CC BY
71
УДК 004.056
ПРОБЛЕМЫ DDOS-АТАК В СОВРЕМЕННОЙ IT-ИНДУСТРИИ И МЕТОДЫ ЗАЩИТЫ ОТ НИХ
Семён Владимирович Камышев
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант кафедры фотоники и приборостроения, тел. (913)794-33-72, e-mail: ya.lulzZz2012@yandex.ru
Игорь Николаевич Карманов
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, кандидат технических наук, доцент, зав. кафедрой информационной безопасности, тел. (903)937-27-90, e-mail: i.n.karmanov@ssga.ru
В данной работе на основе статистических данных рассмотрена динамика проведения DDoS-атак и риски, связанные с DDoS-атаками. Выделены наиболее часто встречающиеся типы атак. Приведены примеры простейших методов защиты от каждого из перечисленных типов, для которых существует возможность реализации силами IT-подразделений организаций без использования дорогостоящих систем и сервисов. Сделаны выводы о том, как и чьими силами должна осуществляться защита.
Ключевые слова: DDoS-атака, сетевые угрозы, защита от DDoS.
PROBLEM OF DDOS ATTACKS IN MODERN IT-IDUSTRY AND METHODS OF PROTECTION AGAINST THEM
Semyon V. Kamyshev
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, Department of Photonics and Device Engineering, phone: (913)794-33-72, e-mail: ya.lulzZz2012@yandex.ru
Igor N. Karmanov
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Ph. D., Associate Professor, Head of the Department of Information Security, phone: (903)937-27-90, e-mail: i.n.karmanov@ssga.ru
In this paper, on the basis of statistical data, the dynamics of DDoS attacks and risks associated with DDoS attacks are considered. The most common types of attacks are highlighted. The examples of the simplest methods of protection against each of these types, for which there is a possibility of implementing by IT-departments of organizations without use of expensive systems and services. Conclusions have been drawn how and by whom the protection should be performed.
Key words: DDoS attack, network threats, defense from DDoS.
Если рассматривать статистические данные, а именно, отчеты компании Positive Technologies [1, 2] за первый (рис. 1) и четвертый (рис. 2) кварталы 2017 года, видно, что относительная доля DDoS-атак в общем количестве сетевых угроз в первом квартале больше, чем в четвертом. Однако, говорить об общей тенденции снижения количества атак данного типа в абсолютном выраже-
нии не приходится. Заметим, что первый квартал 2017 года имел тенденцию спада общего числа зафиксированных инцидентов (рис. 3). В четвертом квартале наблюдается обратная ситуация - рост общего числа атак.
15% 11%
6%
| Эксплуатация веб -уязви;гостей
^ Использование вредоносного ПО ^ Щ Компрометация учетных данных | ОЭоБ
Э Социальная инженерия Щ ^^ Эксплуатация уязвимостей в ПО
36%
23%
Рис. 1. Статистика атак за I квартал 2017 года
12%
0 Использован не вр^оноснога ПО СЕЗ Саииалы 1ал инженерия П^ Эксплуатация уязвимостен в ПО Эксплуатация веб-уязиимостей Комп раие-тация учетных ¿анн ьи ^ 011Ю5 Другое
11% 11%
Рис. 2. Статистика атак за IV квартал 2017 года
40 -1-4-Р--1-»-<->-1---1-*-1--1-1-4—>-■ ■ I ---.1 ■ ..1--I-
01 02 03 04 05 Ос ОТ ОЕ 09 10 11 \2
Рис. 3. Динамика количества атак за 2017 год
Такое положение вещей связано с тем, что ВВоБ-атаку может провести любой желающий, так как для этого не требуется каких-то специальных знаний и навыков. Этим пользуются так называемые «хактивисты», выражая свой политический протест. Меньшая часть атак направлена на получение незаконной прибыли. Такие атаки сложнее организованы, проводятся не одним человеком, а группой людей, их первоочередная задача - получение денег. Это может быть как вымогательство, так и заказные атаки на фирму конкурента.
На первый взгляд может показаться, что дела обстоят не так уж плохо, но это будет не верно, так как ВВоБ остается одной из наиболее серьёзных проблем для малого и среднего бизнеса. Опираясь на доклад Лаборатории Каспер-ского [3], можно сказать, что примерно половина ВВоБ-атак приводит к сбою в работе сервисов, а четверть - к потере важных данных.
Успешная ВВоБ-атака несет убытки как финансовые («прямой ущерб»), так и репутационные - риски связанные с потерей клиентской базы и контрактов.
Руководство многих предприятий до сих пор считает, что существующие средства противодействия ВВоБ-атакам для них слишком сложны и дороги. Учитывая простоту реализации атаки и риски, связанные с успешным её проведением, возникает вопрос о создании дешевого, но в то же время эффективного средства борьбы с ВВоБ.
