Денис Сивцов: Доступность и размеры DDoS-атак продолжают увеличиваться

Рост объёмов DDoS-атак и простота их реализации ведут к блокировке сервисов пользователей интернета. Мы обсудили типы существующих атак и то, как им можно противостоять своими силами и с помощью готового решения, а также рассмотрели развитие защиты от DDoS и преимущества технологии Twin Tunnel вместе с Денисом Сивцовым, руководителем направления защиты сети на уровне L3–L4 в компании DDoS-Guard.

Расскажите, пожалуйста, немного о себе и компании DDoS-Guard.

Д. С.: Компания основана в 2011 году. Изначальный сервис, как нетрудно догадаться по названию, специализировался на фильтрации интернет-трафика, а именно на защите от DDoS-атак. На сегодняшний же день помимо фильтрации трафика на уровнях L3–L4 и L7 модели OSI компания предоставляет и многие другие услуги: защищённый и географически распределённый DNS-хостинг, доставку контента (CDN), нейтрализацию ботов, брандмауэр веб-приложений (WAF), аудит безопасности, защищённый веб-хостинг, защищённые виртуальные и выделенные серверы.

Уже в самом начале было принято решение выстроить сеть из узлов фильтрации с распределением по всему миру, чтобы обеспечить равномерную обработку трафика для наилучшего подавления DDoS-атак. На текущий момент компания располагает географически распределённой сетью в Евразии, Северной и Южной Америке. Мы продолжаем увеличивать ёмкость сети и возможности обработки трафика за счёт как улучшения существующих узлов, так и открытия новых.

Я присоединился к компании в 2015 году. В первый год был сотрудником технической поддержки, далее следовали четыре года в должности менеджера по работе с ключевыми клиентами. Именно в этот период я получил довольно обширный пласт знаний по сетевой инфраструктуре и межоператорскому взаимодействию. Имея к середине 2020 года опыт работы в разных отделах, взаимодействуя как с клиентами, так и с поставщиками, в момент деления компании на продуктовые команды я получил предложение стать руководителем направления защиты сети на уровне L3–L4 модели OSI.

Почему географически распределённая архитектура для защиты от DDoS-атак более эффективна, чем точечное решение?

Д. С.: Инфраструктура защиты от DDoS-атак может и не быть географически распределённой — она может иметь вид одного центра очистки. Но в этом случае единый узел обработки трафика станет также и единой точкой отказа. Весь трафик, все DDoS-атаки будут концентрироваться на данном узле, что приведёт к повышенной нагрузке на оборудование и возможному переполнению каналов. При этом могут пострадать не только сам сервис защиты, но и его собственные верхнеуровневые провайдеры (апстримы), через сеть которых будет поступать атака.

Принцип географической распределённости помогает оптимизировать загруженность узлов фильтрации и сокращает задержки при доставке трафика до конечных пользователей в каждой отдельно взятой локации.

Сверх того, даже если атака окажется очень масштабной, в некоторых случаях она затрагивает только один наш узел или небольшую их группу, что на работе других узлов никак не сказывается.

Это особенно актуально для российских клиентов, на которых часто идут атаки извне. Действия атакующих будут «оседать» за рубежом, в то время как в России сервис будет работать без какого-либо влияния.

Какие типы DDoS-атак встречаются и чем они различаются?

Д. С.: Глобально я бы выделил два типа атак: волюметрические и нацеленные на вычислительные ресурсы жертвы.

DDoS-атаки первого типа переполняют доступную полосу пропускания. Во время такой атаки каналы интернет-доступа атакованного ресурса утилизируются на 100 % и для легитимного трафика просто не остаётся места. Примером подобной атаки является DNS-амплификация.

Второй тип атак основывается на особенностях работы протоколов и приложений, где на организацию и поддержку соединения выделяются вычислительные ресурсы сторон. «TCP SYN Flood» — распространённая разновидность этого типа. Отправляя на сервер жертвы множество запросов, например из ботнета, можно исчерпать ресурсы атакованного сервера, из-за чего у него не будет возможности устанавливать соединения с новыми легитимными пользователями.

