Почему ковровые атаки оказались эффективны против крупнейших игроков финрынка

Прошлым летом клиенты многих кредитных организаций могли испытывать сложности со входом в банк-клиент, загрузкой приложения и даже снятием средств в банкоматах. Причиной стали ковровые атаки, обрушившиеся на финансовую отрасль. Михаил Хлебунов, директор по продуктам Servicepipe, рассказал о том, что собой представляют подобные атаки, почему они эффективны против банков, и как им противостоять.

Финансовые организации летом 2024 года подверглись масштабным DDoS-атакам со стороны хактивистов. Злоумышленники использовали тактику ковровых атак, которая оказалась успешной даже в отношении крупнейших банков, которые, казалось бы, должны быть лучше других защищены от любых киберугроз. В итоге у многих участников отрасли наблюдались деградация или недоступность сервисов. Причина высокой результативности «ковра» в особенностях самой атаки — чем больше IP-адресов у банка, тем эффективнее она будет.

Что такое ковровая DDoS-атака

Ковровая DDoS-атака (Carpet Bombing DDoS) — это атака, нацеленная сразу на диапазон IP-адресов или подсетей, при которой вредоносный трафик одновременно распределяется по многим сервисам или устройствам. «Ковровыми» их стали называть по аналогии с «ковровыми бомбардировками» (Carpet Bombing). Этот военный термин означает непрерывное бомбометание по значительным площадям противника.

Чем ковровые атаки отличаются от таргетированных

Главное отличие — распределение вредоносного трафика по большому количеству IP-адресов.

Таргетированная атака, как правило, направлена на IP-адреса конкретных сервисов, поэтому ее несложно обнаружить по статистическим аномалиям. Например, когда трафик определенного сервиса заметно вырос с 10 Мбит/с до 100 Мбит/с.

Соответственно, небольшое увеличение объема трафика на ВКС-сервис или сайт не будет выделяться на общем фоне. Но если в сети банка сотни сервисов, и трафик одновременно вырос на каждом, то его совокупный объем превысит емкость канала или сетевого оборудования. Это и приводит к главной цели злоумышленников — общей недоступности сервисов.

Пример ковровой атаки на банк

При ковровой атаке на один IP-адрес банка может поступать всего 1 Мбит/с нелегитимного трафика. Если специально не анализировать на аномалии каждый канал в отдельности, то этот 1 Мбит/с легко не заметить. Небольшое количество мусорного трафика на уровне погрешности обычно не вызывает опасений.

Но если умножить этот 1 Мбит/с на тысячу или десятки тысяч IP-адресов, то получится мощная атака, распределенная по всей сети организации. С ней уже сложнее бороться. Если использовать BGP Blackhole и перенаправить весь вредоносный трафик по несуществующему маршруту, то это приведет к недоступности всех сервисов. Чего обычно и добиваются злоумышленники.

Таким образом, чем крупнее ИT-инфраструктура банка и чем больше у нее IP-адресов, тем больший ущерб может нанести ковровая DDoS-атака, и тем сложнее от нее защититься.

В чём сложность защиты от ковровых DDoS-атак

Чтобы защититься от любой атаки, сначала ее нужно обнаружить. А сделать это в отсутствие явных статистических отклонений в трафике сложно.

Проблема детекции. Чтобы детектировать ковровую атаку, необходимо не просто анализировать изменения в трафике каждого сервиса на своей сети, но и знать норму трафика каждого сервиса, а также учитывать общее количество трафика.

В подобных случаях, во избежание недоступности всей инфраструктуры, приходится фильтровать весь трафик. Так возникает вторая проблема: создание корректных правил фильтрации сразу для всех сервисов.

Проблема фильтрации. Когда DDoS-атака направлена сразу на тысячу сервисов, то правила фильтрации необходимо создавать с учетом особенностей каждого защищаемого сервиса, поскольку весь трафик, проходящий через систему очистки, попадает под влияние активных правил.

Чтобы при очистке не пострадали обычные пользователи, правила должны быть корректными одновременно для всего трафика и не влиять на его легитимную часть.

Как банку защититься от ковровых DDoS-атак

Распределенные атаки 2024 года показали неэффективность статичных правил фильтрации. Хактивисты меняют методы, поэтому для эффективной защиты вместо стандартных контрмер требуются продвинутые средства детекции и фильтрации.

1. Применять средства высокоточной детекции. Для своевременного выявления ковровых атак мы применяем собственную систему интеллектуального анализа сетевого трафика FlowCollector. Одна из ее уникальных особенностей - тройная вложенность подсчета трафика. Это означает, что отдельные умные счетчики анализируют: каждый IP-адрес, каждый сетевой префикс, суммарно все сетевые префиксы данной сети.

Благодаря детальному подсчету трафика можно не просто детектировать аномалии, но и сегментировать конкретные блоки сети. В итоге FlowCollector точечно выявляет атакованные IP-адреса и за 100 мс перенаправляет их на фильтрацию.

2. Использовать средства гибкой фильтрации. Для гибкой фильтрации ковровых атак мы используем собственную адаптивную систему защиты DosGate. Она построена на основе гибких сетевых инструкций, с помощью которых можно оперативно модифицировать фильтры и пороговые значения трафика.

Заключение

Для противодействия ковровым атакам требуется определенная гибкость решения по защите от DDoS-атак. После того, как из России ушли глобальные вендоры по защите от кибератак, Servicepipe остался фактически единственной компанией на рынке, в решениях которой вместо стандартных контрмер реализованы гибкие правила фильтрации трафика.

После летних атак 2024 года мы фиксировали троекратно возросший интерес кредитных организаций к подключению защиты от DDoS. При этом 20% пришли под атакой, 65% встревожили новости про атаки на других игроков. Почему мы? Благодаря уникальным возможностям адаптивной фильтрации, обеспечиваемой совместной работой FlowCollector и DosGate. Интегрированное решение обнаружит и отфильтрует ковровую DDoS-атаку любой сложности, обеспечив непрерывную доступность банковских сервисов, приложений и банкоматов.