16 октября 2012 года самарская компания «Вебзавод» организовала презентацию продукта «Лаборатории Касперского» DDoS Prevention.
Представлял продукт менеджер этого проекта Алексей Афанасьев, более 10 лет проработавший в области информационной безопасности: в его послужном списке компании Aladdin, Cisco и S-Terra CSP. Алексей окончил МВТУ им. Баумана, кафедра «ЭВМ, Комплексы, Системы и Сети».
Как и следует из названия, Kaspersky DDoS Prevention предназначен для обеспечения защиты сетевых ресурсов от распространённых атак типа «отказ в обслуживании», применяющихся современными киберпреступниками. Отличие DDoS-атак от всех остальных способов нанесения ущерба информационным ресурсам заключается в том, что защититься от них традиционными методами практически невозможно. Если говорить техническим языком, то для этого следует стать самим себе интернет-провайдером с парком специального оборудования и штатом обученных людей. Если образно: то построить стену такой высоты, для которой у злоумышленников не нашлось бы лестницы – таких стен никто никогда не строит.
Не хочу рассматривать здесь мотивы злоумышленников – к технической стороне они не имеют отношения. Будет ли это нечестным способом экономического соперничества, политической борьбы или месть, в рассматриваемом разрезе это значения не имеет.
Ключевой в аббревиатуре DDoS (Distributed Denial of Service) является первая буква D. Атака является распределённой, то есть успех ей обусловлен не столько наличием хитроумного кода, сколько количеством компьютеров, с которых отправляются запросы и интенсивностью этих запросов. Отсюда ясно, что подготовка к DDoS-атаке заключается в заражении как можно большего количества компьютеров специальными ботами. Важно, что сами заражённые компьютеры от ботов не страдают, их хозяева не проявляют никакого беспокойства, поэтому процесс заражения может проходить достаточно долго, а количество заражённых компьютеров достигнуть значительной величины. В какой-то момент времени все заражённые компьютеры начинают бомбардировать свою жертву запросами. В частности, это может быть запрос о регистрации на сайте.
Способы противодействия регистрации роботов известны, наиболее популярным из них является CAPTCHA (Completely Automated Public Turing test to tell Computers and HumansApart) – полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей). Но цель DDoS-атаки вовсе не в том, чтобы зарегистрироваться в системе, а чтобы вынудить её генерить картинки капчи, формировать формы регистрации с такой интенсивностью, чтобы на это ушли все ресурсы системы, создалась очередь запросов от ботов, в которой людям выстоять просто нереально.
Решить это проблему можно, установив «на входе» специализированный сервер, обладающий как высокой пропускной способностью, так и вычислительной мощностью. Такие серверы, обеспечивающие интеллектуальную фильтрацию трафика, предлагает сегодня на российском рынке компания Crossbeam RT. В этом случае запрос от бота будет отсечён в самом начале и не потребует расходования ресурсов основной системы. Однако сам такой сервер недёшев и его использование будет оправдано только в том случае, если вместе с фильтрацией трафика требуются другие функции, например, перекодирование видео или шифрование. Но и такой специализированный сервер «разумной производительности» тоже «не резиновый», поэтому при достижении определённого уровня интенсивности запросов всё равно захлебнётся. Устанавливать же сервер с запасом на много порядков (а в случае DDoS-атак счёт идёт именно на порядки, а не на проценты) тоже не оправдано.
К тому же DDoS-атаки могут быть организованы ещё проще: запросы будут вообще бессмысленны, или это будут даже не запросы, а некий мусорный трафик. Здесь есть очень интересный момент: в то время, как пропускная способность сетевых компонентов обычно указывается в Мбит/с, значение имеет также количество обработанных пакетов. Это примерно как пойманную рыбу можно считать и по весу, и по головам, а даже самую мелкую приходится подсечь, вытащить из воды и снять с крючка.
Таким образом, все DDoS-атаки можно разделить на 3 категории:
- Исчерпание полосы пропускания.
- Исчерпание мощностей коммутационного оборудования.
- Исчерпание вычислительных мощностей.
Общий смысл таков: поскольку DDoS-атаки примитивны по своей сути, то и гарантированно противостоять им можно только столь же тупо наращивая производительность и пропускную способность оборудования в надежде, что их интенсивность не достигнет опасных для оборудования величин. Способ, который могут себе позволить очень немногие, и стоимость реализации которого гарантированно (затраты на закупку оборудования вырастут минимум на порядок, а с учётом затрат на обслуживающий персонал и электроэнергию цифры будут безумными) больше ущерба от DDoS-атаки.
Отсюда и вывод: никакое средство, установленное на площадке клиента, не сможет защитить ресурс от DDoS-атак. Не делает этого и Kaspersky DDoS Prevention. Он защищает ресурс совсем другим способом – перенося схватку с ресурса клиента на свою территорию.
Сразу следует отметить, что переадресация трафика и его очистка производятся не постоянно: это не бесплатно со всех точек зрения. Одним из важных компонентов Kaspersky DDoS Prevention является сенсор, стоящий на стороне клиента и анализирующий большое количество параметров трафика: общий объём входящего и исходящего, количество входящих и исходящих пакетов, SYN-рейтинг, и прочие. При этом даже при аномальном поведении Kaspersky DDoS Prevention не производит автоматическую переадресацию трафика, а генерирует сообщение системному администратору, который уже и принимает окончательное решение. Атакующие, как и защитники люди, поэтому отражение атаки – по сути, создание максимально эффективной фильтрации активности реальных пользователей от ботов – в «Лаборатории Касперского» ведут опытные аналитики. Такой подход обеспечивает высокую степень очистки трафика от паразитной составляющей:
Средняя продолжительность DDoS-атак составляет 16 часов 24 минуты, самая протяжённая из зафиксированных составила более 3 месяцев.
Особенно порадовало меня в докладе г-на Афанасьева сообщение о том, что «Лаборатория Касперского» не только защищается от злоумышленников, но и активно взаимодействует с правоохранительными органами, предоставляя им исчерпывающую информацию о проведении атак на ресурсы Поэтому клиенты Kaspersky DDoS Prevention не только надёжно защищают себя от DDoS-атак, но и участвуют в благородном деле искоренения киберпреступности.