии связи.

SYN-наводнение включает инициализацию большого количества соединений с мишенью без завершения трехэтапного квитирования TCP. Увеличенные очереди соединений и SYN-cookie помогут защититься против таких атак.

Smurf-атаки основаны на отправке пакетов на трансляционный адрес сети. Если сеть адресата поддерживает направленную трансляцию, то все машины в данной сети пошлют ответ. Подменив адрес первоначального пакета, атакующий может затопить жертву, используя сеть, поддерживающую направленную трансляцию, как усилитель.
Распределенные атаки особенно разрушительны. Атакующий захватывает большое количество систем и устанавливает программы-зомби на каждой из них и использует их в скоординированной атаке для затопления жертвы. Они позволяют ему израсходовать огромную пропускную способность.

Чем большее количество зомби имеет атакующий, тем больше ресурсов он может потребить. Для защиты следует применять системы обнаружения вторжения, обеспечивающие раннее предупреждение, и быть готовыми задействовать группу чрезвычайного реагирования своего провайдера.

Еще советуем:
  • Как работает DDos атака и защита от нее
  • Smurf-атаки и защита от них
  • Защита против дистанционного прекращения сервисов
  • Защита против локального истощения ресурсов
  • Спуфинг