Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

16 октября 2012 года самарская компания «Вебзавод» организовала презентацию продукта «Лаборатории Касперского» DDoS Prevention.

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г. Фото: Владислав Бояров.

Представлял продукт менеджер этого проекта Алексей Афанасьев, более 10 лет проработавший в области информационной безопасности: в его послужном списке компании Aladdin, Cisco и S-Terra CSP. Алексей окончил МВТУ им. Баумана, кафедра «ЭВМ, Комплексы, Системы и Сети».

Алексей Афанасьев. Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г. Фото: Владислав Бояров.

Как и следует из названия, Kaspersky DDoS Prevention предназначен для обеспечения защиты сетевых ресурсов от распространённых атак типа «отказ в обслуживании», применяющихся современными киберпреступниками. Отличие DDoS-атак от всех остальных способов нанесения ущерба информационным ресурсам заключается в том, что защититься от них традиционными методами практически невозможно. Если говорить техническим языком, то для этого следует стать самим себе интернет-провайдером с парком специального оборудования и штатом обученных людей. Если образно: то построить стену такой высоты, для которой у злоумышленников не нашлось бы лестницы – таких стен никто никогда не строит.

Не хочу рассматривать здесь мотивы злоумышленников – к технической стороне они не имеют отношения. Будет ли это нечестным способом экономического соперничества, политической борьбы или месть, в рассматриваемом разрезе это значения не имеет.

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г.

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г.

Ключевой в аббревиатуре DDoS (Distributed Denial of Service) является первая буква D. Атака является распределённой, то есть успех ей обусловлен не столько наличием хитроумного кода, сколько количеством компьютеров, с которых отправляются запросы и интенсивностью этих запросов. Отсюда ясно, что подготовка к DDoS-атаке заключается в заражении как можно большего количества компьютеров специальными ботами. Важно, что сами заражённые компьютеры от ботов не страдают, их хозяева не проявляют никакого беспокойства, поэтому процесс заражения может проходить достаточно долго, а количество заражённых компьютеров достигнуть значительной величины. В какой-то момент времени все заражённые компьютеры начинают бомбардировать свою жертву запросами. В частности, это может быть запрос о регистрации на сайте.

Способы противодействия регистрации роботов известны, наиболее популярным из них является CAPTCHA (Completely Automated Public Turing test to tell Computers and HumansApart) – полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей). Но цель DDoS-атаки вовсе не в том, чтобы зарегистрироваться в системе, а чтобы вынудить её генерить картинки капчи, формировать формы регистрации с такой интенсивностью, чтобы на это ушли все ресурсы системы, создалась очередь запросов от ботов, в которой людям выстоять просто нереально.

Решить это проблему можно, установив «на входе» специализированный сервер, обладающий как высокой пропускной способностью, так и вычислительной мощностью. Такие серверы, обеспечивающие интеллектуальную фильтрацию трафика, предлагает сегодня на российском рынке компания Crossbeam RT. В этом случае запрос от бота будет отсечён в самом начале и не потребует расходования ресурсов основной системы. Однако сам такой сервер недёшев и его использование будет оправдано только в том случае, если вместе с фильтрацией трафика требуются другие функции, например, перекодирование видео или шифрование. Но и такой специализированный сервер «разумной производительности» тоже «не резиновый», поэтому при достижении определённого уровня интенсивности запросов всё равно захлебнётся. Устанавливать же сервер с запасом на много порядков (а в случае DDoS-атак счёт идёт именно на порядки, а не на проценты) тоже не оправдано.

К тому же DDoS-атаки могут быть организованы ещё проще: запросы будут вообще бессмысленны, или это будут даже не запросы, а некий мусорный трафик. Здесь есть очень интересный момент: в то время, как пропускная способность сетевых компонентов обычно указывается в Мбит/с, значение имеет также количество обработанных пакетов. Это примерно как пойманную рыбу можно считать и по весу, и по головам, а даже самую мелкую приходится подсечь, вытащить из воды и снять с крючка.

Таким образом, все DDoS-атаки можно разделить на 3 категории:

  • Исчерпание полосы пропускания.
  • Исчерпание мощностей коммутационного оборудования.
  • Исчерпание вычислительных мощностей.

Общий смысл таков: поскольку DDoS-атаки примитивны по своей сути, то и гарантированно противостоять им можно только столь же тупо наращивая производительность и пропускную способность оборудования в надежде, что их интенсивность не достигнет опасных для оборудования величин. Способ, который могут себе позволить очень немногие, и стоимость реализации которого гарантированно (затраты на закупку оборудования вырастут минимум на порядок, а с учётом затрат на обслуживающий персонал и электроэнергию цифры будут безумными) больше ущерба от DDoS-атаки.

Отсюда и вывод: никакое средство, установленное на площадке клиента, не сможет защитить ресурс от DDoS-атак. Не делает этого и Kaspersky DDoS Prevention. Он защищает ресурс совсем другим способом – перенося схватку с ресурса клиента на свою территорию.

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г.

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г.

Сразу следует отметить, что переадресация трафика и его очистка производятся не постоянно: это не бесплатно со всех точек зрения. Одним из важных компонентов Kaspersky DDoS Prevention является сенсор, стоящий на стороне клиента и анализирующий большое количество параметров трафика: общий объём входящего и исходящего, количество входящих и исходящих пакетов, SYN-рейтинг, и прочие. При этом даже при аномальном поведении Kaspersky DDoS Prevention не производит автоматическую переадресацию трафика, а генерирует сообщение системному администратору, который уже и принимает окончательное решение. Атакующие, как и защитники люди, поэтому отражение атаки – по сути, создание максимально эффективной фильтрации активности реальных пользователей от ботов – в «Лаборатории Касперского» ведут опытные аналитики. Такой подход обеспечивает высокую степень очистки трафика от паразитной составляющей:

Презентация продукта «Лаборатории Касперского» DDoS Prevention. Самара. 16 октября 2012 г.

Средняя продолжительность DDoS-атак составляет 16 часов 24 минуты, самая протяжённая из зафиксированных составила более 3 месяцев.

Особенно порадовало меня в докладе г-на Афанасьева сообщение о том, что «Лаборатория Касперского» не только защищается от злоумышленников, но и активно взаимодействует с правоохранительными органами, предоставляя им исчерпывающую информацию о проведении атак на ресурсы Поэтому клиенты Kaspersky DDoS Prevention не только надёжно защищают себя от DDoS-атак, но и участвуют в благородном деле искоренения киберпреступности.

Искусственный интеллект от Intel: мечты и реальность

Искусственный интеллект от Intel: мечты и реальность. Статья Владислава Боярова

Acer Switch Alpha 12 SA5-271 – инженерное чудо

Acer Switch Alpha 12 SA5-271 – инженерное чудо. Статья Владислава Боярова