Решения по защите от DDoS атак для бизнеса
Эффективная обработка и доставка трафика
Защита от DDoS-атак состоит из получения, фильтрации и доставки очищенного трафика клиенту. Для того, чтобы каждый из этих этапов проходил без влияния на легитимный трафик, необходимо обеспечить топологическую избыточность и отказоустойчивость сети передачи данных, а также обладать достаточным резервом по канальной полосе, запасом коммутационной и фильтрующей мощностей. Всем перечисленным требованиям наша сеть фильтрации соответствует.
Основная задача оператора связи заключается в транспортировке информации между двумя точками в своей сети. Для ее решения операторы создают опорную сеть (core backbone network) с использованием высокопроизводительного сетевого оборудования, которое связывают «широкими» резервированными каналами. В то же время внешние каналы с другими операторами организуются и расширяются, исходя из текущих потребностей клиентов, что приводит к их средней утилизации на 50-80%. В результате всплеск трафика из внешней сети (не обязательно атака) приводит к переполнению каналов, потерям трафика и деградации сервисов.
Основная задача нашей сети состоит в приеме и фильтрации огромного количества мусорного трафика. Для ее решения мы спроектировали сеть таким образом, чтобы всегда иметь в резерве свободную полосу, сохраняя среднюю загрузку внешних каналов на уровне 10-15%. Т.е. в оставшиеся 90-85% полосы мы в любой момент готовы принять DDoS-атаку, и она не приведет к переполнению канала и потерям легитимного трафика. Используя лучший опыт построения операторских сетей, мы строим сеть на проверенном временем, но актуальном сетевом оборудовании фирмы Juniper. Каждый центр фильтрации трафика обязательно комплектуется маршрутизатором (MX240, MX480, MX960) и фильтрующим оборудованием с достаточной для обработки всей полосы получаемого трафика канальной и вычислительной мощностью.
Еще одним немаловажным критерием качества работы любой сети передачи данных являются задержки. Очевидно, что при передаче информации законы физики нарушить не получится, но оптимизировать пути прохождения трафика – возможно. Помня об этом, мы развиваем сеть фильтрации с учетом пожеланий клиентов и наиболее популярных направлений передачи трафика. Мы создаем точки присутствия в региональных телекоммуникационных центрах по всему миру, подключаясь к сетям крупнейших операторов связи и сетям обмена трафиком (IX). Во-первых, это позволяет нам быть уверенными в том, что сеть вышестоящего оператора выдержит возможную атаку на наших клиентов и сможет доставить нам в полном объеме мусорный и легитимный трафик. Во-вторых, посетители сайтов наших клиентов получают возможность использовать самые короткие маршруты с минимальными задержками. Выполнение всех вышеперечисленных условий позволило реализовать на практике фильтрацию DDoSатак максимально близко к их источникам с минимальным влиянием на клиентский трафик.
Результатом эволюции инструментов защиты от DDoS-атак, разрабатываемых нами, стало создание геораспределенной сети фильтрации трафика. В таблице 1 приведены ее общие характеристики, а на рисунке 1 схематично изображены пути трафика во время атаки на инфраструктуру клиента. Использование Anycast маршрутизации позволяет принимать пакет/запрос потенциального посетителя на «ближайшем» (с точки зрения метрик BGP) центре фильтрации трафика, там же проверять его, и доставлять адресату оптимальным маршрутом внутри защищенного периметра. Более того, узлы фильтрации постоянно синхронизируются между собой, передавая информацию об аномальной активности и позволяя точнее идентифицировать распределенные атаки.
[1] Лимит обработки IP-пакетов без установления соединения
[2] Лимит обработки IP-пакетов, требующих установки соединения
[3] Гарантированный уровень доступности, зафиксированный в SLA, может быть увеличен за дополнительную плату
[4] Для запросов к сайту, кроме API, через 15 минут после начала пропуска трафика через сеть фильтрации
[5] Для всех услуг, если в тарифе не указано иное значение
Так что же происходит с трафиком, попадающим в нашу сеть фильтрации? Для ответа на этот вопрос нужно вспомнить уровни эталонной модели OSI, поскольку она используется для классификации DDoS-атак и методов противодействия им. На рисунке 2 схематически показано, как компоненты систем фильтрации противодействуют атакам, пропускают легитимный трафик и оптимизируют отдаваемый посетителю контент. Понимая различия в принципах действия DDoS-атак на разных уровнях, мы применяем соответствующие контрмеры для их подавления. Кроме того, мы обязательно резервируем каждый слой системы фильтрации с учетом требуемых вычислительных ресурсов для анализа и фильтрации трафика на каждом из уровней модели OSI (чем «глубже» анализ, тем больше вычислительных ресурсов требуется). Соблюдение этих правил позволяет обеспечить надежность, гибкость и масштабируемость системы фильтрации.
