Тенденции в области DDoS-атак

Александр Лямин, генеральный директор Qrator Labs

Нестабильная экономическая ситуация последних двух лет привела к существенному повышению уровня конкурентной борьбы на рынке, вследствие чего увеличилась популярность DDoS-атак – эффективного метода нанесения экономического ущерба.

В 2016 г. количество коммерческих заказов на организацию DDoS-атак выросло в несколько раз. Массированные DDoS-атаки перешли из области точечных политических воздействий, как было, например, в 2014 г., в массовый бизнес-сегмент. Главная задача злоумышленников – как можно быстрее и с минимальными затратами сделать ресурс недоступным, чтобы получить за это деньги от конкурентов, обеспечить себе условия для вымогательства и пр. DDoS-атаки используются все активнее, что стимулирует поиск все более масштабных средств защиты бизнеса.

При этом число атак продолжает расти, даже несмотря на заметные успехи в борьбе с DDoS. Согласно данным Qrator Labs, в 2015 г. количество DDoS-атак увеличилось на 100%. И неудивительно, ведь их стоимость снизилась примерно до 5 долл. в час, а инструменты их реализации вышли на массовый черный рынок. Укажем несколько основных тенденций распределенных атак, нацеленных на отказ в обслуживании, которые прогнозируются на ближайшие несколько лет.

Атаки UDP Amplification

К атакам, направленным на исчерпание канальной емкости, относятся UDP Amplification. Такие инциденты были наиболее распространенными в 2014 г. и стали ярким трендом 2015 г. Однако их число уже достигло своего пика и постепенно идет на спад – ресурс для проведения подобных атак не только является конечным, но и резко уменьшается.

Под амплификатором подразумевается публичный UDP-сервис, работающий без аутентификации, который на небольшой по объему запрос может посылать в разы больший ответ. Атакующий, отправляя такие запросы, заменяет свой IP-адрес на IP-адрес жертвы. В результате обратный трафик, намного превышающий пропускную способность канала атакующего, перенаправляется на веб-ресурс жертвы. Для невольного участия в атаках используются DNS-, NTP-, SSDP- и другие серверы.

Атаки на веб-приложения на уровне L7

В связи с сокращением числа амплификаторов на передовую вновь выходит организация атак на веб-приложения на уровне L7 с использованием классических ботнетов. Как известно, ботнет способен выполнять сетевые атаки по удаленным командам, причем владельцы зараженных компьютеров могут об этом и не подозревать. В результате перегрузки сервиса «мусорными» запросами обращения легитимных пользователей вообще остаются без ответа или на ответы требуется неоправданно большое количество времени.

Сегодня ботнеты становятся более интеллектуальными. При организации соответствующих атак поддерживается технология Full-browser stack, то есть полная эмуляция пользовательского компьютера, браузера, отработка java script. Подобные техники позволяют прекрасно замаскировать атаки L7. Вручную отличить бот от пользователя практически невозможно. Для этого нужны системы, применяющие технологию machine learning, благодаря которой уровень противодействие атакам повышается, механизмы совершенствуются, а точность отработки растет.

Проблемы BGP

В 2016 г. появилась новая тенденция – атаки на инфраструктуру сети, в том числе основанные на использовании уязвимостей протокола BGP. Проблемы протокола маршрутизации BGP, на котором базируется весь Интернет, известны уже несколько лет, но в последние годы они все чаще приводят к серьезным негативным последствиям.

Сетевые аномалии, связанные с маршрутизацией на междоменном сетевом уровне, способны повлиять на большое число хостов, сетей и даже на глобальную связность и доступность Интернета. Наиболее типичным видом проблем является Route Leaks – «утечка» маршрута, которая возникает в результате его анонсирования в неправильном направлении. Пока уязвимости BGP редко используются умышленно: стоимость организации такой атаки довольно высока, и инциденты в основном возникают из-за банальных ошибок в сетевых настройках.

Однако в последние годы значительно возросли масштабы организованных преступных группировок в Интернете, поэтому, по прогнозу Qrator Labs, атаки, связанные с проблемами BGP, станут популярны уже в обозримом будущем. Ярким примером является «угон» IP-адресов (hijacking) известной кибергруппой Hacking Team, осуществленный по государственному заказу: итальянской полиции необходимо было взять под контроль несколько компьютеров, в отношении владельцев которых предпринимались следственные действия.

