Распределенная атака типа «отказ в обслуживании» (DDoS) — это скоординированная попытка сделать онлайн-сервис, приложение или инфраструктуру недоступными для законных пользователей путем перегрузки их чрезмерным трафиком из множества скомпрометированных источников.
В контексте сред IBM z/OS DDoS-атака может быть направлена на традиционные службы мэйнфрейма (TN3270, FTP, HTTP/S, MQ), перегрузить стеки TCP/IP мэйнфрейма или задействовать маршрутизаторы и коммутаторы на переднем плане, тем самым прерывая критически важные для бизнеса рабочие нагрузки и транзакции.
Как работает DDoS-атака?
DDoS-атаки обычно следуют систематическому процессу:
- Злоумышленник взламывает множество устройств (ботов) или использует методы усиления сигнала для генерации огромных объемов трафика.
- Эти устройства одновременно отправляют запросы на целевую систему на сетевом или прикладном уровне.
- Ресурсы целевого устройства (пропускная способность, процессор, память, таблицы сессий) достигают предела, что приводит к ухудшению времени отклика или полной недоступности.
- В среде IBM z/OS критически важные компоненты, такие как стек TCP/IP сервера связи, шлюзы транзакций (CICS/IMS), эмуляторы интерфейса TN3270, каналы MQ или HTTP-серверы, могут быть перегружены.
- Как только нарушается обработка данных в магистральной сети, это может повлиять даже на резервные или высокодоступные конфигурации (например, LPAR в сисплексе) из-за совместного использования ресурсов (сети, ввода-вывода, системной взаимосвязи).
В некоторых случаях DDoS-атаки могут сочетаться с полезными нагрузками типа «логическая бомба», когда срабатывание механизма, инициированного внутренним пользователем, приводит к сбою в масштабах всего Sysplex.
Основные цели DDoS-атаки
DDoS-атаки могут преследовать несколько целей, в том числе:
- Финансовый вымогательство: требование выкупа за прекращение нападения.
- Хактивизм: идеологические или политические мотивы, направленные на срыв работы сервиса.
- Конкурентные потрясения: затрагивающие деловых конкурентов или отраслевые услуги.
- Оборонительные испытания: исследование окружающей среды для оценки обороноспособности.
- Отвлекающие маневры: отвлечение внимания групп безопасности во время проведения другой атаки (например, логической бомбы, внедрения вредоносного ПО) на вашу инфраструктуру.
Типы DDoS-атак
Ниже приведено краткое описание различных типов DDoS-атак. Эти атаки различаются по масштабу, методам нацеливания и воздействию, и понимание их является ключом к внедрению эффективных стратегий противодействия.
| Тип атаки | Метод нацеливания | Пример атаки |
|---|---|---|
| Объемные атаки | Перегрузка пропускной способности сети | UDP-флуд, ICMP-флуд, DNS-усиление |
| Протокольные атаки | Используйте уязвимости протокола. | SYN-флуд, Пинг смерти, атаки смурфов |
| Атаки на уровне приложений | Имитация легитимного трафика | HTTP-флуд, злоупотребление веб-шлюзом CICS, перегрузка API MQ |
Объемные атаки
Цель объемных атак — перегрузить доступную пропускную способность сети. Векторы атак включают в себя массовые UDP-флуды, ICMP-флуды, усиление через DNS/NTP-рефлекторы. В архитектурах, ориентированных на мэйнфреймы, такие атаки могут перегрузить стеки TCP/IP z/OS или перегрузить сетевые маршрутизаторы, обслуживающие сисплекс, что приведет к истощению ресурсов и сбоям в работе сервисов.
Протокольные атаки
Протокольные атаки используют уязвимости в транспортных или сетевых протоколах. Примеры: SYN-флуд, Ping-of-Death, Smurf-атаки. В IBM z/OS злоумышленники могут атаковать таблицы управления соединениями коммуникационного сервера, вызывать чрезмерное количество инициированных сессий или принуждать к многократным сбросам TCP, тем самым нарушая легитимное соединение с терминалами TN3270 или шлюзами CICS/IMS.
Атаки на уровне приложений
DDoS-атаки на уровне приложений являются сложными и скрытными: они имитируют легитимный пользовательский трафик, но нацелены на саму логику приложения. В средах z/OS векторами атак на уровне приложений могут быть перегрузка веб-шлюза CICS, перегрузка HTTPD-сервера на z/OS или злоупотребление конечными точками MQ REST/API. Поскольку сервис выглядит легитимным, эти атаки часто обходят традиционные объемные фильтры и требуют сложной логики обнаружения.
Как защититься от DDoS-атак
Для защиты от DDoS-атак в гибридных корпоративных средах с использованием мэйнфреймов требуются многоуровневые стратегии, адаптированные к вашей экосистеме z/OS:
- защита периметра сети
- Используйте межсетевые экраны периметра, системы обнаружения и предотвращения вторжений (IDS/IPS), балансировщики нагрузки и облачные сервисы очистки трафика для раннего подавления масштабных атак.
- Убедитесь, что маршрутизаторы и коммутаторы, подключенные к вашему мэйнфреймовому сиплексу, защищены и отслеживаются на предмет необычных моделей трафика.
- Усиление безопасности конфигурации мэйнфрейма (z/OS)
- Настройте коммуникационный сервер IBM z/OS, установив ограничения на количество подключений, пороговые значения времени ожидания и оповещения о состоянии очереди сеансов.
- Примените RACF или аналогичные средства контроля доступа для ограничения доступа к конечным точкам служб TCP/IP (например, TN3270, FTP, HTTP, MQ).
- Используйте IPSec или TLS для защиты трафика терминалов и удаленного доступа, уменьшая площадь поверхности для скрытых атак.
- Мониторинг трафика и обнаружение аномалий
- Используйте записи SMF/TCPIP, отслеживание NetView/OMVS или сторонние аналитические инструменты, интегрированные с SIEM, для раннего выявления необычных закономерностей в объеме трафика или количестве сессий.
- Отслеживайте состояние каналов связи системного комплекса, общих каналов ввода-вывода, а также загрузку ЦП/памяти LPAR на предмет признаков скрытого воздействия DDoS-атак.
- Планирование реагирования на инциденты и восстановления
- Определите четкие пути эскалации и пороговые значения для запуска мер по смягчению последствий (например, перенаправление трафика, изоляция LPAR, ограничение количества входящих сессий).
- Проведите учения по моделированию DDoS-атак, включающие в себя работу мэйнфреймов и переключение на резервный системный комплекс, чтобы подтвердить отказоустойчивость.
- Учитывайте тактику злоумышленников, включающую как DDoS-атаки, так и срабатывание логических бомб в среде мэйнфреймов.
Устойчивость к DDoS-атакам в экосистемах, основанных на мэйнфреймах
Современные финансовые учреждения полагаются на гибридные инфраструктуры, где мэйнфрейм остается ключевым элементом операционной деятельности. Одна единственная DDoS-атака, направленная на сервисы z/OS, может нарушить тысячи транзакций в секунду, поставить под угрозу соглашения об уровне обслуживания и обязательства по соблюдению нормативных требований.
Поэтому разработка настоящей устойчивости к DDoS-атакам — это не просто задача обеспечения сетевой безопасности: она должна быть интегрирована в архитектуру мэйнфрейма, системы оперативного мониторинга и реагирования на инциденты.
Об авторе