Все перечисленные выше принципы построения сети фильтрации трафика и его многоуровневая обработка позволяют добиться беспрецедентных результатов в процессе защиты от DDoS-атак, но ключевую роль в нем играют компоненты фильтрации трафика собственной разработки. Мы не используем вендорские решения для фильтрации трафика, а разрабатываем и эксплуатируем свои собственные. Это позволяет не только быстро масштабировать сеть, но и оперативно реагировать на новые угрозы в сети Интернет. Кроме того, обратная связь, получаемая от клиентов, позволяет нам делать наш продукт удобнее и эффективнее. Таким образом, выстраивая и контролируя весь процесс предоставления услуг по защите от DDoS-атак (получение, фильтрацию и доставку очищенного трафика клиенту) мы можем гарантировать уровень доступности сервиса от 99,95% и выше.
Защита от угроз на сетевом и транспортном уровнях OSI
В числе основных задач обеспечения функционирования любой сети передачи данных находится базовая защита от DDoS атак. Это задача является первостепенной поскольку любая защита прикладных компонентов будет бесполезна без базовой защиты на сетевом и транспортном уровнях OSI: во время первой же объемной DDoS атаки будут переполнены каналы и недоступна сеть со всеми сервисами. Специфика современных DDoS атак такова, что базовая защита больше не может быть обеспечена с помощью таких полумер как BlackHole community и FlowSpec. Во-первых, это связано с возросшей сложностью атак (рост ботнетов, и, как следствие, возможность проведения атак с использованием тех же транспортных протоколов, что и у атакуемого ресурса). Во-вторых, появляются новые сценарии атак, за счет применения которых достигается больший ущерб (например, Pulse Wave), и которые делают BlackHole community и FlowSpec неэффективными. Но несмотря на сложность задачи, у нашей компании есть решение. Подробную информация о том, что мы предлагаем для защиты сети на сетевом и транспортном уровнях OSI, как это работает и почему это предложение уникальное, вы найдете в этом разделе.
По принципу действия DDoS атаки на сетевом и транспортном уровне можно разделить на:
Объемные атаки (направленные на переполнение канала связи к атакуемому ресурсу)
Атаки, направленные на исчерпание вычислительных ресурсов (использующие уязвимости сетевых и транспортных протоколов)
Объемные DDoS атаки
Принцип действия объемной (волюметрической) DDoS атаки состоит в переполнении канала доступа в сети Интернет атакуемого ресурса, вызвав потери легитимного трафика на сетевом оборудовании и деградацию атакуемого сервиса (рисунок 3). Для генерации атакующего трафика зачастую используются техники амплификаций, но в некоторых случаях объемную атаку организуют с помощью зараженных устройств IoT, собранных в сеть с единым управлением – ботнет. Во время таких атак происходит переполнение каналов всего дата-центра (оператора), что приводит к влиянию на сервисы всех клиентов, использующих его канал доступа в сеть Интернет. Таким образом, от объемных DDoS атак могут пострадать клиенты, кому «повезло» разместиться в одном дата-центе (сети) с атакуемым ресурсом. Если вы не привыкли доверять случаю, а предпочитаете управлять рисками, рекомендуем озаботиться вопросом защиты от объемных атак заранее
Гарантированную защиту от объемных атак очень сложно, а главное неэффективно организовывать своими силами или силами дата-центра. Для того, чтобы противостоять современным объемным DDoS атакам требуются внешние каналы со свободной (незанятой) полосой в несколько сотен гигабит в секунду. Кроме того, для успешного подавления объемной атаки нужно обладать фильтрующим оборудованием с мощностью, достаточной для обработки таких объемов трафика. Будем честны и признаем, что 95% дата-центров и операторов связи не обладают такими ресурсами. И самым простым и эффективным решением этой проблемы является привлечение специализированной компании, обладающей всеми необходимыми ресурсами и предоставляющей их «в аренду» для подавления объемных атак.
