Организация защиты сети от сетевых угроз

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление (специальность). Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных систем и информационной безопасности

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

(ДИПЛОМНАЯ РАБОТА)

Организация защиты сети от сетевых угроз

Утверждаю зав.кафедрой д.т.н., проф. В.Г. Карташевский

Руководитель доцент кафедры МСИБ, к.т.н. А.Ю.Криштофович

Н. контролер ст. ассистента каф. МСИБ О.А. Караулова

Разработал ИБТС-11 М.М.Сабиров

Самара 2017



Содержание

Задание

Реферат

Введение

1. Разновидность атак

2. Причины возникновения ddos-атак

3. Масштабные атаки

4. Защита от ddos-атак

5. Средства защиты

5.1 Arbor

5.1.1 Arbor Peakflow SP

5.1.2 Arbor Pravail

5.2 Периметр

5.2.1 Функциональные возможности

5.3 Radware

5.3.1 О механизмах защиты

6. Критерии выбора средств защиты сети от ddos

7. Схема организация защиты сети

7.1 Проведенный расчет, применяемой схемы

Заключение

Список использованных источников



Задание

по подготовке выпускной квалификационной работы

Утверждена приказом по университету от 28.10.2016 № 265-2

2 Срок сдачи студентом законченной ВКР 09.02.17

3 Исходные данные и постановка задачи

1) Средства защиты от крупных компаний, специализирующихся в этой области (защита от DDoS)

2) Рассмотрение актуальных и самых популярных атак, типа DDoS

3) Изучение всевозможных средств защиты, которые могут быть использованы на сети

4) При помощи собранных критериев, расчетов для организации защиты сети выбрать самый оптимальное и эффективное решения

5) Моделирование и внедрение выбранного решения, а также получение результатов защиты нашей сети

Студента Сабирова Мавлюта Махмутовича

1 Тема ВКР Организация защиты сети от сетевых угроз

4 Перечень подлежащих разработке в ВКР вопросов или краткое содержание ВКР. Сроки исполнения 09.02.2017

1) Разновидность атак

2) Причины возникновения DDoS-атак и масштабные атаки

3) Защита от DDoS-атак и средства защиты

4) О механизмах защиты

5) Критерии выбора средств защиты сети от DDoS

5 Перечень графического материала. Сроки исполнения 09.02.2017

1) Принципиальные схемы самых популярных атак

2) Схема организации защиты сети предприятия. Детализация

3) Сбор статистики с системы очистки АПК «Периметр»

4) Сигнатура атак, отображаемых в системе анализа АПК

«Периметр»

6 Дата выдачи задания « 28 » октября 2016 г.

Кафедра Мультисервисных сетей и информационной безопасности

Утверждаю зав.кафедрой д.т.н., проф. 28.10.16 В.Г.Карташевский

Руководитель доцент каф. МСИБ, к.т.н. 28.10.16 А.Ю. Криштофович

Задание принял к исполнению ИБТС-11 28.10.16 М.М. Сабиров



Реферат

Название Организация защиты сети от сетевых угроз

Автор Сабиров Мавлют Махмутович

Научный руководитель доцент, к.т.н Криштофович Андрей Юрьевич

Ключевые слова ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ЗАЩИТА СЕТИ, DDoS, ПЕРИМЕТР, РАСПРЕДЕЛЕННАЯ АТАКА, FLOOD, АПППАРТНО-ПРОГРАММНЫЙ КОМПЛЕКС, DNS, BGP, ОЧИСТКА

Дата публикации 2017

Библиографическое описание

Сабиров М.М. Организация защиты сети от сетевых угроз [Текст]: дипломная работа / Сабиров М.М. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра Мультисервисных сетей и информационной безопасности: науч. рук. А.Ю. Криштофович - Самара. 2017. - с.

Аннотация

В дипломной работе рассматривается сеть, которая подвержена атакам, с крупной структурой. В ходе исследования современных средств защиты, выявляем наиболее актуальные продукты/решения на рынке ИБ. Используем выбранное решение на нашей сети

Руководитель ВКР А.Ю. Криштофович

сеть атака защита информационный



Введение

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (сокр. от англ. Denial of Service) (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительная атака может нанести финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно нанести вред, либо создать угрозу и потенциальный риск убытков.

DDoS (Distributed Denial of Service) -- распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов. Злоумышленник заражает компьютеры ни о чем не подозревающих пользователей Интернета. Такие «зомби» и отправляют бессмысленные запросы на сервер жертвы.

Почему неэффективна существующая защита?

Существует несколько способов защиты от DDoS-атак, которые недостаточно надежны даже при небольшом, но хорошо спланированном и организованном нападении:

Файерволы, IDS\IPS системы: располагаются прямо перед защищаемым ресурсом и при активной атаке на переполнение бессильны;

Blackhole-маршрутизация: используется провайдерами и подразумевается, как перенаправление трафика от атакующего. В ходе атаки перенаправляются и легитимные запросы, тем самым кибер-преступники достигают своей цели -- ресурс становится недоступным для пользователей;

Тонкая и правильная настройка системы: способствует в случае небольших и плохо подготовленных нападений;

Многократное резервирование ресурсов: крайне дорогой, вследствие чего недоступный большинству организаций способ.

Сказанное выше дает нам следующую актуальность темы работы - с каждым годом, месяцем, днем растет угроза в киберпространстве. Атаки, совершаемые на сети различных организаций, приводят к недееспособности их ресурсов, что плохо сказывается на дальнейшей работе организаций: поломка оборудования, утечка информации, отказ клиентов от услуг и тд. Тем временем, установленные защитные механизмы предприятием не настолько хорошо могут защитить. Зачастую, прибегают к средствам защиты сторонних компании, специализирующихся на данных услугах. Но не все представленные продукты на рынке ИБ по защите от сетевых угроз имеют столь эффективные рычаги обороны, чтобы подавить огромное количество атак, которые увеличиваются постоянно, или оградить от крупной атаки, большой мощности, против которой не выдерживает множество сетевого оборудования. Исследования в этой области по выбору наиболее актуальных и эффективных продуктов считаю очень важной.

