вторник, 26 июля 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с DDoS-атаками

Перевел еще один весьма полезный и актуальный документ - Руководство по обработке инцидентов, связанных с DDoS-атаками. Автор документа Vincent Ferran-Lacome (CERT Societe Generale). В документе кратко приведены основные моменты, которые нужно учесть при обеспечении защиты от DDoS-атак, а также при реагировании на соответствующие инциденты.

В документе определены 6 этапов обработки инцидентов, связанных с DDoS-атаками:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Идентификация: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: возобновление работы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: анализ и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.


1. Подготовка

Цель: Составление перечня контактных лиц с указанием их контактной информации, определение процедур, предварительный сбор всей необходимой информации, чтобы сэкономить время в случае атаки.

Поддержка со стороны Провайдера услуг доступа в Интернет
  • Уточните у своего Провайдера, какие услуги в области противодействия DDoS-атакам он предлагает (платные и бесплатные) и что вам нужно сделать, чтобы воспользоваться ими.
  • По возможности организуйте дополнительный (резервный) канал доступа в Интернет.
  • Уточните контактную информацию ответственных лиц вашего Провайдера и в правоохранительных органах. Убедитесь, что с каждым из них у вас есть дополнительный независимый способ взаимодействия (например, стационарный и мобильный телефон).
Инвентаризация
  • Создайте «белый список» IP-адресов и протоколов, трафик которых должен иметь повышенный приоритет во время атаки. Не забудьте включить в него VIP-клиентов, ключевых партнеров и т.д.
  • Детально задокументируйте ИТ-инфраструктуру, включая бизнес-владельцев, IP-адреса, служебные учетные записи, настройки маршрутизации; подготовьте схему топологии сети, инвентаризацию активов.
Сетевая инфраструктура
  • Правильно спроектируйте сетевую инфраструктуру, в которой нет узких мест и единых точек отказа.
  • Распределите DNS-серверы и другие критичные сервисы (SMTP и т.п.) по разным провайдерам (AS).
  • Используйте защищенную конфигурацию сети, операционных систем и приложений, которые могут быть целью DDoS-атаки.
  • Определите базовый уровень нормальной производительности инфраструктуры, чтобы быстрее и точнее выявлять атаки, сравнивая текущую производительность с базовой.
  • Если бизнес вашей компании зависит от Интернет, рассмотрите вопрос о приобретении специализированных продуктов и/или сервисов для снижения воздействия DDoS-атак.
  • Проверьте настройки параметра TTL (time-to-live) на DNS-серверах для систем, которые могут быть атакованы. При необходимости уменьшите значение TTL, что будет способствовать скорейшему обновлению кэша DNS-серверов и перенаправлению запросов на резервные IP-адреса, если основной IP-адрес будет атакован. Предпочтительным значением TTL является 600.
  • Исходя из степени критичности ваших сервисов, рассмотрите вопрос резервирования, чтобы в случае проблем переключиться на резервную систему.
Внутренние контакты
  • Установите взаимодействие с группами контроля IDS, межсетевых экранов, систем и сети.
  • Совместно с руководителями бизнес-подразделений проанализируйте воздействие (например, денежный ущерб) наиболее вероятных сценариев DDoS-атак.
  • Привлеките группу планирования BCP/DR (непрерывности бизнеса и восстановления после аварий) к вопросам, связанным с DDoS-атаками.
Этап подготовки следует рассматривать как самый важный элемент успешного реагирования на инциденты, связанные с DDoS-атаками.

2. Идентификация

Цель: Обнаружение инцидента, определение его масштабов, привлечение к работе по нему необходимых сторон.

Анализ атаки
  • Установите тип происходящей DDoS-атаки, определите, какие компоненты инфраструктуры подвержены ее влиянию.
  • Определите, являетесь ли вы целью атаки, или воздействие на вас является лишь побочным эффектом, вызванным атакой на другую цель.
  • Проанализируйте нагрузку и лог-файлы серверов, маршрутизаторов, межсетевых экранов, приложений и других компонентов инфраструктуры, подверженным влиянию атаки.
  • Определите характеристики трафика DDoS-атаки, отличающиеся от обычного, полезного трафика:
    • IP-адреса отправителей пакетов, их провайдеры (подсети) и т.п.
    • Номера портов получателя
    • Адреса URL
    • Флаги протоколов
    • Для анализа трафика можно воспользоваться следующими утилитами: tcpdump, tshark, snort, ntop, argus, aguri, mrtg.
  • При наличии возможности, создайте сигнатуру для системы NIDS, направленную на выявленные различия между обычным трафиком и вредоносным.
Привлеките внутренних и внешних участников
  • Взаимодействуйте с внутренними подразделениями вашей компании, чтобы узнать, какие у них есть сведения об атаке.
  • Обратитесь за помощью к вашему провайдеру. Заранее определитесь, какие характеристики трафика вы хотите контролировать:
    • Группы сетей
    • IP-адреса отправителей
    • Протоколы
  • Уведомите руководство и юридическое подразделение вашей компании об атаке.
Проанализируйте ситуацию
  • Возможно, у компании вымогали деньги или присылали угрозы, что могло быть предвестником атаки.
  • Проанализируйте, в чьих интересах может проводиться атака, кто получит выгоду от этого:
    • Конкуренты
    • Идеологически-мотивированные группы (хактивисты)
    • Бывшие сотрудники
3. Локализация и снижение воздействия

