Оповещение о наводнении

09 сентября 2015 г. | Касснер Майкл | Категория: Обсуждаем статью

Распределенная атака типа «отказ в обслуживании» (DDoS) наносят большой вред дата-центрам. И вот почему.

Сегодня коммерческие ЦОДы живут под угрозой атаки, и самое ужасное, что с ними может случиться – это распределенная атака типа «отказ в обслуживании» (DDoS). Отказ в обслуживании клиентов наносит удар в самое сердце дата-центра – в его финансы, особенно это болезненно в то время, как операторы склонны гарантировать своим клиентам 100% аптайма.

Существуют различные виды атак, но, говоря простым языком, DDoS –атаки случаются, когда некое лицо или группа лиц решила нанести удар по дата-центру или по его клиенту (клиентам) для демонстрации, что предприятие, рекламирующее свои сервисы, на самом деле не может обеспечить их предоставление. Чтобы добиться результата, атакующий наводняет провайдера потоками запросов, на первый взгляд, корректных, но в таком количестве, что провайдер не справляется с этим потоком и сервис выходит из строя.

Данные хлещут через край

Можно провести аналогию с дереводробящей машиной. Обработка одной ветки – нормального трафика дата-центра – не представляет проблемы. Когда вы пытаетесь засунуть в станок сразу целое бревно – DDoS- атака – ваш станок встанет.

С помощью массивного наплыва арендуемых DDoS-ботнетов преступники могут добиться перегрузки всех ресурсов дата-центра. Вполне возможна ситуация, когда даже если атакующие нацелены лишь на какую-то одну жертву-арендатора, им проще тем не менее атаковать весь ЦОД сразу.

Первый звоночек о серьезности DDoS-атак на дата-центры прзвучал еще в 2013 году, когда Ponemon Institute, при финансовой поддержке Emerson Network Power, выпустил белые страницы «Стоимость простев дата-цента». Исследователи Ponemon Institute преложили принять участие в опросе более 560 организациям. Из ни 83 согласились, а 50 организаций разрешили провести бенчмарк-анализ на площадке (67 отдельных дата-центров). В отчете представлена любопытная статистика: в период с 2010 по 2013 году среди нескольких причин простоя дата-центра увеличение случаев простоя наблюдалось лишь по статье DDoS-атак.

В марте 2015 Ponemon Institute еще раз изучил проблему DDoS-атак, опросив свыше 640 лиц, занятых в сфере эксплуатации IT, безопасности, комплайенса, или администрирования дата-центра, в чьи обязанности входило обнаружение и/или предотвращение отказов обслуживания. В этот раз исследование спонсировала Akamai Technologies. Институт опубликовал результаты в докладе «Стоимость DDoS-атак». Ключевые цифры доклада приводятся ниже.

Денежные затраты. Компании в среднем сообщали о полутора миллионах долларов, приходящихся на затраты, понесенные ими в результате DDoS-атак в течение 12 месяцев. В среднем, эти компании выдержали 4 атаки за этот же период.

Простой. 34% респондентов сообщили, что атака типа «отказ в обслуживании» приводил к отключению дата-центра, а 48% сообщили о частичном отключении. В среднем респонденты сообщили, что их системы стояли 9 часов за последние 12 месяцев в результате DDoS-атак.

Увеличение количества атак. 44% респондентов говорят, что количество атак типа «отказ в обслуживании» за последний год увеличилось, а 49% убеждены, что их количество будет расти в будущем году.

Типы атак

DDoS-атаки нацелены на вывод сервисов и сайтов в офлайн, однако, они имеют несколько уровней. Ponemon Institute приводит следующие виды атак, которые являются наиболее эффективными.

Блокирование каналов связи: UPD- и ICMP-флуд и другой пакетный флуд. Цель – забить всю ширину канала атакуемого сайта.

Атаки, использующие ошибки протокола: SYN-пакеты, Ping of Death и Smart DDoS – этот тип нацелен на захват ресурсов сервера и сетевого оборудования с целью их полного исчерпания.

Атаки, направленные на переполнение ресурсов приложений: Slowloris, Zero-day DDoS или DDoS –атаки, нацеленные на Apache, Windows или OpenBSD – их цель заключается в переполнении системы якобы легитимными запросами в количестве, с которым система не может справиться, при этом используются слабые места собственно системы.

Эффективные атаки используют ваши же системы и машины. Чаще всего это боты, когда атакующие машины представляют собой компьютеры, начиненные вредоносным ПО, которое внедряет в удаленную машину агента дистанционного управления.

Последствия: 64% респондентов говорят, что наиглавнейшее последствие DDoS-атак – потеря репутации.

Imperva, провайдер решений безопасности для дата-центров, обнародовала в 2015 году более детальную информацию в белых страницах под названием «Обзор глобальной угрозы DDoS-атак». В них говорится, что «из всех типов атак, атака крупными SYN-пакетами (250 байт и более) демонстрирует наибольший разрушительный потенциал, за ними следует UDP-флуд». Далее, доклад гласит, что UDP-флуд – «это самый распространенный тип атаки, используемый в 55% случаев зарегистрированных DDoS-атак на сеть Incapsula в течение периода, охваченного обзором».

Также Imperva выяснила, что длительность атак увеличивается, самая продолжительная составила 64 дня. Более 20% зарегистрированных атак длятся не менее 5 дней. Доклад Imperva также гласит, что «во второй половине 2015 года мы продолжаем наблюдать увеличение объемов атак по сравнению с 2014, с максимальным объемом атаки сетевого уровня, достигающим 253 гигабит в секунду» - поначалу мне показалось что это опечатка.

Как же коммерческие дата-центры справляются с таким масштабом нежелательного трафика, учитывая наличие нормального клиентского трафика, как они умудряются оставаться в онлайне, особенно, если атаки длятся более 60 дней?

Чтобы выяснить, как им это удается, я поговорил с Тимом Паркером, вице-президентом ViaWest, подтвердившим, что атаки типа «отказ в обслуживании» и в самом деле представляет собой проблему: «Проблема жива, и она затрагивает всех».

Как снизить угрозу

Однако есть способы снижения влияния, говорит он. ViaWest использует сервер Threat Mitigation Server (TMS) для отслеживания и отражения атак DDoS. Сервер отслеживает модель нормального трафика и фиксирует аномалии. Если обнаруживается аномалия, TMS анализирует пакеты и отделяет вредоносный трафик от клиентского трафика, собирает нежелательный трафик и направляет очищенный трафик к клиенту – все это происходит автоматически.

Для обработки трафика в объемах, описанных в докладе Imperva, потребовалось бы большое количество оборудования, и держать это оборудование все время в рабочем состоянии в каждом дата-центре вряд ли будет экономически целесообразно. Решение – аутсорсинг.  Если TMS почти забился, трафик перенаправляется в компанию, которая специализируется на DDoS-атаках, и очистка трафика происходит на ее серверах. Паркер говорит, что очистка и возврат трафика может занять до двух минут, но лучше такая задержка, чем черная дыра вредоносного трафика.

Кошки-мышки

Паркер также сообщил, что в этой игре каждая из сторон стремится перехитрить противника. Чтобы выиграть в схватке, многие коммерческие ЦОДы вступают в группу North American Network Operators’ Group - организацию, позволяющая членам обмениваться мнением о качестве и нюансах применения технологий и процессов, включая их злейшего врага – DdoS.  Однако такой обмен имеет и негативную сторону – обмен «лучшими практиками» в цифровом подполье, так что игра в кошки-мышки продолжается.

Теги: DDoS