Целью дипломной работы будет является:

Выбрать сеть, которая подвержена атакам, с крупной структурой.

В ходе исследования современных средств защиты, выявить наиболее актуальные продукты/решения на рынке ИБ

Использовать выбранное решение на нашей сети

Для достижения поставленной цели необходимо решить следующие основные задачи:

Рассмотрение актуальных и самых популярных атак, типа DDoS

Изучение всевозможных средств защиты, которые могут быть использованы на сети

При помощи собранных критериев, расчетов для организации защиты сети выбрать самый оптимальное и эффективное решения

Моделирование и внедрение выбранного решения, а также получение результатов защиты нашей сети

Объектом исследования выступает (является) компания-оператор, предоставляющая телекоммуникационные услуги.

Предметом исследования является структура сети, используемая компанией.

Основными источниками информации для написания работы послужили данные полученные на предприятии, при прохождении практики, также ресурсы/ ссылки из сети интернет, литература по основам информационной безопасности.

Цель и задачи написания работы определили ее структуру, которая состоит из введения, 2 глав, заключения, списка используемых источников и приложений.

Во введении обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава раскрывает каким угрозам может быть подвержена сеть. Также насколько могут быть масштабны атаки.

Вторая глава несет в себе информацию раскрывающую какие продукты имеют огромную популярность, масштаб и возможности по защите сети. Что лучше всего выбрать из рассмотренных вариантов по определенным критериям. И как можно применить, организовать защиту на сети, которая с определенной периодичностью подвержена тем или иным атакам.



1. Разновидность атак

Мир информационных технологий и телекоммуникаций развивается постоянно. Практически каждый день мы можем видеть различного рода инноваций. Что-то новое появляется и у злоумышленников, которые не отстают от остальных. В этой главе хотелось бы озвучить и описать какие виды атак существуют. Некоторые появились недавно.

В рамках нашей темы разновидности атак имеются следующих видов:

атаки TCP (SYN, SYN-ACK, ACK, FIN, фрагменты);

атаки протокола UDP с использованием случайно подобранных портов и фрагментированных пакетов;

атаки протокола ICMP;

атаки со Спуфингом \ без Спуфинга;

атаки на DNS;

лавинные атаки HTTP;

атаки на протокол SIP.

Атаки TCP или SYN-флуд -- одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок

При нормальном взаимодействии клиента и сервера, на отправленный SYN-пакет (synchronize-пакеты), т.е. запрос на открытие соединения, сервер отвечает комбинацией SYN+ACK-пакетов. После ответа клиента АСК-пакетом, соединение устанавливается, и клиент может спокойно пользоваться ресурсом. В случае SYN-flood, злоумышленники в большом количестве и в короткий срок отправляют SYN-пакеты, игнорируя при этом ответ сервера. В результате появляется очередь «полуоткрытых» запросов, которая переполняет очередь подключения, не позволяя легитимным клиентам отправить на сервер SYN-пакет.

Во-первых, TCP -- это один из наиболее используемых транспортных протоколов, поверх которого располагаются большинство протоколов прикладных. Во-вторых, он обладает рядом особых признаков (явно подтверждаемые начало и завершение соединения, управление потоком, etc.), которые делают его реализацию относительно сложной и ресурсоемкой. В контексте работы интересен механизм установки TCP-соединения - трехстороннее рукопожатие. В первом приближении на уровне «клиент-сервер», картина следующая: клиент отправляет серверу SYN-пакет (synchronize), ожидая ответа SYN+ACK (acknowledges). Клиент в свою очередь направляет в ответ ACK на SYN-сервера и соединение успешно получает состояние установленного.

.

Рис. 1 Атака SYN-flood

Атаки UDP или UDP-флуд -- сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. На сегодняшний день данный тип флуда считается наименее опасным, поскольку хакерские программы, которые его используют, легко обнаруживаются и блокируются. При использовании UDP-flood, основной целью является не сам ресурс, а его канал связи. Поскольку провайдерами UDP-пакеты обслуживаются в первую очередь, то злоумышленники используют большое количество пакетов данного вида, чтобы забить канал и не позволить ТСР-пакетам легитимных пользователей дойти до сервера.

Вариаций исполнения UDP-flood'a может быть много, но суть атаки заключается в наводнении жертвы UDP-пакетами. Цели данной атаки можно обозначить тремя пунктами.

Сгенерировать такое количество bps (бит в секунду), чтобы исчерпать канал связи атакуемого.

Сгенерировать такое количество pps (пакетов в секунду), которое оборудование не сможет обработать.

Нагрузить оборудование атакуемого, отправляя UDP-пакеты на разные порты, тем самым заставляя сервер обрабатывать данные пакеты и отвечать ICMP-сообщениями в случае недоступности порта.

Рис. 2 UDP-flood

Вывод tcpdump на сервере:

22:21:46.611028 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611030 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611032 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611034 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611036 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611038 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611039 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611041 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611042 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611044 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

22:21:46.611045 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

Атаки протокола ICMP или (Ping)ICMP-флуд (от англ. ping-flood, дословно: заполнение запросами) -- вариант атаки, цель которого наводнить множеством запросов. Данный тип флуда направлен на сетевое оборудование. Суть данной атаки в том, что ICMP-пакет при небольшом размере самого запроса (примерно в 1000 раз меньше обычного IP-пакета) требует от сетевого оборудования значительно большего объёма работы. Ключевым отличием данного типа является то, что организовать его можно используя программы и утилиты, имеющиеся в домашних и офисных версиях операционных систем.

