Исследование методов и средств обнаружения DDoS-атак



В статье автор исследует методы и средства обнаружения DDoS-атак.

Ключевые слова: DDoS-атака, кибератака, мониторинг, фильтрация.

DDoS-атака — это тип кибератаки на компьютерную сеть или веб-сервер, который приводит к перегрузке ресурсов и остановке работы системы. Это достигается с помощью большого количества устройств, которые одновременно отправляют запросы на сервер или сеть, перегружая их до тех пор, пока они не станут недоступными для пользователей. DDoS-атаки могут иметь серьезные последствия, включая остановку работы веб-сайтов и потерю прибыли для компаний, которые зависят от доступности своих веб-ресурсов. Также это может привести к нарушению безопасности данных и возможности скрытой атаки на сетевую инфраструктуру [1]. Dля защиты от DDoS-атак необходимо использовать методы и средства обнаружения, которые помогут выявить атаку и принять меры по ее устранению.

Существует множество методов и средств обнаружения DDoS-атак. Рассмотрим некоторые из них:

Системы мониторинга сетевого трафика позволяют анализировать входящий и исходящий сетевой трафик и выявлять аномалии, которые могут указывать на DDoS-атаку [2]. Например, такие системы могут обнаруживать большое количество запросов на один и тот же ресурс, что является характерной чертой DDoS-атак.

Системы мониторинга нагрузки на серверы мониторят нагрузку на серверы и выявляют аномалии, которые могут указывать на DDoS-атаку. Например, если нагрузка на сервер резко увеличивается, это может быть признаком DDoS-атаки.

Анализ логов серверов и сетевых устройств может помочь выявить аномалии в работе сети и серверов, которые могут указывать на DDoS-атаку. Например, если в логах сервера появляются многочисленные запросы на один и тот же ресурс от разных IP-адресов, это может быть признаком DDoS-атаки.

Системы обнаружения аномалий используются для анализа данных и выявления необычных паттернов или поведения, которые могут указывать на DDoS-атаку. Например, системы могут обнаружить необычно высокую нагрузку на один и тот же ресурс в определенное время, что может указывать на DDoS-атаку. Системы обнаружения внешних атак используются для защиты от различных типов атак, в том числе от DDoS-атак. Они могут использоваться для мониторинга входящего трафика и выявления аномалий, которые могут указывать на DDoS-атаку [3]. Например, системы могут обнаружить большое количество запросов на один и тот же ресурс от разных IP-адресов.

Каждый из этих методов имеет свои преимущества и недостатки, поэтому наиболее эффективным является использование нескольких метод.

Методы обнаружения DDoS-атак могут быть классифицированы на две основные категории: пассивные и активные.

Пассивные методы обнаружения DDoS-атак основаны на мониторинге сетевого трафика и анализе его характеристик. Эти методы не взаимодействуют напрямую с сетью или атакующими устройствами, а просто анализируют трафик и выявляют аномалии, которые могут указывать на DDoS-атаку. К пассивным методам обнаружения относятся системы мониторинга сетевого трафика, системы мониторинга нагрузки на серверы, анализ логов серверов и сетевых устройств и системы обнаружения аномалий.

Активные методы обнаружения DDoS-атак включают в себя взаимодействие с сетью или атакующими устройствами. Эти методы могут включать в себя отправку трафика на целевой сервер для проверки его доступности и анализа ответов, отправку сигналов на устройства, которые могут прекратить атаку, и т.д. [4]. Однако такие методы могут повлечь за собой риски для сети и могут быть неэффективными при сильной DDoS-атаке. К активным методам обнаружения относятся системы обнаружения внешних атак.

Выбор метода обнаружения DDoS-атак зависит от многих факторов, таких как характеристики сети, тип атаки и ресурсы, которые могут быть потрачены на обнаружение и противодействие атаке. Обычно используются несколько методов для повышения эффективности обнаружения и защиты от DDoS-атак.

Пассивные методы обнаружения DDoS-атак основаны на мониторинге сетевого трафика и анализе его характеристик, без активного вмешательства в процесс передачи данных. Среди пассивных методов выделяют два основных подхода: метод определения аномалий и метод определения подозрительного трафика.

Метод определения аномалий основан на анализе статистических характеристик сетевого трафика, например, количества запросов на определенный ресурс или средней загрузки сервера. На основе этого анализа система выявляет аномалии, то есть отклонения от нормального состояния сети или сервера. Например, если средняя нагрузка на сервер за последний час составляла 20 %, а в течение последней минуты нагрузка внезапно выросла до 90 %, система определит это как аномалию и может предположить, что это возможно DDoS-атака [5].

