вторник, 2 июня 2009 г.

Материалы семинара RISSPA по DDoS

Опубликованы материалы семинара RISSPA по теме DDoS. Презентации и аудио доступны для загрузки по следующей ссылке:
http://risspa.org/seminary/prosched_seminar/materialy/

Ниже моя презентация и тезисы.




ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ
DDOS-АТАКАМ


Сергей Гордейчик, руководитель отдела консалтинга и аудита Positive Technologies
http://sgordey.blogspot.com/


Резюме


Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы.
В докладе рассматриваются практические подходы к оценке эффективности мер по противодействию DDoS-атака на уровенях приложений, сетевой инфраструктуры, доступа к сети Интернет с использованием паттернов реальных DDoS-атак.



Введение


Распределенные атаки типа «Отказ в обслуживании» (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. В то время как зависимость бизнеса от внешних сервисов, предоставляемых с помощью Интернет, растет, злоумышленники совершенствуют механизмы осуществления атак и наращивают мощности бот-сетей, используемых для DDoS.
Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы. При стечении ряда обстоятельств может оказаться, что защита недостаточно эффективна, и сервисы и приложения при проведении реальной атаки будут заблокированы.
Таким образом, комплекс мер защиты от DDoS-атак нуждается в периодическом тестировании. По опыту компании Positive Technologies наиболее эффективным методом является сочетание анализа технических и организационных средств защиты с практическим нагрузочным тестированием компонентов ИС, эмулирующим реальную DDoS-атаку.

Уровень приложений


Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции приложения, злоумышленник может исчерпать критичные ресурсы системы или воспользоваться уязвимостью, приводящий к прекращению функционирования системы.
Атаки могут быть направлены на любой из компонентов приложения, например, на сервер СУБД, DNS, сервер аутентификации и т.д. В отличие от атак на сетевом уровне, требующих значительных ресурсов злоумышленника, атаки на прикладном уровне обычно легче реализовать.
В ходе работ проводится экспресс-анализ доступных функций приложения, и составляется оценка ресурсоемкости данных функций с точки зрения функционирования всего приложения. Затем проводится нагрузочное тестирование согласованного перечня функций с заданной нагрузкой.

Уровень сетевой инфраструктуры


Зачастую узким местом при проведении DDoS-атак является сетевая инфраструктура, обеспечивающая функционирование приложений. Опыт компании Positive Technologies показывает, что в ряде случаев отказ в обслуживании возникает в результате ошибок в конфигурации систем и средств защиты, которые призваны снизить последствия атаки. Стек TCP/IP серверов, межсетевые экраны, средства балансировки нагрузки, системы предотвращения атак (IDS/IPS), маршрутизаторы и коммутаторы имеют свои предельные эксплуатационные характеристики. В результате повышенной нагрузки, возникающей в ходе DDoS, один из ключевых компонентов сетевой инфраструктуры может прекратить нормальное функционирование и усугубить ущерб от атаки.

Уровень доступа к сети Интернет


Одним из наиболее деструктивных факторов DDoS-атаки является загрузка «мусорным» трафиком магистральных каналов доступа к сети Интернет. В результате уязвимым местом становятся каналы связи Интернет-провайдера. В случае подобной атаки важно наличие отлаженного регламента взаимодействия Заказчика с персоналом Интернет-провайдера. При обнаружении атаки необходимо оперативно скоординировать действия по снижению последствий атаки (перенос сервиса на резервные площадки, включение дополнительных мощностей, активация средств защиты и т.д.). Для проверки эффективности данного взаимодействия можно использовать аналитический и практический анализ эффективности существующего регламента взаимодействия в случае DDoS.
В рамках аналитической части проводится экпертиза существующих регламентов с точки зрения передового опыта и международных стандартов по обеспечения информационной безопасности и обеспечению непрерывности бизнеса (business continuity planning, BCP).
При практической проверке проводится практический прогон ситуации возникновения DDoS-атаки и анализируется скорость и качество реализации требований регламента специалистами Заказчика и Интернет-провайдера.
Для полного приближения к ситуации может использоваться имитация реальной DDoS-атаки на указанные ресурсы Заказчика. Объемы генерируемого во время атаки трафика рассчитываются таким образом, чтобы максимально использовать пропускную способность каналов связи с Интернет.
В ходе работ могут использоваться как dumb-bot – примитивные систем генерации трафика, и эффективные решения (smart-bot), эмулирующие поведение стандартного сетевого клиента и агента DDoS, что затрудняет блокирование атаки средствами защиты от DDoS.

Комментариев нет: