DDoS: типы, характеристики, тенденции Шевцов А.А. Что такое DDoS атака? Во время DDoS (Distributed Denial of Service) атаки зараженные хосты (боты) из разных сетей перегружают ресурсы цели нелегитимным трафиком, вызывая отказ в 2 обслуживании легитимных клиентов. Сложность современных DDoS атак ОТКАЗ СЕРВИСА ПЕРЕПОЛНЕНИЕ СЕССИЙ ПЕРЕГРУЗКА IPS Load Balancer ЦОД Сервера и приложения Трафик атаки Легитимный трафик Сегодня DDoS вызывает (1) перегрузку канала, (2) переполнений таблиц сессий на stateful устройствах, (3) отказ сервиса – часто все вместе происходит при одной атаке 3и влечет недоступность сервиса. Угрозы для ЦОД Как объемные атаки, так и атаки уровня приложения могут привести к отказу в обслуживании сервисов в ЦОД DDoS атаки уровня приложения Провайдер 1 Неазконный траффик Хороший траффик Интернет Сервис Провайдер ЦОД НЕДОСТУПНОСТЬ СЕРВИСОВ Провайдер 2 ОБЪЕДИНЕНИЕ IPS Балансировщик нагрузки Провайдер n Объемные DDoS атаки Цель: сервисы и приложения Почему обычные средства защиты не справляются с DDoS? Существующие системы защиты периметра не нацелены на обеспечение доступности данных Межсетевые экраны (МСЭ/FW), включая WAF, обеспечивают конфиденциальность данных или процедур, которое могут быть доступны только авторизованным сторонам IPS Intrusion Prevention Systems (IPS) обеспечивают целостность данных, обеспечивая возможность изменять информацию авторизованными методами Все МСЭ и IPS являются устройствами с контролем сессий (stateful), поэтому сами по себе могут быть целью DDoS. ПЕРЕПОЛНЕНИЕ СЕССИЙ IPS Load Balancer Трафик атаки Легитимный трафик ЦОД Сервера и приложения Жертвы атак • • • • • • • • • • CloudFlare LiveJournal WikiLeaks Visa/MasterCard MegaUpload Twitter eBay Wordpress Укртелеком и другие! Россия (публичные) • Сбербанк • Альфа-банк • Газпромбанк • ВТБ • Центробанк • и другие Украина • ??? Недоступность сервисов влечет не только финансовые последствия: IT отдел Help Desk Потеря данных Напрасная работа Штрафы Потеря бизнеса Ущерб репутации Сколько людей требуется для отражения атаки? Сколько звонков будет во время атаки? Сколько ручной работы нужно сделать если сервис прерван? Каков объем работы, проделанно й зря, если сервис недоступен? Сколько необходимо выплатить при нарушении SLA? Сколько стоит потеря новых клиентов? Сколько стоит ущерб имиджу компании? Основные угрозы атак типа DDoS в банковской сфере • Недоступность системы клиент-банк • Недоступность интернет-банкинга • Недоступность процессинга пластиковых карт • Недоступность межбанковских платежей Планирование рисков доступности DDoS – угроза доступности №1 – должна быть частью анализа рисков Оценка доступности Выбор площадки Физическая безопасность Пожарная безопасность Электричество Окружающая среда DDoS 9 Измеряя риски доступности и надежности сервиса, необходимо понять, где риск угрозы DDoS в Вашем случае? Доходы украинских банков за 6 месяцев 2013 г. № Банк Прибыль / убыток, тыс. грн. 1 2 3 4 5 6 7 8 ПРИВАТБАНК УКРГАЗБАНК РАЙФФАЙЗЕН БАНК АВАЛЬ ОЩАДБАНК СБЕРБАНК РОСІЇ СІТІБАНК ВТБ БАНК КРЕДІ АГРІКОЛЬ БАНК 1 382 571 528 167 521 863 294 026 265 827 251 036 239 184 176 697 9 ПУМБ 159 164 10 11 12 13 14 15 16 17 18 19 ДЕЛЬТА БАНК КРЕДИТ ЄВРОПА БАНК БАНК 3/4 IHГ БАНК УКРАЇНА УКРЕКСІМБАНК УНIКРЕДИТ БАНК БАНК РЕНЕСАНС КАПІТАЛ МІСТО БАНК ТАСКОМБАНК "КЛІРИНГОВИЙ ДІМ" 136 462 114 204 109 848 103 568 87 240 79 828 55 225 46 191 37 530 35 881 20 ФОЛЬКСБАНК 28 706 Источник: НБУ, 01.07.2013 Выбор правильного инструмента Современные атаки сложны, и только законченное решение защищает все сервисы: Услуги: HTTP, SSL, DNS, Mail, VoIP Протоколы: TCP/IP, UDP, ICMP Полоса: канал от вышестоящих операторов Решение, не принимающее во внимание все аспекты DDoS и защищающее только HTTP/S, не сработает. Выбор правильных инструментов в зависимости от угроз: 1. Объемные атаки (Flood DDoS) • Услуги по защите от оператора • Возможность управления услугой 2. Атаки на переполнение сессий • Защита от DDoS по периметру • Полный контроль средств защиты 3. Атака на приложение • DDoS защита в сети • Быстрая остановка атак, ухудшающих сервис Современные тенденции в области DDOS атак • количество DDoS-атак на полосу постоянно снижается • мощные атаки не могут продолжаться долго, так как магистральные провайдеры начинают испытывать связанные с ними проблемы • преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%) • интеллектуальные атаки на приложение коварны тем, что даже при наличии стратегии защиты вы скорее всего потеряете некую, пусть мизерную, часть легитимных пользователей. • не менее 50% атак Layer 7 – это «долбежка» в один URI, интеллектуальных атак всего около 10% • количество ботов с полноценными Web browser capabilities (TCP, HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных атаках. Индустрия движется в сторону использования полноценных браузеров для выполнения DDoS-атак Виды (протоколы) Информация: qrator.net География заражения компьютеров Информация: qrator.net О защите от DDoS • От любой атаки можно защититься • Поведенческий анализ — один из наиболее эффективных методов фильтрации трафика • «Серебряной пули нет» Варианты решения Собственное оборудование и решения: Специализированные сети очистки трафика • ARBOR Networks • RADWARE •В РФ: Qrator, Kaspersky Lab,отдельные сервисы •В Украине ??? Что делать? Решение принимать ВАМ!!! Благодарю за внимание!