В большинстве случаев эхо-запросы сетевым оборудованием обрабатываются программными средствами. Эхо-запрос требует принятие пакета устройством, его обработку, формирование и отправку эхо-ответа. При этом ресурсов сетевого оборудования тратится во много раз больше, чем при обработке обычного пакета. Также следует учитывать, что ICMP-запрос обычно небольшой, около 64 байт. Ввиду этого, атака направлена на то, чтобы нагрузить атакуемое устройство, либо получить перегруз по количеству пакетов, которое устройство может обработать.



Рис. 3 Атака ICMP-flood

Спуфинг (англ. spoofing, от англ. spoof - мистификация) - вид сетевой атаки при которой происходит маскировка одного участника под другого.

Наиболее распространенные вида спуфинг - атак

Spoofing TCP/IP & UDP -- атаки на уровне транспорта. Из-за фундаментальных ошибок реализации транспорта протоколов TCP и UDP возможны следующие типы атак:

IP spoofing -- идея состоит в подмене IP-адреса через изменение значения поля source в теле IP-пакета. Применяется с целью подмены адреса атакующего, к примеру, для того, чтобы вызвать ответный пакет на нужный адрес;

MAC-spoofing -- атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог;

ARP-spoofing -- атака, эксплуатирующая слабость протокола ARP, позволяющая разместить в ARP-кэше жертвы ложную запись о соответствии IP-адреса другой жертвы MAC-адресу атакующего;

DNS-spoofing -- атака, базирующаяся на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса атакующего.

NetBIOS/NBNS spoofing -- основана на особенностях резолва имен локальных машин внутри сетей Microsoft.

Referrer spoofing -- подмена реферера.

Poisoning of file-sharing networks -- фишинг в файлообменных сетях.

Caller ID spoofing -- подмена номера звонящего телефона в VoIP-сетях

E-mail address spoofing -- подмена адреса e-mail отправителя.

GPS Spoofing -- подмена пакетов со спутника с целью сбить с толку GPS-устройство.

Voice Mail spoofing -- подмена номеров голосовой почты с целью фишинга паролей жертвы.

SMS spoofing -- метод спуфинга, основанный на подмене номеров отправителя SMS-сообщения.

На сегодняшний день спуфинг нередко используется спамерами при рассылке спама по электронной почте. Это делается для того, чтобы замаскировать истинный электронный адрес с которого отправляется спам и тем самым, как защитить себя от проблем, так и создать их тем, под чьим адресом маскируется злоумышленник.

Рис.4 Пример IP-spoofing



Лавинные атаки HTTP или HTTP-флуд - это наиболее распространенная flood атака. В основе этого самого популярного и простого способа лежит отсылка HTTP-запросов GET на 80-й порт. При этом происходит перегрузка сервера, рост его логов (по которому и можно вычислить пропущенную DDoS-атаку данного типа) и, если не были приняты адекватные меры противодействия, выход сервера из строя

Атакующий бот генерирует большое количество HTTP запросов к серверу жертвы. Каждый бот может генерировать большое количество легитимных запросов (более 10 раз в секунду). Таким образом, злоумышленнику не нужно иметь большую армию ботов для осуществления данного вида атаки. VERB атаки осуществляются ботами с реальных IP-адресов, поэтому количество адресов источников сопоставимо количеству используемых ботов. Кроме GET запросов также могут посылаться POST запросы и осуществляться другие HTTP действия, приводящие к одному и тому же результату - перегрузке веб-сервера жертвы и его недоступности.

Для понимания правильного метода такой атаки следует перед ее началом изучить сайт-жертву.

Мы отправляем http-атаку на файл http://site.ru/index.html

Файл статичный и может быть закеширован сервером. В этом случае нам нужен большой ботнет и огромное количество потоков что бы "завалить" сервер-жертву.

Мы отправляем http-атаку на файл http://site.ru/index.php

В этом случае происходит обработка php файла сервером и, в случае необходимости, обращение к базе данных за более актуальной информацией для страницы сайта. Всвязи с тем, что серверу нужно делать большее количество действий - атака будет более результативной нежели в примере №1, но при правильной настройке кэширования на уровне сервера атака может быть практически равнозначной первому примеру.

Мы видим на сайте форму авторизации или иные поля для ввода данных которые требуют обязательного обращения к базе данных. (идеальный случай - поле поиска по сайту). И направляем свою атаку на эту форму. Допустим это будет выглядеть так: http://site.ru/index.php?search=xyxyxyxyxy

В этом случае мы создаем гарантированную нагрузку на БД, и такая атака принесет максимальный результат.

Автоподстановка значений. Это по сути возможность вашего ддос-бота автоматически подставлять рандомные значения. Так первый запрос будет выглядеть http://site.ru/index.php?search=aaaaaaaaa

А второй уже http://site.ru/index.php?search=bbbbbbbbb и так далее. Такие подстановки затрудняют борьбу с данным видом атаки т.к. нельзя точно выделить запрос и блокировать его на уровне фаервола.

Некоторые боты могут не только генерировать разные запросы, но и варьировать их длину и скорость передачи данных. Это считается наилучшим вариантом атаки, который принесет, несомненно, высокие результаты.

Рис. 5 HTTP-flood

Атаки на SIP - SIP расшифровывается как Session Initiation Protocol - протокол инициирования сеанса, это протокол, разработанный IETF для VOIP и для других сеансов передачи текста или мультимедиа данных, например, таких как, системы обмена мгновенными сообщениями, видео, игры в реальном времени и другие сервисы.

