DDoS-атакой (Distributed Deny of Service Attack) называется распределенная атака типа отказа в обслуживании. Целью подобных атак, как правило, является остановка легитимных сервисов в организации.
Упрощенно говоря, атака происходит следующим образом: на большое количество компьютеров, используя самые разные способы, например, используя уязвимости ОС и ПО, вирусы, включая спам и троянское ПО, распространяется специальный код. Код должен уметь незаметно проникать в систему, уметь незаметно находиться в системе, желательно уметь незаметно осуществлять взаимодействие с управляющей программой и уметь производить атаку. С помощью специальной программы злоумышленник даёт указание осуществить атаку определенного адреса в определенное время. Происходит заполнение канала связи между сервисом, на который проводится атака, и Интернет-провайдером (ISP). Если на стороне организации был web-сервер с Интернет-Банком, торговой системой или Интернет-магазином, то во время проведения атаки эти сервисы перестают работать, что может привести как к финансовым, так и к репутационным убыткам.
Какие меры могут быть использованы для противодействия DDoS-атак? Я выделяю три направления, по которым нужно работать: обновление и конфигурирование сетевого оборудования на стороне организации, заключение соглашений между организацией и Интернет-провайдером и создание избыточной сетевой инфраструктуры на стороне организации.
Обновление и конфигурирование
Самой простой мерой для противодействия DDoS-атакам является обновление программного обеспечения сетевого оборудования. Это могут быть программные или программно-аппаратные межсетевые экраны, маршрутизаторы. В Интернете выложено большое количество статей и инструкций для конкретных устройств, общими же являются методы фильтрации по отдельным адресам, по группам адресов, по подсетям, по сетям, по спискам сетей, относящихся к конкретным провайдерам или даже государствам.
Соглашение о предоставлении услуг
Следующей мерой является заключение соглашений с Интернет-провайдером. Соглашение об уровне сервиса SLA (Service Level Agreement) – документ, регламентирующий отношения между сервис-провайдером и его клиентом, содержащий описание услуги, права и обязанности сторон и, самое главное, согласованный уровень качества предоставления услуги. В таком соглашении может содержаться детальное описание предоставляемого сервиса, в том числе перечень параметров качества, методов и средств их контроля, времени отклика поставщика на запрос от потребителя, а также штрафные санкции за нарушение этого соглашения. Данное соглашение должно рассматриваться как делегирование ответственности на сторону провайдера и в теории должно заставить провайдера выполнять технические мероприятия на своей стороне. Цель подписания подобного соглашения - обеспечение как пропускной способности в канале связи, так и доступности канала связи для сервисов клиента.
Доступность сервиса определяется как время, в течение которого ресурс или система доступны для использования. Для примера привожу возможные уровни доступности до "пяти девяток".
Создание избыточной инфраструктуры
Обычная схема.
Обычная схема имеет единственный канал связи между провайдером и организацией. Если происходит DDoS-атака на сетевой ресурс организации с большой долей вероятности можно сказать, что произойдет отказ доступности сервисов на этом ресурсе.
Избыточная схема с единственным провайдером.
Для того, чтобы снизить возможные последствия в результате DDoS-атак имеет смысл установить два независимых канала связи до провайдера. Основной канал должен иметь необходимую пропускную способность, а резервный - минимально допустимую. Если ограничиться единственным каналом связи, но установить маршрутизатор провайдера на территории организации, то фактически у организации будет 2 внешних IP-адреса, которые и будут использоваться для коммутации и маршрутизации. Маршрутизатор должен обладать функциями обнаружения вторжений.
Что дает данная схема? В случая DDoS-атаки маршрутизатор мгновенно переключается с основного канала на резервный канал. Основанием для переключения будет замеченная встроенным анализатором DDoS-атака или недоступность конечной точки маршрутизации.
Если злоумышленник обладает информацией, что у организации 2 канала связи до провайдера, а ему известен только один IP-адрес, то он может организовать атаку на все адреса, входящие в подсеть. Для этого нужно рассчитать минимальную подсеть, содержащую известный IP-адрес, после чего станут известны все остальные адреса, на которые и проводится атака.
Избыточная схема с разными провайдерами.
Для дальнейшего снижения вероятности потери доступности сервисов при проведении DDoS-атак, является организация независимых каналов связи с разными Интернет-провайдерами. В этом случае в организации будет также 2 IP-адреса, но они гарантированно будут из разных сетей. В этом случае у злоумышленника пропадает возможность предугадать другие IP-адреса, которые также могут предоставлять сервисы.