Для противодействия вышеперечисленным типам атак мы располагаем как собственными решениями по анализу и фильтрации трафика, так и сетью большой ёмкости. Это позволяет нам принимать на свои узлы крупные волюметрические атаки.

DDoS-атаки какого масштаба вам приходилось отражать?

Д. С.: Если говорить об атаках L3–L4, то за последние несколько кварталов их интенсивность выросла до более чем 400 атак в день. Более точные данные опубликованы в нашем отчёте за 2023 год.

Если же оценивать масштабы атак, то подавляющая их часть имеют длительность до 20 минут и размер до 100 гигабит в секунду. Ещё в 2015 году подобная атака считалась бы исключительной, но сегодня это уже стало обыденностью.

Размер DDoS-атак, которые вызывают неподдельный интерес в соцсетях, составляет сейчас 400–500 гигабит в секунду. Интенсивность самых мощных атак уже превышает терабит в секунду.

Какие преимущества даёт использование брандмауэра веб-приложений совместно с решением DDoS-Guard?

Д.С.: WAF предоставляет защиту от взлома для веб-приложений. Он предназначен для обнаружения и блокирования угроз, таких как SQL-инъекции, межсайтовый скриптинг (XSS) и другие способы эксплуатации уязвимостей веб-приложений, включая атаки из списка OWASP Top 10.

Хотелось бы подчеркнуть, что в последнее время под понятием WAF клиент может подразумевать защиту от DDoS-атак. Необходимо уточнять этот момент, дабы избежать недопонимания. Защита от DDoS-атак и защита от взлома — это два разных сервиса. Первый обеспечивает доступность ресурса, а второй — целостность и конфиденциальность его данных.

Какие изменения в сегменте DDoS-атак происходят в последние годы?

Д. С.: Принципы организации DDoS-атак особо не меняются. Наиболее значимым стал рост их количества и масштаба. На фоне общего роста доступных скоростей интернета это даёт особый эффект.

Заказ DDoS-атаки стал настолько доступным, что это можно сделать через Telegram или по запросу в браузере, заплатив криптовалютой.

В сети можно найти сайты с тарифами для заказа DDoS соответствующих параметров. Это заставляет нас наращивать ёмкость нашей сети защиты, увеличивать количество фильтрующих устройств.

На каких принципах выстраивается защита от DDoS?

Д. С.: DDoS-атаки разнообразны по механике исполнения, и каждая из них требует своей контрмеры. Есть атаки, от которых защититься вполне просто. О методах борьбы с ними знают практически все. К примеру, для борьбы с атакой большим количеством фрагментированных IP-пакетов, утилизирующих доступные вычислительные ресурсы жертвы, достаточно запретить фрагментированные пакеты.

Легко отбиваются также атаки типа «ACK Flood» при симметричной фильтрации. В этом случае защитник отслеживает исходящий трафик клиента и, не обнаружив у него соответствующих SYN-пакетов, блокирует входящие ACK-пакеты как невалидные.

Но есть DDoS-атаки, с которыми может справиться только анализ данных в режиме реального времени. Для этого требуется применять поведенческие фильтры и уже на их основе выстраивать каскады защиты. Эти методы, скажем так, не совсем тривиальны, в их работе применяются интеллектуальные алгоритмы. Многие компании создают свои уникальные решения. Их сущность не разглашают. Во-первых, то, как фильтруются сложные DDoS-атаки, обычно является коммерческой тайной. Во-вторых, в случае раскрытия злоумышленники смогут воспользоваться этим и понять, как обойти защиту.

Уникальность решения DDoS-Guard состоит в использовании по всему периметру сети и на постоянной основе каскада фильтров, через который проходит весь трафик. Это позволяет своевременно адаптироваться к трафику клиента и незамедлительно подавлять атаки.

Решение DDoS-Guard использует технологию Twin Tunnel. Что это такое?

Д. С.: Для предоставления сервиса защиты сети необходимо выполнить подключение к DDoS-Guard. Это можно выполнить физически, используя оптическое волокно, или прибегнув к туннелированию. Последнее особо актуально для тех, кому требуется сиюминутная защита, или же при отсутствии возможности выполнить физическое подключение, например из-за удалённости инфраструктуры.

