Защита от DDoS-атак с использованием SSL-шифрования чем-то напоминает работу службы безопасности в аэропортах на Ближнем Востоке: всегда есть множество женщин с прикрытыми лицами, которых нужно не просто деликатно досматривать, но и анализировать поведение. Иначе рано или поздно одна из них взорвет самолёт. Технически в защите от таких атак используются специфические подходы, но при адекватных настройках расшифровка HTTPS-сообщений потребует не так много ресурсов. Проблема в другом: далеко не каждый клиент готов дать полный доступ к своим зашифрованным каналам. Можно ли эффективно анализировать трафик без ключей?
Виды DDoS-атак нельзя жестко привязать к уровням сетевой модели OSI. Логическая адресация в ней начинается с третьего уровня, и классификация довольно условная. Например, атаки, направленные на быстрое исчерпание ёмкости канала, могут выполняться на сетевом уровне (L3) или транспортном (L4). К ним же можно отнести и специфические методы, создающие паразитный DNS-трафик (DNS Amplification). Атаки на средства шифрования выполняются преимущественно на пятом и шестом уровне, который стараются защитить в первую очередь. Однако традиционные средства защиты можно обойти — например, за счёт SSL-шифрованной DDoS-атаки на веб-приложения, работая на уровне L7. Распознать их бывает очень сложно.
«Сегодня с помощью HTTPS-сообщений атакуют множество защищенных ресурсов, а SSL используют в том числе для того, чтобы обойти средства безопасности, – поясняет суть проблемы руководитель Qrator Labs Александр Лямин. – В отличие от прямых DDoS-атак на механизмы шифрования, которые происходят на уровнях L5 и L6, атаки с использованием SSL относятся к уровню L7. Поэтому они очень похожи на действия легитимных пользователей».
Многие вредоносные программы нацелены на то, чтобы сделать уязвимый компьютер частью сети заражённых машин – ботнета с единым центром управления. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев протрояненных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности.
Например, ботнет может имитировать зашифрованное соединение и выполнить SSL-атаку. Шифрование каждого канала связи способно какое-то время скрывать от систем безопасности и администраторов сайта наличие вредоносной активности. В итоге это может привести к утечке конфиденциальных данных или нарушению работы сайта.
«Атаки L7 в любом случае попадают в корпоративную сеть, – комментирует Александр Лямин. – Так как первые пакеты HTTPS-запроса от атакующего – сугубо служебные, то они всегда выглядят легитимно. Понять на этом этапе намерения удалённого клиента принципиально невозможно».
Обычно вредоносные действия начинаются на втором или последующих этапах. Чтобы их обнаружить, необходимо пустить пользователя в сеть. Поэтому основная задача средств защиты – не столько предотвратить SSL DDoS-атаки, сколько минимизировать возможный ущерб. Так как для каждого пользователя создается свой, закрытый канал, то вполне допустимо потратить дополнительное время на анализ действий перед принятием решения о блокировки того или иного пользователя.
Любая защита от DDoS-атаки с использованием SSL-шифрования подразумевает использование средств, способных анализировать поведение пользователя по его зашифрованным запросам. Они могут прямо или косвенно получать информацию о том, что происходит в зашифрованном канале. При этом дополнительно нужно обеспечить автоматическую фильтрацию на уровне пользователей, чтобы обнаруживать атаки в реальном времени.
С ключом
В общем случае для защиты от DDoS-атаки с использованием SSL-шифрования всегда требуется тот или иной уровень расшифровки содержимого канала. В некоторых случаях расшифровку может производить клиент – тогда он сам решает, какие данные следует допускать для передачи. Однако для этого на стороне клиента должна быть установлена защита от троянов, бэкдоров, руткитов и прочих вредоносных программ, способных скрыто перехватить управление компьютером или сделать его частью ботнета.
Поэтому наиболее распространенный и практичный способ защиты заключается в постоянном взаимодействии средств безопасности с сервером компании. В такой схеме достаточно внести новые настройки на сервер, и он предоставит всю необходимую информацию о происходящем в зашифрованном канале. Если же возникают опасения по поводу поведения того или иного клиента, то сервер передаёт его сессию на контроль поставщику средств защиты или аппаратно-программным комплексам на стороне клиента.
Без ключа
Как показывает практика, многие клиенты из сферы розничной торговли и СМИ предпочитают раскрыть ключи шифрования поставщику средств защиты. Это считается допустимым риском, поскольку SSL-шифрование используется у них только для изоляции клиентов друг от друга и предотвращения перехвата данных из слабо защищённых сегментов сети – например, через Wi-Fi. Финансовые организации, напротив, предпочитают настраивать сервера таким образом, чтобы поставщику была доступна только косвенная информация.
Сегодня DDoS-атаки остаются одним из главных средств конкурентной борьбы в политике, деловом и финансовом секторе. Как и раньше, они парализуют работу сайтов и ключевых сервисов, нанося многомиллионный ущерб. Отличие в том, что современные атаки по типу «отказ в обслуживании» стали технически сложнее и мощнее. Их сложнее вовремя распознать традиционными средствами защиты, поэтому разработчикам приходится всё время искать и оптимизировать новые алгоритмы, использовать облачные технологии и методы анализа «больших данных».
Выбирая решения для защиты от DDoS атак стоит убедиться, что они умеют фильтровать трафик на уровне L7 и обладают реальной возможностью отличить действия легитимных пользователей от аткивности продвинутого ботнета. Дополнительным преимуществом станет возможность работать с зашифрованным трафиком без раскрытия секретных ключей, но делать это только по косвенной информации о поведении клиента в канале пока умеют единицы.