ГлавнаяSoftwareАнтивирусыKaspersky DDoS Prevention, или как бороться с DDoS-атаками

Kaspersky DDoS Prevention, или как бороться с DDoS-атаками

Активное развитие сферы услуг и систем дистанционного обслуживания клиентов через интернет заставляет владельцев задумываться об обеспечении высокой доступности их ресурсов. Для этого предпринимается много усилий, в том числе — построение всевозможных схем резервирования и обеспечения катастрофоустойчивости. Но все эти усилия могут оказаться бесполезными перед угрозой, от которой просто невозможно застраховаться — перед DDoS-атаками. DDoS-атака (англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») — атака на вычислительную систему, выполняемая одновременно с большого числа компьютеров, с целью довести атакуемую систему до отказа. Цель атаки — создание таких условий, при которых легитимные пользователи системы или совсем не могут получить доступ к предоставляемым системой ресурсам (сервисам), или этот доступ для них затруднен.

ddos

DDoS-атаки недорого обходятся их заказчикам. В Сети несложно найти множество «молодых дарований», которые возьмутся за ее осуществление. Подобные атаки нередко заказываются, чтобы навредить конкурентам, ведь отказ сайта в обслуживании в лучшем случае слегка снизит доверие и лояльность клиентов, а в худшем приведет к потере немалого количества заказов и оттоку заказчиков. Все больше атак реализуется как форма протеста — политического, социального, протеста сотрудника против «несправедливости» работодателя или по иным мотивам. Легкостью и эффективностью DDoS-атак можно объяснить и их стремительный рост, который отмечается, например, в исследовании Cisco 2014 Annual Security Report. Согласно этому отчету растут и масштабы подобных атак, и жесткость, с которой они проводятся.

timeline

В принципе, DDoS-атаки, как угроза, известны давно, вполне изучены и вроде бы понятны. Это придает уверенность ряду пользователей, что они смогут им противостоять. Но, как известно всем, кто занимается информационной безопасностью, иллюзия защищенности — самая страшная из иллюзий для этого круга профессионалов. Периодически целый ряд известных компаний и брендов во всем мире подвергается мощным атакам, в результате которых их сайты остаются недоступными до нескольких часов. Особенно большой резонанс получают атаки на банки, так как клиенты не могут снять наличные, оплатить своей картой покупки в магазинах и т.д. Серьезной угрозой являются DDoS-атаки и для государственных учреждений, особенно тех, кто предоставляет услуги в рамках электронного правительства. Порой DDoS-атаки применяются в качестве «операций прикрытия» после масштабных операций, связанных с кибермошенничеством. Например, одна из подобных атак с использованием DDoS-атаки в качестве «операций прикрытия» нанесла ущерб одному из калифорнийских банков в размере почти 1 млрд. долларов. Нередко организаторы DDoS-атак используют программное обеспечение, требующее «выкуп» от пораженных систем. В частности, средство CryptoLocker шифрует пораженные файлы, после чего требует от их владельцев заплатить выкуп, причем, если те отказываются произвести оплату в течение отведенного периода времени, то ключ шифрования уничтожается.

DDoS_attacks_WEB-1 copy

DDoS-атаки все чаще представляют серьезную угрозу бизнесу, нанося ущерб в результате не только блокирования работы сайтов, но и создавая различные побочные проблемы. Распространенные методы средства защиты, увы, не способны в полной мере противодействовать DDoS-атакам по ряду причин:

— межсетевые экраны и системы IDS/IPS: находятся непосредственно перед защищаемым ресурсом и бессильны против переполнения канала связи;
— маршрутизация в «черные дыры», применяемая провайдерами, заключается в блокировке атакующего трафика. Однако таким образом блокируются и легальные запросы, то есть злоумышленники достигают своей цели — ресурс становится недоступным для пользователей;
— оптимизация настроек ресурса помогает только от маломощных атак;
— многократное резервирование ресурсов — крайне дорогой, а значит, недоступный для большинства организаций способ.

Kaspersky DDoS Prevention

Одним из реально действующих способов противостоять DDoS-атакам является Kaspersky DDoS Prevention. Сервис представляет собой мощную систему распределенной фильтрации трафика, состоящую из географически распределенных высокопроизводительных центров очистки трафика, подключенных к интернету по высокоскоростным каналам связи. Такое решение позволяет выдержать DDoS-атаку практически любой мощности. Для выявления паразитного трафика во время атаки в системе Kaspersky DDOS Prevention, среди прочих, применяется следующий ряд критериев фильтрации трафика:

— статистический: основан на анализе отклонения статистических параметров трафика от средних значений;

DDoS_attacks_WEB-2 copy

— статический: основан на черных и белых списках, в том числе формируемых пользовательскими приложениями через API;
— поведенческий: основан на анализе соблюдения или несоблюдения спецификаций прикладных протоколов;
— сигнатурный: основан на анализе индивидуальных особенностей поведения ботов и т.п.

Система включает в себя набор программных компонентов, необходимые технические средства, а также персонал, который обслуживает систему, осуществляет взаимодействие с клиентами и занимается анализом, способствующим качественному управлению системой. В состав системы Kaspersky DDoS Preventoin входят такие компоненты, как сенсор, центр очистки трафика, подсистема управления и web-портал, о которых мы расскажем чуть подробнее.