Начнем с того, что IP-телефония подвержена классическим атакам, направленным на любое сетевое приложение - DDOS, вирусы и черви, использующие уязвимости в реализации. Все они хотя и не касаются непосредственно VoIP, но могут легко нарушить работу сервиса. Причем именно DOS стоит сегодня первой в списке самых больших угроз IPT. Многие реализации, как программные, так и аппаратные, особенно первых версий, уязвимы к fuzzing (отсылка некорректных данных) и flood (отсылка большого количества пакетов) атакам. Сама специфика голосового трафика делает эту атаку весьма эффективной, ведь даже относительно небольшого воздействия достаточно, чтобы нарушить нормальную работу сервиса. При реализации атаки Call tampering хакер “вмешивается” в текущий разговор, отправляя пустые пакеты, сервер обрабатывая их затрачивает ресурс в итоге появляются задержки и беседу вести уже невозможно. Проверить потенциал сети можно при помощи инструментов вроде SIP Traffic Generator.

Рис. 6 Атака SIP



Кроме традиционных мероприятий по борьбе с DOS (регулировка трафика на маршрутизаторе, настройка приложения и т.п.) специалисты рекомендуют выделять для VoIP отдельные сети (как реальные, так и виртуальные). Это даст дополнительный уровень безопасности, так как можно скрыть головой трафик от пользователей сети передачи данных и установить приоритет для VoIP, оптимально подобрав параметры QoS.

Также некоторую защиту можно организовать на уровне архитектуры сети, используя пограничные контроллеры сессий (SBC, session border controllers). Являясь единой точкой входа и анализируя пакеты в реальном времени, они способны не только предотвращать DDOS-атаки, распространение спама и вирусных эпидемий. Плюс некоторые реализации умеют шифровать трафик. Для смягчения атак на голосовой сервис можно использовать любой инструмент для защиты от DOS, например, утилита fail2ban в связке с iptables, способен остановить атакующего в том числе и пытающегося подобрать пароль к общедоступному сервису. Плюс мониторинг сетевой активности.

Не исключена, возможность использования программных ошибок для проникновения в систему и выполнения определенных действий - DOS, запись или прослушивание разговоров, звонки на платные сервисы, рассылка аудиоспама. Так, например, Asterisk первых версий имел множественные уязвимости, позволявшие удаленному пользователю провести DOS атаку или выполнить произвольный код в системе. Причем был реализован готовый эксплоит, что давало возможность реализовать такую атаку практически любому желающему. В интернет-телефонах компании Cisco также была найдена уязвимость (во встроенном веб-сервере, используемом для удаленного), позволяющая производить в конфигурации по умолчанию удаленную прослушку разговоров. Убытки, понесенные клиентами, уже исчисляются сотнями тысяч долларов. Несколько весьма серьезных ошибок нашли и периодически находят в Skype. И так практически в каждом приложении или железном устройстве. Поэтому использование подобного ПО, должно жестко контролироваться, а установленные программы обновляться и правильно настраиваться. Все неиспользуемые в настоящее время функции должны быть обязательно отключены, пароли по умолчанию меняться.

Рис.7 Пример публичного ресурса по предоставлению услуг SIP-flood.

Атаки на DNS - вид сетевой атаки злоумышленников, направленные на изменение работы DNS-сервера(ов)

Атаки на DNS можно условно разделить на категории.

Модификация кэша DNS (DNS cache poisoning)

Эта атака позволяет воздействовать на процесс разрешения имен двумя способами. При использовании первого способа взломщик устанавливает вредоносное программное обеспечение (руткит или вирус), которое должно контролировать локальный кэш DNS на машине клиента. После этого записи в локальном кэше DNS модифицируются для указания на другие IP-адреса.

Например, если браузер пытается получить доступ к сайту с адресом http://www.cnn.com/, вместо IP-адреса CNN он получает адрес, установленный программным обеспечением взломщика, который обычно ведет на сайт, расположенный на сервере, принадлежащем взломщику, и содержащий вредоносное программное обеспечение или оскорбляющее пользователя сообщение.

Второй, более опасный способ, заключается в том, что взломщик атакует DNS-сервер и модифицирует его локальный кэш, таким образом, все серверы, использующие этот сервер для разрешения имен, будут получать некорректные IP-адреса, что приведет в конечном счете к нарушению их работы и может закончиться потерей или похищением информации.

В очень редких случаях взломщики могут получить доступ к корневому DNS-серверу, который хранит основные записи корневых доменов, такие, как .com, .net или записи систем доменных имен отдельных стран. Взломщики могут модифицировать записи на этом сервере, при этом другие сервера получат измененные данные автоматически, что может привести к глобальным отключениям коммерческих сетевых служб и сайтов. Хотя подобные ситуации и очень редки, они происходят - не так давно подобной атакой была нарушена работа крупной социальной сети.

Подмена DNS-сервера (DNS hijacking)

Данная атака также часто применяется для модификации принципа работы систем DNS. В данном случае не производится каких-либо изменений в кэш DNS клиента, но совершаются изменения в настройках, после чего все запросы разрешения имен адресуются персональному DNS-серверу взломщика. Обычно данная атака ставит своей целью не похищение данных, а сбор статистики с клиентского устройства. Все запросы разрешения имен, отправляемые серверу взломщика, выполняются корректно, но при этом взломщик получает информацию сайтах, посещаемых клиентом.

Данная информация может быть использована впоследствии для показа клиенту контекстной рекламы. Некоторые взломщики используют перенаправление пользователей на свои сайты или поисковые системы для получения средств от рекламы или просто для похищения данных и использования приемов социальной инженерии. В случаях, когда данную особенность работы DNS невозможно использовать для получения персональной выгоды, она используется многими известными сайтами и интернет-провайдерами для сбора статистических данных о посещаемых пользователем ресурсах.

