ddos

DDoS атаки и защита от них

В последнее время в IT-индустрии наблюдается устойчивый рост распределенных атак типа «отказ в обслуживании» (DDoS). Несколько лет назад DDoS-атаки воспринимались как мелкие неприятности, совершаемые начинающими злоумышленниками. Их было относительно легко устранить. К сожалению, сегодня защита от них стала сложнее.

Что такое DDoS-атака?

DDoS — это сокращение от Distributed Denial of Service, что переводится как «распределенный отказ в обслуживании». Такие угрозы являются подклассом кибератак типа «отказ в обслуживании» (DoS). DDoS-атака осуществляется разными методами. Ее цель — переполнение целевого сайта фальшивым трафиком.

Злоумышленники генерируют большой объем мусорного трафика, который перегружает сервер и даже способен вывести его из строя. Сервер вынужден обрабатывать запросы, и в результате ему не хватает возможностей для взаимодействия с реальными пользователями.

Успешная распределенная атака типа DDoS — очень заметное событие, влияющее на владельцев и посетителей сайта. Это делает ее популярным оружием среди хакеров и вымогателей.

DDoS-атаки могут происходить короткими очередями или повторяться, но в любом случае воздействие на сайт может длиться дни, недели и даже месяцы.

Принцип действия атаки

Цель DDoS-атаки — не взлом сайта и кража данных, а отказ сервера, отдельного веб-сайта, сетевого оборудования или подключенных устройств. С этой целью злоумышленники действуют по схеме:

  1. Проверяют домен, собирают данные о веб-сайте, сервере, на котором он расположен, подключенных сервисах и защитных программах. В зависимости от этого подбирают метод.
  2. Отправляют мусорные запросы со всех устройств, находящихся под управлением преступной группы.
  3. Оценивают результаты. Если цель не достигнута, злоумышленники могут применить другие методы.

Это лишь общая схема с основными шагами. DDoS-атаки коварны, и поэтому их сложно зафиксировать. Злоумышленники обычно используют три основные тактики:

  • Спуфинг. По умолчанию IPv4 и IPv6 не имеют возможности аутентификации и отслеживания трафика. Особенно в сетях IPv4 довольно просто подделать адреса источника и получателя.
  • Отражение. Злоумышленники хотят скрыть любые следы своей деятельности. Для этого они манипулируют поведением интернет-служб, включая тысячи серверов системы доменных имен (DNS), протокола сетевого времени (NTP) и простого сетевого управления (SNMP).
  • Усиление. Это тактика, которая позволяет злоумышленнику генерировать большой объем трафика, используя множитель источника. Атаки с усилением не используют ботов, это просто тактика, позволяющая злоумышленнику отправить 1 поддельный пакет, который обманом заставляет законную службу отправлять сотни, если не тысячи ответов.

В результате успешного кибератаки сервер или веб-сайт может перестать обрабатывать легальные запросы, потерять производительность и даже стать полностью недоступным.

Классификация DDoS-атак

Во время атаки взаимодействие осуществляется на разных уровнях открытых сетевых систем OSI, по которым и классифицируют DDoS. Их можно разделить на две основные категории: атаки на прикладном уровне и на сетевом уровне. Каждый из этих типов определяет параметры и поведение, используемые во время атаки, а также ее цель.

  • Сетевой уровень (L3). Используются протоколы IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Атаки направлены на коммутаторы и роутеры.
  • Транспортный уровень (L4). Используются протоколы TCP и UDP, подпротоколы DCCP, RUDP, SCTP, UDP Lite. Они применяются для атак на серверы и различные сервисы, например игровые.
  • Уровень приложений (L7). Обычно используют HTTP, HTTPS и DNS. Атаки могут быть нацелены на сервисы, сайты и приложения.

По способу взаимодействия выделяют:

  • Атаки на уязвимости протоколов. Позволяют добиться отказа в обслуживании легитимных запросов.
  • Перегрузку трафиком, который жертва не сможет обработать.
  • Атаки на слабые места в архитектуре приложений. Нарушается работоспособность программного комплекса.

Классификация и понимание того, как работают угрозы, помогут выбрать эффективный способ защиты.

Как устроены атаки?

Злоумышленники редко изобретают новые способы, поэтому DDoS-атаки имеют схожий рисунок.

Атаки на уровне инфраструктур

Атаки на уровне инфраструктур (L3–L4) почти всегда созданы для того, чтобы перегрузить пропускную способность сети или приложений. Векторы атак в этой категории включают UDP-флуд, SYN-флуд, атаки с усилением NTP и усилением DNS. Любое из них может быть использовано для предотвращения доступа пользователей к серверам. Такие атаки легко обнаружить.

Атаки на уровне приложений

Атаки прикладного уровня (также известные как атаки уровня приложений, L6–L7) могут представлять собой либо DoS, либо DDoS-угрозы. Отправляя большое количество запросов, создается нагрузка на службы. Среди векторов атак в эту категорию входят HTTP-флуды, медленные атаки (например, Slowloris или RUDY) и атаки DNS-запросов.

