В последние месяцы заголовки привлекли внимание к рекордным DDoS-атакам, часто измеряемым в терабитах в секунду (Tbps) и сопровождаемым заявлениями о пропускной способности сетей в сотни Tbps. Эти цифры, хотя и впечатляют, могут создать обманчивое представление о том, что действительно важно в защите от DDoS.
Реальные условия современных DDoS-атак требуют более тонкого понимания. Одна лишь пропускная способность не определяет, сможет ли организация выдержать атаку. Вместо этого решающую роль играют распределённая защита, время на устранение, качество очистки трафика и устойчивость к сложным атакам и потокам с интенсивным использованием пакетов.
Недавний пример подчёркивает это.
Пример из практики: последовательные DDoS-атаки
Крупная технологическая компания в США недавно стала жертвой двух крупнейших зарегистрированных атак сетевого уровня DDoS за один день, что демонстрирует растущую интенсивность объёмных атак.
- Первая атака: достигла пика в 1,2 Tbps и 563 миллиона PPS. Длилась девять минут, но довела стратегии смягчения последствий до предела.
- Вторая атака: спустя несколько часов более агрессивная атака достигла пика почти в 1,5 Tbps и поддерживала более 1 миллиарда PPS в течение 20 минут.
Обе атаки были объёмными и были нацелены на уровни 3 и 4 модели OSI. Крайне высокий уровень PPS указывает на то, что злоумышленники стремились не только насытить полосу пропускания, но и перегрузить оборудование для маршрутизации и коммутации — системы, которые часто более уязвимы к потокам пакетов, чем к чистой пропускной способности.
Анализ показал, что атака была в основном UDP-ориентированной, при этом злоумышленники использовали массовые потоки, которые могут перегрузить серверы, потребляя полосу пропускания и вычислительные ресурсы. Во второй волне злоумышленники ввели компонент TCP, что свидетельствует о преднамеренной эскалации сложности и нацеливании на ресурсы. Атака использовала методы усиления, такие как использование неправильно настроенных служб для увеличения объёма трафика в сочетании с использованием глобально распределённого ботнета, состоящего из взломанных устройств в разных регионах. Эта комбинация не только увеличила масштаб атаки, но и усложнила её смягчение за счёт смешивания нескольких векторов и рассредоточения источников трафика по всему миру.
Смягчение последствий было успешным, поскольку трафик был заблокирован примерно 30 глобально распределёнными точками присутствия (PoP) компании Imperva. Перехватывая вредоносные пакеты вблизи их источника — будь то в Джакарте, Мумбаи или Йоханнесбурге — сеть смягчения последствий предотвратила их попадание в основные транзитные каналы или клиентские среды в Европе и США.
Это подчёркивает главную истину: важна не только масштабность; качество и точность имеют значение.
Ниже мы рассмотрим несколько ключевых факторов, которые ставят под сомнение представление о том, что «самая большая атака — самая большая сеть» является золотым стандартом защиты.
1. DDoS-атаки по своей природе высоко распределены
Современные DDoS-кампании используют глобально рассредоточенные ботнеты, состоящие из сотен тысяч (или миллионов) взломанных устройств. Трафик редко исходит из того же региона, что и законные пользователи. В результате большая часть атакующего трафика географически отделена от обычных шаблонов целевого объекта. Это означает, что гораздо эффективнее останавливать вредоносный трафик вблизи его источника, чем позволять ему накапливаться в огромных объёмах вблизи места назначения.
Служба Imperva Threat Intelligence отслеживает репутацию IP-адресов, что позволяет быстро смягчать DDoS-атаки с помощью распространённых ботнетов.
2. Распределённое смягчение последствий — ключ к эффективной защите
Остановить атаку в пути уже недостаточно. Хорошо распределённая сеть смягчения последствий обеспечивает:
- Близость к источникам атак: обрезка пакетов до того, как они пересекут глобальные магистрали.
- Раннее выявление вредоносного трафика: обнаружение потоков в секундах, а не в минутах.
- Изоляция и отбрасывание вредоносного трафика: без нарушения работы законных пользователей.
Это демонстрирует, что все наши глобально распределённые PoP, каждый из которых действует как центр очистки, работали вместе, чтобы нейтрализовать миллиарды вредоносных пакетов. Эта распределённая модель устраняет необходимость в небольшом количестве крупных специализированных центров очистки, которые могут с трудом справиться с крупномасштабными атаками и требуют перенаправления трафика. Поскольку каждый PoP способен очищать, большинство атак может быть смягчено локально без переноса трафика в более удалённый PoP — это позволяет избежать сбоев в обслуживании, предотвращает прерывание сеансов и минимизирует задержки для приложений клиентов.
