Смягчение приложений с помощью DDoS-атаки

Смягчение приложений с помощью DDoS

Обзор

Атаки с распределенным отказом в обслуживании (DDoS) и отказ в обслуживании (DoS) могут быть классифицированы в нескольких категориях и могут быть либо объемными, либо основанными на приложениях. На данный момент волюметрические атаки являются наиболее популярными типами DoS-атак, поскольку доступные инструменты, такие как LOIC и HOIC, могут довольно легко установить атаку.

Атаки приложений, на которые распространяются разрешенные политики безопасности, набирают популярность, поскольку их очень сложно защитить и могут оказывать такое же отрицательное влияние на снижение критических сервисов.

В этом документе будут обсуждаться основные различия между объемными и прикладными DoS-атаками и покажет вам, как настраиваемые подписи уязвимостей и политики безопасности Palo Alto Networks могут использоваться для эффективной идентификации и смягчения ударов DoS на основе приложений.

 

Волюметрические и прикладные атаки на отказ в обслуживании.

Volumetric vs. Application Denial of Service Attacks

Объемные атаки DDoS / DoS могут принимать разные формы, но цели одинаковы. Атака пытается снести услуги, наводя службу / устройство жертвы с большим объемом трафика атаки, который полностью потребляет все доступные ресурсы, пропускную способность или и то, и другое. Популярные типы объемной атаки включают:

TCP Stack Flood — Атака потока стека TCP, которая наводняет определенные функции процесса TCP-соединения, чтобы удержать хост от возможности реагировать на законные связи. Примеры включают TCP Syn, TCP Fin, TCP RST, TCP Flag атаки.

Generic Flood — Атака, которая наводняет один или несколько протоколов и / или портов и предназначена для напоминания законных трафик и исходные адреса часто подделываются. Примеры включают: Ping Flood, Smurf, Attack Attack, атаки UDP наводнения.

Fragmentation Attack — Атака фрагментации, которая отправляет большой объем фрагментов TCP или UDP на хост-жертву. Предназначен для Атака подавляет способность хоста повторно собирать пакеты и ухудшать их производительность. Фрагменты часто могут быть искажены, чтобы вызвать дополнительную обработку.

TCP Connection Attack — поддерживающая большое количество полуоткрытых или полных TCP-соединений для захвата сервера Атакуйте ресурсы и завершайте законные сеансы.

Применение DDoS / DoS-атак также может принимать различные формы, и они обычно нацелены на конкретное приложение или функцию. Цель состоит в том, чтобы нарушить работу служб, используя законное приложение для создания атаки.

При атаках приложений зачастую компаниям сложно блокировать вредоносную активность, так как приложение-жертва является законной функцией, необходимой для ведения бизнеса. Политики безопасности и брандмауэра настроены так, чтобы обеспечить доступ к атаке приложения. Популярные типы атак, основанных на приложениях, включают:

Application Attack Attacks — Атаки приложений, которые предназначены для подавления приложения или конкретных компонентов приложения. Общие атаки против HTTP, DNS и SIP-сервисов. Часто скрытый характер и использует законные приложения и порты, чтобы вызвать утечку ресурсов. Целевой объект может быть сервером аутентификации, сайтом загрузки файлов или другим критическим сервисом. Примеры включают HTTP GET Flood, SIP Invite Flood, DNS Amplification Attack, HTTP / FTP File Download и SSL Connection.

Vulnerability Exploits Attack — Уязвимость использует атаку, предназначенную для использования уязвимостей в операционной системе и / или приложении для получить несанкционированный доступ. Во многих случаях политики уязвимости брандмауэра могут использоваться для обнаружения и смягчения этих типов атак.

SSL Attack — Атака SSL. Атака приложения, предназначенная для использования переговоров с SSL-ресурсами с интенсивным использованием ресурсов или повторной манипуляции, чтобы истощить ресурсы целевой жертвы и снизить легитимные услуги SSL.

Volumetric DoS Mitigation

Волюметрические атаки — самые популярные DDoS-атаки, поскольку их довольно легко монтировать на хосте, сервисе или веб-сайте. Их также довольно легко заметить, поскольку они имеют тенденцию генерировать трафик за пределами обычных шаблонов использования. Чтобы быть успешным с объемной атакой, злоумышленнику просто нужно выполнить одно из следующих действий:

1. Создайте достаточный трафик атаки, чтобы потреблять все ресурсы обработки, памяти или буфера на хосте / службе-жертве.

2. Потребляйте достаточную полосу пропускания для полного подключения сетевого подключения к хосту / службе.

3. Создайте достаточный трафик атаки, чтобы потреблять все ресурсы сетевого / защитного оборудования, защищающего хост / службу-жертву.

