Защита от DDoS. Обзор методов
02.03.2016
Защита от DDoS. Обзор методов
Развенчиваем мифы о защите от DDoS
В этом обзоре мы решили рассмотреть наиболее распространенные методы защиты от DDoS и развентить присущие им мифы. 

DDoS-защищенный хостинг

Для защиты сайта от DDoS-атак некоторые провайдеры предлагают так называемый DDoS-защищенный хостинг. Поскольку в данном случае провайдеры уже вложили средства в дорогостоящее оборудование, в том числе в аппаратное обеспечение, для поглощения DDoS-трафика, этот метод заметно превосходит по цене обычный хостинг, но имеет ограничения с точки зрения его эффективности.

Такой DDoS-защищенный хостинг может обойтись недешево, но все же не иметь возможности достаточно масштабироваться в случае DDoS-атаки. Арендные тарифы по определению ограничены указанными характеристиками отражаемой атаки, а кроме того, и фактической производительностью оборудования по защите от DDoS-атак.

Основной недостаток DDoS-защищенного хостинга заключается в том, что он неэффективно отражает DDoS-атаки, использующие недостаток ресурсов и атаки на уровне приложения. С такими атаками, имитирующими легитимный трафик, лучше всего справляются приемы «умной» идентификации посетителей сайта. DDoS-защищенный хостинг может пропустить начало подобной атаки и специалистам провайдера придется отражать ее вручную причем только после того, как владелец сайта самостоятельно обнаружит, что его сайт недоступен и сообщит об этом провайдеру.

Защита от DDoS с помощью IPTables

Другой метод защиты от DDoS-атак состоит в использовании Linux IPTables. Его суть заключается в определении и блокировании атакующих IP-адресов, например, всех адресов с превышением лимита UDP-запросов в секунду. Лимит может варьироваться и быть при необходимости изменен. Как правило, все блокируемые IP-адреса добавляются в «черный список», на основании которого строится цепочка правил IPTables.

Однако этот метод хорош только на словах, в реальности все немного иначе. Его можно шутливо сравнить с лечением болезни убийством пациента, потому что в конечном итоге блокирование подозрительных IP-адресов также заблокирует и весь входящий трафик от них, включая клиентов и других легитимных посетителей. Поскольку в настоящее время существует проблема исчерпания адресного пространства IP, тысячи людей могут использовать любой конкретный IP-адрес в текущий момент времени, и среди них могут быть как легитимные пользователи, так и нет. В этих условиях использование таких устаревших приемов, как блокирование IP-адресов, не создаст ничего, кроме новых проблем.

Но даже если кого-то не смущает вероятность блокирования легитимных посетителей, это не единственный недостаток защиты от DDoS-атак с помощью IPTables. Она неэффективна еще и потому, что, большинство DDoS-атак обходит упрощенные схемы защиты, используя IP-спуфинг. Более того, многоузловые DDoS-атаки, где каждый IP-адрес создает малое количество запросов (обычно ниже нормы), при защите с помощью IPTables и вовсе остаются незамеченными.

Блокирование DDoS-атаки на уровне хоста никак не решает проблему засорения канала связи паразитным трафиком, поэтому защита с помощью iptables не сможет оживить сайт при достаточно большой DDoS-атаке.

К тому же, для правильного использования IPTables необходимо постоянное привлечение квалифицированного системного администратора.

Бесплатная защита от DDoS

Бесплатная защита от DDoS давно перешла в число представителей «вымирающего вида». Эффективные сервисы стоят денег. Некоторые из них крайне дороги и не очень эффективны, другие — достаточно эффективны и при этом доступны по цене, третьи находятся где-то посередине, но бесплатных среди них нет.

DDoS-атаки направлены на системные ресурсы, поэтому любая эффективная схема отражения должна включать дополнительные системные ресурсы, в частности, полосу пропускания, за которую непременно придется заплатить.

