Masívne útoky ddos. Nové masívne útoky DDoS

Nestabilná ekonomická situácia za posledné dva roky viedla k výraznému zvýšeniu úrovne konkurencie na trhu, v dôsledku čoho sa zvýšila popularita útokov DDoS - efektívna metóda spôsobiť ekonomické škody.

V roku 2016 sa počet komerčných objednávok na organizovanie útokov DDoS niekoľkokrát zvýšil. Masívne útoky DDoS sa presunuli z oblasti cieleného politického vplyvu, ako to bolo napríklad v roku 2014, do segmentu masového podnikania. Hlavnou úlohou počítačových zločincov je čo najrýchlejšie a s minimálnymi nákladmi zneprístupniť zdroj, aby zaň získal peniaze od konkurencie, aby si zabezpečil podmienky na vydieranie atď. Stále častejšie sa používajú útoky DDoS, ktoré stimuluje hľadanie stále väčších a rozsiahlejších spôsobov ochrany podnikania.

Počet útokov zároveň stále rastie, a to aj napriek pozoruhodným úspechom v boji proti DDoS. Podľa spoločnosti Qrator Labs sa v roku 2015 počet útokov DDoS zvýšil o 100%. A nie je sa čomu čudovať, pretože ich náklady klesli na zhruba 5 dolárov za hodinu a nástroje na ich implementáciu vstúpili na masívny čierny trh. Tu sú niektoré z hlavných trendov útokov distribuovaného odmietnutia služby, ktoré sa prognózujú na niekoľko nasledujúcich rokov.

Útoky zosilnenia UDP

K útokom navrhnutým na vyčerpanie kapacity kanála patrí zosilnenie UDP. Takéto incidenty boli najčastejšími v roku 2014 a stali sa svetlým trendom v roku 2015. Ich počet však už dosiahol vrchol a postupne klesá - zdroje na uskutočnenie takýchto útokov sú nielen obmedzené, ale aj výrazne klesajú.

Zosilňovač je verejná služba UDP, ktorá funguje bez autentifikácie a ktorá dokáže odoslať oveľa väčšiu odpoveď na malú požiadavku. Útočník odoslaním takýchto žiadostí nahradí svoju IP adresu IP adresou obete. Výsledkom je, že návratnosť výrazne presahuje priepustnosť kanál útočníka je presmerovaný na webový zdroj obete. Na nevedomú účasť na útokoch sa používajú servery DNS, NTP, SSDP a ďalšie.

Útoky L7 na webové aplikácie

V súvislosti so znížením počtu zosilňovačov sa opäť dostáva do popredia organizácia útokov na webové aplikácie na úrovni L7 pomocou klasických botnetov. Ako viete, botnet je schopný vykonávať sieťové útoky pomocou vzdialených príkazov a majitelia infikovaných počítačov si to možno ani neuvedomujú. V dôsledku preťaženia služby požiadavkami „odpadkov“ zostávajú požiadavky od legitímnych používateľov spravidla nezodpovedané alebo je na reakcie potrebný neprimerane dlhý čas.

Botnety sú dnes čoraz inteligentnejšie. Pri organizovaní zodpovedajúcich útokov je podporovaná technológia zásobníka Full-browser, to znamená úplná emulácia vývoja počítača, prehliadača a java používateľa. Takéto techniky sú skvelé na zamaskovanie útokov L7. Je takmer nemožné manuálne odlíšiť robota od používateľa. Vyžaduje si to systémy využívajúce technológiu strojového učenia, vďaka ktorej sa zvyšuje úroveň odolnosti voči útokom, zlepšujú sa mechanizmy a zvyšuje sa presnosť testovania.

Problémy s BGP

V roku 2016 sa objavil nový trend - útoky na sieťovú infraštruktúru, vrátane útokov založených na využití zraniteľností v protokole BGP. Problémy smerovacieho protokolu BGP, na ktorých je založený celý internet, sú známe už niekoľko rokov, ale v posledných rokoch stále častejšie vedú k vážnym negatívnym dôsledkom.

Sieťové anomálie súvisiace so smerovaním na medzidoménovej sieťovej vrstve môžu ovplyvniť veľký počet hostiteľov, sietí a dokonca aj globálnu konektivitu a dostupnosť internetu. Najčastejším typom problému je únik trasy - „únik“ trasy, ku ktorému dochádza v dôsledku jej reklamy v zlom smere. Doteraz sa zraniteľnosti BGP zriedka používali úmyselne: náklady na zorganizovanie takéhoto útoku sú dosť vysoké a incidenty vznikajú hlavne kvôli banálnym chybám v sieťových nastaveniach.

V posledných rokoch sa však rozsah organizovaných zločineckých skupín na internete výrazne rozrástol, a preto podľa prognózy Qrator Labs budú útoky súvisiace s problémami s BGP v dohľadnej dobe obľúbené. Pozoruhodným príkladom je únos IP adries známou kybernetickou skupinou Hacking Team, ktorý vykonal štátny príkaz: talianska polícia musela prevziať kontrolu nad niekoľkými počítačmi, v súvislosti s ktorých vlastníkmi boli vykonané vyšetrovacie úkony.

IncidentyTCP

Sieťový zásobník TCP / IP má množstvo problémov, ktoré budú v tomto roku obzvlášť akútne. Aby bol zachovaný aktívny rast rýchlostí, je potrebné neustále aktualizovať internetovú infraštruktúru. Fyzické rýchlosti internetového pripojenia sa každých niekoľko rokov zvyšujú. Začiatkom roku 2000. Štandardom sa stal 1 Gbps, dnes je najobľúbenejším fyzickým rozhraním 10 Gbps. Masívne zavedenie nového štandardu pre fyzické rozhranie 100 Gbit / s sa však už začalo, čo spôsobuje problémy so zastaraným protokolom TCP / IP, ktorý nie je určený na také vysoké rýchlosti.

Napríklad je možné v priebehu niekoľkých minút vyzdvihnúť poradové číslo TCP - jedinečný číselný identifikátor, ktorý umožňuje (alebo skôr povoleným) partnerom na pripojení TCP / IP vzájomne sa autentifikovať v čase vytvárania pripojenia a výmeny údajov. zachovaním ich poriadku a integrity. Pri rýchlosti 100 Gbit / s riadok v súboroch protokolu servera TCP o otvorenom pripojení a / alebo o údajoch, ktoré sú cez neho odoslané, už nezaručuje, že pevná adresa IP skutočne vytvorila spojenie a tieto údaje prenášala. Preto sa otvára príležitosť na organizovanie útokov novej triedy a účinnosť brán firewall sa môže výrazne znížiť.

Zraniteľné miesta TCP / IP pritiahli pozornosť mnohých vedcov. Veria, že už v roku 2016 budeme počuť o útokoch „prominentných“ súvisiacich s využívaním týchto „dier“.

