Статья опубликована в рамках: Научного журнала «Студенческий» № 39(83)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5, скачать журнал часть 6, скачать журнал часть 7
СОВРЕМЕННЫЕ СРЕДСТВА ПРОТИВОДЕЙСТВИЯ DDoS АТАКАМ
Kaspersky DDoS Protection – современное решение, выпущенное Лабораторией Касперского для выполнения задач по защите интернет сервисов клиентов от потери доступности. В основном, угрозу доступности несут DDoS атаки. На защите от них и следует остановиться[1].
Kaspersky DDoS Protection состоит из следующих основных компонентов:
- приложение-сенсор – в его задачи входят фиксация начала и окончания атак;
- центр очистки трафика выполняет операцию по очистке от нелегального трафика сети;
- специалисты компании осуществляют поддержку в случае возникновения угрозы атаки;
- специальная система создает отчеты, которые отправляются специалистам, анализирующим ситуацию в сетях клиентов.
Вся система защиты строится на технологии анализа трафика, примерная схема работы данного сервиса отображена на рисунке.
Рисунок 1. Схема работы комплекса Kaspersky DDoS Protection
Далее стоит подробнее рассмотреть принцип работы данного комплекса.
В обычных условиях входящий трафик идет от интернет-провайдера клиенту напрямую. В случае же использования указанного комплекса весь трафик зеркалируется на специальный установленный в сети организации сервер- сенсор, который проводит оценку поступающих данных. В случае обнаружения атаки, которая определяется по специальным сигнатурам, весть трафик перенаправляется через специализированные дата центры, где происходит его очищение от так называемого «мусора»[1].
Основные технические требования для системы :
- физическая или же виртуальная машина, работающая на ОС Linux;
- процессор на 4 и более ядра;
- минимум 8 ГБ оперативной памяти;
- хранилище объемом 200 ГБ;
- минимум 2 сетевых карты.
Особенностью для центров очистки является их расположение, они размещены в крупных городах, где происходит объединение больших потоков трафика. При этом трафик не покидает территорию того региона где находится клиент.
Очистка трафика осуществляется путем перенаправления трафика в центр очистки при помощи двух основных технологий[3].
Первая основана на протоколе динамической маршрутизации BGP.
Вторая – на изменениях DNS- записей.
Применяя любой из этих способов необходимо использовать специализированные GRE- туннели, они применяются сначала для передачи данных в центр очистки, а затем для возврата клиенту.
Использование GRE-туннелей, от англ. Generic Routing Encapsulation было предложено компанией Cisco. Его задача состоит в сглаживании без задержки доступа клиентов к запрашиваемым ресурсам[4].
Применение маршрутизации типа BGP, от англ. Border Gateway Protocol, или же протокол граничного шлюза, интересно тем, что это один из основных протоколов маршрутизации в интернете. В рамках рассматриваемой системы он используется для определения кратчайших маршрутов обмена трафика. Такой вариант возможен при нахождении защищаемых ресурсов в провайдеронезависимой сети. BGP перенаправление, в случае начала атаки, сработает гораздо быстрее. Сам процесс мониторинга более подробно изображен на рисунках 2 и 3.
Рисунок 2. BGP мониторинг
Мониторинг заключается в том, что трафик напрямую направляется через защищенную подсеть, до момента обнаружения подозрительного трафика KDP-сенсором. Схема перенаправления атаки отражена на рисунке 3[1].
Рисунок 3. Процесс перенаправления атаки
В случае обнаружения атаки весь трафик перенаправляется в инфраструктуру системы защиты, которая отсеивает «мусорный трафик и отражает, таким образом, атаку.
В качестве плюсов и системы можно выделить:
- уникальные технологии обнаружения бот- сетей по специфическим признакам;
- использование распределенных систем в процессе очистки;
- качественная система оповещения ответственных специалистов компании клиента;
- способность отражать атаки мощностью до 500 ГБ/с;
- специалисты компании помогут выявить злоумышленников.
Минусами являются:
- ручное переключение между режимами;
- высокая цена подписки на сервис;
- дополнительные требования к провайдерам клиента.
Аппаратно-программный комплекс «Периметр» 5.0 создан компанией «Гарда- Технологии» для обнаружения и отражения атак на сети организаций. Функционал, выполняемый комплексом в плане отражения DDoS атак, достаточно широк и разнообразен[2]. Главные из них отражены далее:
- обнаружение DDoS атак происходит на основе сигнатур;
- благодаря специальной оптимизации время обнаружения составляет примерно 20 секунд;
- подавление атак происходит сразу на многих уровнях;
- объединение всех векторов атаки в одну.