Инциденты TCP

У сетевого стека системы TCP/IP имеется ряд проблем, которые уже в текущем году проявятся особенно остро. Для того чтобы поддерживать активный рост скоростей, инфраструктуру Интернета необходимо постоянно обновлять. Скорости физического подключения к Интернет растут каждые несколько лет. В начале 2000-х гг. стандартом стал 1 Гбит/с, сегодня самый популярный физический интерфейс – 10Гбит/с. Однако уже началось массовое внедрение нового стандарта физического стыка, 100 Гбит/с, что порождает проблемы с устаревшим протоколом TCP/IP, не рассчитанным на столь высокие скорости.

Например, становится возможным за считанные минуты подобрать TCP Sequence number –  уникальный численный идентификатор, который позволяет (вернее, позволял) партнерам по TCP/IP-соединению проводить взаимную аутентификацию в момент установки соединения и обмениваться данными, сохраняя их порядок и целостность. На скоростях 100 Гбит/с строчка в лог-файлах TCP-сервера об открытом соединении и/или пересланных по нему данных уже не гарантирует того, что зафиксированный IP-адрес реально устанавливал соединение и передавал эти данные. Соответственно, открывается возможность для организации атак нового класса, и может существенно снизиться эффективность работы firewalls.

Уязвимости TCP/IP привлекают к себе внимание многих исследователей. Они полагают, что уже в 2016 г. мы услышим о «громких» атаках, связанных с эксплуатацией этих «дыр». 

Недалекое будущее

Сегодня развитие технологий и угроз происходит не по «классической» спирали, поскольку система не является замкнутой – на нее влияет множество внешних факторов. В результате получается спираль с расширяющейся амплитудой – она поднимается вверх, сложность атак растет, и охват технологий существенно расширяется. Отметим несколько факторов, оказывающих серьезное влияние на развитие системы.

Основной из них, безусловно, – миграция на новый транспортный протокол IPv6. В конце 2015 г. протокол IPv4 был признан устаревшим, и на первый план выходит IPv6, что приносит с собой новые вызовы: теперь каждое устройство имеет IP-адрес, и все они могут напрямую соединяться между собой. Да, появляются и новые рекомендации о том, как должны работать конечные устройства, но как со всем этим будет справляться индустрия, особенно операторы связи, сегмент mass product и китайские вендоры, – вопрос открытый. IPv6 радикально меняет правила игры.

Еще один вызов – существенный рост мобильных сетей, их скоростей и «выносливости». Если раньше мобильный ботнет создавал проблемы, прежде всего, самому оператору связи, то сейчас, когда связь 4G становится быстрее проводного Интернета, мобильные сети с огромным количеством устройств, в том числе китайского производства, превращаются в отличную платформу для проведения DDoS- и хакерских атак. И проблемы возникают не только у оператора связи, но и у остальных участников рынка.

Серьезную угрозу представляет собой зарождающийся мир «Интернета вещей». Появляются новые векторы атак, поскольку огромное количество устройств и использование беспроводной технологии связи открывают для хакеров поистине безграничные перспективы. Все устройства, подключенные к Интернету, потенциально могут стать частью инфраструктуры злоумышленников и быть задействованными в DDoS-атаках.

К сожалению, производители всевозможных подключаемых к Сети бытовых приборов (чайников, телевизоров, автомобилей, мультиварок, весов, «умных» розеток и т.п.) далеко не всегда обеспечивают должный уровень их защиты. Зачастую в таких устройствах используются старые версии популярных операционных систем, и вендоры не заботятся об их регулярном обновлении – замене на версии, в которых устранены уязвимости. И если устройство популярно и широко применяется, то хакеры не упустят возможности поэксплуатировать его уязвимости.

Предвестники проблемы IoT появились уже в 2015 г. По предварительным данным, последняя атака на Blizzard Entertainment была осуществлена с помощью устройств класса IoT. Был зафиксирован вредоносный код, функционирующий на современных чайниках и лампочках. Задачу хакеров упрощают и чипсеты. Не так давно был выпущен недорогой чипсет, предназначенный для различного оборудования, которое может «общаться» с Интернетом. Таким образом, злоумышленникам не нужно взламывать 100 тыс. кастомизированных прошивок – достаточно «сломать» один чипсет и получить доступ ко всем устройствам, которые на нем базируются.

Прогнозируется, что очень скоро все смартфоны, основанные на старых версиях Android, будут состоять минимум в одном ботнете. За ними последуют все «умные» розетки, холодильники и прочая бытовая техника. Уже через пару лет нас ждут ботнеты из чайников, радионянь и мультиварок. «Интернет вещей» принесет нам не только удобство и дополнительные возможности, но и массу проблем. Когда вещей в IoT будет множество и каждая булавка сможет посылать по 10 байт, возникнут новые вызовы безопасности, которые придется решать. И к этому следует готовиться уже сегодня.

Тэги: 

Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.