Blízka budúcnosť

Vývoj technológií a hrozieb dnes nesleduje „klasickú“ špirálu, pretože systém nie je uzavretý - je ovplyvnený mnohými vonkajšími faktormi. Výsledkom je špirála s rastúcou amplitúdou - stúpa nahor, zložitosť útokov rastie a dosah technológie sa výrazne rozširuje. Všimnime si niekoľko faktorov, ktoré majú vážny vplyv na vývoj systému.

Tou hlavnou je samozrejme migrácia na nový transportný protokol IPv6. Koncom roku 2015 bola IPv4 zastaraná a IPv6 sa dostáva do popredia, čo so sebou prináša nové výzvy: každé zariadenie má teraz IP adresu a všetky môžu medzi sebou priamo komunikovať. Áno, existujú nové odporúčania týkajúce sa fungovania koncových zariadení, ale ako sa s tým všetkým priemysel vyrovná, najmä telekomunikační operátori, segment masových produktov a čínski predajcovia, je otvorenou otázkou. IPv6 je menič hier.

Ďalšou výzvou je výrazný nárast mobilných sietí, ich rýchlosť a výdrž. Ak predtým mobilný botnet spôsoboval problémy, predovšetkým pre samotného telekomunikačného operátora, teraz, keď sa komunikácia 4G zrýchľuje káblový internet, mobilné siete s veľkým počtom zariadení, vrátane tých, ktoré sú vyrobené v Číne, sa menia na vynikajúcu platformu na vykonávanie DDoS a hackerské útoky... A problémy vznikajú nielen pre telekomunikačného operátora, ale aj pre ostatných účastníkov trhu.

Rozvíjajúci sa svet „internetu vecí“ predstavuje vážnu hrozbu. Vzhľadom na obrovský počet zariadení a ich používanie sa objavujú nové útočné vektory bezdrôtová technológia pripojenia otvárajú hackerom skutočne nekonečné perspektívy. Všetky zariadenia pripojené k internetu sa môžu potenciálne stať súčasťou infraštruktúry útočníka a byť zapojené do útokov DDoS.

Výrobcovia všetkých druhov domácich spotrebičov pripojených k sieti (rýchlovarné kanvice, televízory, autá, multivarky, váhy, inteligentné zásuvky atď.) Bohužiaľ nie vždy poskytujú správnu úroveň svojej ochrany. Takéto zariadenia často používajú staré populárne verzie operačné systémy a predajcovia sa o nich nestarajú pravidelné aktualizácie- Náhrada za verzie, v ktorých boli odstránené zraniteľné miesta. A ak je zariadenie obľúbené a široko používané, hackeri si nenechajú ujsť príležitosť využiť jeho zraniteľné miesta.

Predzvesť problému IoT sa objavila už v roku 2015. Podľa predbežných údajov bol posledný útok na Blizzard Entertainment uskutočnený pomocou zariadení IoT. Bol zistený škodlivý kód, ktorý beží na moderných čajníkoch a žiarovkách. Čipové súpravy to hackerom tiež uľahčujú. Nie je to tak dávno, bola vydaná lacná čipová sada určená pre rôzne zariadenia, ktoré môžu „komunikovať“ s internetom. Útočníci teda nemusia hacknúť 100 000 prispôsobených firmvérov - stačí „rozbiť“ jednu čipovú sadu a získať prístup ku všetkým zariadeniam, ktoré sú na nej založené.

Predpovedá sa, že čoskoro budú všetky smartfóny založené na starších verziách systému Android členmi aspoň jedného botnetu. Za nimi budú nasledovať všetky „múdre“ zástrčky, chladničky a ďalšie Spotrebiče... O niekoľko rokov na nás čakajú botnety z čajníkov, detských pestúnok a multivarkárov. „Internet vecí“ nám prinesie nielen pohodlie a pridané vlastnosti, ale aj veľa problémov. Keď je v IoT veľa vecí a každý pin môže odoslať 10 bajtov, nastanú nové bezpečnostné výzvy, ktoré bude potrebné riešiť. A na to by sme sa mali dnes pripraviť.

Spoločnosť Qrator Labs, ktorá sa špecializuje na boj proti útokom DDoS a zaisťuje dostupnosť internetových zdrojov, zaznamenala skutočnosť, že dochádza k vysokorýchlostným útokom DDoS na najväčšie webové zdroje pomocou techniky zosilnenia založenej na memcache (softvér, ktorý implementuje službu ukladania údajov do pamäte cache v Náhodný vstup do pamäťe na základe hashovacej tabuľky).

V dňoch 23. až 27. februára 2018 sa Európou prehnala vlna útokov DDoS zosilnených v memcache. Technika takého útoku spočíva v tom, že útočníci počúvajú prenos UDP za predpokladu, že parametre memcache sú predvolene nastavené, to znamená, že v skutočnosti sa používa záplava UDP - odosielanie mnohých falošných paketov UDP za jednotku času zo širokého rozsahu adries IP. adresy.

Problémy s bezpečnosťou Memcache sú známe najmenej od roku 2014, ale v roku 2018 sa táto zraniteľnosť prejavila obzvlášť jasne: v noci z 25. na 26. februára špecialisti spoločnosti Qrator Labs pozorovali množstvo DDoS útokov zosilnených v memcache na celom internete, vrátane útokov na ruské najväčšie sieťové zdroje ...

V roku 2017 skupina vedcov z čínskeho tímu OKee hovorila o možnosti organizovania takýchto útokov a poukázala na ich potenciálne deštruktívnu silu.

V priebehu posledných dní mnoho zdrojov potvrdilo skutočnosť o útoku rozšírenými reakciami zo zdrojov memcache, popretkávanými odpoveďami z DNS a NTP. Zdrojom týchto falošných útokov bol veľký poskytovateľ OVH a veľký počet menších ISP a hostiteľov.

Jeden z klientov Qrator Labs, platobný systém QIWI, potvrdzuje skutočnosť úspešne neutralizovaného útoku s šírkou pásma 480 Gbps prenosu UDP na svoje zdroje z kompromitovaných zosilňovačov memcache.

"Moderné techniky na vykonávanie útokov DDoS nezostávajú stáť." Čoraz častejšie vidíme vznik nových „medzier“ v internetovej infraštruktúre, ktorú kyberzločinci úspešne využívajú na útoky. Útoky z Memcache, ktorých rýchlosť dosahovala niekoľko stoviek Gb / s, sa stali potvrdením tohto, - komentáre generálny riaditeľ a zakladateľ spoločnosti Qrator Labs Alexander Lyamin. - Na internete je veľa zraniteľných zdrojov memcache a dôrazne odporúčame technici nakonfigurujte memcache správne, pričom majte na pamäti predvolené nastavenia. Pomôže to zabrániť odpočúvaniu všetkej prevádzky UDP odosielanej na server a zníži sa pravdepodobnosť útokov DDoS. “

O spoločnosti Qrator Labs

Qrator Labs je v Rusku protiopatrením DDoS číslo 1 (podľa prognózy IDC Russia Anti-DDoS Services Market 2016–2020 a analýzy z roku 2015). Spoločnosť bola založená v roku 2009 a poskytuje služby na boj proti útokom DDoS v kombinácii s riešeniami WAF (Web Application Firewall), organizovanými pomocou technológie partnerskej spoločnosti Wallarm. Na účinný boj proti útokom DDoS používa Qrator Labs údaje z vlastnej globálnej služby monitorovania internetu Qrator.Radar. Filtračná sieť Qrator je postavená na uzloch nachádzajúcich sa v USA, Rusku, EÚ a Ázii, čo je spolu s vlastnými filtračnými algoritmami konkurenčnou výhodou spoločnosti.

