ЗАЩИТА ОТ ПРОДВИНУТЫХ DDOS-АТАК И БОТОВ

PROTECTION AGAINST ADVANCED DDOS ATTACKS AND BOTS

Olesya Mikhailova

student, Department of Information Security, Southwestern State University,

Russia, Kursk

Andrey Mikhailov

student, Department of Information Security, Southwestern State University,

Russia, Kursk

АННОТАЦИЯ

В данной статье описываются методы защиты пользователей от DDOS -атак и ботов.

ABSTRACT

This article describes how to protect users from DDOS attacks and bots.

Ключевые слова: DDOS –атаки, боты, IP-адреса, меры, угроза, защита.

Keywords: DDOS attacks, bots, IP addresses, measures, threat, protection.

Автоматические сканеры и боты широко используются в Интернете для выполнения различных задач. Например, они не в состоянии поддерживать важные онлайн-ресурсы, такие как поисковые системы. Но автоматизация также используется киберпреступниками, которые объединяют ботов для создания контролируемых сетей, или ботнетов. Ботнет состоит из вредоносных ботов, работающих на взломанных устройствах, имеющих доступ в Интернет. Проблема ботнетов неуклонно усугубляется ростом числа недорогих устройств Интернета вещей (IoT), многие из которых имеют слабую защиту и уязвимы для несанкционированного доступа, взлома и подбора паролей. В результате очень легко создать крупные ботнеты, состоящие из сотен тысяч элементов. Атаки ботнетов могут быть направлены не только на отдельные веб-сайты приложений и API, но и на целые ИТ-инфраструктуры крупных операторов связи и центров обработки данных. Существует несколько распространенных вредоносных действий: DoS-атаки и DDoS-атаки (отказ в обслуживании). Данные Imperva за 2021 год показывают, что почти треть интернет-трафика является результатом деятельности вредоносных ботов, и этот процент растет с каждым годом. До одной трети пропускной способности оборудования и полосы пропускания посвящено обработке вредоносных запросов, а данные о мощности и продолжительности DDoS-атак регулярно обновляются. Например, компания Akamai недавно сообщила о самой крупной DDoS-атаке в Европе - 853,7 Гбит/с.

Вредоносные боты можно разделить на четыре основных типа: простые - автоматические подключения с ограниченного числа IP-адресов для сбора информации в явном виде без попыток маскировки. Промежуточные - боты выполняют скрипты, замаскированные под запросы браузера, и изменяют значения User-Agent, чтобы выдать себя за пользователя. Если атака не удается, они не наращивают и не корректируют свою защиту. Продвинутые сценарии выдают себя за реальных пользователей, когда это возможно, включая эмуляцию и использование подлинных браузеров. Использование низкой частоты запросов и большого количества IP-адресов снижает вероятность смешения с легитимными пользователями и обнаружения механизмами безопасности, предотвращая всплеск вредоносной активности в общем трафике. Они активны в течение длительных периодов времени, и их крайне сложно обнаружить.

Одной из технических мер или контрмер, обеспечивающих комплексную или индивидуальную защиту от вредоносных запросов, является CAPTCHA, наиболее распространенная мера защиты от ботов в веб-приложениях, которая использует набор символов или изображений, сформированных особым образом, чтобы CAPTCHA - это тип теста Тьюринга, используемый для различения машин и людей. К сожалению, он эффективен только против простых ботов и имеет ряд серьезных недостатков. Пользователи часто отказываются проходить тест CAPTCHA, если они не могут легко распознать набор символов или найти объект на изображении. Это одна из причин, по которой пользователи переходят к конкурентам. Кроме того, аутентификация CAPTCHA не может быть использована для защиты API в мобильных приложениях, только в браузерах. Методы включают в себя установку ограничений на частоту действий, составление черных списков и база данных репутации, использующая сопоставление источников трафика с IP-адресами. Сегодня доступ к веб-сайтам осуществляется преимущественно с подключенных к Интернету мобильных устройств, обслуживаемых операторами сотовой связи и сетями Wi-Fi; за одним IP-адресом могут скрываться десятки пассажиров метро, сотни пользователей Wi-Fi в аэропортах и тысячи абонентов сотовых телефонов. Ограничения на основе IP-адресов неизбежно блокируют реальных пользователей и теряют зрителей, что приводит к прямым убыткам. Ошибочная блокировка ухудшает пользовательский опыт и снижает лояльность клиентов.