Метод определения подозрительного трафика основан на анализе характеристик сетевого трафика, связанных с DDoS-атаками, например, количество запросов на один и тот же ресурс с разных IP-адресов или большое количество соединений с одного IP-адреса. На основе этого анализа система выявляет подозрительный трафик, который может указывать на DDoS-атаку. Например, если система обнаруживает большое количество запросов на один и тот же ресурс от разных IP-адресов, она может предположить, что это DDoS-атака. Пассивные методы обнаружения имеют ряд преимуществ, таких как отсутствие влияния на работу сети или серверов и отсутствие риска блокировки законных пользователей. Однако они не могут гарантировать полной защиты от DDoS-атак, так как могут не выявлять новые или измененные методы атаки. Поэтому рекомендуется использовать пассивные методы в сочетании с активными методами обнаружения, чтобы обеспечить наиболее эффективную защиту от DDoS-атак.

Активные методы обнаружения DDoS-атак предполагают активное вмешательство в работу сети и трафика, например, путем блокирования или ограничения доступа к определенным ресурсам [6]. Два наиболее распространенных активных метода обнаружения DDoS-атак:

1. Метод пороговой фильтрации. Этот метод основан на установлении порогового значения для трафика, который считается нормальным для сети. Если объем трафика превышает установленный порог, то считается, что происходит DDoS-атака, и система активирует меры защиты. Например, можно установить пороговое значение для количества запросов на один и тот же ресурс. Если количество запросов превышает установленный порог, система автоматически блокирует доступ к ресурсу.
2. Метод обнаружения и изоляции трафика от атаки. Этот метод основан на изоляции трафика, который считается потенциально вредоносным или связанным с DDoS-атакой. Система мониторит трафик и выявляет аномалии, которые могут указывать на атаку. Затем система создает отдельную сеть, которая изолирует потенциально вредоносный трафик от основной сети, что позволяет защитить сеть от возможных DDoS-атак.

Однако активные методы могут также привести к ложным срабатываниям и неправильной блокировке легитимного трафика. Поэтому перед применением таких методов необходимо провести тщательное тестирование и оценку эффективности в конкретной среде. Существует множество различных средств обнаружения DDoS-атак, каждое из которых имеет свои преимущества и недостатки. Некоторые из наиболее популярных и эффективных средств обнаружения DDoS-атак:

Arbor Networks Peakflow — одно из наиболее популярных и эффективных решений для обнаружения DDoS-атак. Arbor Networks Peakflow предоставляет подробную информацию о трафике в режиме реального времени, позволяя быстро обнаруживать атаки и принимать меры по их предотвращению.

Akamai Kona Site Defender — это интегрированная система безопасности, которая обеспечивает защиту от различных типов атак, включая DDoS-атаки. Kona Site Defender обладает высокой производительностью и может обрабатывать большие объемы трафика.

Radware DefensePro — это решение, которое обнаруживает и предотвращает DDoS-атаки, используя методы пороговой фильтрации и анализа поведения трафика. DefensePro может защищать от атак различной сложности, в том числе от распределенных атак на уровне приложений. Snort — это бесплатная система обнаружения вторжений, которая может быть использована для обнаружения DDoS-атак. Snort использует методы пороговой фильтрации и анализа поведения трафика для обнаружения атак.

Wireshark — это бесплатное средство анализа сетевого трафика, которое может быть использовано для обнаружения DDoS-атак. Wireshark позволяет анализировать сетевой трафик в режиме реального времени и выявлять аномалии, которые могут указывать на DDoS-атаку.

Как уже было упомянуто, каждое из этих средств имеет свои преимущества и недостатки. Некоторые из них, такие как Arbor Networks Peakflow и Akamai Kona Site Defender, являются коммерческими решениями и могут быть довольно дорогими. Другие, такие как Snort и Wireshark, являются бесплатными, но могут быть менее эффективными и требовать большего уровня экспертизы для их использования.

Ниже приведены примеры использования методов и средств обнаружения DDoS-атак на практике:

Компания CloudFlare использует систему мониторинга сетевого трафика для обнаружения DDoS-атак на своих клиентов. Например, в 2016 году они обнаружили и предотвратили DDoS-атаку объемом в 1,7 Тбит/сек на свой клиентский сайт. Компания Amazon Web Services (AWS) использует систему мониторинга нагрузки на серверы для обнаружения DDoS-атак на своих клиентов. Например, в 2020 году они обнаружили и предотвратили DDoS-атаку объемом в 2,3 млрд запросов в минуту на сайт одного из своих клиентов.

Компания Akamai Technologies использует анализ логов серверов и сетевых устройств для обнаружения DDoS-атак на своих клиентов. Например, в 2018 году они обнаружили и предотвратили DDoS-атаку объемом в 1,3 Тбит/сек на сайт одного из своих клиентов.

Компания Arbor Networks использует систему обнаружения аномалий для обнаружения DDoS-атак на своих клиентов. Например, в 2015 году они обнаружили и предотвратили DDoS-атаку объемом в 334 Гбит/сек на сайт одного из своих клиентов.

