Публикации

DDoS изнутри: как устроены современные кибератаки и как им противостоять

Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention, «Лаборатория Касперского»

О киберпреступности сегодня слышали все. И рядовые пользователи, и специалисты по информационной безопасности хорошо осведомлены об угрозах в Интернете и предпринимают различные меры для защиты. Однако для противостояния некоторым киберугрозам сегодня недостаточно применять лишь стандартные подходы или использовать типовой набор программно-аппаратных средств: межсетевой экран, систему предотвращения вторжений (IPS/IDS), сетевой антивирус и т. п. Ярким примером этому служит такая печальная реальность сегодняшнего Интернета, как DDoS-атаки.

В своём основном проявлении DDoS-атака выводит из строя вычислительную систему путём «замусоривания» её большим количеством паразитных обращений. Для этих целей преступники, как правило, задействуют мощности тысяч компьютеров, объединенных в ботнет, и противостоять им может только равная по силе система обороны. Если же таковой у атакуемого ресурса нет, то последствия DDoS-атаки могут оказаться весьма серьёзными и привести к реальным финансовым и репутационным потерям.

Как свидетельствует статистика «Лаборатории Касперского», в бизнес-секторе от DDoS-атак чаще всего страдают площадки интернет-торговли: всевозможные интернет-магазины, онлайн-аукционы, сайты частных объявлений о продаже и т. д. Вывод из строя подобных сайтов в большинстве случаев является результатом незаконной конкурентной борьбой, которая, к сожалению, проходит довольно успешно для атакующих по той причине, что небольшие интернет-магазины не располагают нужными ресурсами для эффективного отпора DDoS-атакам.

Лакомым куском для киберпреступников является, разумеется, и финансовый сектор Интернета: различные бизнес-ресурсы, сайты банков, биржевые порталы. В рейтинге наиболее атакуемых ресурсов эти площадки следуют сразу за сегментом интернет-торговли. Одной из самых громких историй, свидетельствующих об активности киберпреступников в отношении финансового сектора, стала масштабная атака сразу на 6 американских банков во второй половине 2012 года, в ходе которой злоумышленники применили 8 разных техник проведения DDoS-атак. DDoS-атаки на сайты банков, как правило, совершаются киберпреступниками во время или сразу после кражи денег: делая сервис онлайн-банкинга недоступным в течение какого-то времени, злоумышленник получает возможность проведения незаконных операций по переводу денег, пока клиенты банка и сам банк не могут отслеживать состояние своих счетов.

Помимо конкретных корыстных целей киберпреступники всё чаще начинают использовать DDoS как оружие гражданского протеста, обрушивая мощь ботнет-сетей и других технологий кибератак на сайты правительств, государственных организаций, СМИ. Это явление, получившее название «социальный DDoS», эксперты по информационной безопасности советуют рассматривать не столько как хулиганство и выражение определённой политической и гражданской позиции, сколько как серьёзную угрозу, способную перерасти в настоящий кибертерроризм. Достаточно вспомнить, например, один из недавних случаев подобных «социальных» DDoS-атак, когда в феврале 2012 года преступники вывели из строя официальные сайты Президента Украины, Верховной Рады, Правительства и Партии регионов, а также блокировали доступ к базе всех законодательных документов Украины. Хакерские атаки на веб-сайты правительственных учреждений страны начались после того, как власти закрыли крупнейший украинский файлообменник EX.UA по статье о нарушении авторских прав. Ситуация усугубилась тем, что на следующий день после этих атак в Интернете начали появляться призывы «валить не сайты, а власть». В итоге действия преступников позволили сделать неутешительные выводы о возможных масштабах кибератак и реальном наличии сил, способных им противостоять.

Если вернуться в сегодняшний день и посмотреть на ситуацию в Украине, то можно убедиться, что в целом все мировые тренды находят здесь свое отражение. По данным «Лаборатории Касперского», в первой половине 2012 года больше всех от DDoS-атак пострадали украинские бизнес-сайты, атаки на которые совершались примерно в 30 % случаев. Следом за ними нападкам хакеров подверглись сайты СМИ, а третье место с очень небольшим отставанием заняли ресурсы интернет-торговли. Кроме того, злоумышленники не обошли своим внимание блоги и форумы, а также, как уже говорилось ранее, государственные ресурсы, которые тоже оказывались недоступными по причине DDoS-атак.

Ждать спада DDoS-активности сегодня, к сожалению, не приходится. Эта сфера виртуального преступного мира приносит неплохие доходы как заказчикам атак, которые монетизируют время простоя конкурентов, так и исполнителям, которые зарабатывают деньги не только на проведении самих DDoS-атак, но и на продаже ресурсов и технологий для их осуществления.

По данным специалистов «Лаборатории Касперского», существует несколько вариантов обогащения киберпреступников за счёт DDoS. Во-первых, владелец ботнет-сети, которая чаще всего и служит основой DDoS-атаки, может зарабатывать на рассылке спама, фишинге или похищении конфиденциальной информации – очень часто, организовав DDoS-атаку, злоумышленники требуют выкуп за её прекращение (т. н. кибершантаж). Очевидно, что для компании, сделавшей ставку на ведение и развитие бизнеса через Интернет, недоступность её сайтов и ресурсов потенциальным заказчикам означает практически полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть к жизни свои веб-сайты и бизнес-сервисы, такие компании скорее выполнят требования шантажистов, чем обратятся за помощью в правоохранительные органы или к специалистам в области информационной безопасности. Именно на это и рассчитывают киберпреступники, что и приводит, в частности, к увеличению количества DDoS-атак.

