«Большие данные» в анти-DDoS системах

В конкурентной борьбе и в качестве своеобразных актов возмездия часто используются DDoS-атаки. Обычно их цель состоит в том, чтобы сделать серверы атакуемой организации временно недоступными. Для сайтов платёжных систем, интернет-магазинов, предвыборных кампаний и просто популярных веб-ресурсов такой вынужденный простой приводит к весьма ощутимым утратам. Порой вычислить виновных довольно сложно, особенно если атака проводится с использованием инфицированных компьютеров ничего не подозревающих пользователей.

При всём разнообразии тактик проведения атак по типу «отказ в обслуживании» в общем случае они сводятся к настойчивым попыткам загрузить серверы бесполезной работой. На них отправляется возрастающий поток различных запросов до тех пор, пока от атакуемого узла есть хоть какой-то отклик.

Серьёзная атака последовательно или сразу проходит по нескольким направлениям. Это наводнение UDP-пакетами, HTTP- SYN- и DNS-флуд, SQL-инъекции, плюс использование известных уязвимостей. Бесполезные сетевые пакеты забивают каналы передачи данных, а на их обработку тратятся все или почти все вычислительные ресурсы сервера.

DDoS-атака на игровые серверы ArcheAge (изображение: norse-corp.com).
DDoS-атака на игровые серверы ArcheAge (изображение: norse-corp.com).

Несколько лет назад простейшую DDoS-атаку мог устроить даже одиночка с высокой скоростью исходящего подключения. Для этого использовался LOIC, HOIC, GAS и другой спецсофт. Скоординированные групповые рейды были более эффективны, но если атакуемая сторона вовремя распознавала DDoS, то успевала заблокировать IP-адреса большинства атакующих до «падения» сервера. С появлением IRC-LOIC и распространением масштабных ботнетов ситуация изменилась. Сегодня обычных средств защиты сервера уже недостаточно, так как они плохо справляются с блокировкой IP-адресов атакующих, если их число измеряется сотнями тысяч.

Схема защиты платформы Behemoth (изображение: Incapsula.com).
Схема защиты платформы Behemoth (изображение: Incapsula.com).

В этой ситуации оказываются крайне эффективными методы анализа «больших данных». К примеру, фирма Incapsula (бывшая Imperva) развивает их как облачные технологии, предназначенные для защиты серверов своих клиентов от DDoS-атак и других сетевых угроз.

Весь входящий трафик клиента сначала поступает на фильтрующую платформу Behemoth по протоколу граничного шлюза (BGP).

Он анализируется на лету и уже после очистки от мусорных пакетов попадает к заказчику через безопасный туннель GRE. Хакеры думают, что атакуют рядовой сайт с виртуальным хостингом, в то время как реально кормят трафиком «бегемотов» – специализированную группу серверов, изначально рассчитанную на огромные потоки данных.

Каждый сервер содержит два процессора Intel Xeon E5-2690V2, обеспечивающих сорок логических ядер с частотой до 3,6 ГГц и сетевые карты Silicom с восемнадцатью портами стандарта 10 GbE. Всего один сервер обрабатывает на лету входящий поток на скорости до 170 Гбит/с и фильтрует до ста миллионов пакетов в секунду. Если этого оказывается недостаточно, то параллельно ему просто подключают следующий, распределяя нагрузку.

Большинство DDoS-атак направлено на игровые серверы и сайты разработчиков ПО (изображение: Prolexic).
Большинство DDoS-атак направлено на игровые серверы и сайты разработчиков ПО (изображение: Prolexic).

Разумеется, помимо грубой вычислительной силы секрет успеха Incapsula состоит и в оригинальном программном обеспечении. С его помощью визуализируется структура атаки, что даёт чёткое понимание картины происходящего и позволяет вовремя принять необходимые меры. Главная заслуга технологий обработки «больших данных» заключается даже не в том, что гигабайты мусорных пакетов постоянно отфильтровываются, а в способности доставить каждый запрос от легитимных пользователей на целевой сервер. Ни владелец сайта, ни его посетители просто не замечают DDoS-атак.

