 |
|
|
|
Взгляд изнутри: как работает механизм защиты от DDoS в решении Kaspersky DDoS Prevention
Взгляд изнутри: О DDoS-атаках слышно нечасто, какой-либо резонанс получают лишь громкие инциденты. Из-за этого может сложиться впечатление, что DDoS – это нечастое явление. Однако этодалеко не так Как свидетельствуют данные, собранные «Лабораторией Касперского», в 2015 году DDoS-атакам подверглась каждая шестая компания в России, а сама страна оказалась в первой пятерке государств, чьи веб-ресурсы вызывали наибольший интерес у киберзлоумышленников. При этом большинство организаций, несущих реальные убытки от таких атак, предпочитает решать свои проблемы молча, не привлекая внимания правоохранительных органов и СМИ. В результате это бездействие лишь развязывает руки злоумышленникам, которые ввиду своей безнаказанности продолжают активно использовать DDoS в своих преступных целях. Подобные атаки стали реальной угрозой как крупному, так и малому бизнесу, а также государственным объектам информационной инфраструктуры. Помимо этого, в зоне риска находятся СМИ, особенно интернет-издания, страницы политических и общественных организаций, популярных персон. DDoS-атаки фактически превратились в кибероружие, истоимость его применения со временем снижается. Технические средства организации атак сегодня достаточно легкодоступны. Например, ими пользуются даже школьники, которые в прошлом году пытались сделать неработоспособным образовательный портал Республики Татарстан для того, чтобы скрыть от родителей свои оценки. Принимая во внимание простоту организации DDoS-атак и повсеместное распространение этой угрозы, организациям следует позаботиться о надлежащей защите. Причем отрешения, призванного противодействовать DDoS-атакам, требуется мгновенная реакция при старте атаки, информирование ответственных сотрудников компании, возможность реакции на новые средства, примененные в атаке. Основным результатом отражения атаки должно быть непрерывное продолжение функционирования веб-ресурса дляпользователей, составляющих его целевую аудиторию. Подобное решение уже давно предлагает «Лаборатория Касперского». Основная суть работы сервиса Kaspersky DDoS Prevention заключается в том, что в обычных условиях весь входящий интернет-трафик, поступающий в периметр защищаемой информационной системы, идет напрямую, без использования защитного решения. Но при этом отражается наспециальный сенсор, представляющий собой отдельный сервер, физический или виртуальный, с помощью которого идет оценка входящего трафика. Сенсор устанавливается какможно ближе к защищаемым ресурсам для повышения точности анализа проходящего трафика. В случае обнаружения атаки трафик перенаправляется таким образом, что, прежде чем попасть в защищаемый периметр, проходит через центр фильтрации Kaspersky Prevention Server и приходит в информационную систему уже очищенным. Фильтруемый трафик при этом подвергается дополнительной проверке на ложные срабатывания. После отражения атаки и ее завершения трафик снова начинает поступать напрямую в информационную систему клиента. Схема функционирования Kaspersky DDoS Prevention Сенсор Kaspersky DDoS Prevention подключается к входящему трафику посредством SPAN-порта. SPAN-порты, по сути, занимаются дублированием трафика для его дальнейшего анализа. Трафик, проходящий через сенсор Kaspersky DDoS Prevention, анализируется в центре очистки автоматически, а также контролируется дежурным аналитиком.
Рисунок 1. Схема функционирования Kaspersky DDoS Prevention Перенаправление трафика в центр очистки при использовании Kaspersky DDoS Prevention может осуществляться двумя методами: либо через протокол динамической маршрутизации BGP (Border Gateway Protocol), либо путем изменения DNS-записи. Вариант BGP возможен, если защищаемые ресурсы находятся в провайдеро-независимой сети IP-адресов. DNS-вариант возможен, если защищаемые ресурсы находятся внутри доменной зоны, находящейся под внутренним управлением компании, а значение параметра TTL (англ. Time to Live, «время жизни») для DNS-записей составляет 5 минут. Необходимо иметь в виду, что BGP-перенаправление в случае начала DDoS-атаки срабатывает быстрее, поэтому является более предпочтительным. При использовании любого из этих механизмов для передачи трафика в центр очистки Kaspersky DDoS Prevention и после этого на площадку защищаемого объекта задействуются виртуальные GRE-туннели. Они обеспечивают передачу входящего трафика через центр очистки таким образом, чтобы для внешних клиентов (пользователей) защищаемой информационной системы это было незаметно, т.е. по всем признакам так, как это происходило бы при подключении напрямую. Если говорить о каждом из механизмов подробнее, то при перенаправлении трафика посредством BGP в режиме мониторинга весь трафик направляется напрямую в защищаемый периметр. Маршрутизаторы Kaspersky DDoS Prevention и маршрутизаторы защищаемого объекта постоянно обмениваются информацией о статусе соединения. При этом виртуальные GRE-туннели постоянно находятся в активном состоянии, готовые в любой момент принять перенаправленный трафик. Во время атаки, когда сенсор «Лаборатории Касперского» находит в трафике аномалию, можно перенаправить трафик на центр очистки Kaspersky DDoS Prevention, при этом сенсор продолжает работать и отслеживать текущую ситуацию. После окончания атаки трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.
Рисунок 2. Перенаправление трафика. Переключение по BGP При перенаправлении трафика посредством DNS «Лаборатория Касперского» выделяет для защищаемого объекта специальный пул IP-адресов Kaspersky DDoS Prevention, который используется во время атаки. Во время ее возникновения компания имеет возможность изменить IP-адреса своих защищаемых ресурсов в DNS-записи. При этом защищаемые ресурсы начинают использовать IP-адреса Kaspersky DDoS Prevention. Поскольку злоумышленники могут атаковать непосредственно IP-адреса защищаемых ресурсов, то на время атаки интернет-провайдер компании блокирует весь трафик, идущий на эти адреса, за исключением связи с инфраструктурой сервиса Kaspersky DDoS Prevention. После окончания атаки объект восстанавливает исходную DNS-запись, и трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.
Рисунок 3. Перенаправление трафика. Переключение по DNS Подчеркнем, что для работы Kaspersky DDoS Prevention нет необходимости включать на постоянной основе в цепочку прохождения трафика дополнительные элементы (аппаратно-программные комплексы, программные агенты и пр.), необходимо лишь дублировать трафик на сенсор «Лаборатории Касперского», который работает в стороне от основной инфраструктуры предприятия-клиента. Таким образом, при отсутствии атак, в режиме мониторинга, защищаемые ресурсы работают ровно по такой же схеме, что и безиспользования Kaspersky DDoS Prevention,. Участие же в мониторинге трафика специалистов «Лаборатории Касперского» позволяет проявлять индивидуальный подход к каждой компании. В частности, дежурные аналитики при необходимости оповещают технических специалистов защищаемых ресурсов о начале DDoS-атаки, а также в случае необходимости разрабатывают индивидуальные сигнатуры для фильтрации трафика. В целом организация сервиса Kaspersky DDoS Prevention позволяет ему постоянно развиваться в соответствии с тем, как изменяются параметры DDoS-атак, проявлять индивидуальный подход к каждому ресурсу, не мешать нормальной работе защищаемых объектов и практически бесшовно отражать DDoS-атаки всех известных на сегодняшний день типов. |
АЛЕКСЕЙ КИСЕЛЕВ, менеджер проекта Kaspersky DDoS Prevention
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
