«Большие данные» в анти-DDoS системах

Big Data / Безопасность
автор: Андрей Васильков  10 октября 2014

В конкурентной борьбе и в качестве своеобразных актов возмездия часто используются DDoS-атаки. Обычно их цель состоит в том, чтобы сделать серверы атакуемой организации временно недоступными. Для сайтов платёжных систем, интернет-магазинов, предвыборных кампаний и просто популярных веб-ресурсов такой вынужденный простой приводит к весьма ощутимым утратам. Порой вычислить виновных довольно сложно, особенно если атака проводится с использованием инфицированных компьютеров ничего не подозревающих пользователей.

При всём разнообразии тактик проведения атак по типу «отказ в обслуживании» в общем случае они сводятся к настойчивым попыткам загрузить серверы бесполезной работой. На них отправляется возрастающий поток различных запросов до тех пор, пока от атакуемого узла есть хоть какой-то отклик.

Серьёзная атака последовательно или сразу проходит по нескольким направлениям. Это наводнение UDP-пакетами, HTTP- SYN- и DNS-флуд, SQL-инъекции, плюс использование известных уязвимостей. Бесполезные сетевые пакеты забивают каналы передачи данных, а на их обработку тратятся все или почти все вычислительные ресурсы сервера.

DDoS-атака на игровые серверы ArcheAge (изображение: norse-corp.com).

DDoS-атака на игровые серверы ArcheAge (изображение: norse-corp.com).

Несколько лет назад простейшую DDoS-атаку мог устроить даже одиночка с высокой скоростью исходящего подключения. Для этого использовался LOIC, HOIC, GAS и другой спецсофт. Скоординированные групповые рейды были более эффективны, но если атакуемая сторона вовремя распознавала DDoS, то успевала заблокировать IP-адреса большинства атакующих до «падения» сервера. С появлением IRC-LOIC и распространением масштабных ботнетов ситуация изменилась. Сегодня обычных средств защиты сервера уже недостаточно, так как они плохо справляются с блокировкой IP-адресов атакующих, если их число измеряется сотнями тысяч.

Схема защиты платформы Behemoth (изображение: Incapsula.com).

Схема защиты платформы Behemoth (изображение: Incapsula.com).

В этой ситуации оказываются крайне эффективными методы анализа «больших данных». К примеру, фирма Incapsula (бывшая Imperva) развивает их как облачные технологии, предназначенные для защиты серверов своих клиентов от DDoS-атак и других сетевых угроз.

Весь входящий трафик клиента сначала поступает на фильтрующую платформу Behemoth по протоколу граничного шлюза (BGP).

Он анализируется на лету и уже после очистки от мусорных пакетов попадает к заказчику через безопасный туннель GRE. Хакеры думают, что атакуют рядовой сайт с виртуальным хостингом, в то время как реально кормят трафиком «бегемотов» – специализированную группу серверов, изначально рассчитанную на огромные потоки данных.

Каждый сервер содержит два процессора Intel Xeon E5-2690V2, обеспечивающих сорок логических ядер с частотой до 3,6 ГГц и сетевые карты Silicom с восемнадцатью портами стандарта 10 GbE. Всего один сервер обрабатывает на лету входящий поток на скорости до 170 Гбит/с и фильтрует до ста миллионов пакетов в секунду. Если этого оказывается недостаточно, то параллельно ему просто подключают следующий, распределяя нагрузку.

Большинство DDoS-атак направлено на игровые серверы и сайты разработчиков ПО (изображение: Prolexic).

Большинство DDoS-атак направлено на игровые серверы и сайты разработчиков ПО (изображение: Prolexic).

Разумеется, помимо грубой вычислительной силы секрет успеха Incapsula состоит и в оригинальном программном обеспечении. С его помощью визуализируется структура атаки, что даёт чёткое понимание картины происходящего и позволяет вовремя принять необходимые меры. Главная заслуга технологий обработки «больших данных» заключается даже не в том, что гигабайты мусорных пакетов постоянно отфильтровываются, а в способности доставить каждый запрос от легитимных пользователей на целевой сервер. Ни владелец сайта, ни его посетители просто не замечают DDoS-атак.

В октябре прошлого года Incapsula успешно отразила девятичасовую атаку на торговую платформу BTC China, а в августе этого года выдержала самое суровое испытание – DDoS-атаку, на одного из клиентов, длившуюся тридцать восемь дней. Пиковая нагрузка достигала 90 млн пакетов в секунду, а суммарный объём отфильтрованного трафика превысил пятьдесять петабит, но справился с ним всего один «бегемот».

Принцип защиты от DDoS-атак платформы Incapsula (изображение: incapsula.com).

Принцип защиты от DDoS-атак платформы Incapsula (изображение: incapsula.com).

Другой крупный поставщик решений для защиты серверов – Prolexic – в последнем отчёте приводит данные, говорящие о снижении числа мощных DDoS-атак. В среднем скорость потока едва достигает 7,8 Гбит/с, а число пакетов за второй квартал снизилось с 19,8 до 12 млн/с.

Однако более важно то, что атаки меняют свой характер. Популярной мишенью стали игровые серверы, сайты СМИ и софтверных компаний, а сами атаки теперь часто осуществляются на уровне серверных приложений, а не базовых протоколов. В отличие от примитивного HTTP-флуда, такие запросы имитируют действия реальных пользователей. При меньшем трафике они сильнее нагружают сервер, а выделить атакующих на фоне легитимных клиентов становится очень сложно.

«Интеллектуальные системы анализа обещают принципиально иную и более эффективную модель безопасности за счёт использования технологий обработки «больших данных, – говорил на проходившей в Нидерландах конференции по безопасности исполнительный вице-президент RSA Арт Ковьелло (Art Coviello). – Когда мы всесторонне изучим поведение людей и потоков данных, мы сможем преодолеть реактивные модели прошлого. Станет возможно более четко и быстро распознавать даже слабые сигналы о предстоящих атаках в условиях сильно зашумлённой инфосреды».

Среди различных типов DDoS-атак лидируют техники инфраструктурного уровня (изображение: prolexic.com).

Среди различных типов DDoS-атак лидируют техники инфраструктурного уровня (изображение: prolexic.com).

На практике отличить поведение атакующего узла от рядового пользователя помогает его «цифровой почерк» – особенности отправки запросов. К примеру, они следуют через равные интервалы, повторяются слишком часто и однотипно с другими участниками атаки. Сделать такой анализ в режиме реального времени возможно только силами ЦОД, выполняющего мониторинг крупных сегментов сети. Недавно Prolexic вошла в состав Akamai Technologies и стала обладателем самой большой в мире сети анти-DDoS серверов, расположенных в пяти скрубберных центрах (специализированных ЦОД) на разных континентах.

Среди руководителей фирм, занимающихся обеспечением безопасности, растёт уверенность в назревшей необходимости скоординированных действий. До сих пор традиционный обмен информацией помогал развивать продукты и лучше понимать нужды клиентов. Обмен «большими данными» способен отобрать у организаторов DDoS-атак их главный козырь – скоординированность усилий.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
В этом году Рунет перенёс самую масштабную волну DDoS-атак.
В этом году Рунет перенёс самую масштабную волну DDoS-атак.
Алексей Афанасьев, «Лаборатория Касперского»: DDoS-атаки  — инструмент давления на бизнес
Алексей Афанасьев, «Лаборатория Касперского»: DDoS-атаки — инструмент давления на бизнес
Политические DDoS-атаки продолжались все выходные
Политические DDoS-атаки продолжались все выходные
  • Ктулху

    Против лома нет приёма, окромя другого лома.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"