Клин клином: о европейском запуске Kaspersky DDoS Prevention

Великое зло таится в тёмных уголках Сети, замышляя уничтожить весь мир… DDoS-атаки, впрочем, не заслуживают столь громкого описания, хоть они и воистину зло. На самом деле это давно назревшая глобальная

Великое зло таится в тёмных уголках Сети, замышляя уничтожить весь мир… DDoS-атаки, впрочем, не заслуживают столь громкого описания, хоть они и воистину зло. На самом деле это давно назревшая глобальная проблема, с которой очень трудно справиться. И некоторые из последних мероприятий «Лаборатории Касперского», а именно запуск в Европе Kaspersky DDoS Prevention, — как раз своего рода контратака.

Ну ладно, прежде всего, почему это серьезно? В двух словах, распределенная атака «отказ в обслуживании» – это бомбардировка целевых веб-сайтов, веб-сервисов, серверов коммерческой компании, иногда даже дата-центров, лавиной мусорного трафика. Есть несколько типов DDoS-атак, различающихся по способу осуществления, но у них у всех есть общая черта: DDoS либо запускается с нескольких десятков, сотен, тысяч или более компьютеров, объединенных в ботнет конкретной вредоносной программой, либо же используется принцип «плеча» (DDoS Amplification) – усиления «мусорного» трафика с помощью сторонних серверов. Например, злоумышленник посылает короткий запрос уязвимому DNS-серверу, а тот отвечает уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (IP spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу. Цель у нападения всегда одна – задавить цель, перегрузив ее серверы или задушив пропускную способность её каналов связи с интернетом, так, чтобы регулярные пользователи не могли получить доступ к ее ресурсам.

За более подробной информацией, пожалуйста, обращайтесь к нашей более ранней публикации.

Худшей в DDoS-атаках является их чрезвычайная «доступность». Владельцы ботнетов сбывают свои «услуги» по скромной цене (от 50 баксов в день). Это проблема на данный момент представляется неразрешимой, если учитывать тот факт, что порой ботнеты иногда рассредоточены по всему земному шару. А ущерб, который они могут нанести, впечатляет. Простои обходятся дорого сами по себе (предприятия рискуют потерять от $10 000 до $50 000 в день в результате таких атак). Кроме того, DDoS часто может служить прикрытием для куда более гнусных действий вроде вторжения с последующими кражами данных или внедрением вредоносных программ.

Почти четверть европейских компаний (23%) считают DDoS-атаки одной из трех опаснейших для себя угроз, по данным опроса, проведенного B2B International и «Лабораторией Касперского». Это исследование также показывает, что 26 процентов европейских компаний считают непрерывность работы одним из трех своих ИТ-приоритетов на 2015 год. А DDoS-атаки обычно используют для срыва работы. Киберпреступники используют их для вымогательства, иногда DDoS-атаки также являются инструментом недобросовестной конкуренции.

Вкратце, DDoS-атака – это просто очень много трафика. Так что, для того чтобы уберечь от нее ваш сервер, вы должны иметь пропускную способность настолько высокую, чтобы эти «потоки барахла» просто «затерялись». Однако же, современные атаки выходят на пик в 300 Гбит/с, и почти две трети их обеспечивают нагрузку выше 1 Гбит/с, по данным Verisign. Пропускная способность каналов подключения сетей коммерческих компаний к интернету, между тем, редко превышает 1Гбит/c. Это означает, что крупные ботнеты и усиленные атаки могут утопить почти любую полосу пропускания. Кроме того, DDoS-атаки неуклонно наращивают мощность, а их устроители становятся изобретательнее.

Интернет-провайдеры обычно фильтруют трафик, пытаясь блокировать большую часть очевидной нагрузки. Однако «начинка» ее уже вне поля их деятельности, так что нередко провайдеры не уделяют должного внимания атакам более изобретательным, противодействие которым требует тщательного анализа.

Сегодня наиболее эффективным способом нейтрализовать DDoS-атаки независимо от их типа и размера, являются специализированные сервисы для клиентов — «центры очистки», которые задействуют целую комбинацию методов фильтрации трафика.

Kaspersky DDoS Prevention использует распределенную инфраструктуру центров чистки данных – распределенную защиту от распределенных атак. В смысле клин клином. Хотя речь, скорее всего, идет о чём-то вроде ловли роя плохих данных сачком с мелкой сеткой.

Решение сочетает в себе различные методы, в том числе фильтрацию трафика на стороне провайдера, установку на стороне клиентасерверов со специальным ПО для анализа трафикаа также использование центров чистки с гибко настроенными фильтрами. Работа системы полностью автоматизирована, но её также мониторят специалисты «Лаборатории Касперского» — на случай нештатных ситуаций, требующих анализа со стороны людей.

Программное обеспечение для мониторинга и чистки трафика разработано внутри самой компании, как и все другие наши решения. Это означает, что настройки нашего софта можно быстро адаптировать к изменениям в методах, которые применяют злоумышленники, либо проактивно, либо сразу по следам атаки. Возможность быстрой перенастройки фильтров в том числе во время атаки абсолютно необходима, потому что некоторые особенно настойчивые злоумышленники часто меняют методы своего нападения. В таких случаях требуется оперативная реакция защиты, чтобы обеспечить бесперебойную работу подвергшихся нападению серверов.

Кроме того, Kaspersky DDoS Protection может блокировать большую часть мусорного трафика на стороне провайдера, что означает, что в центры очистки «Лаборатории Касперского» понадобится направлять лишь малую часть мусорного трафика.

Данное решение, технологии и методы успешно опробованы и совершенствуются в России и странах СНГ, а теперь компания рада предложить их своим европейским клиентам.

Советы
Подпишитесь на нашу еженедельную рассылку
  • For all other countries