В общем, стратегии объемной защиты должны включать многоуровневый подход и включать локальную защиту DDoS / DoS в месте расположения предприятия / центра обработки данных и защиты у поставщика услуг и / или облачного местоположения. Двунаправленная стратегия защищает интернет-соединение (пропускную способность) с политиками ISP / cloud и конкретными службами с локальными политиками DDoS / DoS брандмауэра.

Например, если перед центром обработки данных реализована только локальная защита DoS, злоумышленник может просто запустить объемную атаку, которая потребляет всю пропускную способность, соединяющую службу с Интернетом. Независимо от того, может ли локальное решение DoS остановить атаку или нет, злоумышленник достиг своей цели, поскольку служба не работает из-за отсутствия полосы пропускания в Интернет.

Примечание. Некоторые вещи, которые нужно исследовать с помощью облачных решений DDoS, — это дополнительная латентность и / или пропускная способность, которые могут возникать при проведении объемной атаки. Например, некоторые облачные решения требуют перенаправления затронутого трафика с вашего сайта на их скрубберы с облачным трафиком через DNS-перенаправление или туннели GRE. В рамках успешной стратегии предотвращения отказа в обслуживании следующие функции PAN-OS могут быть реализованы локально, чтобы обеспечить защиту важных ресурсов.

DoS Profiles and Polices — Смягчает атаки SYN, UDP, ICMP, ICMPv6 и других IP-потоков. Обеспечивает защиты ресурсов путем ограничения количества сеансов, которые могут быть использованы. Реализован на основе каждого источника (классифицирован) или на совокупных основаниях и может применяться к конкретным зонам, интерфейсам, IP-адресам, пользователям (пользователям) и сервисам (службам).

Исходные IP-адреса могут быть основаны на геолокации, чтобы разрешить гибкие политики DoS, которые ограничивают конкретные страны больше, чем другие. Также могут быть запланированы все политики DoS.

Zone Profiles — Профили зон Смягчает атаки SYN, UDP, ICMP, ICMPv6 и других IP-потоков в зоне оснований, независимо от интерфейса (ов). Обеспечивает защиту разведки от сканирования портов TCP / UDP и хостов, а также атаки на основе пакетов, которые используют параметры заголовка TCP, поддельные IP-адреса, фрагментацию, несогласованные перекрывающиеся сегменты TCP, параметры ICMP / ICMPv6 и параметры IPv6.

Защита зоны применяется к Зоны по сравнению с конкретными интерфейсами или IP-адресами, чтобы обеспечить широкий уровень защиты первого прохода от неправильно сформированных пакетов и обычных наводнений.

Vulnerability Protection Volumetric attacks — Защита от уязвимостей Волюметрические атаки, которые используют известные уязвимости, методы грубой силы, усиление, Профили spoofing и другие могут быть эффективно заблокированы с помощью защиты от уязвимостей PAN-OS профили. Чтобы получить список последних возможностей DoS для защиты от уязвимостей, вы можете используйте один из двух способов:

1) Посетите Хранилище угроз Пало-Альто и найдите в базе данных угроз ключевое слово DoS. Используйте раскрывающийся список Тип, чтобы просмотреть атаки DoS-атак с помощью уязвимостей, шпионских программ и вирусов

2) На вкладке «Объекты веб-интерфейса» брандмауэра откройте профиль защиты по умолчанию. На вкладке «Исключения» установите флажок «Показывать все подписи» и фильтруйте по ключевому слову «DoS», как показано на следующем рисунке.

Application Attack Mitigation

Приложение DDoS / DoS — это атаки, которые используют одобренные приложения и протоколы для заражения определенным хостом или сервисом. Цель атаки заключается в том, чтобы потреблять достаточное количество ресурсов, чтобы в конечном итоге нарушить законный трафик, и злоумышленник опирается на действие разрешений политики безопасности, чтобы получить доступ. Это делает атаки приложений гораздо сложнее защищать от волюметрических атак. Что еще хуже, это способность точно различать трафик атаки от законного трафика и определять, какие сеансы принадлежат злоумышленнику, а какие нет.

В этих ситуациях для групп безопасности есть трудный выбор.

 Внедряют ли они политики безопасности, чтобы поддерживать обслуживание во что бы то ни стало, и жертвуйте процент от законного трафика пользователя при блокировке атаки?

 Или они проектируют сеть и службы с достаточной емкостью для поглощения атаки, поскольку блокирование законных пользователей (ложных срабатываний) не разрешено?

Если стратегия направлена ​​на решение первой проблемы, брандмауэры Palo Alto Networks могут быть настроены с пользовательскими сигнатурами уязвимостей, чтобы идентифицировать подозрительную активность приложения и активно смягчать атаки DDoS / DoS.

