Пару недель назад команде Incapsula, работающей в составе Imperva, довелось отражать мощнейшую DDoS-атаку уровня 7 (приложений), направленную против одного из клиентов, который базируется в Китае и специализируется на проведении лотерей. Эта атака примечательна не только солидной нагрузкой на вычислительные ресурсы (163 тыс. запросов в секунду на пике), но также попыткой одновременно забить каналы, что необычно для таких инцидентов. Во время атаки нагрузка на каналы достигла 8,7 Гбит/с — это, по словам защитников, неслыханно высокий показатель для DDoS прикладного уровня.

Комментируя эти цифры, Incapsula поясняет, что DDoS-инциденты уровня 7 нацелены на истощение серверных ресурсов посредством потока HTTP-запросов, инициирующего большое количество задач обработки. Мощность таких атак обычно не очень велика, но достаточна, чтобы эффективно вывести из строя незащищенные серверы: многие владельцы веб-приложений закладываются на 100 запросов в секунду максимум.

В минувшем году эксперты фиксировали даже больший поток запросов в ходе DDoS прикладного уровня — до 268,8 тыс. в секунду, однако нагрузка на каналы при этом всегда была низкой, намного меньше 500 Мбит/с, так как размер пакетов обычно не превышал 200 байт. Такие атаки легко нейтрализовать фильтрами, установленными у клиента.

Тем не менее в данном случае эксперты столкнулись с дополнительной проблемой — неожиданным ростом нагрузки также на каналах, с которой явно не справлялась сама мишень. Высокие значения Гбит/с обычно характерны для DDoS сетевого уровня, и в этом случае они ожидаемы. Так, за последние годы сама Incapsula и ее коллеги по цеху неоднократно сталкивались с сетевыми атаками мощностью 200, 300 и даже 400 Гбит/с, так что 8,7 Гбит/с для них вполне привычное дело, но не в случае атаки на приложения.

Пытаясь понять, каким образом злоумышленникам удалось добиться столь высоких показателей на обоих фронтах и застать врасплох защиту, эксперты стали анализировать вредоносные POST-запросы. Как оказалось, злоумышленники используют скрипт, произвольно генерирующий файлы большого размера и пытающийся загрузить их на атакуемый сервер. Эти объемные POST-запросы выглядят вполне легитимно, но, когда установлено TCP-соединение, их непрерывный поток быстро перерастает в мощнейший HTTP flood.

Анализ отпечатков позволил установить, что для проведения DDoS-атаки используется ботнет, построенный на варианте Nitol, который в данном случае пытался маскироваться под поисковый робот Baidu. В ходе атаки защитники совокупно насчитали 2,7 тыс. IP-источников мусорного трафика; большинство из них имеют китайскую прописку.

К сожалению, поясняют эксперты, при атаке прикладного уровня трафик можно фильтровать своими силами лишь после того, как установлено TCP-соединение, то есть вредоносные запросы будут беспрепятственно проходить через сетевую магистраль. Если эти запросы весьма объемны, как в данном случае, они эффективно забьют восходящий канал, так как его пропускная способность обычно невелика, и никакой дополнительный внешний сервис, заточенный под сетевые DDoS, здесь не поможет.

Incapsula также предостерегает, что даже в том случае, если атакуемая организация располагает пропускной способностью 10 Гбит, злоумышленники могут с легкостью повысить мощность атаки, увеличив скорость передачи запросов или количество используемых ботов. В итоге на следующий раз это будет 12 или 15 Гбит/с, а возможно, и более. Чтобы самостоятельно справиться с таким потоком, нужно иметь инфраструктуру как у солидного интернет-провайдера.

Кроме того, атаки на приложения можно проводить сутками, неделями, даже месяцами, и этот дополнительный трафик влетает жертвам в копеечку. Так, в четвертом квартале Incapsula зафиксировала DDoS уровня 7 продолжительностью свыше 100 дней.

Эксперты ожидают, что засвидетельствованная ими проба пера в скором времени найдет своих подражателей, и советуют всем подумать над мерами защиты от подобных атак. По их мнению, у потенциальных жертв есть два выхода: увеличить пропускную способность каналов либо искать специализированный сервис, способный автоматически блокировать HTTP/HTTPS flood за границами сети.

Категории: DoS-атаки, Аналитика, Главное