Brian Krebs kedysi pracoval pre Washington Post a vyšetroval pre nich bezpečnosť internetu. Neskôr novinár prestal a založil si vlastný blog. Bývalý novinár nezmenil špecializáciu, za ktorú zaplatil v septembri, keď odhalil podvod dvoch izraelských tínedžerov ..

Brian Krebs sa teda pustil do svojho zvyčajného podnikania a vyšetroval internetové zločiny. Do tejto doby jeho zoznam vyriešených prípadov obsahoval prípad vírusu Stuxnet, ktorý zbieral údaje z domácich počítačov a priemyselných závodov. Krebs bol prvým, kto o víruse verejne hovoril už v roku 2010. O tri roky neskôr Brian odhalil muža, ktorý predával informácie o karte pre zákazníkov Targetu. Pomsta internetových zločincov bola špecifická, do jeho domu bola privolaná polícia.

Myslím si teda, že Brian pochopil, čoho boli hackeri schopní, aj keď si len ťažko dokázal predstaviť možný rozsah, keď v septembri zverejnil príspevok o izraelských tínedžeroch zapojených do útokov DDoS. V ten istý deň boli hackeri zatknutí, ale neskôr prepustení na kauciu. Náhoda alebo nie, od tej chvíle musela Brianova stránka odraziť veľký útok DDoS, s ktorým sa jedna z popredných svetových spoločností zaoberajúcich sa internetovým zabezpečením nedokázala vyrovnať. Akamai poskytuje DDoS ochranu pre Krebsov blog štyri roky. Špecialista na internetovú bezpečnosť vo svojej publikácii hovoril o službe vDOS, ktorá podľa oficiálnej verzie testovala zaťaženie na stránkach, ale v skutočnosti narušila ich prácu. Podľa hrubého odhadu sa tvorcom služby podarilo privlastniť si zhruba 600 tisíc dolárov.

Krebsovým asistentom sa podarilo stiahnuť databázy, pomocou ktorých boli stanovené skutočné adresy serverov v Bulharsku, z ktorých boli útoky DDoS vykonávané. Dokážete si asi predstaviť, že hackeri majú záujem skryť svoje skutočné IP adresy. Po analýze údajov dokázal Brian zistiť mená a dokonca aj telefónne čísla Izraelčanov, ktorí by mohli byť vlastníkmi služby.

Neskôr sa ukázalo, že v deň zverejnenia príspevku boli zatknutí dvaja tínedžeri, ktorí boli však čoskoro prepustení. A už 10. septembra začalo mať miesto Briana Krebsa problémy. Útočná sila dosahovala maximum 140 gigabitov za sekundu. Urazení hackeri nenechali Krebsovi správy „godiefaggot“. Na chvíľu blog dokonca prestal fungovať, ale odborníkom Akamai sa ho podarilo obnoviť. Útoky sa však týmto nekončili. A do 20. septembra už bola jeho kapacita 665 gigabitov za sekundu. Akamai bol nútený zrušiť vedenie Krebsovho blogu, aby bol platiaci predplatiteľ v bezpečí. Sila útoku, ktorému bolo miesto podrobené, bola dvakrát taká silná, ako doteraz Akamai pozoroval. Niektorí novinári sa zhodli, že išlo o najväčší útok v celej histórii internetu. Začiatkom roku 2016 bol napríklad na web BBC napadnutý rýchlosťou 602 gigabitov za sekundu. Rekord bol prekonaný o niekoľko mesiacov neskôr.

Post Krebsa zrejme útočníkom uškodil. Útok bol vykonaný pomocou IP kamier, smerovačov a iného „internetu vecí“, pre ktorý používatelia nastavili štandardné heslá. Hackeri sa ani nepokúsili zahladiť stopy a rozsvietili adresy väčšiny zariadení, ktoré bolo ešte možné použiť na ďalšie finančné útoky. Opäť nepoužívali slovné formy. Prezývka jedného z tvorcov vDOC - AppleJ4ck - sa dala prečítať v niektorých požiadavkách POST útoku obsahujúcich reťazec „freeapplej4ck“. Iba zásah spoločnosti Google umožnil obnoviť stránku pomocou Krebsovho vyšetrovania. Projektový štít internetového giganta chráni webové stránky nezávislých novinárov a médií pred kybernetickými útokmi.

A v prvej publikácii, po obnovení stránky, Brian Krebs hovoril o cenzúre na internete. Účinné nástroje sú k dispozícii nielen pre štát, ale aj pre zločincov. Útoky DDoS môžu byť vážnou prekážkou nezávislého vyšetrovania v dnešnej trhovej ekonomike. Nie všetky médiá majú rozpočet na kybernetickú obranu 200 000 dolárov.

Chyba v texte? Vyberte ho myšou! A stlačte: Ctrl + Enter

Andrey Golovachev na svojom Facebooku pripomenul, že politická kariéra všetkých ukrajinských prezidentov sa skončila katastrofou. Podľa politického experta dostal Leonid Kučma a

Asi pred šiestimi mesiacmi sa verejnosť dozvedela, že známej ruskej herečke Anastasii Zavorotnyukovej diagnostikovali zhubný nádor na mozgu. K dnešnému dňu nie

Pri diskusii o obavách prezidenta Volodymyra Zelenského počas jeho návštevy Vatikánu niektorí pozorovatelia poznamenali, že toto bol prvý takýto prípad v histórii, keď predstavitelia sv.

Úvod

Hneď urobím rezerváciu, že keď som písal túto recenziu, zameral som sa predovšetkým na publikum, ktoré rozumie špecifikám práce telekomunikačných operátorov a ich sietí na prenos údajov. Tento článok načrtáva základné princípy ochrany pred DDoS útokmi, históriu ich vývoja za posledné desaťročie a súčasnú situáciu.

Čo je DDoS?

Pravdepodobne dnes, ak nie každý „používateľ“, potom aspoň každý „IT špecialista“ vie, čo sú útoky DDoS dnes. Ale pár slov je stále potrebné povedať.

Útoky DDoS (Distribuované odmietnutie služby) sú útoky na počítačové systémy (sieťové zdroje alebo komunikačné kanály), ktorých cieľom je zneprístupniť ich legitímnym používateľom. Útoky DDoS spočívajú v súčasnom odoslaní veľkého počtu požiadaviek na určitý zdroj z jedného alebo viacerých počítačov umiestnených na internete. Ak tisíce, desaťtisíce alebo milióny počítačov súčasne začnú odosielať požiadavky na konkrétny server (alebo sieťovú službu), buď server zlyhá, alebo nebude stačiť šírka pásma komunikačného kanála k tomuto serveru. V oboch prípadoch používatelia internetu nebudú môcť získať prístup k napadnutému serveru alebo dokonca ku všetkým serverom a iným zdrojom pripojeným prostredníctvom zablokovaného komunikačného kanála.

