Наши публикации
08.09.2004

DoS-атаки в Сети. Введение, текущая практика и прогноз

1. Предмет

В настоящей работе будут рассматриваться не все виды атак типа «отказ в обслуживании» (в дальнейшем DoS-атаки), а лишь некоторое их подмножество, именуемое флудами.

Флуд это подкласс атак типа «отказ в обслуживании», которые не используют ошибок в ПО, а направлены на то, чтобы вызвать перегрузку какого-либо сетевого ресурса.

Данный термин произошёл от англоязычного flood (произносится "флад"), который имеет в области ИТ примерно то же значение. Такого рода атаки также именуются в англоязычной литературе "brute-force DoS attacks".

2. Актуальность

Интерес к флудам вызван тем, что они становятся всё более распространёнными. Наблюдаемые авторами тенденции указывают на них как на главное информационное оружие на следующей стадии развития сетей и телекоммуникаций. В отличие от других сетевых атак, для успешности флуд-атаки не требуется наличия определённой ошибки в ПО или в настройках атакуемой системы. Не требуется наличия даже какой-нибудь ошибки. Требуется лишь, чтобы ресурсы противника были не слишком большими по сравнению с ресурсами атакующей стороны. Уязвимостью здесь является конечность сетевых ресурсов. То есть, по отношению к флуду нет неуязвимых.

С другой стороны, кроме самой возможности осуществления DoS-атак, есть и заинтересованность в них. В Сети в настоящее время представлена определенная часть финансовых интересов некоторых компаний. И наблюдается отчётливая тенденция нарастания объёма этих интересов (инвестиций) и нарастания зависимости бизнеса от функционирования интернет-ресурсов. Атака на сетевые ресурсы один из способов уничтожить бизнес конкурента. В то же время, правовое регулирование интернет-активности явно отстаёт от офлайна. С некоторой натяжкой можно даже сказать, что в Интернете пока ещё царит «закон джунглей». А раз так, то имеется большой соблазн достичь конкурентного преимущества путём блокирования сетевых ресурсов соперников и иными «военно-сетевыми» методами.

Таким образом, с одной стороны мы наблюдаем уязвимость как с технической, так и с экономической точки зрения. С другой стороны - относительную безнаказанность сетевых атак. Это создаёт предпосылки для развития и распространения в Интернете средств обороны и нападения, а также для применения таких средств, то есть для информационных войн.

Кроме экономических, сетевые атаки могут преследовать политико-идеологические цели, к чему также имеется немало предпосылок. А именно, Интернет постепенно "набирает вес" на поле идеологической борьбы и скоро по своей влиятельности даже может подняться на один уровень с телевидением основным идеологическим средством XX века. Уже сейчас мы наблюдаем, как в Интернете ведётся не слишком успешная борьба с антиправительственными и оппозиционными СМИ, которые, если бы не Интернет, не имели бы никаких шансов на существование.

Во многих случаях DoS-атаки выступают и в качестве средства разрешения индивидуальных конфликтов. Относительная дешевизна атак против некоторых сетевых ресурсов заставляет их владельцев опасаться не только фирм-конкурентов, но даже отдельных агрессивных индивидуумов.

Вышеописанные факторы, наряду с отсутствием действенных мер защиты, позволяют авторам сделать предположение, что распространённость DoS-атак (и флудов в особенности) в ближайшее время будет возрастать. Интернет-провайдерам и владельцам сетевых ресурсов придётся затрачивать значительные средства на защиту от них, а возможно, и на средства для ответных ударов.

3. Классификация

По атакуемому ресурсу (ресурс, на исчерпание которого направлена атака) флуды можно разделить на группы в соответствии с этим ресурсом:

  • процессор сервера;
  • ОЗУ сервера;
  • жёсткий диск сервера;
  • пропускная способность канала;
  • процессор маршрутизатора;
  • память маршрутизатора;
  • аккаунт клиента;
  • любой административно ограниченный параметр, например, число одновременных соединений или полоса пропускания.

Большинство профессиональных флудов построены так, чтобы бить по заранее определённому ресурсу. Бывают и ненаправленные флуды, видимо, рассчитанные на то, что какой-нибудь ресурс да исчерпается.

