Розподiленi мережевi атаки

Головна Огляди Розподiленi мережевi атаки

10.09.2019

Приблизно 20 років тому з’явився такий різновид атак як DoS або атака типу «відмова в обслуговуванні». Згодом DoS переріс на DDoS, тобто фактично «розподілений DoS» – атака спровокована не одним атакуючим, а розподіленою мережею.

На той момент, а саме у 90-ті роки, навряд чи можна було правильно оцінити появу такої нової «кіберзброї», з огляду на невелику потужність тогочасних інформаційних систем. Але дуже швидко відбувся прорив у створенні веб-сервісів і великих хмарних платформ, які дали змогу без проблем адаптувати попит на якісні інфопослуги та великі обсяги обробки даних.

Забезпечення безперебійної роботи

Із плином часу важливість відмовостійкості сервісів і послуг зросла до максимального рівня. Навіть простий NTP мусить мати захист і працювати максимально ефективно, що з практичного боку є певним рішенням для забезпечення безперебійної роботи. Якщо згадати найпростішу атаку — ICMP flood, яку створено для максимального завантаження смуги пропуску, та подивитися на сутність нових DoS-атак, то фактично різниця невелика. Мета зловмисника, який цю атаку продукує, єдина — зупинити роботу сервісу. І на сьогодні цього вдалося досягти, навіть більше — зробити з цих атак цілу індустрію у сфері кіберзлочинності.

Сьогодні створення цілеспрямованої атаки, що спроможна створити відмову в обслуговуванні навіть доволі ресурсомісткого сервісу, — це питання кількох сотень доларів. DoS-атаки настільки популярні та прості у використанні, що їх можуть запустити навіть люди, які не мають досвіду в кібербезпеці. Це сприяє формуванню певного остраху — стати в найближчому майбутньому жертвою кіберзлочинців. І недарма! Бо вже 2018 року було зареєстровано найбільшу за всю історію DDoS — 1,7 Тбіт/с. Не беручи до уваги великомасштабних атак, у світі також є менші за потужністю, але не менш руйнівні за сутністю кіберзлочини.

Найшвидше детектування

Зважаючи на те, що принцип бізнесу — не долати наслідки, а запобігати причинам, компанія Radware винайшла рішення, яке максимально позитивно себе зарекомендувало у світі захисту від DDoS-атак, — Radware DefensePro. Саме цей продукт останнім часом набирає дедалі більше популярності, й у 2019 році його було визнано компанією IDC за версією MarketScape найкращим з-поміж DDoS-захисту та відзначено, що «детектування атаки є найшвидшим».

Про особливості

Серед особливостей DefensePro треба зазначити велику кількість алгоритмів, за допомогою яких з-поміж великого обсягу трафіка можна виявити саме атаку типу «відмова в обслуговуванні». Справа в тому, що не завжди звичайний ICMP/TCP SYN flood — це те, що використовують кіберзлочинці. Часто атака може бути розтягнута за часом на день чи більший період, так звана Burst-атака, і стандартні методи боротьби, типу відправка SYN challenge або в принципі детектування даної активності — не працюють. Саме DefensePro і є тим проактивним захистом, що дає змогу впродовж усього циклу атаки створити антидію в режимі реального часу.

Найпривабливіше рішення

Цей механізм є ключовим у цьому продукті. Насправді, тут йдеться про сигнатури, але не в класичному розумінні, а в сенсі створення прототипу трафіку. Алгоритми, які дають змогу цього досягти, якраз і є основою роботи даного рішення.

Відповідно, імплементація цих механізмів має три варіанти — фізичний пристрій зі спеціалізованим ПЗ, віртуальна машина або найбільш цікавий варіант — інтеграція із Cisco Firepower. Саме інтеграція рішення компанії Radware із повноцінним Next-Generation Firewall і є найбільш привабливою. По-перше, з погляду єдиної робочої одиниці у вигляді Firepower із додатковим образом Radware; по-друге, можливість виділення необхідної кількості ресурсів для роботи захисту від DDoS, і насамкінець — можливість додаткового захисту в межах єдиного пристрою.