Компания Imperva использует систему обнаружения внешних атак для обнаружения DDoS-атак на своих клиентов. Например, в 2019 году они обнаружили и предотвратили DDoS-атаку объемом в 500 Гбит/сек на сайт одного из своих клиентов.

Каждая из этих компаний использует несколько методов и средств для обнаружения DDoS-атак, что позволяет им предотвращать атаки на своих клиентов в реальном времени и минимизировать их последствия.

При использовании различных методов и средств обнаружения DDoS-атак могут возникать следующие практические проблемы и ограничения [7]:

1. Ложные срабатывания: любая система обнаружения атак может иногда срабатывать ложно, т. е. давать сигнал об атаке, когда ее нет. Это может произойти, например, если система обнаружения атак неправильно определяет аномалии в трафике. Ложные срабатывания могут приводить к ложной тревоге, что отнимает время и ресурсы у сотрудников компании.
2. Сложность настройки: некоторые системы обнаружения атак могут быть сложными в настройке и использовании. Например, системы мониторинга сетевого трафика требуют определенных знаний и навыков, чтобы настроить их таким образом, чтобы они эффективно обнаруживали DDoS-атаки.
3. Необходимость больших ресурсов: некоторые системы обнаружения атак могут требовать больших ресурсов, чтобы обрабатывать и анализировать большие объемы трафика. Например, системы мониторинга нагрузки на серверы могут потребовать мощных серверов и сетевых устройств для обработки большого объема данных.
4. Сложность обнаружения новых типов атак: некоторые системы обнаружения атак могут не справляться с обнаружением новых типов атак или атак, использующих новые методы. Например, системы мониторинга сетевого трафика могут быть неэффективными против атак, использующих распределенные механизмы, которые могут маскировать трафик атакующих.
5. Необходимость постоянного обновления: системы обнаружения атак нуждаются в постоянном обновлении и улучшении для более эффективной работы. Новые методы атак и уязвимости могут появляться на постоянной основе, и системы обнаружения атак должны быть обновлены, чтобы оставаться эффективными.
6. Необходимость быстрого реагирования: системы обнаружения атак могут обнаружить атаку, но не обеспечивают ее полной блокиров.

В заключении можно отметить, что обнаружение DDoS-атак является важным компонентом защиты сетевых ресурсов от вредоносных действий. Существует множество методов и средств обнаружения, каждый из которых имеет свои преимущества и недостатки.

Пассивные методы обнаружения позволяют анализировать трафик и выявлять аномалии, но могут иметь проблемы с высоким уровнем ложных срабатываний. Активные методы, такие как пороговая фильтрация и обнаружение и изоляция трафика, могут быть более точными, но требуют больших ресурсов.

Коммерческие и бесплатные средства обнаружения DDoS-атак также имеют свои преимущества и недостатки. Коммерческие решения могут предоставлять более полный спектр функций и поддержки, но могут быть дороже. Бесплатные решения могут быть более доступны, но могут иметь ограничения по функциональности и поддержке.

Несмотря на существующие проблемы и ограничения, использование методов и средств обнаружения DDoS-атак является важным шагом для обеспечения безопасности сетевых ресурсов. При выборе подходящих методов и средств следует учитывать характеристики конкретного сценария использования, бюджет, а также ожидаемый уровень защиты и удобства использования.

Литература:

1. Ahamad T., Aljumah A. Detection and defense mechanism against DDoS in MANET. Indian J. Sci. Technol., 2015, vol. 8, no. 33. DOI: 10.17485/ijst/2015/v8i33/80152 URL: http://www.indjst.org/index.php/indjst/article/view/80152
2. Antonakakis, M., April, T., Bailey, M., Bernhard, M., Bursztein, E., Cochran, J.,... & Gupta, D. (2017). Understanding the Mirai Botnet. In USENIX Security Symposium (pp. 1093–1110).
3. Cherdantseva, Y., Burnap, P., Blyth, A., Eden, P., & Jones, K. (2018). Cyber-security in the age of Industry 4.0: A review of threats and emerging defence technologies. Computers in Industry, 103, 187–206.
4. Mirkovic, J., & Reiher, P. (2004). A taxonomy of DDoS attack and DDoS defense mechanisms. ACM SIGCOMM Computer Communication Review, 34(2), 39–53.
5. Singh, S., & Chhabra, S. (2019). DDOS attacks: detection and prevention mechanisms—a review. Journal of Ambient Intelligence and Humanized Computing, 10(9), 3523–3539.
6. Tripathi S., Gupta B., Almomani A., et al. Hadoop based defense solution to handle distributed denial of service DDoS attacks. J. Inf. Secur., 2013, vol. 4, no. 3, pp. 150–164.
7. Vanitha, K., & Mala, C. (2019). A survey on detection and prevention of distributed denial of service (DDoS) attacks. Journal of Ambient Intelligence and Humanized Computing, 10(5), 1915–1931.