Сенсор Kaspersky DDoS Prevention

Назначение сенсора — собирать информацию о трафике, направленном на ресурс клиента, и предоставлять ее системе Kaspersky DDoS Prevention для анализа и своевременного выявления аномалий. На основании данных, полученных от сенсора, в системе строятся статистические профили трафика, которые позволяют своевременно выявлять отклонение параметров трафика ресурса и создавать критерии для статистических методов фильтрации.

DDoS_attacks_WEB-3 copy

Центр очистки трафика

Назначение центра заключается в очистке перенаправленного трафика от паразитной составляющей. Центр очистки представляет собой программный компонент системы, развернутый на нескольких серверах, выполняющих роль фильтрующего маршрутизатора, принимающего решение по пропуску того или иного трафика на основании профиля фильтрации, переданного с подсистемы управления, и прокси-сервера, обеспечивающего перенаправление очищенного трафика на ресурс клиента. Один центр очистки трафика Kaspersky DDoS Prevention может обслуживать несколько сетевых ресурсов одного или нескольких клиентов.

Подсистема управления

Подсистема управления обеспечивает координацию работы всех компонентов системы и равномерное распределение нагрузки на компоненты системы.

Портал Kaspersky DDoS Prevention

С помощью данного web-портала клиент системы Kaspersky DDoS Prevention может контролировать параметры работы системы, анализировать параметры трафика ресурса и возникающие аномалии.

DDoS_attacks_WEB-4 copy

Конкурентные преимущества Kaspersky DDoS Prevention

Система защиты Kaspersky DDoS Prevention — это самая эффективная распределенная система фильтрации трафика на сегодняшний день, готовая принять на себя мощь практически любых DDoS-атак. Надежность работы сервиса обеспечивается за счет территориального распределения компонентов системы, что исключает их одновременный выход из строя вследствие различных причин. Работоспособность системы не зависит от какого-либо конкретного провайдера, что также повышает ее надежность и отказоустойчивость. Команда профессионалов, которые уже 5 лет занимаются вопросами защиты от DDoS-атак, изучают методы и способы, применяемые злоумышленниками для нападения на интернет-ресурсы, обеспечивают поддержку клиентов на протяжении 24 в сутки в течение всей недели.

На компонентах системы Kaspersky DDoS Prevention применяется комплекс статистических, сигнатурных, поведенческих и иных методов очистки трафика, о чем мы упоминали выше. Это позволяет защищать ресурсы и от сложных интеллектуальных атак, которые уже преодолели другие средства защиты, в том числе от атак типа low rate. В систему Kaspersky DDoS Prevention включена функция детектирования атак при помощи сенсоров, размещенных непосредственно около защищаемого ресурса, что позволяет незамедлительно реагировать на любые отклонения трафика. Работа системы основана на индивидуальном подходе к защите каждого ресурса или сетевого сервиса. Для каждого защищаемого объекта в системе создаются индивидуальные профили фильтрации трафика.

Кроме этого, следует отметить, что сама система разработана ведущей антивирусной компанией, аналитики которой постоянно изучают самые последние версии вредоносного ПО. В структуру «Лаборатории Касперского» входит специальное подразделение, которое занимается исключительно изучением зомби-сетей и борьбой с ними, поэтому можно с уверенностью отметить, что компания обладает самой свежей информацией о тех методах, которые используют злоумышленники, и может эффективно противостоять им. Сервисом Kaspersky DDoS Prevention можно воспользоваться заранее, подключившись к нему для предотвращения возможных атак, а также после того, как атака уже началась. По желанию клиента специалисты «Лаборатории Касперского» после отражения атаки на ресурс могут подготовить для заказчика полный пакет документов для передачи в правоохранительные органы.

Система Kaspersky DDoS Prevention — гибкое решение, работа которого основана не только на фиксированном наборе параметров, но и на наборе правил, которые могут вручную добавляться аналитиками системы прямо в ходе отражения атаки. Таким образом, обновление функционала Kaspersky DDoS Prevention может происходить непосредственно в ходе отражения атаки. Многоуровневая смешанная фильтрация с использованием поведенческого и статистического анализа позволяет отражать атаки, которые проходят через многие другие системы защиты. В ходе мероприятий по защите администраторы системы Kaspersky DDoS Prevention также дают клиенту рекомендации по администрированию защищаемых web-сайтов и прочих ресурсов. Кроме этого, система Kaspersky DDoS Prevention сегодня используется многими компаниями для защиты своих сетевых инфраструктур, что позволяет специалистам «Лаборатории Касперского» постоянно изучать новые механизмы и особенности работы бот-сетей.

ESET предупреждает: Новый троян распространяется в письмах интернет-магазинов
На IFA-2014 Samsung представила новые смартфоны Galaxy Note 4, Galaxy Note Edge и шлем Gear VR
Оформление подписки
Оформить подписку на журнал InfoCity вы можете заполнив приведенную
ниже форму. Стоимость одного выпуска — 2 маната.
Ваше имя
Адрес доставки журнала и номер телефона для контактов
Число месяцев подписки
Благодарим вас за подписку!