Niektoré funkcie útokov DDoS

Proti komu a za akým účelom sa spúšťajú útoky DDoS?

Útoky DDoS je možné spustiť proti akémukoľvek zdroju na internete. Najväčšie škody z útokov DDoS dostávajú organizácie, ktorých podnikanie priamo súvisí s ich prítomnosťou na internete - banky (poskytujúce služby internetového bankovníctva), internetové obchody, obchodné platformy, aukcie, ako aj ďalšie činnosti, ktorých činnosť a účinnosť výrazne závisí od zastúpenia na internete (cestovné kancelárie, letecké spoločnosti, výrobcovia hardvéru a softvéru atď.) Útoky DDoS sa pravidelne začínajú proti zdrojom takých gigantov globálneho IT priemyslu, akými sú IBM, Cisco Systems, Microsoft a ďalší. Došlo k obrovským DDoS útokom na eBay.com, Amazon.com, mnoho známych bánk a organizácií.

Útoky DDoS sa veľmi často začínajú proti webovým stránkam politických organizácií, inštitúcií alebo jednotlivých známych osobností. Mnohí si uvedomujú rozsiahle a dlhotrvajúce útoky DDoS, ktoré boli spustené na webovú stránku prezidenta Gruzínska počas gruzínsko-osetskej vojny v roku 2008 (webová stránka bola niekoľko mesiacov nedostupná, od augusta 2008) na servery estónskej vlády. (na jar 2007 počas nepokojov spojených s presunom bronzového vojaka) o pravidelných útokoch zo severokórejského segmentu internetu proti americkým stránkam.

Hlavnými cieľmi útokov DDoS je buď získanie zisku (priameho alebo nepriameho) vydieraním a vydieraním, alebo sledovanie politických záujmov, zhoršenie situácie a pomsta.

Aké sú mechanizmy spúšťania útokov DDoS?

Najpopulárnejší a najnebezpečnejší spôsob spustenia útokov DDoS je použitie botnetov (BotNets). Botnet je sada počítačov, na ktorých sú nainštalované špeciálne softvérové ​​záložky (roboty); v angličtine je botnet sieť robotov. Roboty sú obvykle vyvíjané hackermi jednotlivo pre každý botnet a majú hlavný účel odosielania požiadaviek na konkrétny zdroj na internete príkazom prijatým z riadiaceho servera botnetu - Botnet Command and Control Server. Riadiaci server botnetu je riadený hackerom alebo osobou, ktorá si botnet od hackera kúpila, a možnosťou spustiť útok DDoS. Roboty sú distribuované na internete rôzne cesty„spravidla útokom na počítače so zraniteľnými službami a inštaláciou softvérových záložiek na ne, alebo klamaním používateľov a nútením ich inštalovať roboty pod zámienkou poskytovania ďalších služieb alebo softvéru, ktorý plní úplne neškodnú alebo dokonca užitočnú funkciu. Existuje mnoho spôsobov distribúcie robotov, nové spôsoby sa vymýšľajú pravidelne.

Ak je botnet dostatočne veľký - desiatky alebo stovky tisíc počítačov -, súčasné odosielanie dokonca celkom legitímnych požiadaviek zo všetkých týchto počítačov na určitú sieťovú službu (napríklad webovú službu na konkrétnom webe) povedie k vyčerpaniu. zdrojov buď samotnej služby alebo servera, alebo na schopnosti komunikačného kanála vyčerpania. V každom prípade bude služba pre používateľov nedostupná a vlastníkovi služby vzniknú priame, nepriame straty a straty dobrého mena. A ak každý z počítačov neodošle jednu požiadavku, ale desiatky, stovky alebo tisíce požiadaviek za sekundu, potom sa úderná sila útoku mnohonásobne zvýši, čo umožní deaktivovať aj najproduktívnejšie zdroje alebo komunikačné kanály.

Niektoré útoky sú zahájené „neškodnejším“ spôsobom. Napríklad rýchly dav používateľov určitých fór, ktorí po dohode v určitom čase spúšťajú zo svojich počítačov „pingy“ alebo iné požiadavky na konkrétny server. Ďalším príkladom je umiestnenie odkazu na webovú stránku na obľúbené internetové zdroje, čo spôsobuje príliv používateľov na cieľový server. Ak „falošný“ odkaz (ktorý vyzerá ako odkaz na jeden zdroj, ale v skutočnosti odkazuje na úplne iný server) odkazuje na webovú stránku malej organizácie, ale je hostiteľom obľúbených serverov alebo fór, takýto útok môže spôsobiť príliv nechcených návštevníkov na túto stránku ... Útoky posledných dvoch typov len zriedka vedú k ukončeniu dostupnosti serverov na riadne organizovaných hostingových serveroch, ale takéto príklady boli a dokonca aj v Rusku v roku 2009.

Pomôžu tradičné technické prostriedky ochrany pred DDoS útokmi?

Funkciou útokov DDoS je, že pozostávajú z mnohých simultánnych požiadaviek, z ktorých každý je celkom „legálny“, navyše tieto žiadosti odosielajú počítače (infikované robotmi), ktoré môžu patriť k najbežnejším skutočným alebo potenciálnym používateľom. napadnutej služby alebo zdroja. Preto je veľmi ťažké správne identifikovať a filtrovať presne tie požiadavky, ktoré predstavujú útok DDoS, pomocou štandardných prostriedkov. Štandardné systémy triedy IDS / IPS (Intrusion Detection / Prevention System) v týchto požiadavkách nenájdu „corpus delicti“, nepochopia, že sú súčasťou útoku, pokiaľ nevykonajú kvalitatívnu analýzu anomálií premávky. A aj keď to nájdu, filtrovanie nepotrebných požiadaviek tiež nie je také jednoduché - štandardné brány firewall a smerovače filtrujú prenos na základe jasne definovaných prístupových zoznamov (pravidlá ovládania) a nevedia sa „dynamicky“ prispôsobiť profilu konkrétneho útoku. . Firewally môže upravovať toky premávky na základe kritérií, akými sú zdrojové adresy, používané sieťové služby, porty a protokoly. Ale útok DDoS zahŕňa bežných užívateľov Internet, ktorý odosiela požiadavky pomocou najbežnejších protokolov - nezakáže telekomunikačný operátor všetkých a všetko? Potom jednoducho prestane poskytovať komunikačné služby svojim predplatiteľom a prestane poskytovať prístup k sieťovým zdrojom, ktorým slúži, čo sa v skutočnosti pokúša dosiahnuť iniciátor útoku.