Особо следует отметить последний пункт в списке ресурсов. Как только администратор вводит какое-либо ограничение, сразу же появляется дополнительный объект атаки. Например, ограничив полосу пропускания для одного адреса, администратор создаёт возможность для атакующего забить всю эту полосу, не забивая канал в целом, то есть, достичь своих целей меньшими ресурсами. Другой пример установка дополнительного фильтра (ACL) на маршрутизаторе. Казалось бы, ещё один фильтр защита лучше. Но, с другой стороны, обработка ACL часто дополнительно нагружает маршрутизатор и создаёт возможность для злоумышленника применить ещё один вид флуда.

По организации флуды можно разделить на устроенные:

  • только собственными ресурсами (прямой);
  • используя захваченные ресурсы (прямой распределённый);
  • используя ресурсы третьих сторон (непрямой).

По степени автоматизации флуд-атака может быть:

  • ручная;
  • частично автоматизированная;
  • полностью автоматизированная;
  • полностью автоматизированная без непосредственного управления агентами.

4. Примеры

Приведём несколько интересных практических примеров наблюдавшихся флудов.

Клиент К имеет с провайдером П договор, предусматривающий оплату пропорционально входящему трафику. Данный клиент пожаловался провайдеру на то, что размер входящего трафика за очередной месяц превышает все разумные пределы и вводит его в драматические расходы. Анализ показал, что огромный трафик создавался за счёт пакетов протокола ICMP типа echo-reply большой длины. При этом исходящих от клиента пакетов типа echo-request не наблюдалось. Очевидно, что имела место атака с целью ввести К в излишние расходы. Далее было замечено, что пакеты echo-reply приходят группами: каждая группа по 10-30 штук из одного и того же сегмента. Дальнейший анализ показал, что неизвестный злоумышленник отправлял пакеты типа echo-request с поддельным обратным адресом на широковещательные (broadcast) адреса некоторых сетей. Видимо, выбирались те сети, в которых широковещательные адреса были доступны снаружи, и в которых на запрос откликалось наибольшее число хостов - не менее 8. Очевидно, что благодаря этому злоумышленник смог достичь эффекта умножения трафика. Имея в своём распоряжении канал некоторой пропускной способности, он создавал в канале жертвы трафик более чем в 8 раз превышающий эту величину. Приведённые листинги иллюстрируют факт множественности откликов на пинг.

$ping -n -c 2 195.117.158.255
PING 195.117.158.255 (195.117.158.255): 56 data bytes
64 bytes from 194.204.140.46: icmp_seq=0 ttl=234 time=150.497 ms
64 bytes from 195.117.158.190: icmp_seq=0 ttl=42 time=169.129 ms (DUP!)
64 bytes from 195.116.25.64: icmp_seq=0 ttl=42 time=172.490 ms (DUP!)
64 bytes from 195.117.158.235: icmp_seq=0 ttl=233 time=173.014 ms (DUP!)
64 bytes from 195.117.158.234: icmp_seq=0 ttl=233 time=173.314 ms (DUP!)
64 bytes from 194.204.140.46: icmp_seq=1 ttl=234 time=149.704 ms

--- 195.117.158.255 ping statistics ---
2 packets transmitted, 2 packets received, +4 duplicates, 0% packet loss
round-trip min/avg/max/stddev = 149.704/164.691/173.314/10.410 ms