Целью данной работы является рассмотрение существующих и наиболее популярных типов ВВоБ-атак. А также рассмотрение методов защиты от каждого из них, таким образом, что реализация данных методов может осуществ-
ляться непосредственно администраторами информационных систем и сетей предприятия, без привлечения сторонних организаций и вложения денег в дорогостоящие продукты. Однако, не стоит забывать, что данные методы в случае с целевой атакой будут малоэффективны, в данном случае будет целесообразно использование сервисов, использующих в своей основе фильтрацию трафика, разработанных сторонними организациями [4, 5].
Существуют различные виды DDoS-атак, в зависимости от конфигурации атакуемой сети или сервиса. Для более точного и быстрого определения вида атаки нужно понимать разницу между ними, поэтому рассмотрим наиболее популярные виды DDoS-атак [6-10].
SYN Flood. Цель атаки SYN Flood - вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. - то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тысяч пакетов в секунду [8].
Простейший пример системы защиты от SYN Flood атак выглядит следующим образом:
# увеличение очереди «полуоткрытых» TCP - соединений:
# sysctl -w net.ipv4.tcp_max_syn_backlog=1024;
# уменьшение времени удержания полуоткрытых TCP - соединений:
# sysctl -w net.ipv4.tcp_ synack_retries=1;
# включение механизма TCP syncookies:
# sysctl -w net.ipv4.tcp_syncookies=1;
# ограничение максимального числа «полуоткрытых» соединений с одного IP:
# iptables -I INPUT -p tcp -syn -dport 80 -m iplimit-above 10 -j DROP.
Smurf-атака. Атакующий посылает поддельный пакет 1СМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет 1СМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз [7].
Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов 1СМР. Пример отключения ответов на запросы ICMP ECHO приведен ниже:
# iptables -A INPUT -p -icmp -j DROP -icmp-type 8.
DNS-атака с усилением. Атака с усилением - это DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, заставляя его отправлять ответы на подменённый адрес [7].
UDP-флуд - атака, использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется недоступна [6, 7].
Для защиты можно использовать iptables, ограничивая количество пакетов, пересылаемых к защищаемому сервису, вплоть до полной их блокировки:
# iptables -I INPUT -p udp —dport 53 -j DROP -m iplimit -iplimit-abovel.
В заключении можно сказать, что стабильно проводящиеся DDoS-атаки являются серьезной проблемой для малого и среднего бизнеса. Приведенные в статье методы защиты не могут кардинально решить проблему, так как они эффективны только против атак небольшой мощности. Против целевых атак данные методы будут неэффективны. Для более надежной защиты компаниям следует использовать решения, сконцентрированные на защите от подобного типа атак. Желательно, также, чтобы вендоры предоставляли продукты и сервисы, интуитивно понятные пользователю, а все сложные технические аспекты в части фильтрации трафика брали на себя.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Актуальные киберугрозы, I квартал 2017 года [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Current-Cyberattacks-rus.pdf.
2. Актуальные киберугрозы, IV квартал 2017 года [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-Q4-rus.pdf.
3. Угроза DDoS-атак и неоднозначное к ним отношение [Электронный ресурс]. - Режим доступа : https://www.kaspersky.ru/blog/ugroza-ddos-atak-i-neodnoznachnoe-k-nim-otnoshenie/3236/.
4. Мельников В. Г., Трифанов А. В. Методы обхода межсетевых экранов для приложений // Интерэкспо ГЕО-Сибирь-2017. XIII Междунар. науч. конгр. : Магистерская научная сессия «Первые шаги в науке» : сб. материалов в 2 т. (Новосибирск, 17-21 апреля 2017 г.). -Новосибирск : СГУГиТ, 2017. Т. 2. - С. 113-117.
5. Звягинцева П. А., Крыжановская О. А. Оценка эффективности средств защиты информации // Интерэкспо ГЕО-Сибирь-2017. XIII Междунар. науч. конгр. : Национ. науч. конф. «Наука. Оборона. Безопасность-2017» : сб. материалов (Новосибирск, 17-21 апреля 2017 г.). - Новосибирск : СГУГиТ, 2017. - С. 199-201.
6. Qrator Labs отмечает массовое распространение инструментов для DDoS // БИТ [Электронный ресурс]. - Режим доступа: http://bit.samag.ru/news/more/917.
7. J. Yuan, K. Mills. Monitoring the Macroscopic Effect of DDoS Flooding Attacks. IEEE Transactions on dependable and secure computing. Senior Member, IEEE. M., 2005 - 12 p.
8. How to Prevent Denial of Service (DoS) Attack [Электронный ресурс]. - Режим доступа: http://www.ids-sax2.com/articles/PreventDosAttacks.htm.
9. 16 рецептов защиты от DDoS-атак своими силами [Электронный ресурс]. - Режим доступа: https://xakep.ru/2012/12/29/16-antiddos-recipes/.
10. A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms - UCLA CSD Technical Report no. 020018 [Электронный ресурс]. - Режим доступа : https://lasr.cs.ucla.edu/ ddos/ucla_tech_report_020018.pdf.
© С. В. Камышев, И. Н. Карманов, 2018
