При отражении DDoS-атак прикладного уровня крайне важно не заблокировать посещения легитимных пользователей и при этом устранить паразитный трафик без ложных срабатываний. Для таких целей потребуется многоуровневая система защиты. В этой статье мы описали такую систему с детализацией по каждому уровню защиты.

Уровень 5. Классификация посетителей

На этом уровне обычно используется классификация посетителей защищаемого веб-сайта для идентификации и фильтрации ботов. Для этого производится сравнение с известными сигнатурами и анализ следующих атрибутов: IP адрес, ASN информация, HTTP заголовки, поддержка клиентом cookie, поддержка Javascript, footprint-клиента и анализ других параметров. Используемый ProtoSecurity продукт по защите веб-приложений Incapsula, подразделяет посетителей на людей и ботов, при этом боты дифференцируются на 3 типа – «хороших» (не несущих деструктивных действий), «плохих» (вредоносных ботов) и «подозрительных» (требующих дополнительную проверку).

Для классификации посетителей используются прокси-серверы, специально спроектированные «с нуля» под конкретную задачу. Благодаря этому возможно внесение незначительных изменений и отклонений от стандартных протоколов и анализ ответной реакции клиентов на них.

Создаваемая нашей компанией система защиты по умолчанию идентифицирует «хороших» ботов, таких как боты поисковых систем, утилит мониторинга и других известных ботов, необходимых для работы веб-сайтов, SEO оптимизации, интеграции с платежными системами и других легитимных целей. Благодаря этому нивелируется риск блокировки посетителей-людей.

Уровень 4. Репутация посетителя и белые списки

После отсечения массового вредоносного трафика наша система классифицирует оставшийся трафик как «серых» (подозрительных) и «белых» посетителей.

Этот механизм реализуется с помощью репутационной системы, способной выделить легитимный трафик, при этом снижая объем трафика, для обработки которого задействуются остальные защитные механизмы. Для идентифицированных таким образом посетителей-людей процесс доступа к защищаемому веб-сайту остается полностью прозрачным.

Отслеживая статус сессий посетителей при доступе к веб-приложению, наша система защиты способна отличить реальных пользователей от атакующих злоумышленников. Это особенно полезно при работе с разделами веб-приложения, предназначенными только для зарегистрированных пользователей, где сохраняется постоянство сессий.

В этом контексте основной задачей системы защиты на основе репутации является предотвращение повторного использования злоумышленниками легитимных сессионных токенов.

Уровень 3. Web Application Firewall для блокировки явных векторов атаки

В некоторых случаях DDoS-атаки являются лишь прикрытием для использования традиционных векторов атаки (о различных типах DDoS-атак мы писали ранее в статье DDoS-атака. Что это такое?), таких как эксплуатация уязвимости веб-приложения, сервера или протокола. DDoS-атака может использоваться для попытки вывести из строя системы информационной безопасности с целью получения доступа к корпоративным системам или кражи данных.

В дополнение к защите от DDoS-атак наша система включает в себя Web Application Firewall корпоративного класса, который защищает веб-сайты от угроз прикладного уровня, таких как инъекции SQL-кода, межсайтовое выполнение сценариев (cross site scripting), неправомерный доступ к ресурсам, удаленное включение файлов и другие типы атак.

Уровень 2. Прогрессирующие проверки подлинности посетителей

На этом уровне применяется набор прогрессирующих проверок подлинности посетителей, которые призваны обеспечить баланс между защитой от мощных DDoS-атак и бесперебойностью взаимодействия легитимных пользователей с защищаемым веб-сайтом. Основная цель таких проверок в снижении ложных срабатываний путем применения прозрачных для пользователей проверок (поддержка клиентом cookie, возможность исполнения Javascript и тд) для надежной идентификации клиента – человек это или бот («хороший» или «плохой»).

В качестве последней меры проверки для пользователей, которые по какой-либо причине не прошли автоматизированные тесты, применяется тест CAPTCHA – легитимные пользователи проходят этот тест вручную и получают доступ к защищаемому сайту.

Уровень 1. Выявление аномалий в поведении посетителей

Здесь определяются паттерны поведения, которые явно нехарактерны для посетителей-людей и свидетельствуют об автоматизированных действиях с зараженных вредоносным ПО компьютеров, контролируемых удаленно для выполнения DDoS-атак.

Уровень 0. Подразделение аналитиков по информационной безопасности

Подразделение дежурных аналитиков необходимо для осуществления постоянного мониторинга и оказания помощи в устранении атак. Наши эксперты проактивно анализируют события безопасности для обнаружения нестандратного поведения и использования защищаемых веб-сайтов, чтобы оперативно обновить и дополнить политики защиты.