$ping -n -c 2 193.11.8.255
PING 193.11.8.255 (193.11.8.255): 56 data bytes
64 bytes from 193.11.8.132: icmp_seq=0 ttl=48 time=67.743 ms
64 bytes from 193.11.8.54: icmp_seq=0 ttl=239 time=68.140 ms (DUP!)
64 bytes from 193.11.8.55: icmp_seq=0 ttl=44 time=68.925 ms (DUP!)
64 bytes from 193.11.8.103: icmp_seq=0 ttl=239 time=69.465 ms (DUP!)
64 bytes from 193.11.8.189: icmp_seq=0 ttl=48 time=69.588 ms (DUP!)
64 bytes from 193.11.8.168: icmp_seq=0 ttl=48 time=69.788 ms (DUP!)
64 bytes from 193.11.8.242: icmp_seq=0 ttl=48 time=70.006 ms (DUP!)
64 bytes from 193.11.8.131: icmp_seq=0 ttl=48 time=70.162 ms (DUP!)
64 bytes from 193.11.8.72: icmp_seq=0 ttl=239 time=70.286 ms (DUP!)
64 bytes from 193.11.8.143: icmp_seq=0 ttl=48 time=70.791 ms (DUP!)
64 bytes from 193.11.8.112: icmp_seq=0 ttl=44 time=70.852 ms (DUP!)
64 bytes from 193.11.8.104: icmp_seq=0 ttl=239 time=71.184 ms (DUP!)
64 bytes from 193.11.8.67: icmp_seq=0 ttl=44 time=71.195 ms (DUP!)
64 bytes from 193.11.8.62: icmp_seq=0 ttl=44 time=71.573 ms (DUP!)
64 bytes from 193.11.8.64: icmp_seq=0 ttl=44 time=71.584 ms (DUP!)
64 bytes from 193.11.8.113: icmp_seq=0 ttl=44 time=71.870 ms (DUP!)
64 bytes from 193.11.8.101: icmp_seq=0 ttl=44 time=71.891 ms (DUP!)
64 bytes from 193.11.8.68: icmp_seq=0 ttl=44 time=72.242 ms (DUP!)
64 bytes from 193.11.8.49: icmp_seq=0 ttl=44 time=72.264 ms (DUP!)
64 bytes from 193.11.8.63: icmp_seq=0 ttl=44 time=72.574 ms (DUP!)
64 bytes from 193.11.8.57: icmp_seq=0 ttl=44 time=72.584 ms (DUP!)
64 bytes from 193.11.8.145: icmp_seq=0 ttl=239 time=72.936 ms (DUP!)
64 bytes from 193.11.8.61: icmp_seq=0 ttl=44 time=72.958 ms (DUP!)
64 bytes from 193.11.8.47: icmp_seq=0 ttl=48 time=75.533 ms (DUP!)
64 bytes from 193.11.8.102: icmp_seq=0 ttl=48 time=75.793 ms (DUP!)
64 bytes from 193.11.8.48: icmp_seq=0 ttl=48 time=75.869 ms (DUP!)
64 bytes from 193.11.8.60: icmp_seq=0 ttl=48 time=76.241 ms (DUP!)
64 bytes from 193.11.8.121: icmp_seq=0 ttl=48 time=77.085 ms (DUP!)
64 bytes from 193.11.8.132: icmp_seq=1 ttl=48 time=71.432 ms

--- 193.11.8.255 ping statistics ---
2 packets transmitted, 2 packets received, +27 duplicates, 0% packet loss
round-trip min/avg/max/stddev = 67.743/71.812/77.085/2.363 ms

Рис.1. Листинг, демонстрирующий возможность амплификации отражённого трафика

Наблюдаемый в примере эффект амплификации "отражённого" трафика очень важен для атакующего. Он позволяет ему загрузить канал жертвы в несколько раз больше по сравнению с собственным каналом.

Аналогичный эффект возможен и при некоторых других видах трафика. Например, протокол DNS в ряде случаев обеспечивает ответ по объёму в несколько раз больше запроса, при этом легко допуская подмену адреса.

Другой интересный пример флуд-атаки против маршрутизаторов наблюдался в 2003 году. Суть атаки состояла в следующем. Для выведения из строя маршрутизатора (фактически атаковался не один, а сразу несколько) через него направлялись транзитные пакеты с таким расчётом, чтобы при достижении этого маршрутизатора счётчик TTL достигал бы значения 0. При получении такого пакета маршрутизатор обязан сбросить пакет, а по адресу отправителя отослать ICMP-пакет типа "ttl-expired". На эту операцию затрачивается несравненно больше ресурсов, чем на обычную маршрутизацию пакета. Чтобы достичь цели флуда (то есть, загрузить маршрутизатор до предела) достаточно таких пакетов примерно в сто раз меньше, чем обычных транзитных.

Естественно, не все маршрутизаторы и не с любыми настройками подвержены этой атаке.

Иные атаки маршрутизаторов базируются на том же принципе. Разные пакеты (транзитный трафик, управляющий трафик, протоколы маршрутизации и т.д.) подвергаются разной обработке и отнимают разное количество ресурсов. В зависимости от модели маршрутизатора и его настроек, злоумышленники стараются подобрать такие пакеты, которые забирают как можно больше ресурсов.

Понятно, что удачливость этого подбора сильно зависит от количества информации, которой располагает атакующий. Самые успешные атаки можно ожидать в том случае, когда противнику известны модель, версия ПО и полная конфигурация маршрутизатора. Поэтому конфиг-файлы сетевого оборудования должны относиться к конфиденциальной информации.

В порядке противодействия атакам, производители оборудования стараются прикрыть наиболее "узкие" места в своих маршрутизаторах (как правило, это процессор маршрутизации) различными средствами специальными фильтрами (rACL), очередями, шейперами (SPD) и т.д.