Ранее организация туннельных включений не была полностью автоматической. Было необходимо предварительно выбрать конкретный узел для терминации туннеля. Кроме того, частым запросом со стороны клиента был дополнительный туннель от другого нашего узла фильтрации в качестве резерва.

В ответ на эти запросы мы разработали технологию Twin Tunnel. Она сочетает в себе перенос логики организации туннелей на отдельные устройства, распределённые по нашим узлам в мире, а также интеграцию внутреннего сервиса Twin Tunnel с личным кабинетом клиента: это позволяет автоматически и за считаные секунды сформировать конфигурацию и выдать её пользователю.

В конфигурации туннелей используется технология Anycast, в результате создаётся сразу несколько туннелей от разных узлов DDoS-Guard. Если в процессе эксплуатации вдруг произойдёт отказ одного узла, то ресурс клиента всё равно останется доступным, потому что другие узлы продолжат работать. Более того, система Twin Tunnel выбирает лучший по метрикам туннель и организовывает взаимодействие с клиентом через него.

С помощью технологии Twin Tunnel нам удалось добиться многократного резервирования, минимальных задержек передачи данных от клиента до нашей сети и быстрого создания новой конфигурации.

В результате, как только клиент оплачивает сервис, он сразу же получает необходимые параметры настройки и может приступать к работе.

А что такое Twin Tunnel Firewall?

Д. С.: Система Twin Tunnel основана на серверах Linux. Мы воспользовались его встроенными средствами, в частности механизмами управления трафиком через функции nftables: это файрвол, геоблокировка и другие интересные возможности.

Выделив файрвол, мы сделали для него удобный интерфейс и предоставили доступ каждому клиенту. Теперь помимо предоставляемой нами защиты от DDoS-атак клиент может также использовать облачный межсетевой экран. Эта опция получила название Twin Tunnel Firewall.

Twin Tunnel Firewall позволяет клиенту самостоятельно отсечь неугодный ему трафик, причём не только атакующий. Например, если клиент хочет отсечь запросы с определённых IP-адресов или из каких-то конкретных регионов, то теперь это доступно «из коробки». Тем самым создаётся ещё один слой защиты и блокировки.

Если обобщить, клиент получает гарантированные характеристики обслуживания и возможность самостоятельной установки дополнительных ограничений?

Д. C.: Да, для повышения безопасности клиент может самостоятельно отсечь ненужный ему трафик. Сама же технология Twin Tunnel имеет встроенные возможности резервирования. Она автоматически организовывает взаимодействие с ближайшим к клиенту узлом фильтрации, что гарантирует выбор оптимального маршрута и резервирование.

Клиенты очень ценят такой подход: быстрее и надёжнее.

Какой смысл вы вкладываете в слово «Twin»?

Д. С.: «Twin» в переводе с английского — «близнец». Мы думали, какое название выбрать для нашего инструмента, чтобы оно было коротким и запоминающимся, и решили, что «Twin» отлично подходит: мы имеем множество туннелей с одними и теми же параметрами, которые похожи, как близнецы. Так родилось название Twin Tunnel.

Совместима ли технология Twin Tunnel с другими сетевыми и ИБ-инструментами?

Д. С.: Технология Twin Tunnel представляет собой просто средство доставки трафика между нашим узлом и оборудованием клиента. Она не вмешивается в сам трафик. Другое дело — облачный файрвол: в случае неправильных настроек можно заблокировать полезный трафик, и поэтому данным инструментом нужно пользоваться обдуманно.

Удобство работы часто зависит от простоты устранения ошибок в работе клиентов. Как эта задача решается в DDoS-Guard?

Д. C.: Мы постарались сделать максимально дружественный интерфейс с пошаговой инструкцией применения настроек. Доступны примеры типичных настроек на оборудовании наиболее популярных вендоров, а также файлы автоконфигурации для серверов Linux. Мы активно собирали и систематизировали ошибки, совершаемые клиентами при настройке и эксплуатации услуги, и получили в итоге подробный перечень часто задаваемых вопросов (FAQ). Покупая сервис защиты сети Twin Tunnel, клиент получает доступ к обширной базе знаний с инструкциями, и, конечно же, всегда есть возможность обратиться в круглосуточную поддержку. Как показывает практика, работа с DDoS-Guard не вызывает затруднений.