3. Даже небольшие PoP могут играть важную роль
Вопреки распространённому мнению, точке присутствия (PoP) не нужна огромная пропускная способность, чтобы быть эффективной. Если PoP в Йоханнесбурге видит только 100 Гбит/с UDP-флуда и немедленно отбрасывает его, это предотвращает нагрузку на глобальную инфраструктуру. Способность фильтровать вредоносные пакеты локально гораздо ценнее, чем хвастаться поглощением нескольких Tbps в удалённом центре обработки данных.
На самом деле всё сложнее. Даже если пропускная способность очистки в Йоханнесбурге меньше объёма входящей атаки, она всё равно выполняет свою функцию, пока отброшенный трафик является вредоносным. В этом случае может возникнуть перегрузка восходящего канала, что может скрыть полную величину атаки, но переполняющийся трафик всё равно является атакующей нагрузкой, а не трафиком законных пользователей.
Это подчёркивает, почему абсолютный размер PoP на самом деле не так важен, как его способность эффективно отводить атакующий трафик от намеченной цели. Истинная проблема заключается в обеспечении чёткого отделения атакующего трафика в Йоханнесбурге от трафика законных клиентов с использованием того же PoP. Такие методы, как карантинные восходящие каналы, расширенное использование чёрных дыр или хирургическое удалённое срабатывание чёрных дыр (RTBH), могут обеспечить такое разделение без риска для других арендаторов, чистый/неатакующий трафик которых маршрутизируется через тот же PoP.
4. В сценариях со смешанным трафиком качество очистки и время на смягчение последствий имеют наибольшее значение
Атака с 1,1 миллиарда PPS подчёркивает, почему время на смягчение последствий и интеллект очистки имеют решающее значение. Потоки с высоким PPS нацелены на маршрутизаторы и коммутаторы, в то время как многовекторные атаки — такие как SYN-флуд, комбинации отражения/усиления или HTTP-флуд — смешивают вредоносный и легитимный трафик.
В этих случаях для смягчения последствий требуется больше, чем просто пропускная способность:
- Инспекцию трафика на линейной скорости.
- Обнаружение тонких паттернов атак за секунды.
- Реальный отклик на изменение векторов.
- Сохранение трафика законных пользователей.
- Обнаружение аномалий трафика на основе динамического адаптивного профилирования с использованием возможностей искусственного интеллекта/машинного обучения.
Атаки прикладного уровня (уровень 7) ещё больше повышают потребность в поведенческом анализе и адаптивной защите, поскольку злоумышленники всё чаще фокусируются на HTTP-флуде, злоупотреблении API и DNS-запросах, предназначенных для того, чтобы обойти защиты, основанные на пропускной способности. Недавние случаи, такие как QUICLEAK, когда злоумышленники тайно пересылают искажённые пакеты для исчерпания памяти, и MadeYouReset, вариант HTTP/2 RapidReset, который обманывает сервер, заставляя его сбрасывать собственные потоки, подчёркивают важность не только защиты, основанной на пропускной способности.
5. Атаки масштаба Tbps редки, большинство угроз более целенаправленны и сложны
Хотя атаки с несколькими терабитами попадают в заголовки новостей, они остаются редкими. Около 0,1% атак превышают несколько Tbps или 1 миллиард PPS. Большинство реальных угроз меньше, но сложнее, включая:
- Всплесковые потоки и ковровые бомбардировки.
- Попытки исчерпания состояния (например, TCP SYN-флуд).
- Атаки прикладного уровня, нацеленные на API или DNS.
- Короткие и резкие удары, предназначенные для того, чтобы перегрузить средства защиты до их полного включения.
Хотя атаки, привлекающие внимание, существуют, большинство организаций с гораздо большей вероятностью столкнутся с небольшими, но более настойчивыми многовекторными кампаниями. Смягчение последствий Imperva за 3 секунды быстро устраняет всплесковые атаки или резкие удары, помогая поддерживать работу вашего бизнеса даже при сложных атаках.
Заключение: выбирайте готовность к реальным условиям, а не шумиху с метриками
При оценке поставщика DDoS не поддавайтесь влиянию таких цифр, как «X Tbps смягчено» или «сотни Tbps пропускной способности». Вместо этого спросите:
- Насколько распределена сеть смягчения последствий?
- Как быстро можно остановить вредоносный трафик вблизи его источника?
- Какой интеллект очистки трафика и поведенческий анализ используются?
- Насколько эффективна платформа для защиты от атак прикладного уровня?
- Каково среднее время на смягчение последствий для разных типов атак?
Пример из практики в США показывает, что даже рекордные потоки можно остановить не только за счёт масштаба, но и за счёт глобально распределённой, адаптивной, защиты в реальном времени.
Пропускная способность имеет значение, но архитектура, видимость и скорость важнее. Истинная устойчивость достигается за счёт интеллектуальной, распределённой защиты, созданной для атак, с которыми организации, скорее всего, столкнутся.
Попробуйте Imperva бесплатно
Защитите свой бизнес в течение 30 дней на Imperva.
Начните сейчас