DDoS-атака отражения/усиления – что это?

Пандемия COVID-19 породила растущую потребность в удалённом подключении и открыла дверь для новой эскалации угроз, заставив отделы безопасности переосмысливать действенные стратегии защиты сетей и систем.

Последний отчет NETSCOUT Threat Intelligence показал рекордную активность атак распределённым отказом в обслуживании (DDoS) в 2020 году: злоумышленники запустили более 10 миллионов DDoS по всему миру.

Один из наиболее популярных типов широкомасштабных кибератак позволяет организовывать перебои в работе сервисов (вплоть до полного выхода из строя), комбинируя два распространённых метода DDoS:
    • В атаках отражения (reflection) злоумышленники подделывают IP-адрес цели и отправляют якобы от неё запрос любому серверу, на котором работают службы UDP или TCP. Действуя как «отражатель» такой сервер отправляет ответ на IP-адрес цели, используя тот же протокол.
    • В атаках усиления (amplification) инициирующий запрос преступника порождает несоразмерно большой ответ уязвимого сервиса. Это может быть множество пакетов в ответ на один, либо один пакет, но большего размера, чем исходный. Используя легкодоступные инструменты, злоумышленник может отправлять уязвимым службам многие тысячи таких запросов, значительно увеличивая объём трафика, направленного к цели.

Комбинированная атака отражения/усиления позволяет как увеличивать объём генерируемого вредоносного трафика, так и скрывать истинные источники атаки. В наиболее распространённых атаках задействуются миллионы уязвимых служб UDP/TCP, включая DNS, NTP, SNMP, SSDP и др.

Особая опасность этого типа атак связана с тем, что, вовлечённые в них, серверы или потребительские устройства не имеют явных признаков взлома, что затрудняет предотвращение таких инцидентов.  Кроме того, для организации огромных по объёму атак методом отражения/усиления достаточно простых инструментов и скромного источника ботов, а то и единственного надёжного сервера.

Первичная защита от атак отражения/усиления заключается в блокировании поддельных исходных пакетов.  Однако, из-за использования киберпреступниками легальных источников с доверенными сервисами, такими как DNS и NTP, бывает трудно отличить подлинные рабочие нагрузки пользователей от отражённого вредоносного трафика. Проблема усугубляется тем, что когда служба задействуется в атаке, её работа замедляется, и уже обычный пользовательский трафик из-за повторяющихся попыток получить ответ может быть ошибочно принят за DDoS.

Для смягчения атак отражения/усиления организации могут предпринять следующие меры:
    • Ограничение скорости на основе отклонения от ранее установленной политики доступа. Такой подход может применяться и к адресатам, и к источникам, но в первом случае он может непреднамеренно повлиять на законный легитимный трафик. Поэтому более эффективным считается ограничение скорости источника.
    • Блокировка портов позволяет снизить уязвимость организации, если эти порты ею не используются. Важно отметить, что это не предотвращает атаки на порты, которые задействованы законным легитимным  трафиком.
    • Фильтры сигнатур трафика могут применяться для выявления повторяющихся структур, указывающих на атаку.  Обратной стороной фильтрации является снижение производительности. Необходимость проверки каждого пакета может в конечном итоге перегрузить сиcтему защиту.
    • Службы анализа угроз позволяют специалистам по безопасности выявлять уязвимые серверы cервисы. Благодаря этому организации могут упреждающе блокировать ненадёжные IP-адреса, тем самым предотвращая потенциальные атаки.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365