Спуфинг DNS-запросов (DNS spoofing)

Эта атака относится к атакам перехвата с участием человека, в ходе нее взломщик получает контроль над сетью, в которой работает DNS-сервер и модифицирует ARP-кэш при помощи спуфинга пакетов. Как только получен контроль над сетью уровня MAC-адресов, взломщик вычисляет IP-адрес DNS-сервера и начинает отслеживать и модифицировать запросы, предназначенные для этого сервера.

Все запросы из сети проходят через компьютер взломщика и достигают реального DNS-сервера. Эта атака может иметь серьезные последствия, так как все компьютеры в сети никоим образом не будут фиксировать факт атаки и будут отправлять все DNS-запросы на адрес компьютера взломщика.

Существует альтернативный способ этой атаки, называемый спуфингом идентификаторов DNS-запросов (DNS ID spoofing). Каждый DNS-запрос и ответ имеют уникальные идентификаторы, предназначенные для того, чтобы разделить между собой запросы, направленные DNS-серверу в одно и то же время. Эти уникальные идентификаторы зачастую формируются из MAC-адреса, даты и времени осуществления запроса и создаются стеком протоколов автоматически.

Взломщик использует сниффер для захвата одного или нескольких запросов и ответов с соответствующими им идентификаторами, после чего формирует запрос с соответствующим идентификатором и с подмененным IP-адресом. В результате этих действий в локальном кэше атакуемой системы сохраняется подмененный IP-адрес. После этого атакуемой системе может быть причинен ущерб путем размещения на сервере с указанным в запросе адресом вредоносного программного обеспечения.

Перезакрепление DNS (DNS rebinding)

Эта атака также имеет название "закрепление DNS" ("DNS pinnig") и является особо сложной атакой. В ходе нее взломщик сначала регистрирует свое собственное доменное имя, затем устанавливает минимальное значение времени жизни записей, которое предотвращает попадание информации об этом доменном имени в кэш.

Атаки отказа в обслуживании в отношении DNS (DNS denial of service)

Как мы узнали из первой статьи серии, бомбардировка потоком UDP- или TCP-пакетов порта 53 с запросами может привести сервер к отказу в обслуживании. Другим методом проведения этой атаки является атака потоком пинг-пакетов или TCP SYN-сегментов. Главной идеей, стоящей за этими действиями, является максимальное использование ресурсов сервера (центрального процессора и оперативной памяти) для того, чтобы сервер перестал отвечать на запросы. Хотя DNS-сервера и защищаются межсетевыми экранами, в том случае, если UDP-порты DNS не заблокированы для доступа из недоверенных сетей, система разрешения доменных имен становится доступной для данного типа атак.

Простой DNS-flood - разновидность UDP флуда, нацеленная на DNS сервис. В процессе DNS флуда на атакуемый DNS сервер направляется огромное количество DNS запросов(более 10000) с широкого диапазона IP-адресов. Сервер-жертва не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы. Таким образом, DNS флуд занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ. DNS флуд является очень продуманным видом DDoS-

атак: содержимое пакетов организовано точно так, как в реальных DNS запросах. Такую атаку невозможно отследить с помощью глубокого анализа: каждый запрос будет выглядеть легитимным. С большим диапазоном атакующих IP-адресов мошенник может с легкостью обойти большинство алгоритмов обнаружения аномалий трафика.

Амплификация (Amplification) - это усиление атаки с использованием сторонних серверов в сети интернет.



Рис. 8 Атака DNS

Благодаря асимметричному характеру, атака с помощью отраженных DNS-запросов позволяет создать эффект переполнения, имея в распоряжении ограниченные ресурсы. Данная атака часто применяема и называется DNS Amplification.

Современные службы DNS могут работать как по TCP, так и по UDP-протоколу, и по умолчанию на многих серверах сразу после развёртывания DNS они начинают работать как Open Resolver - сервер, через который можно получить информацию о записях любого домена, даже который он сам не обслуживает. По всему миру существуют миллионы таких серверов.

UDP протокол в отличие от TCP не устанавливает соединения при передаче данных, благодаря чему UDP запрос к DNS серверу очень легко подделать.

В итоге, все что нам нужно - это подменить адрес отправителя в UDP запросе к серверу DNS, и он в свою очередь отправит ответ на сервер жертвы, а не реальному отправителю. Чем короче имя домена, те меньше запрос к DNS серверу (он может быть всего 60-70 байт), ответ же в зависимости от количества записей домена может достигать 1500-2000 байт (а этих записей может быть специально создано огромное множество с большими значениями полей). Таким образом легко достигается 20-30 кратное усиление атаки.

Рис. 9 DNS-амплификация

Атаки, выполняемые посредством отраженных DNS-запросов, могут включать несколько уровней усиления:

Естественный - DNS-пакеты, направленные в ответ на запрос, во много раз больше пакетов, которые направлялись при запросе. Таким образом, даже самая стандартная атака может усилиться в 3-4 раза.

Выборочный - ответы на DNS-запросы не используются одинакового размера: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Более находчивый злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправленные запросы исключительно для этих доменных имен помогают атакующему достичь усиления атаки в 10 раз.

Установленный вручную - на высоком уровне злоумышленники могут разработать определенные домены, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достигать 100-кратного усиления.

При подобного рода атаках степень анонимности только увеличивается. Вместе с изменением SRC IP (сравнимо с простым флудом), данная атака совершается не прямым воздействием - запросы на атакуемый сервер направляются сторонним ресурсом.



2. Причины возникновения ddos-атак

Конкуренция. На данный момент набирает все больше популярность услуга проведения DDoS-атак на заказ. То есть, если возникает конкуренция - какая-нибудь фирма, которой не угоден конкурент, просто обращается к хакеру с задачей парализовать систему, с которой работают конкуренты, или парализовать работу внешних и внутренних ресурсов конкурирующей фирмы. В результате чего организовывается DDoS-атака на определенный срок и с определенной мощностью.