Mnoho odborníkov pravdepodobne vie o existencii špeciálnych riešení na ochranu pred útokmi DDoS, ktoré spočívajú v zisťovaní anomálií premávky, vytváraní dopravného profilu a profilu útoku a následnom procese dynamického viacstupňového filtrovania prevádzky. A o týchto riešeniach budem hovoriť aj v tomto článku, ale o niečo neskôr. A najskôr si povieme o niektorých menej známych, ale niekedy celkom efektívnych opatreniach, ktoré je možné vykonať na potlačenie útokov DDoS existujúcimi prostriedkami siete na prenos údajov a jej správcov.

Ochrana DDoS s dostupnými prostriedkami

Existuje pomerne málo mechanizmov a „trikov“, ktoré v niektorých špeciálnych prípadoch umožňujú potlačiť útoky DDoS. Niektoré je možné použiť iba vtedy, ak je dátová prenosová sieť postavená na zariadení konkrétneho výrobcu, iné sú viac -menej univerzálne.

Začnime s odporúčaniami spoločnosti Cisco Systems. Spoločnosť odporúča Network Foundation Protection, ktorá zahŕňa riadiacu rovinu, riadiacu rovinu a dátovú rovinu.

Ochrana lietadla riadenia

Termín „administratívne lietadlo“ zahŕňa všetku komunikáciu, ktorá riadi alebo monitoruje smerovače a ďalšie sieťové zariadenia. Tento prenos je smerovaný na smerovač alebo pochádza zo smerovača. Príkladmi takejto prevádzky sú relácie Telnet, SSH a http (s), správy syslog, pasce SNMP. Bežné osvedčené postupy zahŕňajú:

Zabezpečenie maximálnej bezpečnosti riadiacich a monitorovacích protokolov pomocou šifrovania a autentifikácie:

  • SNMP v3 poskytuje bezpečnostné opatrenia, zatiaľ čo SNMP v1 prakticky neposkytuje a SNMP v2 poskytuje iba čiastočne - predvolené hodnoty Spoločenstva je vždy potrebné zmeniť;
  • mali by sa používať rôzne hodnoty pre verejnú a súkromnú komunitu;
  • protokol telnet prenáša všetky údaje vrátane prihlasovacieho mena a hesla v čistom texte (ak je prenos zachytený, tieto informácie je možné ľahko získať a použiť), vždy sa namiesto toho odporúča použiť protokol ssh v2;
  • Podobne používajte https namiesto http na prístup k hardvéru; Silné hardvérové ​​prístupové kontroly vrátane adekvátnej politiky hesiel, centralizovanej autentifikácie, autorizácie a účtovníctva (model AAA) a lokálnej autentifikácie pre redundanciu.

Implementácia modelu prístupu založeného na rolách;

Kontrola povolených pripojení k zdrojovej adrese pomocou zoznamov riadenia prístupu;

Zakázanie nepoužívaných služieb, z ktorých mnohé sú predvolene povolené (alebo ich zabudli deaktivovať po diagnostikovaní alebo konfigurácii systému);

Monitorovanie využitia zdrojov zariadenia.

Stojí za to podrobnejšie sa zaoberať poslednými dvoma bodmi.
Niektoré služby, ktoré sú predvolene povolené alebo ktoré sa zabudli vypnúť po konfigurácii alebo diagnostike hardvéru, môžu kybernetickí zločinci použiť na obídenie existujúcich pravidiel zabezpečenia. Zoznam týchto služieb je uvedený nižšie:

  • PAD (zostavovač / rozoberač paketov);

Prirodzene, pred vypnutím týchto služieb musíte starostlivo analyzovať absenciu ich potreby vo vašej sieti.

Je žiaduce monitorovať používanie zdrojov zariadenia. To umožní, po prvé, včas si všimnúť preťaženie jednotlivých prvkov siete a prijať opatrenia na zabránenie nehode, a po druhé, odhaliť útoky a anomálie DDoS, ak ich detekcia nie je zabezpečená špeciálnymi prostriedkami. Minimálne sa odporúča sledovať:

  • Zaťaženie CPU
  • Využitie pamäte
  • zaťaženie rozhraní smerovačov.

Monitorovanie je možné vykonávať „ručne“ (pravidelné monitorovanie stavu zariadenia), ale je lepšie to samozrejme vykonať pomocou špeciálnych monitorovacích systémov siete alebo monitorovania informačnej bezpečnosti (medzi ktoré patrí Cisco MARS).

Ovládanie lietadla

Rovina správy siete zahŕňa všetku službu, ktorá zaisťuje fungovanie a konektivitu siete v súlade so zadanou topológiou a parametrami. Príklady prevádzky v riadiacom lietadle sú: všetka prevádzka generovaná alebo určená pre smerovací procesor (RR), vrátane všetkých smerovacích protokolov, v niektorých prípadoch SSH a SNMP a ICMP. Akýkoľvek útok na fungovanie smerovacieho procesora, a najmä útoky DDoS, môže viesť k značným problémom a prerušeniam fungovania siete. Osvedčené postupy na zaistenie riadiacej roviny sú popísané nižšie.

Ovládanie policajného lietadla

Využíva mechanizmy QoS (Quality of Service), ktoré pripisujú vyššiu prioritu riadeniu letovej prevádzky ako návštevnosti používateľov (súčasťou ktorej sú útoky). Tým sa zabezpečí prevádzka servisných protokolov a smerovacieho procesora, to znamená zachovanie topológie a konektivity siete, ako aj skutočné smerovanie a prepínanie paketov.

IP príjem ACL

Táto funkcia umožňuje filtrovanie a riadenie prevádzky služieb určených pre smerovač a smerovací procesor.

  • sa aplikujú priamo na smerovacie zariadenie predtým, ako sa prevádzka dostane k smerovaciemu procesoru, pričom poskytujú „osobnú“ ochranu zariadenia;
  • sa aplikujú po prechode návštevnosti obvyklými zoznamami ACL - predstavujú poslednú vrstvu ochrany na ceste k smerovaciemu procesoru;
  • sa vzťahujú na všetku dopravu (internú aj externú a tranzitnú vo vzťahu k sieti operátora).

Infraštruktúra ACL

Prístup k vlastným adresám smerovacieho zariadenia je zvyčajne potrebný iba pre hostiteľov vlastná sieť operátor, existujú však výnimky (napr. eBGP, GRE, IPv6 cez tunely IPv4 a ICMP). Zoznamy riadenia prístupu k infraštruktúre:

  • zvyčajne inštalované na okraji siete operátora („pri vstupe do siete“);
  • majú zabrániť externým hostiteľom v prístupe k adresám infraštruktúry operátora;
  • poskytovať neobmedzený tranzit cez hranicu siete operátora;
  • poskytujú základné mechanizmy ochrany pred neoprávnenou sieťovou aktivitou popísané v RFC 1918, RFC 3330, najmä ochranu pred spoofingom (spoofing, používanie falošných zdrojových IP adries na maskovanie pri zahájení útoku).