Цель: Снижение воздействия атаки на целевую среду.
  • Если узким местом является отдельная функция приложения, временно отключите эту функцию.
  • Попытайтесь снизить или заблокировать DDoS-трафик максимально близко к магистральному провайдеру с помощью маршрутизатора, межсетевого экрана, балансировщика нагрузки, специализированных устройств и т.д.
  • Закройте ненужные соединения или процессы на серверах и маршрутизаторах, внесите изменения в настройки TCP/IP на них.
  • При наличии возможности, переключитесь на другую площадку или сеть, используя DNS или иной механизм. Перенаправьте в «пустоту» (blackhole - устройство, которое уничтожает все поступающие на него сетевые пакеты) DDoS-трафик, направленный на первоначальный IP-адрес.
  • Организуйте альтернативный коммуникационный канал между вами и вашими пользователями/клиентами (например, веб-сервер, почтовый сервер и т.д.).
  • При наличии возможности, перемаршрутизируйте трафик с помощью DNS или настроек маршрутизации, и направьте его через сервис или продукт «очистки» трафика (traffic-scrubbing).
  • Настройте фильтр для блокировки трафика, который отправляют ваши системы в ответ на DDoS-трафик, чтобы избежать передачи по сети ненужных пакетов.
  • В случае вымогательства, постарайтесь выиграть время – например, сообщите мошенникам, что вам нужно больше времени, чтобы согласовать выплату денег с руководством.
Если узкое место находится на стороне провайдера или узким местом является канал связи, только провайдер может предпринять эффективные действия. В этом случае работайте в тесных взаимоотношениях с провайдером, обеспечьте эффективный обмен информацией.

4. Исправление

Цель: Выполнение мероприятий для возобновления работы атакованного сервиса.
  • Свяжитесь с провайдером, чтобы убедиться, что он принял меры для исправления ситуации. Вот некоторые из возможных мер (для справки):
    • Фильтрация (по возможности на уровне магистрального провайдера)
    • Очистка трафика (traffic-scrubbing или clean-pipe)/перемаршрутизация трафика в сеть-приманку (sinkhole)
    • Перемаршрутизация трафика в «пустоту» (blackhole)
  • Если заказчики DDoS были определены, рассмотрите вопрос о привлечении правоохранительных органов. Это решение следует принимать на уровне руководства и юридического подразделения.
Основная часть технических мероприятий по исправлению ситуации может быть реализована вашим провайдером.

5. Восстановление

Цель: Возврат в первоначальное функциональное состояние.

Оценка условий завершения DDoS
  • Убедитесь, что доступность сервисов, на которые было оказано влияние, восстановлена.
  • Убедитесь, что производительность инфраструктуры вернулась на нормальный уровень.
Отключение мер, которые были использованы для снижения воздействия
  • Переключите трафик обратно на обычный маршрут.
  • Перезапустите остановленные сервисы.
Обеспечьте выполнение действий по возобновлению обычной работы во взаимодействии или с согласия группы поддержки сети. Восстановление сервисов может иметь неожиданные побочные эффекты.

6. Заключительный этап

Цель: Документация детальной информации об инциденте, обсуждение урока на будущее, внесение изменений в планы и в организацию защиты.
  • Продумайте, какие подготовительные шаги вы можете предпринять, чтобы реагировать на инциденты быстрее и более эффективно.
  • При необходимости внесите изменения в предположения, с учетом которых выполнялись подготовительные шаги в отношении DDoS-атак.
  • Оцените эффективность процесса реагирования на произошедший инцидент, включая работу людей и коммуникаций.
  • Продумайте, какие взаимоотношения внутри и вне компании могли бы помочь вам в случае возникновения подобных инцидентов в будущем.
  • Взаимодействуйте с юридическим подразделением, если были инициированы какие-либо правовые действия.

4 комментария:

acgreen комментирует...

Инфа интересная, но убил один пункт - Создайте «белый список» IP-адресов и протоколов, трафик которых должен иметь повышенный приоритет во время атаки. Не забудьте включить в него VIP-клиентов, ключевых партнеров и т.д.
Когда канал лежит толку от приоритетов как от козла молока.

eagle комментирует...

Перегрузка канала - это только один из вариантов DDoS-атаки ;) но не единственный.
Но даже в этом случае, в процессе переговоров с провайдером о введении фильтрации или очистке трафика нужно четко знать, что отфильтровывать ни в коем случае нельзя.

eagle комментирует...

Статья Романа Ильина о защите от DDoS-атак: http://rilyin.blogspot.com/2011/12/ddos.html

Ярослав комментирует...

При удачной настройке iptables nginx попросту блокирует атакующие адреса и они не нагружают системные ресурсы сервера, ну а для решения серьезных проблем нужная хорошая аппаратная защита. Могу порекомендовать ребят из Simplyway. отлично справляются с ддос атаками