В таблице 2 приведен список наиболее известных типов объемных атак и контрмеры, которые мы применяем для их подавления. Данный список не является исчерпывающим, так как новые типы атак появляются почти каждый месяц. Однако, с его помощью можно оценить общую методологию применяемых алгоритмов фильтрации.
Интеллектуальным Rate Limit мы называем набор ограничительных мер для пакетов (фрагментов) отдельных протоколов. Пороги пропуска трафика (в битах в секунду и пакетах в секунду) устанавливаются в соответствии со стандартными значениями для данного типа сервиса и в последствии могут быть изменены на основе наблюдаемой повседневной активности. Кроме того, пороги зависят от схемы пропуска трафика (симметричная или асимметричная), т.е. от наличия информации об исходящем трафике. Подробнее об отличиях схем пропуска трафика читайте далее в этом разделе.
Атаки, направленные на исчерпание вычислительных ресурсов
Методы проведения DDoS атак, направленных на исчерпание вычислительных ресурсов, так или иначе, используют уязвимости протоколов сетевого и транспортного уровней OSI. Идея таких атак состоит в том, чтобы заставить атакуемый ресурс задействовать все имеющие ресурсы для выполнения сторонних операций или вызвать критическую ошибку. Средствами могут быть поток некорректных или фрагментированных пакетов (нарушающие нормы RFC), а также явные попытки вмешательства в процесс установления TCP сессий. Без специальной проверки и фильтрации, каждая из таких атак будет доставлена к атакуемому ресурсу и с большой вероятностью вызовет отказ в обслуживании (рисунок 4). Усложняет процесс обнаружения таких атак тот факт, что некоторые из них могут проходить и без значительного увеличения bps или pps. Такие атаки могут быть обнаружены только путем тщательного анализа входящего трафика.
Для защиты от таких атак нужны анализаторы трафика и готовый к использованию комплекс контрмер. Иными словами, нужно понимать, что искать и что делать (как фильтровать), когда найдешь. А также нужно иметь резервный сценарий на случай, когда обнаружится ранее не описанная вредоносная активность. Если в вашей компании есть компетентные специалисты, в задачу которых входит постоянный анализ трафика и готовность оперативного принятия мер, если вы обладаете достаточными вычислительными ресурсами для выполнения процедур фильтрации, то вы можете сказать, что в определенной мере обеспечили защиту вашей инфраструктуры от DDoS атак, направленных на исчерпание вычислительных ресурсов. Если вы понимаете объем расходов на выполнение указанных требований и пока не готовы к ним, рекомендуем вам заказать DDoS защиту как сервис для ваших проектов.
В чем же особенность наших услуг по фильтрации трафика в сравнении с другими компаниями? Для того, чтобы ответить на этот вопрос, обратимся к таблице 3, в которой перечислены основные типы DDoS атак, направленных на исчерпание вычислительных ресурсов, а также контрмеры, применяемые системой фильтрации. Список не является исчерпывающим, однако позволяет получить представление о том, что для эффективной защиты от каждого вида атак необходимо сочетание нескольких методов анализа и фильтрации трафика. За короткими названиями контрмер скрываются совокупности алгоритмов, реализованных в виде ПО на устройствах, функционирующих в виде единой геораспределенной системы фильтрации. Нашим клиентам больше не нужно решать вопросы оптимального размещения фильтрующего оборудования, агрегации его в единую систему, согласования нагрузки с фильтрующей мощностью – мы уже сделали это и готовы предоставить свою систему фильтрации всем желающим.
Предоставляя сервис защиты, мы берем на себя не только расходы, связанные с предоставлением необходимого объема канальных и вычислительных ресурсов, но и выполняем круглосуточный мониторинг клиентского трафика, а также специализированную поддержку в дополнение к самой услуге пропуска и фильтрации трафика. Самостоятельно разрабатывая и постоянно совершенствуя алгоритмы фильтрации, мы можем гарантировать клиенту необходимый уровень сервиса, без условий и ссылок на ограничения производителей оборудования. Мы сами создаем свою систему фильтрации, создаем для клиентов, создаем такой, какой они хотят ее видеть, решаем их проблемы.