В поисках оптимальных видов флуда злоумышленники комбинируют различные виды трафика, пытаясь найти наилучшие пропорции. Наблюдавшийся недавно флуд на один из серверов состоял из 80% пакетов TCP-SYN на 5 открытых портов, 20% пакетов UDP, а также небольшого числа пакетов протокола 255 (неиспользуемый тип), очевидно, для контроля доступности.

5. Средства детектирования

В отличие от других DoS-атак, флуды не используют каких-либо ошибок в ПО. Они лишь используют некоторые особенности работы ПО, вызывающие повышенную нагрузку на ресурсы в некоторых режимах, а бывает, что обходятся даже без этого. То есть, флудовый трафик мало отличается по своим качественным характеристикам от обычного, штатного трафика. А порой не отличается от него вовсе. Эти обстоятельства являются определяющими при построении систем детектирования флудов. Если для обнаружения иных атак анализируется КАЧЕСТВЕННЫЙ состав трафика (например, в нём ищутся определённые сигнатуры), то для обнаружения флудов требуется КОЛИЧЕСТВЕННЫЙ анализ. Причём, простого измерения объёма трафика (пакетов или битов) обычно недостаточно.

Высказывалось мнение, что детектирование флудов не всегда нужно. Аргумент таков, что DoS-атаку невозможно не заметить. Следовательно, нужно сосредоточиться на инструментах противодействия, а не обнаружения. Авторы не согласны с этой точкой зрения и хотели бы привести следующие контраргументы.

Во-первых, бывают флуды, которые обнаруживаются не сразу, и более того их создатели специально принимают меры для возможно более долгого сокрытия флуда. Это так называемые «атаки на бюджет», когда злоумышленник пытается ввести жертву в дополнительные расходы по оплате трафика. Печальные последствия такого флуда жертва может заметить лишь после получения счёта от провайдера. Встречались в практике авторов и иные случаи, когда флуд, приводящий к полной недоступности сервера, тем не менее, замечался владельцем этого сервера далеко не сразу, а лишь спустя сутки или больше. Как известно, любимое время для всех хакеров «в ночь с пятницы на понедельник».

Во-вторых, для отражения флуд-атаки совершенно необходимо знать её природу, то есть, качественный и количественный состав трафика, его путь, число источников и так далее. Система детектирования не только обнаруживает сам факт флуда, но и мгновенно даёт указанные сведения, позволяя, не теряя времени на дополнительное изучение, сразу применить уместное в данной ситуации защитное средство.

Проиллюстрируем примером последнее утверждение. Система обнаружения аномалий трафика зафиксировала DoS-атаку, которая имела всего около 120 источников (IP-адресов), состав которых с течением времени почти не изменялся. Эта особенность позволила сразу же установить на магистральном маршрутизаторе соответствующие правила фильтрации по источникам, что полностью решило проблему. Кстати сказать, используемая система детектирования по обнаружению подобного рода флуда (с небольшим числом источников) сама генерирует ACL для маршрутизатора нужного типа.

Рис.2. Графики загрузки канала, демонстрирующий трудности детектирования флуда. Флуд отчётливо виден на верхнем графике (число пакетов), но не виден на нижнем (число битов).

Итак, средство детектирования флудов должно основываться на статистическом анализе входящего трафика. Конечно, такой анализ может проводить каждый конечный потребитель. Но гораздо более рационально иметь одну общую систему детектирования у магистрального провайдера. Система должна выявлять СТАТИСТИЧЕСКИЕ АНОМАЛИИ трафика и по возможности сопоставлять со статистическими портретами известных методов флуда.

6. Методы противодействия

Рассмотрим основные меры противодействия флудам. Их можно разделить на превентивные и реакционные, а также на пассивные и активные.

6.1 Предотвращение флуда

Флуд, как, впрочем, и любую другую сетевую атаку, проще предотвратить, чем бороться с его последствиями. Позволим себе проиллюстрировать это утверждение примером из жизни. В 2004 году хостинг-провайдер П и его аплинк, провайдер Р в течение месяца боролись с флудом, направленным на один из хостинговых серверов П. Фильтры помогали слабо. Метод уклонения от флуда также не работал флуд оперативно следовал за изменением IP-адреса. Быстро изыскать пригодный межсетевой экран также не удалось. В общем, флуд нанёс существенный ущерб обоим провайдерам, а также их клиентам. В процессе расследования инцидента удалось выяснить мотивы злоумышленника. Оказалось, что у хостинг-провайдера П на этом сервере жил веб-форум, который администрировался одним из внештатных сотрудников. Один из участников форума допустил оскорбительное выражение, и его постинг был удалён. Тогда этот участник негативно высказался в адрес администратора форума. Администратор удалил учётную запись этого участника и в дальнейшем препятствовал ему регистрироваться на форуме вновь. Обиженный на администратора участник пообещал уничтожить форум и прибег к флуд-атаке. По-видимому, осуществлял он атаку не сам, а заплатил тем, кто на таких атаках специализируется.

