На кибервойне как на войне - важны технологии защиты. Атаки DDoS в блогосфере на примере «Живого Журнала» и WordPress
8 Апреля 2011
Активные российские пользователи Интернета взбудоражены нестабильной работой «Живого Журнала», чьи расположенные в США сервера подверглись атаке DDoS.
DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (Web Hacking Incident Database).
«Живой Журнал» не первый раз подвергается атакам DDoS, в основном, из-за разницы в политических взглядах атакующих и некоторых блоггеров.
Последняя серия атак началась днем 30 марта, 4 апреля достигнув небывалой мощности. Атака 4 апреля была направлена одновременно против многих наиболее популярных блогов, и ее характер и интенсивность, по словам директора по развитию продуктов компании SUP Ильи Дронова, свидетельствует о намерении нарушить работу инфраструктуры, а не только сделать недоступным веб-сайт и его сервисы.
Сайт и сервисы «Живого Журнала» до сих пор работают нестабильно. Судя по выборке из 1000 IP адресов, атакующие находились в Азиатском регионе.
Некоторые интересные сведения об атаке 30 марта, опубликованные в блоге Ильи Дронова, демонстрируют типичные проблемы, возникающие при атаках DDoS в отсутствие специализированных защитных средств.
• Время реагирования на атаку 30 марта составило 7 часов.
• Характеристики атаки:
Около 1.2 миллиона одновременных соединений вместо обычных 50 000 в среднем.
В десятки раз больше HTTP запросов, чем обычно.
Исходящий трафик вырос до 2Гбит/с, против обычного 400 Мбит/с.
• Ресурс смог обслужить только около 30% трафика, включающего и нормальный, и вредоносный, остальной пришлось просто отбросить.
Является ли нападение на «Живой Журнал» уникальным ? Оказывается, нет
Таким атакам подвергаются и другие популярные блог-платформы. 3 марта WordPress, обслуживающий более 18 миллионов веб-сайтов и 30 миллионов блоггеров , был серьезно атакован, что привело к отказу в обслуживании и недоступности блогов. Основатель WordPress Мэт Мулленвег (Matt Mullenweg) сообщил, что это была самая большая и длительная атака за все 6 лет существования. Один из VIP блоггеров WordPress отметил, что интенсивность атаки составила десятки Гбит трафика и миллионы пакетов в секунду. 98% трафика атак оказалось китайского происхождения, и некоторое количество атакующих находилось в Корее и Японии. Мотивы нападения Мэт Мулленвег определил скорее как экономические, а не политические.
Если сравнивать эти две атаки на основании доступных на сегодня цифр, атака на WordPress, обладающий более развитой инфраструктурой, выглядит более серьезной.
В целом мы наблюдаем , что при DDoS нападении:
• Многочисленные атаки накладываются одна на другую, усложняя задачу защитного оборудования.
• Вектор атак изменяется с течением времени, злоумышленники ищут слабые места ресурса и добиваются большего времени его неработоспособности.
• Простые механизмы фильтрации и ограничения объема трафика недостаточны.
Эффективные средства защиты блог-платформ не отличаются от таковых для любой другой онлайн-услуги, хотя в целом противостояние атакам DDoS не является простой задачей и включает несколько условий.
Технологии анти-DDoS
• Для защиты от интенсивных атак требуется оборудование с механизмами противодействия DDoS на основе специализированных микросхем. Такое оборудование выдерживает нагрузку атаки и позволяет легитимному трафику проходить нормально.
• Поведенческий анализ сети (Network Behavioral Analysis, NBA) должен применяться для точного выявления трафика атаки среди легитимного трафика, на всех сетевых уровнях, включая 7-й (т.е. HTTP). Точная идентификация существенно сокращает время реагирования на атаку.
• Блокирование разных векторов атак – применение NBA, IPS и DoS технологий в одном решении обеспечивает всесторонную защиту при мультивекторной атаке.
Сервисы анти-DDoS
• Служба быстрого реагирования, состоящая из опытных экспертов, работающая круглосуточно – т.е. предоставляемая поставщиком анти-DDoS решения, оперативно дополняет возможности технологий.
О компании Radware
Radware (NASDAQ:RDWR), глобальный лидер в области решений доставки трафика приложений, обеспечивает полную доступность, максимальную производительность и безопасность критически важных для бизнеса приложений более 10 000 предприятий и операторов связи по всему миру. Системы защиты приложений гарантируют защиту от взлома и защиту от DDoS-атак на мультигигабитных скоростях и предотвращают сетевые атаки на важнейшие приложения, пользователей и ресурсы. Официальным дистрибутором оборудования Radware Alteon на территории России является компания "Телеинком-ПК".
www.radware.com
О компании Телеинком-ПК
ОАО «Телеинком-ПК» основано в 2000 г. Компания является системным интегратором и крупнейшим дистрибутором оборудования для построения сетей связи и защиты приложений: Radware Alteon, RAD Data Communications, RADWIN, RADCOM, PacketLight, Telco Systems, Grandstream, VegaStream. Особое внимание в компании «Телеинком-ПК» уделяется технической поддержке и обучению партнеров. Штат инженеров компании обеспечивает ежедневную техподдержку и консультации клиентов. Регулярно «Телеинком-ПК» проводит обучающие семинары по технологиям и решениям, в т.ч. региональные. Компания «Телеинком-ПК» открыла в Москве сертифицированный сервисный центр Radware Alteon и RADWIN - единственный в России. Совокупность этих факторов является ключевой для построения продуктивных взаимоотношений с партнерами и заказчиками.
www.teleincom.ru, www.radwarealteon.ru
DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (Web Hacking Incident Database).