Средства защиты от современных угроз все чаще изучают последовательность действий пользователя и сравнивают их с предписанными, законными моделями поведения. Такие средства защиты намеренно пропускают некоторые запросы, необходимые для анализа и сравнения. Продвинутые запросы ботов, которые мало похожи на реальное поведение пользователя, обнаруживаются не сразу. Даже если бот успешно заблокирован, у него все еще есть возможность выполнить ряд целенаправленных действий, необходимых для атаки. В таких случаях поведенческий анализ неэффективен, и злоумышленник все равно может достичь своей цели: WAF - решение класса Web Application Firewall, специально разработанное для борьбы с внешними угрозами для веб-приложений. Они предназначены для предотвращения попыток использования уязвимостей кода или бизнес-логики для получения несанкционированного доступа к конфиденциальным данным. WAF опирается на статически определенные шаблоны (сигнатуры) вредоносных запросов и может дополнительно использовать перечисленные выше методы, от CAPTCHA до поведенческого анализа. Чтобы исключить потенциально опасные запросы, их содержимое анализируется в режиме реального времени по базе данных известных сигнатур вредоносных программ. Этот анализ также позволяет выявлять одиночные запросы злоумышленников, но требует значительных вычислительных ресурсов.

Технология Servicepipe способна выявлять и блокировать даже одиночные запросы от продвинутых ботов. Точность достигается за счет комбинированного анализа различных факторов, таких как: технические факторы, статистические факторы, машинное обучение, пост-акционный анализ. Сочетание полностью автоматизированных алгоритмов обнаружения, высокой производительности при высокой нагрузке, многолетнего опыта и применения машинного обучения позволяет Cybert отличать (и блокировать) запросы ботов от критически важного для бизнеса пользовательского трафика. Cybert способен обнаруживать DDoS-атаки, анализ, кражу аккаунтов и сбор данных конкурентами, сканирование и эксплуатацию уязвимостей, спам, атаки на бизнес-логику, эксплуатацию веб-сайтов и мобильных API. Российский рынок услуг по предотвращению внешних угроз предлагает эффективные решения и может покрыть ваши потребности в борьбе с такими угрозами. Одним из таких поставщиков решений является компания Servicepipe, разрабатывающая уникальные технологии защиты от действий вредоносных ботов и автоматизированных попыток злоумышленников.

Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния.

Список литературы:

1. [Электронный ресурс] – Режим доступа: https://www.anti-malware.ru/practice/methods/DDoS-protection-with-Servicepipe-Cybert-technology (дата обращения 11.01.2023).
2. [Электронный ресурс] – Режим доступа: https://www.cdnvideo.ru/solutions/ddos/ (дата обращения 11.01.2023).
3. [Электронный ресурс] – Режим доступа: https://habr.com/ru/company/southbridge/blog/ (дата обращения 11.01.2023).
4. [Электронный ресурс] – Режим доступа: https://www.cloudav.ru/mediacenter/tips/fake-apps (дата обращения 04.01.2023).
5. [Электронный ресурс] – Режим доступа: https://ddos-guard.net/ru/blog/sposoby-zashity-ot-ddos-atak (дата обращения 12.01.2023).
6. [Электронный ресурс] – Режим доступа: https://eternalhost.net/blog/bezopasnost-v-internete/zashhita-ot-ddos-atak (дата обращения 12.01.2023).