Autentifikácia suseda

Hlavným účelom autentifikácie susedných smerovačov je zabrániť útokom, ktoré odosielajú správy o falošnom smerovacom protokole, s cieľom zmeniť smerovanie v sieti. Takéto útoky môžu viesť k neoprávnenému prieniku do siete, neoprávnenému použitiu sieťových zdrojov a k skutočnosti, že útočník zachytáva prenos za účelom analýzy a získania potrebných informácií.

Konfigurácia BGP

  • Filtre predpony BGP - slúžia na zabránenie šíreniu informácií o trasách vnútornej siete operátora na internet (niekedy môžu byť tieto informácie pre útočníka veľmi užitočné);
  • obmedzenie počtu predpon, ktoré je možné prijať z iného smerovača (obmedzenie predpony) - slúži na ochranu pred útokmi DDoS, anomáliami a zlyhaniami v sieťach partnerských partnerských zväzkov;
  • používanie parametrov komunity BGP a ich filtrovanie možno tiež použiť na obmedzenie šírenia informácií o smerovaní;
  • Monitorovanie BGP a porovnávanie údajov BGP s pozorovanou návštevnosťou je jedným z mechanizmov včasnej detekcie útokov a anomálií DDoS;
  • filtrovanie podľa parametra TTL (Time-to-Live)-slúži na kontrolu kolegov BGP.

Ak útok BGP nie je spustený zo siete partnerského partnerského servera, ale zo vzdialenejšej siete, parameter TTL paketov BGP bude menší ako 255. Môžete nakonfigurovať hraničné smerovače operátora tak, aby zahodili všetky pakety BGP s TTL. hodnotu< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana dátovej roviny

Napriek tomu, že je dôležité chrániť úrovne správy a kontroly, väčšina prenosu v sieti dopravcu sú údaje v prenose alebo sú určené pre predplatiteľov tohto operátora.

Jednosmerné presmerovanie spätnou cestou (uRPF)

Útoky sa často začínajú pomocou technológie falšovania - adresy IP zdroja sú falošné, takže nie je možné zistiť zdroj útoku. Falošné adresy IP môžu byť:

  • zo skutočne použitého adresného priestoru, ale v inom segmente siete (v segmente, z ktorého bol útok spustený, tieto falošné adresy nie sú smerované);
  • z nevyužitého adresného priestoru v tejto dátovej prenosovej sieti;
  • z adresného priestoru, ktorý nie je na internete smerovateľný.

Implementácia mechanizmu uRPF na smerovačoch zabráni smerovaniu paketov so zdrojovými adresami, ktoré sú nekompatibilné alebo nepoužívané v segmente siete, z ktorého prišli do rozhrania smerovača. Táto technológia niekedy umožňuje efektívne odfiltrovať nechcenú návštevnosť čo najbližšie k jej zdroju, teda najefektívnejšie. Mnoho útokov DDoS (vrátane známej siete Smurf and Tribal Flood Network) používa na klamanie falšovanie a neustále zmeny adresy zdroja štandardné prostriedky ochrana premávky a filtrovanie.

Použitie mechanizmu uRPF telekomunikačnými operátormi, ktorí poskytujú predplatiteľom prístup na internet, účinne zabráni útokom DDoS pomocou technológie spoofingu nasmerovanej vlastnými predplatiteľmi proti internetovým zdrojom. Útok DDoS je teda potlačený najbližšie k jeho zdroju, to znamená najefektívnejšie.

Diaľkovo spúšťané čierne diery (RTBH)

Spravované čierne diery (Remotely Triggered Blackholes) slúžia na „skládkovanie“ (ničenie, odosielanie „nikam“) návštevnosti vstupujúcej do siete smerovaním tejto návštevnosti do špeciálnych rozhraní Null 0. Útočte na premávku, keď vstupuje do siete. Obmedzenie (a významné) tejto metódy je, že sa vzťahuje na všetku komunikáciu určenú pre konkrétneho hostiteľa alebo hostiteľov, ktorí sú cieľom útoku. Túto metódu je teda možné použiť v prípadoch, keď je jeden alebo niekoľko hostiteľov vystavených rozsiahlemu útoku, ktorý spôsobuje problémy nielen napadnutým hostiteľom, ale aj iným predplatiteľom a celej sieti operátora.

Čierne diery je možné spravovať ručne alebo prostredníctvom BGP.

Šírenie politiky QoS prostredníctvom BGP (QPPB)

Kontrola QoS nad BGP (QPPB) vám umožňuje ovládať politiky priorít pre prenos určený pre konkrétny autonómny systém alebo blok adries IP. Tento mechanizmus môže byť veľmi užitočný pre telekomunikačných operátorov a veľké podniky vrátane správy úrovne priority nežiaducej prevádzky alebo prevádzky obsahujúcej útok DDoS.

Drezy do drezu

V niektorých prípadoch sa vyžaduje, aby sa prevádzka úplne neodstránila pomocou čiernych dier, ale aby sa odklonila od hlavných kanálov alebo zdrojov na následné monitorovanie a analýzu. Na to slúžia „vetviace kanály“ alebo drezy.

Drezové otvory sa najčastejšie používajú v nasledujúcich situáciách:

  • presmerovať a analyzovať prevádzku s cieľovými adresami, ktoré patria do adresného priestoru siete operátora, ale v skutočnosti sa nepoužívajú (neboli pridelené ani zariadeniu, ani používateľom); takáto návštevnosť je a priori podozrivá, pretože často naznačuje pokusy o skenovanie alebo preniknutie do vašej siete útočníkom, ktorý nemá detailné informácie o jeho štruktúre;
  • presmerovať návštevnosť z cieľa útoku, ktorý je skutočným zdrojom v sieti operátora, na jeho monitorovanie a analýzu.

Ochrana DDoS pomocou špeciálnych nástrojov

Koncept Cisco Clean Pipes - priekopník priemyslu

Moderný koncept ochrany pred DDoS útokmi vyvinula (áno, nebudete prekvapení! :)) spoločnosťou Cisco Systems. Koncept vyvinutý spoločnosťou Cisco sa nazýva Cisco Clean Pipes. Koncept, podrobne vyvinutý takmer pred 10 rokmi, podrobne popísal základné princípy a technológie ochrany pred dopravnými anomáliami, z ktorých väčšina sa používa dodnes, vrátane iných výrobcov.

Koncept Cisco Clean Pipes predpokladá nasledujúce zásady na zisťovanie a zmierňovanie útokov DDoS.

Vyberú sa body (časti siete), v ktorých sa prevádzka analyzuje na identifikáciu anomálií. V závislosti od toho, čo chránime, môžu byť takýmito bodmi peer-to-peer spojenia telekomunikačného operátora s operátormi na nadväzujúcom trhu, body pripojenia nadväzujúcich operátorov alebo predplatiteľov, kanály na pripojenie dátových centier k sieti.