Конечно, заказавший атаку был кругом неправ. Но дальновидно ли поступил администратор форума? Ведь он знал, что хостинговый сервер не способен выдержать серьёзного флуда. И он должен был предполагать, что у любого обидчивого грубияна может найтись пара сотен долларов на удовлетворение своих амбиций. Но администратор форума об этом не подумал, дал волю чувствам и спровоцировал флуд, который, можно сказать, достиг своей цели. А провайдерам и их клиентам был нанесён существенный ущерб.

Образно выражаясь, Интернет сейчас дикий Запад, где закона практически нет, зато у каждого за поясом вполне может оказаться револьвер. В такой ситуации не стоит отвечать грубостью на грубость, даже если кто-то этого заслуживает. По крайней мере, пока сам не владеешь револьвером лучше всех.

6.2 Предотвращение последствий

Суть метода состоит в том, чтобы загодя построить инфраструктуру, устойчивую к флуду и DoS-атакам вообще. Устойчивую значит не прекращающую обслуживать пользователей (во всяком случае, большую их часть) даже под воздействием атаки. Как правило, подразумевается распределённая структура. В англоязычной литературе часто используется термин "content delivery network", а в военной терминологии это звучит как "рассредоточение и мобильность". Оба эти качества вносят вклад в трудноуязвимость такой системы.

6.3 Уклонение

В тех случаях, когда целью флуда является определённый вебсайт, флуд зачастую ориентируется на доменное имя этого сайта. Чтобы минимизировать ущерб, имеет смысл увести сайт-жертву на отдельный сервер путём изменения записи в DNS. Поскольку генерация флуда обычно автоматизирована, в некоторых частных случаях бывает возможно иным образом «поиграть» с DNS-записями, чтобы отвести или рассеять основной удар флуд-атаки и при этом оставить вебсайт доступным для пользователей.

6.4 Фильтрация

Фильтрация и блэкхолинг трафика на маршрутизаторах пока самые распространённые методы противодействия. К сожалению, они работают не всегда. Правильно построенный флуд невозможно зафильтровать без вреда для валидного трафика. Фильтры и блэкхолинг следует вводить возможно ближе к источнику флуда. Межсетевые экраны и специализированные антифлудовые средства фильтрации наиболее эффективная мера, но и наиболее дорогая. Снизить издержки можно, разделяя такие системы между многими клиентами (фильтрация по требованию).

6.5 Наращивание

Коль скоро флуд направлен на исчерпание ресурсов, самый примитивный способ противодействия флуду наращивание своих ресурсов, чтобы противник не смог их исчерпать.

Во всяком случае, необходимо иметь запас мощности на маршрутизаторах если не для того, чтобы "держать удар", то хотя бы для того, чтобы ввести необходимые фильтры, которые иногда сильно сказываются на производительности.

6.6 Ответные меры

Весьма распространённой ошибкой при защите от сетевых атак (не только от флуда) является применение провайдерами активных ответных мер. Когда провайдер или владелец сайта является коммерческим предприятием, целью которого является извлечение прибыли, то меры противодействия сетевым атакам должны иметь ту же самую цель способствовать увеличению дохода и сокращению издержек производства. Постановка таких задач, как наказание злоумышленника, защита от атак чужих ресурсов и прочих чисто идеалистических не может рассматриваться как приемлемый способ действий для сотрудников коммерческой компании.

Но попытки применения активных ответных мер, тем не менее, весьма часты. Это объясняется тем, что рядовые сотрудники компании забывают (или никогда и не знали) о коммерческих целях и руководствуются исключительно собственными убеждениями, понятиями о справедливости и т.д.