«Живой Журнал» не первый раз подвергается атакам DDoS, в основном, из-за разницы в политических взглядах атакующих и некоторых блоггеров.
Последняя серия атак началась днем 30 марта, 4 апреля достигнув небывалой мощности. Атака 4 апреля была направлена одновременно против многих наиболее популярных блогов, и ее характер и интенсивность, по словам директора по развитию продуктов компании SUP Ильи Дронова, свидетельствует о намерении нарушить работу инфраструктуры, а не только сделать недоступным веб-сайт и его сервисы.
Сайт и сервисы «Живого Журнала» до сих пор работают нестабильно. Судя по выборке из 1000 IP адресов, атакующие находились в Азиатском регионе.
Некоторые интересные сведения об атаке 30 марта, опубликованные в блоге Ильи Дронова, демонстрируют типичные проблемы, возникающие при атаках DDoS в отсутствие специализированных защитных средств.
• Время реагирования на атаку 30 марта составило 7 часов.
• Характеристики атаки:
Около 1.2 миллиона одновременных соединений вместо обычных 50 000 в среднем.
В десятки раз больше HTTP запросов, чем обычно.
Исходящий трафик вырос до 2Гбит/с, против обычного 400 Мбит/с.
• Ресурс смог обслужить только около 30% трафика, включающего и нормальный, и вредоносный, остальной пришлось просто отбросить.
Является ли нападение на «Живой Журнал» уникальным ? Оказывается, нет
Таким атакам подвергаются и другие популярные блог-платформы. 3 марта WordPress, обслуживающий более 18 миллионов веб-сайтов и 30 миллионов блоггеров , был серьезно атакован, что привело к отказу в обслуживании и недоступности блогов. Основатель WordPress Мэт Мулленвег (Matt Mullenweg) сообщил, что это была самая большая и длительная атака за все 6 лет существования. Один из VIP блоггеров WordPress отметил, что интенсивность атаки составила десятки Гбит трафика и миллионы пакетов в секунду. 98% трафика атак оказалось китайского происхождения, и некоторое количество атакующих находилось в Корее и Японии. Мотивы нападения Мэт Мулленвег определил скорее как экономические, а не политические.
Если сравнивать эти две атаки на основании доступных на сегодня цифр, атака на WordPress, обладающий более развитой инфраструктурой, выглядит более серьезной.
В целом мы наблюдаем , что при DDoS нападении:
• Многочисленные атаки накладываются одна на другую, усложняя задачу защитного оборудования.
• Вектор атак изменяется с течением времени, злоумышленники ищут слабые места ресурса и добиваются большего времени его неработоспособности.
• Простые механизмы фильтрации и ограничения объема трафика недостаточны.
Эффективные средства защиты блог-платформ не отличаются от таковых для любой другой онлайн-услуги, хотя в целом противостояние атакам DDoS не является простой задачей и включает несколько условий.
Технологии анти-DDoS
• Для защиты от интенсивных атак требуется оборудование с механизмами противодействия DDoS на основе специализированных микросхем. Такое оборудование выдерживает нагрузку атаки и позволяет легитимному трафику проходить нормально.
• Поведенческий анализ сети (Network Behavioral Analysis, NBA) должен применяться для точного выявления трафика атаки среди легитимного трафика, на всех сетевых уровнях, включая 7-й (т.е. HTTP). Точная идентификация существенно сокращает время реагирования на атаку.
• Блокирование разных векторов атак – применение NBA, IPS и DoS технологий в одном решении обеспечивает всесторонную защиту при мультивекторной атаке.
Сервисы анти-DDoS
• Служба быстрого реагирования, состоящая из опытных экспертов, работающая круглосуточно – т.е. предоставляемая поставщиком анти-DDoS решения, оперативно дополняет возможности технологий.
О компании Radware
Radware (NASDAQ:RDWR), глобальный лидер в области решений доставки трафика приложений, обеспечивает полную доступность, максимальную производительность и безопасность критически важных для бизнеса приложений более 10 000 предприятий и операторов связи по всему миру. Системы защиты приложений гарантируют защиту от взлома и защиту от DDoS-атак на мультигигабитных скоростях и предотвращают сетевые атаки на важнейшие приложения, пользователей и ресурсы. Официальным дистрибутором оборудования Radware Alteon на территории России является компания "Телеинком-ПК".
www.radware.com
О компании Телеинком-ПК
ОАО «Телеинком-ПК» основано в 2000 г. Компания является системным интегратором и крупнейшим дистрибутором оборудования для построения сетей связи и защиты приложений: Radware Alteon, RAD Data Communications, RADWIN, RADCOM, PacketLight, Telco Systems, Grandstream, VegaStream. Особое внимание в компании «Телеинком-ПК» уделяется технической поддержке и обучению партнеров. Штат инженеров компании обеспечивает ежедневную техподдержку и консультации клиентов. Регулярно «Телеинком-ПК» проводит обучающие семинары по технологиям и решениям, в т.ч. региональные. Компания «Телеинком-ПК» открыла в Москве сертифицированный сервисный центр Radware Alteon и RADWIN - единственный в России. Совокупность этих факторов является ключевой для построения продуктивных взаимоотношений с партнерами и заказчиками.
www.teleincom.ru, www.radwarealteon.ru
Последние новости раздела
26 апреля 2024
26 апреля 2024