Другой вариант незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или его продаже. Специалисты даже выделяют это как отдельное направление киберпреступного бизнеса. Мощные средства атак становятся доступны широкому кругу лиц, которые за сравнительно небольшую плату могут получить инструменты для «самовыражения». Цены на боты сегодня варьируются от $5 до $1000 в зависимости от того, насколько распространён бот, детектируется ли он антивирусным решением, какие команды поддерживает и т. д. Устаревшие бот-конструкторы вообще раздаются бесплатно всем желающим – для того чтобы их получить, достаточно иметь регистрацию на хакерском форуме.

Понимая реальность угрозы DDoS-атак, компании начинают выстраивать определённую защиту от них, но опираются при этом всё больше на те ресурсы, которые привычны и уже развёрнуты в их информационных системах, в частности на межсетевые экраны, системы предотвращения вторжений (IDS\IPS) или специальную настройку системы, например, включение геофильтрации. Но все эти меры не спасают от хорошо спланированных «интеллектуальных» атак, которые в последнее время набирают обороты.

Интеллектуальные DDoS-атаки, как и следует из их названия, отличаются более умным подходом к выводу системы из строя, нежели их «соратники», примитивно забивающие канал большим количеством пакетов. Дело в том, что перегрузку канала связи «мусорным» трафиком сегодня достаточно легко вычислить и предотвратить на уровне сервис-провайдера, а вот распознать сотню ботов, имитирующих поведение реальных пользователей, способны далеко не все защитные средства.

Из чего же состоят такие «медленные» и незаметные провайдеру атаки? В половине случаев боты, стоящие за интеллектуальными DDoS-атаками, обращаются к какой-то одной «тяжёлой» странице сайта, чаще всего это главная страница. Ведь если она не открывается, большинство пользователей считает, что такого сайта вообще нет. Примерно в четверти случаев злоумышленники атакуют форму авторизации. Наконец, чуть более 10% приходится на атаки, в ходе которых «умные» боты пытаются скачивать мультимедийный контент или документы с сайта – в итоге, отдавая этот контент, веб-движок сам забивает себе канал. Разумеется, все эти запросы не имеют своей целью получить от системы какой-то полезный отклик, их главная задача – загрузить по максимуму рабочие механизмы операционной системы, веб-движка, межсетевого экрана или балансировщика нагрузки.

Сложные по своей конструкции DDoS-атаки сегодня поддерживают далеко не все боты, поэтому на их долю приходится пока всего 10 % от всех кибератак. Но специалисты уверены, что интеллектуальность атак неизбежно будет повышаться по мере совершенствования технологий защиты.

На сегодняшний день одним из самых эффективных решений для отражения DDoS-атак, в том числе и интеллектуальных, является сервис «Лаборатории Касперского» Kaspersky DDoS Prevention, который уже успел зарекомендовать себя среди российских компаний, а теперь стал доступен и на украинском рынке.

Принцип работы этого сервиса сводится к тому, что весь трафик в случае DDoS-атаки перенаправляется с серверов атакуемого веб-ресурса в центры фильтрации Kaspersky DDoS Prevention, которые расположены на магистральных каналах в разных географических локациях. Здесь весь входящий трафик анализируется на предмет выявления аномалии, и на основе этого анализа центр фильтрации отсекает паразитные запросы и отправляет на клиентский сервер только легитимные обращения. А поскольку центров фильтрации несколько и все они находятся в разных местах, шансы злоумышленников пробиться сквозь такую систему защиты сводятся к нулю.

Этапу фильтрации трафика и непосредственному отражению атаки предшествует серьёзная аналитическая работа, основанная на различных критериях. Сервис Kaspersky DDoS Prevention выгодно отличается от других представленных на рынке решений комплексной системой фильтрации, которая позволяет анализировать типичный для ресурса трафик в течение продолжительного времени, а также выявлять отклонения и паразитные запросы по статистическим и поведенческим признакам. Такая комплексная аналитика в сочетании с распределённой структурой Kaspersky DDoS Prevention и позволяет сервису успешно противостоять как мощным протокольным, так и сложным и комплексным атакам.

Ещё одним существенным преимуществом Kaspersky DDoS Prevention является его постоянная актуальность. Эксперты «Лаборатории Касперского» регулярно имеют дело с реальными вирусными кодами, которые используют злоумышленники для построения ботнета и организации DDoS-атак. Понимая функционал каждого конкретного вредоносного кода бота, специалисты могут построить эффективный фильтр и настроить систему защиты ещё до того, как злоумышленники применят свой «инструментарий». Именно поэтому Kaspersky DDoS Prevention всегда сможет эффективно противостоять новым и разнообразным тактикам киберпреступников.

Сервис Kaspersky DDoS Prevention без преувеличения подходит всем компаниям, работающим в сегменте среднего и крупного бизнеса, поскольку он предполагает индивидуальную настройку системы в соответствии с особенностями каждого конкретного веб-сайта заказчика или других бизнес-ресурсов компании. В качестве гаранта постоянной готовности системы защиты выступает команда профессионалов «Лаборатории Касперского», которая уже давно внимательно изучает вредоносный код, включая ботов, и разрабатывает новые механизмы защиты от DDoS-атак.

Хотелось бы также отдельно отметить, что в планах компании – расширение спектра использования системы Kaspersky DDoS Prevention, в частности, включение в наш продукт функциональных возможностей защиты от DDoS-атак, ориентированных на сервис-провайдеров и хостеров.

версия для печати