Можно ли защититься от DDoS самостоятельно?

Д. С.: Действительно, клиенты могут не прибегать к таким решениям, как DDoS-Guard, и использовать собственные приёмы для защиты — от базовых настроек противодействия некоторым видам атак вплоть до покупки специализированных аппаратных или программных решений.

Однако на практике можно встретиться с волюметрическими DDoS-атаками, которые просто переполняют канал, как было сказано ранее. Для подавления таких атак клиенту придётся обратиться за решением к вышестоящему провайдеру или к таким компаниям, как мы.

Что делать, если компания столкнулась с DDoS-атакой?

Д. С.: Многое зависит от технической осведомлённости клиента, возможных имеющихся у него средств защиты, специфики атакованного ресурса. Конечно же, лучше заблаговременно позаботиться о доступности своих онлайн-ресурсов и подключить защиту не дожидаясь атаки. К счастью, на сегодняшний день многие операторы связи и хостинг-провайдеры предлагают опцию защиты от DDoS на основе разных решений, а также есть специализированные компании — такие как мы. В противном случае выходить из-под атаки придётся впопыхах, обращаясь к своему провайдеру или подбирая облачный сервис.

Какие дополнительные условия необходимо соблюдать для эффективного отражения атак с помощью DDoS-Guard?

Д. С.: При активации наших услуг клиенту автоматически направляются письма с рекомендациями по использованию приобретённого сервиса защиты. Мы располагаем разными решениями — соответственно, инструкции по их использованию могут разниться. Но если говорить про туннельные сервисы, то, конечно же, нельзя раскрывать реальные адреса, которые участвуют в организации туннеля. В случае компрометации адрес необходимо заменить.

Кроме того, для гарантированной фильтрации входящего трафика во время DDoS-атаки необходимо пропускать его целиком через DDoS-Guard. Если трафик будет проходить ещё и по параллельному каналу через другого провайдера, то мы никак не сможем повлиять на него и часть атаки дойдёт до клиента в обход нашего сервиса. Если заказчику необходимы подключение и работа в интернете через двух и более провайдеров, мы рекомендуем подключаться к нескольким нашим узлам в целях резервирования. Если же есть необходимость использовать двух и более разных провайдеров, то как минимум на время отражения DDoS-атаки необходимо направить весь трафик только через наш сервис. После окончания атаки можно вернуться к схеме анонсирования префикса нескольким разным провайдерам.

В каком направлении идёт развитие DDoS-Guard?

Д. С.: Конечно же, первостепенно клиент заинтересован в качестве работы системы фильтрации, и здесь мы идём в ногу со временем. При этом только лишь фильтрации в виде «чёрного ящика» недостаточно: клиенты хотят больше открытости и аналитики по работе системы защиты. Им интересно получать отчёты и уведомления по работе нашего сервиса, для чего мы насыщаем личный кабинет клиента статистикой по работе купленного ими сервиса. В плане поддержки и общения мы также идём навстречу клиенту: многим удобнее взаимодействовать через мессенджеры, и в таких случаях мы можем предложить поддержку и отправку аналитики через Telegram.

Какая аналитика уже доступна заказчикам?

Д. С.: Доступны сведения о защите системных ресурсов как на уровнях L3–L4, так и на уровне L7. Отображается информация как по легитимному трафику, так и по заблокированному.

В отчётах можно увидеть, с какими атаками пришлось столкнуться, узнать их размер, вектор, из каких автономных систем они пришли, из каких стран, на какие IP-адреса, их частоту и многое другое. Отчёты по атакам доступны по каждому отдельному инциденту, также есть возможность формировать суммарные отчёты за любой период.

Денис, большое спасибо за то, что ответили на все интересующие нас вопросы! Нашим читателям мы традиционно желаем всего самого безопасного!