Защита от DDOS-атак на уровне приложений

17.05.2021 10

24 ноября 2014

В последние несколько лет распределенные атаки типа «отказ в обслуживании» (Distributed Denial Of Service, DDoS) эволюционировали из относительно простых flood  атак в комплексные и многоступенчатые атаки. Фактически сегодня любая организация, присутствующая в Интернете, является уязвимой для кибератак. Вместе с традиционными атаками высокого уровня, которые направляют массированные объемы трафика с целью перегрузки сервера, бизнес также столкнулся с направленными атаками. Они используют относительно небольшой объем трафика, нацеленный на приложения, которые обрабатывают огромные объемы данных. Причем эти атаки не обнаруживаются традиционными решениями защиты от DDoS. Сбой, причиненный DDoS-атакой, может привести к огромным убыткам в бизнесе, независимо от размера компании или организации, подвергшейся нападению.

Поскольку сложные DDoS-атаки нового поколения не могут быть обнаружены или отражены традиционными методами, компаниям требуется новая и более эффективная система обнаружения и отражения DDoS-атак, гарантирующая непрерывную доступность критически важных бизнес ресурсов. Juniper DDoS Secure обеспечивает функции, полностью автоматизированной DDoS-защиты для интернет-сервисов, с использованием уникального поведенческого подхода к обнаружению и отражению атак DDoS. Решение обеспечивает защиту от атак высокого уровня, а также продвинутых атак типа «low-and-slow» на уровне приложений. Путем корреляции входных рисков и ответной реакции, Juniper DDoS Secure способно обнаруживать «невидимые» атаки, которые разработаны для обхода сигнатурных защитных систем.

Интернет и социальные сети содержат информацию, которая может помочь злоумышленникам. Это означает, что киберпреступники по-прежнему имеют доступ к множеству дешевых ботнетов и бесплатных программных средств типа Low Orbit Ion Cannon (LOIC), которые легки в применении и могут вывести из строя инфраструктуру приложений большинства компаний.

Способы осуществления и мотивы применения DDoS постоянно эволюционируют. Этот тип атак стали чаще использовать группы «хактивистов» типа Anonymous для социальных протестов и организованной преступной деятельности, нанося финансовый ущерб атаками по заданным веб-сайтам и веб-сервисам. Кроме того, DDoS-атаки играют большую роль в изощренных гибридных атаках на организации, для которых Интернет играет критически важную роль.

Эскалация DDoS-атак уровня приложений

DDoS-атаки уровня приложений являются сегодня одной из наиболее распространённых и разрушительных форм киберугроз. Простые DDoS-атаки с большим объемом трафика все еще причиняют проблемы, однако их легко обнаружить. При правильной организации обороны риски этих атак сведены к нулю. Новый тип DDoS уровня приложений под кодовым названием «low-and-slow», «медленно и низко», тем не менее, намного сложнее обнаружить и отразить, что представляет собой реальную угрозу для бизнеса.

2012 г. показал резкий скачок DDoS-атак типа Layer 7. Эти атаки протекают малозаметно, поскольку свой трафик они выдают за легитимный. Атаки Layer 7 или уровня приложений, скорее, ориентируются на уязвимости в самом коде приложений, чем на применение «лобовой» атаки, для достижения требуемых результатов. Цель большинства атак уровня приложений — это хорошо известное ПО, использующее HTTP, HTTPS, DNS, and VoIP (Session Initiation Protocol или SIP). Как и flood атаки, атаки L7 требуют очень мало затрат со стороны киберпреступников. Внешняя легальность — это то, что делает атаки L7 распространенными и чрезвычайно трудными для обнаружения и блокирования.

эволюция атакАтаки уровня приложений могут быть не обнаружены системой защиты, так как пользуются слабой стороной технологии обнаружения, которая использует принцип сетевого потока и методику пороговых величин. RUDY и Slow Loris — это два типа атак уровня приложений, которые нацелены на HTTP-протокол. Злоумышленники пытаются запустить множество запросов, которые трудно обслужить, исчерпывая ресурсы приложения и быстро парализуя веб-сайт.

Хакеры начали использовать атаку DNS-усиления (отражения). Ее суть состоит в том, что киберпреступник посылает короткий запрос уязвимому DNS-серверу, который отвечает на него уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы, то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.

DNS-серверы являются привлекательной добычей, потому что они обычно очень велики, работают на широкополосном интернет-канале, и не могут быть так просто занесены в «черный» список. Хакеры используют DNS путем подмены целевого адреса и отправки небольших запросов на DNS-сервер, который отвечает на эти ложные запросы в 10~1000 раз большим объемом трафика, тем самым атакует жертву массированной волной трафика. Взятые отдельно, эти запросы к DNS являются легитимными, равно как и ответные данные. Злоумышленник может оставаться анонимным и управлять публично доступными DNS для отражения атак и усиления их мощности.

Анатомия атаки DNS-усиления:

анатомия атакиОтвлекающая DDoS-атака, которая является намного более коварным типом мультивекторных атак, использует масштабный DDoS как тактический прием отвлечения внимания ИТ-персонала, в то время как киберпреступники осуществляют хищение данных или финансовых средств. Банки и финансовые организации наиболее часто подвергаются этому типу атак.

Атаки уровня приложений все чаще направляются против онлайн-банкинга интернет-магазинов. Эти атаки часто прячут в шифрованном (HTTPS/SSL) трафике и они остаются невидимыми для традиционных решений.

Как пример, такая атака может быть запущена путем функции «add to cart» на веб-сервере, генерируя больше трафика, чем смогут обработать приложения, перегружая сайт и генерируя сообщения об ошибке для конечных пользователей, которые пытаются совершать онлайн-покупки. Эти атаки не обнаруживаются, пока не станет слишком поздно, поскольку они используют легальные каналы трафика для проникновения на веб-серверы и приложения.

Компания Juniper Networks предлагает широкий спектр продуктов для создания  комплексных решений для обеспечения многоуровневой безопасности, обеспечивающих не только защиту периметра сети, но и обнаружение и предотвращение атак в реальном времени, поддержку виртуальных частных сетей.

Компания «ITbiz» уже более семи лет успешно работает и внедряет проекты на базе решений Juniper Networks для ключевых интернет-провайдеров, дата-центров, предприятий энергетики и нефтегазовой сферы, банков, государственных и промышленных организаций, медиа и телевизионных компаний.[:]