Глубоко неправы те, кто все еще наивно полагает, будто сокрушительные DoS/DDoS-атаки обязательно используют грубую силу и генерируют массивный трафик. Маломощные и медленные («Low & Slow» в терминологии Radware) DDoS, проводимые на прикладном уровне, не менее смертоносны. Они используют скрытную тактику и способны причинить значительный ущерб, потребляя минимум ресурсов у атакующего. Что еще надо злоумышленнику? Обнаружить и предотвратить такие атаки — задача не из легких. Эксперт Radware Ронен Кениг (Ronen Kenig) попытался популярно изложить связанные с Low & Slow проблемы, с которыми сталкиваются специалисты по защите от DDoS.

Маломощные атаки (low-rate)

Злоумышленник стремится вывести мишень из строя, но без лишнего шума. Чаще всего такие атаки заключаются в удержании открытых соединений на сервере. Искомый эффект дают такие общеупотребительные методы, как отправка неполных http-запросов, небольших пакетов данных или keep-alive-сообщений. Low-rate-атаки нередко чередуются с мощными всплесками паразитного трафика, и такие нападения трудно не только блокировать, но и обнаружить.

Медленные атаки (slow-rate)

Генерируемый в ходе атаки трафик, нацеленный на истощение ресурсов жертвы, соответствует требованиям протокола. Его скорость невелика, но тоже не выходит за рамки дозволенного. Традиционные защитные решения и воспринимают этот трафик как легитимный. Обнаружить его истинную природу можно только с помощью поведенческого анализа: изучить сеть в периоды нормальной работы и сравнить результаты с показателями, полученными в ходе slow-rate-атаки.

Инструменты

В отличие от различных типов атак на отказ в обслуживании, требующих согласованной работы нескольких сотен ботов, Low & Slow-атака прикладного уровня может проводиться с одной-единственной машины — и окончиться для жертвы летальным исходом. Злоумышленники автоматизируют такие атаки с помощью особых инструментов и чаще всего останавливают свой выбор на R.U.D.Y или Slowloris.

R.U.D.Y (R U Dead Yet?) генерирует POST-запросы и затем долго, байт за байтом, дополняет их, чередуя периоды активности и бездействия. В результате все рабочие потоки атакуемого приложения зависают, ибо заняты нескончаемой обработкой однобайтовых фрагментов POST.

Http-клиент Slowloris вполне отвечает своему имени: он медленный и прожорливый. Клиент удерживает открытые соединения на атакуемом сервере, отправляя неполные http-запросы. Затем с заданной периодичностью он начинает досылать заголовки, сервер быстро исчерпывает весь лимит по прикладному стеку и становится недоступен для законных пользователей. Для успешной DDoS-атаки Slowloris хватит пары сотен запросов, подаваемых с заданной периодичностью и в течение долгого времени.

Защита

Обнаружить Low & Slow-атаку на прикладном уровне удается лишь при наличии результатов real-time-мониторинга систем, в первую очередь отчетов по расходу и распределению ресурсов. Ведя непрерывный мониторинг, защитный инструмент, поддерживающий учет ресурсов, легко обнаружит такое отклонение от нормы, как затянувшийся «простой» открытых соединений или незавершенный процесс на прикладном стеке, который давно должен был освободиться.

Реализовать мониторинговую схему защиты можно, например, путем жесткой интеграции защитных механизмов на сервере. Другой вариант — наделить защитное решение функционалом, позволяющим анализировать поведение открытых соединений на сервере и эмулировать ресурсы прикладного стека без прямого подключения к серверу. При корректной технологии анализа злоупотребления сети ресурсами приложения могут быть определены с высокой точностью. После обнаружения подозрительной активности ее можно проследить до источника и принять необходимые меры.

Итак, заключает Кениг, Low & Slow-методы опровергают некоторые из устоявшихся стереотипов о DDoS-атаках. Несмотря на относительную простоту Low & Slow и минимальные потребности в ресурсах, эти типы атак находятся на подъеме. А защита от описанных выше типов атак потребует наличия грамотной security-инфраструктуры, а также отдельного штата специалистов, способных распознать скрытную тактику нападения в реальном времени.

Категории: DoS-атаки