В октябре прошлого года Incapsula успешно отразила девятичасовую атаку на торговую платформу BTC China, а в августе этого года выдержала самое суровое испытание – DDoS-атаку, на одного из клиентов, длившуюся тридцать восемь дней. Пиковая нагрузка достигала 90 млн пакетов в секунду, а суммарный объём отфильтрованного трафика превысил пятьдесять петабит, но справился с ним всего один «бегемот».

Принцип защиты от DDoS-атак платформы Incapsula (изображение: incapsula.com).
Принцип защиты от DDoS-атак платформы Incapsula (изображение: incapsula.com).

Другой крупный поставщик решений для защиты серверов – Prolexic – в последнем отчёте приводит данные, говорящие о снижении числа мощных DDoS-атак. В среднем скорость потока едва достигает 7,8 Гбит/с, а число пакетов за второй квартал снизилось с 19,8 до 12 млн/с.

Однако более важно то, что атаки меняют свой характер. Популярной мишенью стали игровые серверы, сайты СМИ и софтверных компаний, а сами атаки теперь часто осуществляются на уровне серверных приложений, а не базовых протоколов. В отличие от примитивного HTTP-флуда, такие запросы имитируют действия реальных пользователей. При меньшем трафике они сильнее нагружают сервер, а выделить атакующих на фоне легитимных клиентов становится очень сложно.

«Интеллектуальные системы анализа обещают принципиально иную и более эффективную модель безопасности за счёт использования технологий обработки «больших данных, – говорил на проходившей в Нидерландах конференции по безопасности исполнительный вице-президент RSA Арт Ковьелло (Art Coviello). – Когда мы всесторонне изучим поведение людей и потоков данных, мы сможем преодолеть реактивные модели прошлого. Станет возможно более четко и быстро распознавать даже слабые сигналы о предстоящих атаках в условиях сильно зашумлённой инфосреды».

Среди различных типов DDoS-атак лидируют техники инфраструктурного уровня (изображение: prolexic.com).
Среди различных типов DDoS-атак лидируют техники инфраструктурного уровня (изображение: prolexic.com).

На практике отличить поведение атакующего узла от рядового пользователя помогает его «цифровой почерк» – особенности отправки запросов. К примеру, они следуют через равные интервалы, повторяются слишком часто и однотипно с другими участниками атаки. Сделать такой анализ в режиме реального времени возможно только силами ЦОД, выполняющего мониторинг крупных сегментов сети. Недавно Prolexic вошла в состав Akamai Technologies и стала обладателем самой большой в мире сети анти-DDoS серверов, расположенных в пяти скрубберных центрах (специализированных ЦОД) на разных континентах.

Среди руководителей фирм, занимающихся обеспечением безопасности, растёт уверенность в назревшей необходимости скоординированных действий. До сих пор традиционный обмен информацией помогал развивать продукты и лучше понимать нужды клиентов. Обмен «большими данными» способен отобрать у организаторов DDoS-атак их главный козырь – скоординированность усилий.



Андрей Васильков, Компьютерра





Интересные новости
Дети обмениваются порно-фото и выкладывают их в Сеть, а взрослые не понимают Интернет-слэнг
Марк Цукерберг раскритиковал "Социальную сеть"
Американских игроков начали сажать
1го апреля один из сайтов дошутился: на него подают в суд
Масоны онлайн
Блок рекламы


Похожие новости

Только 50% потребителей доверяют информации о компаниях в поисковых системах
РоSSийские хакеры "готовят поле боя" в энергетических системах США, - министр внутренней безопасности
Хакеры нашли более 100 уязвимостей в компьютерных системах Пентагона
Data Collective: «большие данные» — приоритетное направление инвестиций
«Большие данные» — растущий и капиталоёмкий рынок
Google Ideas: «большие данные» в борьбе с работорговлей и другими преступлениями
Caterpillar: «большие данные» для большой техники
Microsoft: «Большие данные» – ключ к борьбе с преступностью
«Большие данные» противостоят мошенничеству в рекламе
«Большие данные» помогают наладить обратную связь с клиентами
Последние новости

Подгружаем последние новости