Это правда, что упрощенные решения вроде IPTables условно бесплатны, но не забудьте учесть административные расходы на их установку и техническое обслуживание, потерянную прибыль в результате заблокированного легитимного трафика или непомерные издержки во время простоя системы, вызванного атакой.

Защита от DDoS с помощью Интернет-провайдера

Как правило, Интернет-провайдеры обеспечивают защиту только на сетевом уровне. Поэтому такую защиту нельзя назвать полноценной.

По данным компании Imperva Incapsula, с начала 2015 года до начала 2016 года количество DDoS атак на клиентов сервиса выросло на 94% на прикладном уровне и на 141% на сетевом. 

Стоит отметить, что любая on-premise система защиты становится бесполезна, когда огромный объем входящего трафика превышает производительность активного оборудования Интернет-провайдера или полностью заполняет полосу пропускания канала связи. 

Недавние события, связанные с DDoS атаками на блог известного журналиста Брайана Кребса и DNS сервис Dyn.com, превысившими 600 Гбит/с и 1 Тбит/с соответственно и вызвавшими сильные перебои в работе этих ресурсов, наглядно это демонстрируют. Конечно, можно запросить увеличение пропускной способности, но часто ресурсы провайдера ограничены, либо это вовсе невозможно из-за ограничений, накладываемых физическим каналом связи. Более того, когда один клиент Интернет-провайдера находится под DDoS атакой, из-за перегрузки канала и сбоев оборудования могут пострадать и другие клиенты. Дело доходит даже до того, что провайдер может полностью отключить веб-сайт клиента, находящегося под атакой.

Защита от DDoS с помощью конфигурирования веб-сервера

Это защита путем предварительной настройки параметров или плагинов веб-сервера, например ModSecurity для Apache. Подобное решение может помочь защититься от некоторых атак прикладного уровня. Но против распределенных атак или атак на сетевом уровне оно бессильно.

Защита от DDoS c помощью специализированных решений

Среди специализированных средств защиты, применяемых для обнаружения и ликвидации DDoS-атаки, можно отметить следующие:

On-premise решения

On-premise решения, устанавливаемые на территории защищаемой инфраструктуры в разрыв. Могут быть реализованы в виде отдельного оборудования или образа для виртуальной машины. Достаточно неплохо защищают от атак малой и средней мощности, но практически бессильны против атак на полосу пропускания Интернет-канала.

Гибридные решения

Гибридные решения, устанавливаемые на территории защищаемой инфраструктуры в разрыв, при необходимости подключаются к центру очистки трафика в облаке. В этом случае, к плюсам on-premise решения добавляется возможность защиты от атак на Интернет-канал. К минусам можно отнести повышенную стоимость и необходимость тратить время на переключение. Также, в отсутствие резервного канала, мощная DDoS атака может вывести оборудование из строя раньше, чем произойдет перенаправление атакующего трафика на центр очистки.

Облачные решения

Полностью облачные решения провайдера защиты (CBSP), пропускающие через себя трафик до защищаемого веб-сервера или инфраструктуры в режиме по требованию (on-demand) или постоянно (always-on). Выгодно отличаются от всех вышеописанных решений мощностью распределенной сети фильтрации CBSP, которая позволяет им выдерживать атаки любой мощности и сложности. К плюсам также можно отнести: наличие отдельной защиты веб-сайтов, что может быть полезно при нахождении их на облачном хостинге вне защищаемого периметра; отсутствие вероятности того, что ваш ISP отключит вас при крупной атаке; крупные CBSP также предлагают клиентам сервис доставки контента (CDN) и некоторый другой функционал, например Web Application Firewall (WAF).

Не лишним будет отметить, что организацию обороны следует начинать с защиты от сканирования атакуемых узлов и подсетей. Такое сканирование часто применяется в рамках подготовки DDoS-атак и направлено на поиск живых хостов, открытых портов и определение используемого ПО с целью выявления наиболее уязвимых мест инфраструктуры жертвы и используемых технических средств защиты.