Мошенничество. Очень часто хакеры самостоятельно организовывают DDoS-атаки с целью получения доступа к ресурсу и блокировки системы. Если у пользователя не установлена защита от DDoS-атак, то хакер может полностью парализовать работу системы, а затем требовать некоторую сумму денег за разблокировку. Зачастую обычные пользователи соглашаются на условия хакеров, объясняя это тем, что простои в работе приводят к получению убытков, которые явно больше, чем сумма, указанная хакером.

Развлечение или забава. В связи с тем, что в последнее время все больше людей интересуются DDoS-атаками, многие начинающие злоумышленники осуществляют такие атаки ради развлечения или просто, чтобы проверить свои возможности.



3. Масштабные атаки

Как правило, именно DDoS атака применяется злоумышленниками для нанесения ущерба крупным организациям, госструктурам. Атаки подобного уровня за 5-7 лет стали обширнее, громаднее и интереснее, мощности которых исчисляются уже в несколько сотен гигабит в секунду (Гб/с).

Если говорить о Рунете - для хакеров, выбравших в качестве своей мишени сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Такие показатели стали новым рекордом для российского сегмента Глобальной сети - на 2012 год самая мощная DDoS-атака в Рунете не превышала порога в 60 Гб/с.

Во всемирной же сети мощности были и есть гораздо выше. И увеличиваются постоянно.

До некоторых пор считалось, что самый крупный DDOS в мире считается атака на организацию Spamhaus, которой предоставляет защиту компания CDN CloudFlare, после чего на себя и приняла атаку, в марте 2013 года.

С 18 по 21 марта атака варьировала мощность 90-100 Гб/с с периодическим прерыванием.

Что было заметно, но удалось достаточно быстро справиться с ней. И саму CloudFlare не смогли уронить. После чего мощность возросла до 120 Гб/с (22 марта) и атака плавно перетекала на провайдеров, которых обслуживала CloudFlare.

На 23 марта атакующие увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Провал хорошо виден на графике:



Часть пакетов была отфильтрована на уровне провайдеров Tier 2, а остальное было направлено провайдерам уровня Tier 1, где и была замечена мощность атаки 300 Гбит/с.

По мнению CloudFlare, в этой атаке не было ничего особенного, кроме её исключительной мощности. Технически она осуществлялась такими же методами, как и предыдущие атаки -- умножением трафика через открытые DNS-resolvers (DNS-рефлекция).

DNS-запросы чаще всего получают по протоколу UDP, где без труда происходит подмена заголовков с обратным IP-адреcом. Само собой, атакующие направляют к открытым DNS-resolvers поток DNS-запросов с IP-адресом жертвы, а resolvers отвечает на указанный адрес. Чтобы максимально усилить трафик, хакеры формируют запросы, которые требуют огромного объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.

Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 бaйта на один из открытых DNS-резолверов.

dig ANY isc.org x.x.x.x

Где x.x.x.x -- это IP-адрес резолвера. Ответ будет аж 3223 байта.

;; QUESTION SECTION:

;isc.org. IN ANY

;; ANSWER SECTION:

isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600

isc.org. 4084 IN A 149.20.64.42

isc.org. 4084 IN MX 10 mx.pao1.isc.org.

isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"

isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"

isc.org. 4084 IN AAAA 2001:4f8:0:2::d

isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.

isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF

isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=

isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd

isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"

……

;; ADDITIONAL SECTION:

mx.ams1.isc.org. 484 IN A 199.6.1.65

mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65

mx.pao1.isc.org. 484 IN A 149.20.64.53

mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b

_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.

;; Query time: 176 msec

;; SERVER: x.x.x.x#53(x.x.x.x)

;; WHEN: Tue Oct 30 01:14:32 2012

;; MSG SIZE rcvd: 3223

Таким образом, DDoS-атаку возможно усилить в 10 и более раз, умножая трафик при помощи DNS-резолверов. В данном случае усиление составляет 3223/64?50 раз. Любопытно, что в значительной мере усиление DDoS-атаки совершено благодаря большим ключам DNSSEC, которые включены в состав ответа, а ведь протокол DNSSEC применялся именно для повышения безопасности системы DNS.

Применяемые провайдерами серверы обычно имеют не малую пропускную способность, так что сгенерировать не один десяток гигабит в секунду для них -- доступная задача.

Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России. Данные резолверы эффективны для масштабной DDoS-атаки.

Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберпреступников одного из новых методов NTP Amplification.

Чуть позже (начало 2014 г) атака на CloudFlare совершилась с еще большей мощностью в 400 Гб/с. Если раннее была атака с умножением запросов через открытые DNS-резолверы, то тут ее можно считать первой ступенью к попытке отключения ресурса CloudFlare, а вот второй ступенью - воздействие посредством серверов NTP. Где так же используются DNS-резолверы, но с применением команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Таким образом, на запрос в 234 байта сервер высылает жертве UDP-пакеты общим объемом до 48 килобайт. Умножается трафик в 204 раза!

Владельцам стоит обновить версию до более поздней для устранения уязвимости NTP-серверов с командой monlist.

Со временем появились более интересные способы «вредного воздействия» на крупные ресурсы.

Большинство атак, зафиксированных компанией Arbor в отчетный период 2015 года, использовали технику отражения и усиления мусорного трафика. В качестве посредников в таких DDoS злоумышленники обычно задействовали устройства, работающие по протоколу NTP, SSDP или DNS.

Также, ввиду популярности устройств IoT (интернет вещей), появляются атаки, использующие этот самый IoT. Тем самым мощности атак с добавлением «новой фишки» увеличились.

Так известный журналист Брайан Кребс, размещая свой блог по ИБ - регулярно публикует результаты собственных расследований и разоблачает сетевых преступников, на серверах Akamai бесплатно, лишился размещения своего контента на ресурсах данного провайдера.

