Организация защиты от DDoS-атак

Организация защиты от DDoS-атак

Код курса КП22, 2 дня

Статус

Авторский практический курс Учебного центра “Информзащита”

Аннотация

"Отказ в обслуживании" (denial-of-service, DoS) применительно к компьютерным системам обозначает ситуацию, характеризующуюся невозможностью получения доступа к какому-либо ресурсу или информации, которую этот ресурс содержит. С точки зрения информационной безопасности – это один из механизмов реализации атаки, в ходе которой происходит нарушение доступности системы.

Способы создания ситуации отказа в обслуживании довольно разнообразны, но в рамках данного курса рассматривается только один тип DoS-атак, суть которого заключается в намеренном исчерпании ограниченного ресурса атакуемой системы. Для такого способа создания ситуации отказа в обслуживании характерно использование нескольких источников атаки для усиления эффекта. Поэтому такой тип атак называют распределённым отказом в обслуживании (Distributed Denial of Service, DDoS).

В данном курсе систематизирована информация по отказу в обслуживании, рассмотрены мотивы и цели DDoS-атак, проанализированы механизмы распространения вредоносного программного обеспечения, используемого для создания сетей-"зомби". В программе курса подробно рассмотрены механизмы реализации таких атак с использованием различных техник и протоколов.

Эффективно защищаться от DDoS-атакам крайне сложно. На практике применяемые меры защиты требуют участия провайдеров услуг доступа в Интернет, сторонних организаций, а также правоохранительных органов.

В курсе детально рассмотрены различные способы противодействия и защитные меры, основанные как на применении средств защиты периметра, так и на использовании внешних сервисов по защите от DDoS-атак.

Представленная в курсе информация поможет выбрать эффективную стратегию защиты, понять принципы работы средств и сервисов по защите от DDoS-атак.

Аудитория

• Системные и сетевые администраторы, ответственные за безопасность компьютерных сетей организаций, выбор и эксплуатацию средств защиты и средств анализа защищенности сетей;
• Администраторы информационной безопасности;
• Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов, выбор способов и средств обеспечения защиты сетей;
• Руководители подразделений технической защиты информации, ответственные за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информационных технологий.

Предварительная подготовка

• Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP;
• Навыки работы с ОС Windows.

В результате обучения

Вы приобретете знания по:

• о принципиальных особенностях и разновидностях атак, приводящих к отказам в обслуживании;
• о мотивах и целях DDoS-атак;
• о технологиях управления "сетями-зомби";
• о механизмах реализации DDoS-атак на транспортном и прикладном уровнях;
• о принципах работы средств защиты и сервисов по противодействию DDoS-атакам.

Вы сможете:

• использовать превентивные меры защиты от DDoS-атак;
• использовать средства защиты периметра (межсетевые экраны, средства противодействия атакам);
• выбирать критерии фильтрации с целью блокировки трафика атаки;
• планировать мероприятия по защите в случае распределённой атаки на канал или ресурс;
• осуществлять взаимодействие с провайдерами услуг доступа в Интернет, специализированными организациями, а также с правоохранительными органами.

Пакет слушателя

• Фирменное учебное пособие
• Версии основных рассматриваемых в курсе средств защиты, дополнительная и справочная информация по тематике курса в электронном виде

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства Учебного центра "Информзащита".

Выпускники могут получать бесплатные консультации специалистов Учебного центра "Информзащита" по темам пройденного курса.

Программа курса

• Введение. "Отказ в обслуживании" как один из механизмов реализации сетевых атак. Принципиальные особенности и разновидности причин отказа в обслуживании. Распределённый вариант отказа в обслуживании (DDoS). Классификация DDoS-атак (атаки на канал и атаки на ресурс). Краткая историческая справка. Наиболее известные и масштабные DDoS-атаки.
• Источники и объекты DDoS-атак. Мотивы и цели DDoS-атак. Модель нарушителя. Бот-сети. Способы построения бот-сетей. Механизмы заражения. Технологии управления "сетями-зомби". Техника "Fast-flux". Использование P2P, популярных сервисов и социальных сетей.
• DDoS-атака как услуга. Осуществление незаконной деятельности по оказанию коммерческих услуг по организации DDoS-атак. Основные участники "рынка", механизмы взаимодействия между ними. Уголовная ответственность за организацию и совершение DDoS-атак.
• DDoS-атаки сетевого и транспортного уровней. Атаки, осуществляемые с целью снижения пропускной способности канала. SYN Flood, ICMP Flood, UDP Flood. IP Spoofing и способы противодействия (RFC3704). SYN Flood. RFC4987. «DoS-умножение». Smurf.
• Защита на периметре. Использование IDS, IPS. Выбор критериев фильтрации. Использование IP Traceback. Настройка протоколов маршрутизации.
• DDoS-атаки на прикладном уровне. Особенности атак на прикладном уровне. Атаки с использованием протокола http. Атаки на DNS.
• Превентивные меры защиты от DDoS-атак. Мониторинг трафика с целью выявления заражений. Повышение осведомлённости пользователей.Выявление узлов, входящих в ботнет, с помощью сканеров безопасности. Выявление ботнетов и их нейтрализация. Использование сетей-приманок (honeynet).
• Принципы работы сервисов по защите от DDoS-атак. Общие принципы взаимодействия с провайдером. Перенаправление трафика с помощью механизма разрешения имён. Использование возможностей протоколов маршрутизации. Обзор наиболее популярных сервисов по защите от DDoS-атак.
• Взаимодействие с правоохранительными органами. Сбор доказательств. Подготовка комплекта документов для передачи дела в правоохранительные органы. Выводы. Типовой сценарий действий в случае распределённой атаки на канал или ресурс.

Рекомендованная последовательность обучения

Противодействие DDoS-атакам (для администратора ИБ, специалиста отдела ИБ, аналитика по вопросам ИБ)

БТ05 -> БТ03 -> КП21 -> КП22