Дейв Пищителло, от имени Отдела безопасности ICANN
DDoS-атаки создают серьезные проблемы. Хотя роль ICANN в противодействии этим угрозам ограничена, Отдел безопасности предлагает эти аналитические материалы для повышения осведомленности о том, каким образом можно сообщить о DDoS-атаках
Интенсивность, частота и масштабы распределенных атак типа «отказ в обслуживании» (DDoS) возросли. Широкий спектр мотивов для таких атак, – политические (хактивизм), преступные (принуждение) или социальные (злой умысел), – делает потенциальной мишенью каждую компанию или организацию, представленную в Интернете. Общедоступность инфраструктуры Интернета, – будь то хостинг, DNS или полоса пропускания, – также подвергает многие компании и организации риску косвенного ущерба. При обнаружении того, что ваш сайт или организация подверглись атаке, важно быстро сообщить о такой атаке тем лицам, которые лучше всего смогут помочь вам ослабить атаку, перенести ее и восстановить нормальное обслуживание.
Я стал целью атаки. Что мне необходимо сделать? Кому следует позвонить?
Целью DDoS-атаки может стать любая интернет-служба – веб, DNS, голосовая связь через Интернет, электронная почта. Если используемая вашей организацией служба размещена у поставщика хостинга, в первую очередь обратитесь к нему. Если подвергшаяся нападению сеть или интернет-служба размещена в вашей организации, в первую очередь примите меры для сдерживания или смягчения атаки. Затем позвоните поставщику услуг, который обеспечивает доступ вашей сети к Интернету. Контактные данные большинства поставщиков услуг хостинга и доступа к Интернету есть на их веб-сайтах, а многие из этих поставщиков включают в свои счета, по крайней мере, номера контактных телефонов для решения общих вопросов. Если у вас есть только общий контактный номер, объясните, что подверглись атаке и попросите представителя службы поддержки клиентов переадресовать (направить) ваш вызов в тот оперативный отдел, у которого есть возможности и полномочия для расследования.
Получение помощи
У используемого для одной DDoS-атаки трафика могут быть сотни или тысячи источников (которыми обычно являются взломанные ПК или серверы). Во многих случаях ваш поставщик услуг хостинга или доступа к Интернету должен действовать от вашего имени (и в своих интересах). Он свяжется с теми поставщиками и ISP, которые управляют «предшествующими» узлами сети и осуществляют маршрутизацию трафика от источников DDoS-атаки, чтобы уведомить этих операторов о характере и предположительных исходных точках атаки. Данные операторы проведут расследование и, как правило, аннулируют маршруты трафика или примут другие меры для подавления или устранения этого трафика вблизи от его источника.
Если вы не можете найти контактные данные или найденные контактные лица не реагируют, попытайтесь связаться с Группой реагирования на происшествия в вычислительных системах, на чрезвычайные ситуации или на происшествия в сфере безопасности (CERT/CIRT/CSIRT), или с Группой надежных разработчиков (TI). Организации CERT/CIRT (список по странам можно найти здесь) или группы TI расследуют атаку, уведомят поставщиков услуг хостинга или поставщиков ISP, чьи ресурсы используются для проведения атаки, предоставив им необходимую информацию, и будут работать со всеми заинтересованными сторонами, осуществляя координацию эффективных мер подавления атаки.
Нужно ли мне обращаться в правоохранительные органы?
Обращайтесь в свой национальный правоохранительный орган, если считаете, что совершается преступление. Например, следует обратиться в правоохранительный орган, если ваша организация получала угрозы накануне атаки или требование заплатить деньги в обмен на отказ от атаки, или если вы считаете, что под угрозой находятся критически важные элементы инфраструктуры или оказание жизненно важной услуги (например, Службы спасения 911).
Обращайтесь в правоохранительный орган, для того чтобы сообщить о преступлении, а не для того, чтобы подавить атаку. Во многих юрисдикциях DDoS-атаки считаются преступлением. Направив свое сообщение, вы и другие жертвы предоставите ценную информацию, которая может принести пользу при последующем расследовании или судебном преследовании злоумышленников.
Обеспечьте качественный сбор оперативных данных
На оперативном уровне вы, ваш поставщик услуг хостинга или поставщик ISP должны собрать как можно больше информации, имеющей отношение к атаке. Форум охраны оперативной безопасности рекомендует осуществлять сбор следующих видов информации:
- Предоставьте как можно больше сведений о времени: определите, когда началась и закончилась атака, является ли атака повторяющейся, шаблонной или циклической.
- Поделитесь любыми умозаключениями или подозрениями, которые у вас есть относительно сущности этой атаки. Связана ли она с каким-либо геополитическим событием? Получали ли вы корреспонденцию с угрозами до или во время атаки? Если это так, какой характер носили данные угрозы?
- Предоставьте подробные сведения о трафике, в том числе следующие: тип трафика (ICMP, DNS, TCP, UDP, приложение), IP-адреса и номера портов источников и целей, интенсивность пакетов, размер пакетов и полоса пропускания, использованная трафиком атаки.
- Опишите любые уникальные характеристики трафика или пакетов, которые вам удалось обнаружить. Была ли атака нацелена на конкретный виртуальный узел или домен? Какие данные наблюдались в заголовках протокола уровня приложения? Наблюдались ли какие-либо необычные модели или настройки флагов в базовых протоколах (TCP, UDP, ICMP, IP)?
- Укажите все наблюдавшиеся изменения в атаке с течением времени (то есть изменения размера и интенсивности пакетов, уникальных IP-адресов в разрезе интервалов времени, протоколов и т. п.). Эти изменения могут демонстрировать реакцию злоумышленника на усилия по подавлению атаки, предпринятые вами или другими лицами.
- Дайте свою оценку последствий; например, сообщите, справляетесь ли вы с атакой, применяя меры по ее подавлению и получая помощь, или охарактеризуйте влияние, оказываемое на ваши службы или показатели работы {умеренное, сильное}, или укажите, что ваши службы были полностью выведены из строя.
Не дожидайтесь того момента, когда вы станете жертвой
Если вы еще не подготовили план реагирования на атаку DDoS, рассмотрите возможность разработки такого плана. В статье Подготовка к (неизбежной) DDoS-атаке предлагается контрольный список контактных лиц, необходимых сведений и стратегий по смягчению последствий атаки. Ниже перечислены некоторые полезные ресурсы, которые помогут лучше понять различные виды DDoS-атак, методы их подавления и пути снижения общего уровня угрозы силами вашей организации:
- SAC004, Защита границ
- SAC008, Распределенные атаки на DNS типа «отказ в обслуживании» (DDoS) [PDF, 963 КБ]
- BCP 38, Фильтрация на входе сети
- BCP 140, Предотвращение применения рекурсивных серверов имен при атаках с использованием третьих лиц
- Защита мира от ВАШЕЙ сети
- Противодействие атакам на DNS типа «отказ в обслуживании»
- Вызывающая тревогу угроза DDoS-атак на DNS с усилением
- Сделайте больше для предотвращения DDoS-атак
- Передовые методы использования брандмауэров – фильтрация исходящего трафика
- Распределенный отказ в обслуживании (атаки/средства)