В качестве основных сигнатур предлагается порядка 10 различных типов, полностью покрывающих на данный момент все возможные угрозы данного направления[2].
Принцип объединения векторов атак отражен на рисунке
Рисунок 4. Объединение векторов атак
Данная технология позволяет объединить векторы атак, обнаруженных при мониторинге, если они направлены на один основной узел сети. Подобное объединение позволяет производить оптимальное подавление атак, чтобы минимизировать отрицательное влияние на трафик легитимных пользователей[4].
Автоматическое противодействие атакам основано на различных методах фильтрации зловредного трафика. Индивидуальный подбор методов, заключается в применении конкретного способа подавления для каждой атаки. Примером таких действий является использование в отношении атак типа TCP SYN flood оригинального метода syn – cookie. Если к атаке такого рода добавляется вектор NTP – amplification, то комплекс перестраивает схему отражения атаки путем добавления фильтрации по протоколу и источнику. Администратор безопасности благодаря гибкой системе оповещения может вмешиваться в процесс автоматической фильтрации и вносить необходимые коррективы[2].
Реализованная работа с трафиком типа HHTPS, позволяет расшифровывать трафик, применяя к этому трафику, анализ и фильтрацию. Данная технология позволяет путем аутентификации пользователей определять источники атак.
Схема операторского комплекса изображена на рисунке.
Рисунок 5. Операторский комплекс АПК Периметр 5.0
Данный комплекс позволяет защитить соответствующие ресурсы
В состав системы «Периметр» входят модули «Анализатор» и «Очиститель.
Первый выполняет функцию анализа состояния системы.
Второй выступает в роли фильтра, отсеивающего трафик.
Система « Периметр» очень успешно может быть масштабирована путем добавления нескольких анализаторов и очистителей.
Следует отметить, что трафик не оказывает влияния на сеть жертвы. Просмотр трафика можно провести программой снятия типа tcpdump.
Еще один из очень популярных методов атак – UDP Flood. Для защита от такого трафика комплекс включает контрмеру типа «Зомби», то есть он определяет источник трафика как зараженный ботнет[4].
Результатом применения такой схемы отражения атаки стала полная блокировка трафика от обнаруженных источников.
Самым сложным для любой методики, является отражение полноценной ботнет–атаки. Применение распределенных систем атаки для обрушения чужих информационных систем стало главной проблемой по безопасности.
Простейшим образом схему подобной атаки можно отразить на рисунке.
Данная модель очень хорошо иллюстрирует то, что происходит в системе. Тут ботнет сеть и некий абстрактный пользователь, который получить доступ к своей учетной записи. Без защиты система подвергнувшаяся вторжению, отключается очень быстро.
Трафик хакеров в ходе процесса защиты будет отброшен при помощи модуля HTTP- аутентификации.
Существуют иные инструменты для предотвращения атак, такие как ограничение TCP сессий, HTTP regexp, фильтрация сетевых пакетов по наличию, которые в совокупности с уже упомянутыми ранее, могут поспособствовать качественной защите.
Плюсами комплекса является:
- постоянный мониторинг сети и сетевого трафика;
- разнообразие различных отчетов для понимания ситуации, происходящей в системе;
- управление сетевым оборудованием организации путем использования технологий ACL, BGP Black–hole, BGP flowspec;
- дополнительные инструменты для работы с трафиком;
- сбор статистики подавления атаки;
- создание дампов трафика для последующего анализа пакетов.
Минусами:
- Использование комплекса лишь крупными организациями и провайдерами.
Список литературы:
- Аппаратно-программный комплекс «Периметр» 5.0 M.2019 [Эл. ресурс], режим доступа , URL : https://gardatech.ru/produkty/perimetr/ (дата обращения 2.12.2019)
- Kaspersky DDoS Protection M.2019 [Эл. ресурс], режим доступа , URL: https://www.kaspersky.ru/enterprise-security/ddos-protection (дата обращения 2.12.2019)
- Козлов В.А., Рындюк В.А., Воробьев Г.А., Чернышев А.Б. Модели и методы защиты от атак "MAN IN THE MIDDLE" (MITM) // Современные фундаментальные и прикладные исследования. 2017 – № 1 (24). – С. 27-35.
- Козлов В.А., Чернышев А.Б., Рындюк В.А., Бондаренко К.О.Вероятностная модель электронной цифровой подписи // Научное обозрение. 2015 – № 11 – С. 141-146.
Оставить комментарий