Бывают очень редкие случаи, когда некоторые ответные меры против атакующего имеют смысл. Для такого случая перечислим эти меры:

  • Выявление уязвимостей, которыми воспользовался злоумышленник для захвата чужих ресурсов, которые затем использовал для атаки. Нейтрализация этих уязвимостей. Информирование владельца "дырявых" компьютеров.
  • Жалоба провайдеру узла, который предположительно участвует в атаке с просьбой отключить узел, зафильтровать или ограничить его трафик в сторону атакуемого.
  • Обращение в правоохранительные органы.
  • Самостоятельный или с помощью соответствующего провайдера сбор (фиксация) доказательств, которые в дальнейшем могут быть использованы при расследовании.

7. Причины атак

Авторы, основываясь на опыте расследования инцидентов, связанных с DoS-атаками, упорядочили причины атак от наиболее частых к наименее частым:

  1. личные взаимоотношения;
  2. идеология, политика;
  3. хулиганские побуждения;
  4. любопытство;
  5. вымогательство;
  6. этап для иной атаки;
  7. конкурентная борьба.

Возможно, в будущем коммерческие причины (5 и 7-я) выйдут вперёд, но пока лидируют причины некоммерческого плана.

8. Рынок услуг

Спрос на разного рода сетевые атаки породил и соответствующее предложение. Для компаний и частных лиц, желающих причинить вред сетевому ресурсу своего противника, гораздо удобнее не осуществлять атаку самому, а поручить это посторонним. Кроме очевидных преимуществ аутсорсинга, это также сильно затрудняет установление заказчика и доказательство его причастности к атаке.

Круг потенциальных заказчиков флуда включает в основном обиженных пользователей ресурсов, а также недоброжелателей администраторов и владельцев таких ресурсов.

В качестве исполнителей выступают как профессионалы, так и полу-любители. До недавних пор профессия злобного хакера не могла принести дохода, достаточного для жизни, и этим делом занимались не ради заработка, а в основном из хулиганских побуждений. В последние пару лет у злобных хакеров появилась возможность зарабатывать достаточные суммы денег своим ремеслом. В первую очередь, деньги пришли из индустрии спама. Спамеры, будучи вытеснены радикальными антиспамерами из занимаемой ими «серой» ниши, вынуждены были перейти на полностью незаконные методы типа рассылки спама через взломанные и затрояненные машины. Таким образом, борьба со спамом превратила относительно честных рекламщиков в откровенных уголовников, которые раз переступив эту грань, далее уже не оглядываются на законы. Деятельность по обеспечению рассылки спама (разработка, установка троянских программ, взлом почтовых систем, средства анонимизации и т.д.) создала первичный рынок услуг злобных хакеров и вирусописателей. Их деятельность теперь приносит не моральное удовлетворение, а неплохие деньги. Дополнительный толчок для роста этого рынка дадут DoS-атаки. Иными словами, желающие «заказать» вебсайт конкурента пришли со своим спросом на уже сформировавшийся рынок.

Как уже отмечалось выше, вероятность успеха флуда тем выше, чем большими ресурсами располагает атакующий. В качестве ресурсов наиболее важны: количество задействованных в атаке серверов, пропускная способность их каналов, интеллектуальный потенциал, вложенный в разработку методов и средств для флуда. Понятно, что в этом отношении вне конкуренции компании-провайдеры. Они не только обладают вышеперечисленными ресурсами, но и зачастую имеют изрядную долю незадействованных мощностей, которые можно использовать для атаки, не неся дополнительных расходов. Исполнителями флудов могут выступать не только провайдеры, но и отдельные сотрудники провайдеров, действующие без ведома начальства, либо с попущения оного.

9. Заключение

Эффективность обнаружения флудов возрастает от источника атаки к цели. Эффективность противодействия, наоборот, возрастает от цели к источнику. Соответственно, золотая середина это ближайший к жертве магистральный провайдер. У него оптимальные возможности как по детектированию атак, так и по защите от них. Следовательно, именно магистральному провайдеру пристало бороться с такими атаками.

Понятно, что услуги по защите своих клиентов от флуда должны оказываться за деньги. Однако некоторые (самые простые и наиболее необходимые из них) целесообразно включить в базовый уровень безопасности и оказывать бесплатно. Например, такие, как информирование клиента о факте атаки, установка фильтра на маршрутизаторе или блэкхолинг отдельного адреса.

Литература

  • J.Mirkovic, J.Martin, P.Reiher. A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms. - Network World Fusion (http://www.nwfusion.com/details/2572.html)
  • L.Feinstein и др. Statistical Approaches to DDos Attack Detection and Responce

Возврат к списку