Основываясь на целочисленном контексте, контексте строк и регулярных сравнениях, сигнатуры комбинации являются мощным инструментом для обеспечения соблюдения определенных пороговых значений для проактивной защиты от истощения ресурсов. Контекстные фильтры могут включать атрибуты времени для мониторинга служб для ненормальной активности — например, количество HTTP-запросов, содержащих слово «пароль», превышающее 50 транзакций в секунду.

Signature Design Considerations

При разработке пользовательских подписей для политик атак приложений несколько вещей, которые следует учитывать:

1. Критерии учета должны быть тщательно рассмотрены. Многие пользователи (исходный IP-адрес) могут инициировать сеансы за сетевыми межсетевыми экранами (NAT), и, следовательно, трафик многих пользователей может появляться с одного и того же исходного IP-адреса. Это следует учитывать при определении пороговых значений.

2. При защите сервера / службы пропускная способность этой службы должна быть известна до создания порога сигнатуры комбинации. Например, если служба FTP может обрабатывать в среднем 50 подключений в секунду до максимизации, порог подключения должен быть установлен ниже, чтобы предотвратить исчерпание ресурсов.

3. Когда достигнут указанный порог, активируется действие по умолчанию для сигнатур (оповещение, сброс пакетов, сброс клиента, сброс сервера, сброс обоих). Помните, что при активации защиты будет влиять как законный, так и атакующий трафик.

Custom Vulnerability Signature Creation Overview

Индивидуальное определение подписи уязвимостей.

В примерах устранения DDoS / DoS приложения в этом документе будут использоваться пользовательские сигнатуры уязвимостей для идентификации приложения / службы и будут использовать сигнатуры комбинации для добавления пороговых значений для контроля и обеспечения активности. Процесс создания и активации пользовательских сигнатур уязвимостей в политиках безопасности одинаковый между примерами и включает следующие шаги:

1. Создайте пользовательскую подпись уязвимости для идентификации приложения / службы.

2. Создайте специальную сигнатуру комбинации, чтобы установить критерии времени и агрегации, чтобы определить, как пороговые значения применяются к приложению / службе.

3. Включите защиту уязвимостей в политике безопасности, которая контролирует доступ к приложению / службе.

По умолчанию все созданные подписи пользовательской уязвимости автоматически включаются при включении профилей защиты от уязвимостей в политиках безопасности. Вы можете создать профили защиты уязвимостей, чтобы исключить любую подпись, которая не должна применяться.

Custom Signature Context

Контекст пользовательской подписи

Пользовательские подписи используют контекст для соответствия трафику. PAN-OS предоставляет следующие возможности фильтра контекста и поддержку протокола.

 Integer Context – Greater Than, Less Than, Equal To
o FTP
o HTTP
o IMAP
o SMTP
 String Contexts — Pattern Match
o DNS
o Email, IMAP, SMTP
o File Body
o FTP
o GDB Debugger
o GIOP
o HTTP
o IRC
o JPEG
o MS SMB, RPC, SQL
o PE Header
o RTMP, RTSP
o SSH, SSL
o Telnet
o Unknown
 Regex Syntax

Совет. Ссылка на статью «Создание пользовательских сигнатур». Примечание. Документ PAN-OS 5.0 для получения дополнительной информации о создании пользовательских сигнатур уязвимостей.

Application DoS Mitigation Examples

 

Примеры использования, показанные в этом документе, являются фактическими атаками, которые испытывают клиенты. Методы смягчения предназначены для демонстрации гибкости и мощности пользовательских подписей и способов их применения на брандмауэре для активного выявления и защиты от возможных атак. Эти примеры использования следует использовать в качестве справочной информации, чтобы помочь моделировать стратегии смягчения последствий в вашей среде, чтобы помочь защитить важные ресурсы.

Excessive File Download Attack

Атака загрузки файла может быть описана как истощение ресурса сервера и / или потребление трафика. Перед запуском атаки разведка целевой службы будет выполняться злоумышленником для обнаружения файлов, которые могут быть загружены вместе с размерами файлов. Например, они могут исследовать сайт загрузки компании для их самого большого PDF-файла. Используя эту информацию, злоумышленник будет использовать сотни или даже тысячи ботов для выполнения атаки и попыток загрузить большой файл одновременно.

Поскольку загрузка файла с веб-сайта компании является действительной операцией, политики безопасности позволят эту деятельность. Атака удалась, если она может либо перегружать сервер загрузки, либо использовать всю доступную полосу пропускания, либо и то, и другое. Чтобы контролировать и смягчать этот тип атаки, можно создать проактивную подпись подсистемы уязвимостей, чтобы защитить сервер загрузки от высоких уровней одновременной загрузки файлов.

Например, если для загрузки файла (ов) использовался HTTP GET, подпись будет отслеживать количество транзакций HTTP GET, выпущенных против IP-адреса сервера загрузки и папки загрузки. Порог определит защитные действия, предпринятые при превышении объема загрузок.