8 сентября 2016 года эксперт опубликовал в своем блоге обличающую статью о сервиcе DDoS-атак на заказ, vDos. Кребс рассказал, что операторы сервиса заработали более $600 000 за два года, произведя более 150 000 атак. Кроме того, журналист сумел установить личности хакеров, перечислил в статье IP-адреса серверов злоумышленников и описав работу vDos очень детально. Вскоре стало известно, что операторы vDos были арестованы в Израиле, а затем отпущены под залог. После этого сайт журналиста подвергся серии мощных DDoS-атак.

К 21 сентября 2016 года мощность атаки возросла до рекордных 665 Гб/с. Помогавший Кребсу Akamai в поддержке и устранении угрозы также не обошел воздействия на свои ресурсы. Отмечалось, что атака была весьма своеобразной, так как осуществлялась она посредством GRE-flood. При использовании GRE-пакетов есть проблемы с завышенным MTU, то есть при прохождении больших пакетов, в особенности «без фрагментации» пакеты будут дропаться, что отрицательно сказывается на работе ресурса. Также специалисты сообщили, что большинство мусорного трафика генерируют различные IoT-устройства: роутеры, IP-камеры, DVR и так далее.

После такого громадного удара на блог Кребса - в Akamai стало слишком накладно обслуживать ресурс, так как это повлекло бы за собой в дальнейшем отказ еще больших размеров и воздействие на клиентов компании (и возможная потеря клиентов). После событий блог Кребса покинул Akamai.

После атаки на Кребса последовало нападение на французского провайдера OVH, которым повезло меньше - мощность составляла 1 - 1.1 Тб/с!

Согласно заявлению основателя и руководителя OVH, Октава Клаба (Octave Klaba), атака была осуществлена посредством ботнета, состоящего более чем из 152 000 IoT-устройств, в том числе камер наблюдения и DVR. Глава крупнейшего в Европе хостинга писал, что данный бoтнет насчитывает 145 607 камер и способен генерировать атаки мощностью до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn.



За вторую половину 2016 года набирают популярность все больше и больше ботнеты с использованием IoT-устройств. Также наращивая соответственные мощности.

21 октября 2016 пользователи заметили странные перебои в работе множества сайтов. DNS-серверы крупного провайдера Dyn подверглись DDoS-атаке. В результате доступ к популярным сервисам вроде Twitter, Spotify, Paypal, Amazon и других был ограничен на несколько часов. Известно, что как минимум частично в атаке использовалась программа Mirai (позволяет создать ботнет из устройств «интернета вещей»), недавно выложенная в открытый доступ. Издание Fortune утверждает, что в DDoS-атаке виноваты сразу все: и хакеры, и производители оборудования, и обычные пользователи.

Специалисты сходятся во мнении, что DDoS-атака на Dyn -- дело рук хакеров-дилетантов; участие в инциденте спонсируемых государством хакеров маловероятно. Возможности провести масштабную DDoS-атаку доступны как мелким, так и крупным кибергруппировкам.

Исполнительный вице-президент по продукции Скотт Хилтон (Scott Hilton) опубликовал отчет, в котором сказано, что сначала в 7 утра в пятницу на платформу управляемых DNS-услуг были осуществлены две масштабные атаки в Европе, Азии и Южной Америке, затем более мощной атаке подверглось Восточное побережье США. На порт 53 был направлен мусорный UDP- и TCP-трафик с огромного количества IP-адресов.

Dyn удалось подавить первую волну атаки, но через четыре часа пришла вторая волна DDoS-трафика глобального масштаба, справиться с которой удалось только через три часа. Однако действия по подавлению DDoS имели побочный эффект: из-за этого рекурсивные DNS-сервера начали массово отправлять повторные запросы и пытаться обновить кэш. Эти процессы, пояснил Хилтон, увеличили и без того внушительный объем трафика в 10-20 раз. «Когда возникает «затор» в передаче DNS-трафика, легитимные повторные запросы могут увеличить мощность атаки. Очевидно, атаки исходили по крайней мере с одного ботнета, а избыток повторных запросов послужил ложным сигналом о том, что в атаке участвовало намного больше оконечных точек, чем казалось. Источником атаки, как и предполагалось, являлся IoT-ботнет Mirai; по оценке Dyn, в пятничной атаке участвовали до 100 тыс. ботов. В основном трафик атаки состоял из избыточных TCP-пакетов -- объем TCP-трафика превышал привычный в 40-50 раз, подчеркнули в Dyn. В эти подсчеты даже не входит DDoS-трафик, отраженный при помощи защитных решений Dyn и провайдеров более низкого порядка. Была информация - мощность атаки достигала 1,2 Тбит/с -- на сегодня является рекордным показателем.



Рис. 10 Тепловая карта отключений, вызванных атакой на Dyn

Компания Arbor Networks в это время занялась изучением ботнета Mirai и смогла определить возможности, доступные киберпреступникам, берущим его «напрокат». Платформа адаптируется под нужды клиента; ее можно настроить для генерации потоков UDP-, SYN- и ACK-пакетов, а также для DDoS-атак на уровне приложений (HTTP) или атак типа «пытка водой» (DNS Water Torture Attack, атака с добавлением в начало запрашиваемого имени домена псевдослучайных букв). Изначальный ботнет Mirai располагает от 500 тыс. до 550 тыс. узлов, и его можно сегментировать для одновременных атак на несколько целей.

Для этого нужны специальные возможности. Mirai предоставляет мощность и возможности конфигурации всем пользователям. Пока неизвестно, во сколько обойдется аренда Mirai, но выгода такого вложения в долгосрочной перспективе неоспорима. Организовать DDoS-атаку недорого. Но отражение атак обходится весьма дорого для организаций.

