Материалы семинара RISSPA по DDoS

Материалы семинара RISSPA по DDoS
Опубликованы материалы семинара RISSPA по теме DDoS . Презентации и аудио доступны для загрузки по следующей ссылке: http://risspa.org/seminary/prosched_seminar/materialy/ Ниже моя презентация и тезисы. Pt DDoS 20090527
ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ DDOS-АТАКАМ Сергей Гордейчик, руководитель отдела консалтинга и аудита Positive Technologies http://sgordey.blogspot.com/ Резюме Распределенные атаки типа [Отказ в обслуживанииk (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы. В докладе рассматриваются практические подходы к оценке эффективности мер по противодействию DDoS-атака на уровенях приложений, сетевой инфраструктуры, доступа к сети Интернет с использованием паттернов реальных DDoS-атак. Введение Распределенные атаки типа [Отказ в обслуживанииk (DDoS) являются одной из наиболее актуальных угроз, связанных с использованием сети Интернет. В то время как зависимость бизнеса от внешних сервисов, предоставляемых с помощью Интернет, растет, злоумышленники совершенствуют механизмы осуществления атак и наращивают мощности бот-сетей, используемых для DDoS. Защитные меры, используемые для противодействия DDoS-атакам, представляют собой сложный комплекс мероприятий, реализуемых на техническом и организационном уровне. Зачастую неизвестно, достаточны ли они для противодействия текущему уровню угрозы. При стечении ряда обстоятельств может оказаться, что защита недостаточно эффективна, и сервисы и приложения при проведении реальной атаки будут заблокированы. Таким образом, комплекс мер защиты от DDoS-атак нуждается в периодическом тестировании. По опыту компании Positive Technologies наиболее эффективным методом является сочетание анализа технических и организационных средств защиты с практическим нагрузочным тестированием компонентов ИС, эмулирующим реальную DDoS-атаку. Уровень приложений Обычно атаки, направленные на отказ в обслуживании реализуются на сетевом уровне, однако они могут быть направлены и на прикладной уровень. Используя функции приложения, злоумышленник может исчерпать критичные ресурсы системы или воспользоваться уязвимостью, приводящий к прекращению функционирования системы. Атаки могут быть направлены на любой из компонентов приложения, например, на сервер СУБД, DNS, сервер аутентификации и т.д. В отличие от атак на сетевом уровне, требующих значительных ресурсов злоумышленника, атаки на прикладном уровне обычно легче реализовать. В ходе работ проводится экспресс-анализ доступных функций приложения, и составляется оценка ресурсоемкости данных функций с точки зрения функционирования всего приложения. Затем проводится нагрузочное тестирование согласованного перечня функций с заданной нагрузкой. Уровень сетевой инфраструктуры Зачастую узким местом при проведении DDoS-атак является сетевая инфраструктура, обеспечивающая функционирование приложений. Опыт компании Positive Technologies показывает, что в ряде случаев отказ в обслуживании возникает в результате ошибок в конфигурации систем и средств защиты, которые призваны снизить последствия атаки. Стек TCP/IP серверов, межсетевые экраны, средства балансировки нагрузки, системы предотвращения атак (IDS/IPS), маршрутизаторы и коммутаторы имеют свои предельные эксплуатационные характеристики. В результате повышенной нагрузки, возникающей в ходе DDoS, один из ключевых компонентов сетевой инфраструктуры может прекратить нормальное функционирование и усугубить ущерб от атаки. Уровень доступа к сети Интернет Одним из наиболее деструктивных факторов DDoS-атаки является загрузка [мусорнымk трафиком магистральных каналов доступа к сети Интернет. В результате уязвимым местом становятся каналы связи Интернет-провайдера. В случае подобной атаки важно наличие отлаженного регламента взаимодействия Заказчика с персоналом Интернет-провайдера. При обнаружении атаки необходимо оперативно скоординировать действия по снижению последствий атаки (перенос сервиса на резервные площадки, включение дополнительных мощностей, активация средств защиты и т.д.). Для проверки эффективности данного взаимодействия можно использовать аналитический и практический анализ эффективности существующего регламента взаимодействия в случае DDoS. В рамках аналитической части проводится экпертиза существующих регламентов с точки зрения передового опыта и международных стандартов по обеспечения информационной безопасности и обеспечению непрерывности бизнеса (business continuity planning, BCP). При практической проверке проводится практический прогон ситуации возникновения DDoS-атаки и анализируется скорость и качество реализации требований регламента специалистами Заказчика и Интернет-провайдера. Для полного приближения к ситуации может использоваться имитация реальной DDoS-атаки на указанные ресурсы Заказчика. Объемы генерируемого во время атаки трафика рассчитываются таким образом, чтобы максимально использовать пропускную способность каналов связи с Интернет. В ходе работ могут использоваться как dumb-bot примитивные систем генерации трафика, и эффективные решения (smart-bot), эмулирующие поведение стандартного сетевого клиента и агента DDoS, что затрудняет блокирование атаки средствами защиты от DDoS.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!