Špeciálne detektory analyzujú premávku v týchto bodoch, vytvárajú (študujú) dopravný profil v normálnom stave, keď dôjde k útoku alebo anomálii DDoS, detegujú ho, študujú ho a dynamicky formujú jeho charakteristiky. Ďalej sú informácie analyzované operátorom systému a proces potlačenia útoku je spustený v poloautomatickom alebo automatickom režime. Potlačenie znamená, že návštevnosť určená „obeti“ je dynamicky presmerovaná cez filtračné zariadenie, ktoré na túto premávku aplikuje filtre generované detektorom, čo odráža individuálnu povahu útoku. Vyčistený prenos je vstreknutý do siete a odoslaný príjemcovi (preto vznikol názov Clean Pipes - predplatiteľ dostane „čistý kanál“, ktorý neobsahuje útok).

Celý cyklus ochrany DDoS teda zahŕňa nasledujúce hlavné fázy:

  • Nácvik charakteristík riadenia dopravy (profilovanie, základné učenie)
  • Detekcia útokov a anomálií (Detekcia)
  • Presmerovanie premávky na prechod cez odklon
  • Filtrovanie návštevnosti na potlačenie útokov (zmiernenie)
  • Vkladanie návštevnosti späť do siete a jej odosielanie adresátovi (Vkladanie).

Niekoľko funkcií.
Ako detektory je možné použiť dva typy zariadení:

  • Detektory vyrobené spoločnosťou Cisco Systems sú moduly Cisco Traffic Anomaly Detector Services Moduly určené na inštaláciu do podvozku Cisco 6500/7600.
  • Detektory Arbor Networks sú zariadenia Arbor Peakflow SP CP.

Nasleduje tabuľka porovnávajúca detektory Cisco a Arbor.

Parameter

Detektor anomálie prevádzky Cisco

Arbor Peakflow SP CP

Získanie informácií o premávke na analýzu

Používa kópiu premávky pridelenú podvozku Cisco 6500/7600

Používajú sa údaje o návštevnosti zo siete prijaté zo smerovačov, pričom vzorkovanie je možné prispôsobiť (1: 1, 1: 1 000, 1: 10 000 atď.)

Použité detekčné princípy

Analýza podpisu (detekcia zneužitia) a detekcia anomálií (dynamickýprofilovanie)

Prevažne detekcia anomálií; používa sa analýza podpisov, ale podpisy sú generické

Form Factor

servisné moduly v podvozku Cisco 6500/7600

samostatné zariadenia (servery)

Výkon

Analyzuje sa prenosová rýchlosť až 2 Gb / s

Takmer neobmedzené (môžete znížiť vzorkovaciu frekvenciu)

Škálovateľnosť

Inštalácia až 4 modulovCiscoDetektorSMv jednom šasi (moduly však fungujú navzájom nezávisle)

Schopnosť používať niekoľko zariadení v rámci jedného analytického systému, z ktorých jednému je priradený stav Leader

Monitorovanie prevádzky a smerovania v sieti

Takmer žiadna funkčnosť

Funkčnosť je veľmi pokročilá. Mnoho telekomunikačných operátorov kupuje Arbor Peakflow SP kvôli hlbokým a prepracovaným funkciám na monitorovanie premávky a smerovania v sieti.

Poskytovanie portálu (individuálne rozhranie pre predplatiteľa, ktoré umožňuje monitorovanie iba tej časti siete, ktorá je s ním priamo spojená)

Neboli poskytnuté

Za predpokladu. Toto je vážna výhoda tohto riešenia, pretože telekomunikačný operátor môže svojim predplatiteľom predávať jednotlivé služby na ochranu DDoS.

Kompatibilné čističe premávky (zmierňovače útokov)

Cisco Modul strážnych služieb

 Arbor Peakflow SP TMS; Modul strážnych služieb Cisco.
Ochrana dátových centier pri pripojení na internet Monitorovanie nadväzujúcich pripojení účastníckych sietí k sieti operátora Detekcia útokov naproti prúdu-pripojenie siete operátora k sieťam poskytovateľov vyššieho stupňa Monitorovanie chrbtice operátora
V. posledný riadok Tabuľky uvádzajú prípady použitia detektorov Cisco a Arbor odporúčaných spoločnosťou Cisco Systems. Tieto scenáre sú uvedené v nasledujúcom diagrame.

Ako pračku premávky spoločnosť Cisco odporúča použiť servisný modul Cisco Guard, ktorý je nainštalovaný v podvozku Cisco 6500/7600 a dynamicky presmeruje, skracuje a spätne privádza prenos do siete na základe príkazu prijatého od detektora Cisco alebo Arbor Peakflow SP CP . Mechanizmy presmerovania sú buď aktualizácie BGP smerom k smerovačom proti smeru toku dát, alebo priame riadiace príkazy smerom k nadriadenému pomocou proprietárneho protokolu. Pri použití aktualizácií BGP dostane smerovač proti smeru toku pre návštevnosť obsahujúcu útok novú hodnotu nex -hop - aby táto návštevnosť smerovala na server scavenger. Zároveň je potrebné dbať na to, aby tieto informácie nezahŕňali organizáciu slučky (aby sa smerovač po prúde pri vkladaní vyčistenej prevádzky na ňu nepokúsil obrátiť túto premávku späť na čistiace zariadenie). Na tento účel je možné použiť mechanizmy na riadenie distribúcie aktualizácií BGP podľa parametra komunity alebo použitie tunelov GRE pri zadávaní vyčistenej prevádzky.

Tento stav pokračoval, až kým spoločnosť Arbor Networks dramaticky nerozšírila svoj rad produktov Peakflow SP na trh s úplne samostatným riešením ochrany DDoS.

Spustený Arbor Peakflow SP TMS

Pred niekoľkými rokmi sa spoločnosť Arbor Networks rozhodla vyvinúť svoj rad produktov ochrany DDoS nezávisle a bez ohľadu na tempo a politiku rozvoja tohto smeru v spoločnosti Cisco. Riešenia Peakflow SP CP mali oproti systému Cisco Detector zásadné výhody, pretože analyzovali informácie o toku so schopnosťou upraviť vzorkovaciu frekvenciu, a preto nemali žiadne obmedzenia na použitie v sieťach telekomunikačných operátorov a na chrbtových kostiach (na rozdiel od detektora Cisco, ktorý analyzuje kópiu premávka). Okrem toho významnou výhodou Peakflow SP bola príležitosť pre operátorov predať predplatiteľom individuálnu službu na monitorovanie a ochranu ich sieťových segmentov.

V reakcii na tieto a ďalšie úvahy Arbor výrazne rozšíril produktový rad Peakflow SP. Objavilo sa niekoľko nových zariadení:

Peakflow SP TMS (systém riadenia hrozieb)- Podporuje útoky DDoS viacstupňovým filtrovaním na základe údajov prijatých z Peakflow SP CP a z laboratória ASERT, ktoré vlastní spoločnosť Arbor Networks, ktorá monitoruje a analyzuje útoky DDoS na internete;

Peakflow SP BI (Business Intelligence)- zariadenia, ktoré zaisťujú škálovanie systému, zvýšenie počtu monitorovaných logických objektov a zálohovanie zozbieraných a analyzovaných údajov;

Peakflow SP PI (portálové rozhranie)- zariadenia, ktoré poskytujú nárast počtu predplatiteľov, ktorým je poskytnuté individuálne rozhranie na správu vlastného zabezpečenia;

Peakflow SP FS (Flow Censor)- zariadenia, ktoré monitorujú účastnícke smerovače, pripojenia k nadväzujúcim sieťam a dátovým centrám.