Брайан Кребс отмечает, что зачастую производители оборудования позволяют пользователям сменить стандартные пароли для веб-доступа, но оставляют возможность доступа в обход -- при помощи протоколов SSH или Telnet. Поэтому, как пишет Брайан Кребс, до тех пор пока компании не придут к какому-то стандарту безопасности при изготовлении устройств «интернета вещей», число уязвимых устройств будет только расти, и они продолжат нести угрозу интернету.



4. Защита от ddos-атак

Методы противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Предотвращение

Необходимо проводить профилактики причин, которые приводят к необходимости тем или иным лицам предпринимать DDoS-атаки. Личная неприязнь, конкуренция, религиозные или иные разногласия, а также многие другие факторы могут стать причиной такой атаки. Если вовремя устранить причины таких атак и сделать соответствующие выводы, то в дальнейшем удастся избежать повторения ситуации. Данный метод нацелен на защиту от практически любых DDoS-атак, так как является управленческим, а не техническим решением.

Ответные меры

Необходимо проводить активные меры по воздействию на источники или организатора атак, используя как технические, так и организационно-правовые методы. Некоторые фирмы предоставляют сервис поиска организатора атак, который позволяет вычислить не только человека, проводящего атаку, но и заказчика данной атаки.

Специализированное программное и аппаратное обеспечение

Сейчас многие производители программного и аппаратного обеспечения предлагают готовые решения для защиты от DDoS-атак. Такое программное и аппаратное обеспечение может выглядеть как небольшой сервер, который позволяет защититься от слабых и средних DDoS-атак, нацеленных на малый и средний бизнес, так и целый комплекс, позволяющий защитить от серьезных атак крупные предприятия и госучреждения.

Фильтрация

Фильтрация и блокировка трафика, исходящего от атакующих машин позволяет снизить или вовсе загасить атаку. При использовании этого метода входящий трафик фильтруется в соответствии с теми или иными правилами, заданными при установке фильтров.

Можно выделить два способа фильтрации: маршрутизация по спискам ACL и использование межсетевых экранов.

Использование списков ACL позволяет фильтровать второстепенные протоколы, не затрагивая при этом протоколы TCP и не замедляя скорость работы пользователей с ресурсом. Однако, при использовании злоумышленниками первостепенных запросов или ботнета, данный способ фильтрации окажется неэффективным.

Межсетевые экраны являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей.

Обратный DDoS

Перенаправление трафика на атакующего при достаточных серверных мощностях позволяет не только успешно преодолеть атаку, но и вывести из строя оборудование атакующего. Данный тип защиты невозможно применить при ошибках в программном коде операционных систем, системных служб или веб-приложений.

Устранение уязвимостей

Данный тип защиты нацелен на устранение ошибок в тех или иных системах или службах (исправление эксплоитов, установка обновлений на операционную систему и т.п ). Соответственно, такой метод защиты не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.

Наращивание ресурсов

Не дает абсолютной защиты, но позволяет использовать другие виды защиты от DDoS атак. Имея современное программное и аппаратное обеспечение, вы можете удачно справиться с DDoS-атакой, направленной на конечность системных ресурсов.

Построение распределенных систем

Построение распределенных и дублирующих систем позволяет обслуживать пользователей, даже если некоторые узлы становятся недоступны из-за DDoS-атак. Рекомендуется строить распределенные системы, используя не только различное сетевое или серверное оборудование, но и физически разносить сервисы по разным дата-центрам. Также возможна установка дублирующей системы (критических узлов, резервных копий) на территории других государств, что позволит сохранить важную информацию даже при пожаре в дата-центре или стихийном бедствии. Распределенные системы позволяют справиться практически с любым типом атак при правильном архитектурном проектировании.

Уклонение

Вывод непосредственной цели атаки (ip-адрес или доменное имя) от других ресурсов, которые также могут подвергаться атаки вместе с целью. Иначе говоря, необходимо разделить атакуемые ресурсы и другие рабочие ресурсы, которые расположены на одной площадке. Оптимальным является решение по разделению на внешние и внутренние ресурсы и вывод внешних ресурсов на другое сетевое оборудование, другой дата-центр или даже территорию другого государства. Это позволит сохранить внутреннюю ИТ-структуру даже при самой интенсивной DDoS-атаке на внешние ресурсы.

Мониторинг

Установка системы мониторинга и оповещения, которая позволит вычислить DDoS-атаку по определенным критериям. Мониторинг напрямую не может защитить атакуемую систему, но позволяет вовремя среагировать и принять соответствующие меры.

Выше описанные способы могу организовываться внутри компании самостоятельно или же прибегают к средствам от DDoS, предоставляемые сторонними организациями по защите от сетевых угроз. Как правило, второе более выгодный и эффективный способ.

Сейчас многие крупные компании предлагают предоставление как постоянного, так и временного сервиса по защите от DDoS-атак. Данный метод позволяет защититься от многих типов DDoS-атак, используя целый комплекс механизмов фильтрации нежелательного трафика к атакующим серверам.



5. Средства защиты

На сегодняшний день существуют огромное количество средств защиты от сетевых угроз различного вида.

Рынок славится обилием интересных продуктов от различных компаний. Пальцев точно не хватит перечислить их множество, да и в рамках данной работы не получиться уместить это многообразие. Однако, считаю, что стоит выделить особо интересные продукты, имеющие солидный масштаб, огромный ресурс для охраны «сетевого мира» от злоумышленников. Данные продукты себя зарекомендовали своими возможностями. Стали популярны и используются многими и не первый год. При этом улучшая свои способности постоянно.

Перейдем к конкретике. В дипломной работе мы осветим 3 продукта различных организаций, вышедшие на свет из разных стран нашего большого информационного мира:

...