Откровения Эдварда Сноудена, с подачи которого массовая киберслежка стала достоянием общественности, заставили многих озаботиться вопросом обеспечения приватности в Сети. Воспрепятствовать непрошеному вторжению в частную жизнь помогают анонимайзеры — анонимные прокси-сервисы, маскирующие IP-адрес источника запросов и HTTP-отпечатки. Однако беда в том, что этими услугами помимо добропорядочных пользователей часто пользуются злоумышленники.

В связи с ростом количества злоупотреблений анонимностью с целью проведения DDoS-атак компания Incapsula, специализирующаяся на защите от таких инцидентов, решила привлечь общее внимание к данной проблеме. Согласно ее статистике, 20% DDoS прикладного уровня, отраженных в период с 5 января по 7 февраля, составили атаки, использующие анонимайзеры. Из них около 45% исходили из сети Tor, причем в 60% случаев атакующие использовали Tor-инструмент Hammer, позволяющий проводить маломощные и медленные (low-and-slow), но весьма эффективные POST-атаки на отказ в обслуживании.

В среднем в каждой зафиксированной Incapsula DDoS-атаке были задействованы 1,8 тыс. IP-адресов, ассоциированных с прокси-серверами, с потолком в 4387. В совокупности эта армия невольников позволяла атакующим направлять на мишень по 540 тыс. запросов, хотя максимальный показатель, отмеченный экспертами, оказался на порядок выше среднестатистического. Наибольшее количество прокси-посредников (IP-адресов) этих DDoS было обнаружено на территории Вьетнама, США, Китая, Камбоджи и Индонезии.

Публикуя эти цифры, исследователи подчеркивают, что мощность мусорного трафика в атаках на приложения — не самый показательный критерий. Гораздо важнее способность атакующих обойти защитные меры. Проводя DDoS уровня 7, такие как HTTP GET/POST flood, атакующие не стремятся забить сетевые каналы, их задача — истощение ресурсов веб-сервера. По словам Incapsula, если не блокировать такую атаку, то 50–100 мусорных запросов в секунду будет достаточно, чтобы сокрушить типовой сайт небольшой компании, размещенный на выделенном сервере.

Использование анонимайзеров позволяет злоумышленнику провести эффективную DDoS-атаку без особых трудозатрат. Все, что ему нужно, — это один компьютер (свой или чужой), DoS-тулкит или самодельный скрипт такого же назначения, а также список публично доступных прокси-серверов, готовый или составленный самостоятельно с помощью специализированного скриптового инструмента, коих много на черном рынке.

Наличие большого числа подручных в виде открытых прокси поможет ему превратить поток запросов, нацеленных на отказ в обслуживании, в распределенную DoS-атаку, то есть в DDoS. Эксперты образно называют такие атаки Shotgun DDoS — «выстрел из дробовика», хотя дробь разлетается в разные стороны, а в случае DDoS все подаваемые через анонимайзеры запросы бьют в одну и ту же цель.

В целом использование прокси-посредников дает атакующему следующие преимущества:

  • простоту использования;
  • сокрытие IP источника;
  • обход ACL-защиты, так как контроль доступа эффективен лишь против одиночных источников DoS, поведение которых легко спрогнозировать;
  • обход региональных черных списков, которые некоторые организации применяют для групповой блокировки источников, из которых поступает мало запросов;
  • обфускацию HTTP-заголовков (прокси привносят в них легкие модификации и при массовом использовании невольно помогают уберечь вредоносные боты от сигнатурного обнаружения).

По свидетельству Incapsula, защита от Shotgun-атак непроста и требует непрерывного мониторинга входного трафика на предмет необычного поведения его источников, а также постоянного отслеживания репутации IP с возможно большим охватом. К тому же анонимайзеры — вещь переменчивая, новые прокси появляются с завидной регулярностью, а старые серверы выводятся из строя.

Категории: DoS-атаки, Аналитика, Главное