Симметричная и асимметричная схемы пропуска трафика
Важнейшее влияние на эффективность процесса фильтрации и доставки трафика оказывает схема подключения и пропуска трафика через нашу сеть фильтрации. В отличии от массовых сервисов (защита и ускорение сайтов, хостинг, VDS и серверы), для услуги «Защита сети» с подключением по BGP возможны несколько вариантов пропуска трафика и, соответственно, схем фильтрации: асимметричная и симметричная. Входящий трафик для всех остальных услуг, а также клиентов, использующих IP адреса, фильтруется с использованием симметричной схемы.
При асимметричной схеме фильтрации предусматривается обязательное прохождение входящего трафика через сеть фильтрации, а исходящий трафик защищаемой сети может доставляться к получателю любым маршрутом (рисунок 5). При такой схеме обработка (анализ и фильтрация) входящего трафика производится как с использованием общих контрмер (например, «Проверка на соответствие RFC»), так и специализированных методов (например, «Интеллектуальный Session Rate Limit»). Наличие исходящего трафика (или информации о нем) в нашей сети никак не влияет на настройки порогов и точность фильтрации
Преимуществами данной схемы является возможность пропуска (т.е. изменение маршрута) только входящего трафика защищаемой сети через сеть фильтрации. Это может быть полезно для случаев, когда защищаемая инфраструктура находится на значительном удалении от центров обработки трафика сети, а задержки в работе защищаемого сервиса критичны. Но нужно понимать, что при некоторых типах атак при асимметричной схеме фильтрации в сторону клиента будет пропускаться больше мусорного трафика, чем в случае использования симметричной схемы. По этой причине всем клиентам, которым важен максимальный уровень фильтрации, мы рекомендуем использовать симметричную схему фильтрации.
Симметричная схема фильтрации предусматривает использование информации об исходящем трафики защищаемых сетей для фильтрации DDoS-атак. Для этого исходящий трафик защищаемой сети должен проходить через нашу сеть фильтрации (рисунок 6). Т.е. мы по сути становится единственным аплинком (вышестоящим оператором), обеспечивающим доставку трафика защищаемой сети клиенту. Взамен накладываемых ограничений клиент получает набор дополнительных контрмер, используемых системой фильтрации для проверки входящего трафика в дополнение к тем, что используются на асимметричной схеме. Например, такими алгоритмами являются «Учет установленных и контроль новых TCP сессий» и «Контроль последовательностей». Кроме того, при использовании симметричной схемы фильтрации, контрмера «Интеллектуальный Session Rate Limit» будет точнее подстраивать пороги фильтрации, в соответствии с количеством подтвержденных потоков (flows), по которым происходит двухсторонний обмен данными между парой IP адресов
Перечисленные выше особенности работы симметричной схемы позволяют считать ее наиболее эффективным средством защиты от DDoS-атак среди аналогов, представленных на рынке. Мы понимаем опасения клиентов и помним, что предлагаем сервис, который должен увеличить доступность сервиса клиента. Для выполнения этой задачи при согласовании деталей включения услуги мы предлагаем организовать резервирование, подключившись сразу к нескольким центрам обработки трафика сети через физические, логические или виртуальные каналы. Кроме того, мы уделаем большое внимание связности нашей сети в регионах присутствия, предпринимая все возможные меры для снижения задержек при транзите трафика в виде покупки трафика у ведущих региональных операторов, присутствия на IX и организации приватных пирингов. Для клиента это означает, что сервис под защитой будет работать не хуже, а скорее всего даже лучше (быстрее и стабильнее), чем раньше.
Описав и перечислив особенности схем фильтрации, мы оставляем клиентам возможность выбора. Для того, чтобы выбрать наиболее подходящую схему фильтрации трафика, рекомендуем воспользоваться сравнительной таблицей, в которой приведены критерии оценки схем фильтрации с позиции влияния на сеть клиента (таблица 4).
Вне зависимости от выбранной схемы фильтрации все наши клиенты получают качественную защиту от DDoS атак на сетевом и транспортном уровнях OSI, а также круглосуточную специализированную поддержку. Помните, что DDoS атаку дешевле предотвратить, чем ликвидировать ее последствия
Солдатов Константин
+7 (977) 877-83-87
[email protected]