Princípy systému Arbor Peakflow SP zostali do značnej miery rovnaké ako Cisco Clean Pipes, Arbor však svoje systémy pravidelne vyvíja a vylepšuje, takže pri tento moment Funkčnosť produktov Arbor je v mnohých ohľadoch lepšia ako v prípade spoločnosti Cisco, vrátane výkonu.

K dnešnému dňu je maximálny výkon Cisco Guard možné dosiahnuť vytvorením klastra 4 modulov Guard v jednom podvozku Cisco 6500/7600, pričom plnohodnotné zoskupovanie týchto zariadení nebolo implementované. Horné modely Arbor Peakflow SP TMS majú súčasne výkon až 10 Gb / s a ​​môžu byť zoskupené.

Potom, čo sa Arbor začal stavať ako nezávislý hráč na trhu detekcie a potláčania útokov DDoS, Cisco začalo hľadať partnera, ktorý by mu poskytoval veľmi potrebné monitorovanie dát o toku sieťovej prevádzky, ale nebol by priamym konkurentom. . Takou spoločnosťou bol Narus, ktorý vyrába systémy monitorovania premávky založené na tokových údajoch (NarusInsight), a vstúpil do partnerstva so spoločnosťou Cisco Systems. Toto partnerstvo však neprešlo vážnym vývojom a prítomnosťou na trhu. Podľa niektorých správ navyše spoločnosť Cisco neplánuje investovať do svojich riešení Cisco Detector a Cisco Guard, pričom by tento priestor ponechala na milosť a nemilosť spoločnosti Arbor Networks.

Niektoré funkcie riešení Cisco a Arbor

Stojí za zmienku niektoré z funkcií riešení Cisco a Arbor.

  1. Cisco Guard je možné používať spoločne s detektorom aj nezávisle. V druhom prípade je nastavený na in-line režim a vykonáva funkcie detektora analyzovaním premávky a v prípade potreby zapne filtre a vyčistí premávku. Nevýhodou tohto režimu je, že za prvé sa pridá ďalší bod potenciálnej poruchy a za druhé dodatočné oneskorenie dopravy (aj keď je malé, kým nie je zapnutý filtračný mechanizmus). Odporúčaný režim pre Cisco Guard čaká na príkaz na presmerovanie prevádzky obsahujúcej útok, jeho filtrovanie a vloženie späť do siete.
  2. Zariadenia Arbor Peakflow SP TMS môžu tiež pracovať v režime mimo rampy aj v režime in-line. V prvom prípade zariadenie pasívne čaká na príkaz na presmerovanie prenosu obsahujúceho útok, aby ho vyčistil a vložil späť do siete. V druhom cez seba prechádza všetok prenos, generuje na základe neho údaje vo formáte Arborflow a prenáša ich do Peakflow SP CP na analýzu a detekciu útokov. Arborflow je formát podobný Netflow, ale bol upravený spoločnosťou Arbor pre ich systémy Peakflow SP. Peakflow SP CP monitoruje návštevnosť a detekuje útoky na základe údajov Arborflow prijatých z TMS. Keď je detekovaný útok, operátor Peakflow SP CP dá príkaz na jeho potlačenie, potom TMS zapne filtre a vyčistí návštevnosť od útoku. Na rozdiel od Cisco server Peakflow SP TMS nemôže fungovať sám; na vykonanie analýzy návštevnosti vyžaduje server Peakflow SP CP.
  3. Dnes sa väčšina odborníkov zhoduje na tom, že ochrana miestnych sekcií siete (napríklad prepojenie dátových centier alebo prepojenie nadväzujúcich sietí) je účinná.

FSB vyšetruje trestné stíhanie vo veci masívneho hackerského útoku pomocou internetu vecí (IoT) na objekty finančného sektora na jeseň roku 2016, ktorých predmetom boli Sberbank, Rosbank, Alfa-Bank, Bank of Moskva, Moskovská burza a ďalšie ...

Podľa Kommersanta, zástupca riaditeľa FSB Dmitrij Šalkov o tom hovoril pri vystúpení v Štátnej dume pri predstavení balíka vládnych návrhov zákonov o bezpečnosti kritickej informačnej infraštruktúry (CII) Ruskej federácie.

V roku 2016 bolo zaznamenaných asi 70 miliónov DDoS útokov na ruské oficiálne informačné zdroje, čo je trikrát viac ako pred rokom. Novembrové hackerské útoky sa však od väčšiny líšia, poznamenal Šalkov.

Stredné útoky DDoS boli podľa jeho slov uskutočnené v ôsmich organizáciách medzi 8. a 14. novembrom. Išlo o takzvané botnety (počítače s prístupom na internet, ktoré boli napadnuté hackermi a boli ovládané hackermi), využívajúce zariadenia IoT pripojené k sieti, a najmä webové kamery. Zástupca riaditeľa FSB zaznamenal podobnosť koordinovaného útoku na ruské štruktúry so šesťhodinovým októbrovým útokom v USA na služby poskytovateľa internetu Dyn, v dôsledku čoho došlo k vzniku veľkého počtu amerických zdrojov (Twitter, CNN, Spotify, The New York Times a Reddit) boli dlhší čas nedostupné.

Útoky zároveň neboli sprevádzané krádežou finančných prostriedkov a napadnuté banky nezaznamenali žiadne prerušenie prevádzky služieb. Po novembrových útokoch sa podobné incidenty neopakovali, uviedla Ruská centrálna banka.

Kommersant poznamenáva, že útoky DDoS samy o sebe nie sú zamerané na krádež financií, spravidla sa používajú na blokovanie webových stránok a služieb online bankovníctva. Gleb Cherbov, zástupca vedúceho oddelenia bezpečnostného auditu spoločnosti Digital Security, vysvetlil, že „zariadenia a servery riadené počítačovými zločincami sú kombinované do botnetov, pripravených vytvárať sieťový prenos, ktorý je pre napadnutý systém smrteľný“. Masívne útoky DDoS však môžu bankám spôsobiť vážne straty. Nedostupnosť služieb môže napríklad spôsobiť paniku medzi vkladateľmi, ktorí začnú hromadne vyberať vklady. Navyše masívne útoky DDoS sa často používajú na maskovanie iných aktivít. Konkrétne, zatiaľ čo bezpečnostní experti odstraňujú zraniteľnosť, útočníci môžu preniknúť do bankovej infraštruktúry.

Podľa denníka začatie trestného stíhania FSB zo skutočnosti, že v novembri 2016 došlo k hackerským útokom, znamená, že podozrivých osôb už vyšetrovanie identifikovalo. Vyšetrovanie prebieha v takýchto prípadoch najmenej šesť mesiacov, ale v skutočnosti sa lehota predlžuje o dva alebo tri roky, uvádza zdroj publikácie.