На уровне приложений часто проводят смешанные атаки (SYN + TCP Connect + HTTP-flood+ UDP flood). Они идут с разных направлений, и обнаружить их довольно сложно.

Зачем атакуют сайты?

Основные причины DDoS-атак:

  • нечестная конкуренция;
  • попытки шантажа;
  • конфликты в бизнесе;
  • месть.

Некоторые начинающие хакеры, желая отточить «мастерство», совершают атаки на ресурсы, в которых нашли уязвимости.

Ущерб от DDoS-атаки носит финансовые и репутационные риски. Падает посещаемость сайта, требуются ресурсы для восстановления. Если веб-сайт компании часто «лежит», это может плохо сказаться не репутации.

Иногда DDoS — лишь прикрытие. Когда сайт лежит, и технические специалисты занимаются его восстановлением, злоумышленники приступают к своей главной цели: похищению данных, установке вредоносного кода.

Против кого осуществляются DDoS-атаки

Атаки идут на самые разные ресурсы. В зоне особого риска:

  • сайты правительственных и финансовых учреждений;
  • игровые порталы;
  • онлайн-кинотеатры;
  • интернет-магазины и маркетплейсы.

DDoS-атаки могут случиться со всеми компаниями. Однако стоит знать об угрозе и быть готовым предпринять соответствующие шаги для нейтрализации атаки.

Как защититься от DDoS-атаки?

DDoS атаки и защита от них

Вы, наверное, слышали это много раз, но профилактика — лучший способ защититься от любого вида кибератаки. DDoS-атака влияет на ваши сети не так, как вредоносное ПО или атака социальной инженерии, поэтому план реагирования должен учитывать эти нюансы. Атаки на веб-приложения с шифрованием SSL можно отразить с помощью решения Link11.

Следующие шаги помогут защититься от атак и обеспечить стабильную работу сайта.

Настройте брандмауэр

DDoS атаки и защита от них

Использование брандмауэра веб-приложений (WAF) в качестве уровня защиты между хост-сервером и посетителями обеспечит фильтрацию и блокировку всего вредоносного трафика HTTP/HTTPS. Вы можете настроить правила брандмауэра для фильтрации вредоносных IP-адресов и источников трафика. Кроме того, хороший WAF защитит от SQL-инъекций, XSS (межсайтовый скриптинг), RCE (удаленное выполнение кода), RFU и других известных атак.

Блокировка страны

DDoS атаки и защита от них

Блокировка посетителей на основе геолокации обычно эффективно снижает риск. Большинство атак на веб-сайты происходят из таких стран как Китай, Россия и Турция. WAF дает возможность заблокировать их взаимодействие с вашим сайтом.

Большинство ботнетов создаются на тысячах взломанных серверов и устройств (IoT), поэтому блокировка страны может по-прежнему предотвращать спам тысяч ботов в журналах подключений.

Отслеживайте трафик

Регулярный мониторинг трафика важен для обнаружения любых пиков, намекающих на DDoS-атаку. В большинстве случаев эти атаки являются объемными и сетевыми (на уровнях 3 и 4). Понимание того, какие угрозы вы испытываете, поможет вам эффективно предотвращать и реагировать на DDoS.

Для более эффективного обнаружения и предотвращения DDoS рекомендуется иметь инструменты мониторинга и, конечно же, всегда проверять журналы. Вот некоторые индикаторы, которые помогут вам определить, является ли трафик законным или нет:

  • В какое время суток происходили эти визиты. Например, как вы думаете, в 2:00 по местному времени ваш бизнес увидит всплеск трафика?
  • Откуда идут визиты. Если вы продаете кофе в Ужгороде, вы действительно ожидаете посетителей из Индонезии?
  • Сезонные всплески. Учитывайте, что в период Черной пятницы или новогодних праздников может быть реальный рост посещаемости.

Покупая хостинг или VPS в TutHost, наши клиенты получают удобные инструменты аналитики.

Увеличьте пропускную способность

Представьте, что ваша сеть похожа на шоссе. Если возникает пробка, вам понадобится шоссе с большим количеством полос движения. Если вы подвергаетесь DDoS-атаке, лучший способ предотвратить ее последствия — увеличить пропускную способность и поглотить больше трафика.

Облачные anti-DDoS решения

Переход в облако поможет предотвратить DDoS-атаку, но не устранит ее полностью. Облачные сервисы обычно имеют большую пропускную способность, чем локальные решения. Некоторые сервисы даже предлагают клиентам помощь в смягчении последствий. Облачные anti-DDoS подключаются автоматически при начале подозрительной активности.

Одно из лучших решений для нейтрализации атак — выбор надежного провайдера защиты. В сочетании с надежным хостингом это существенно снизить вероятность угрозы. От этого зависит стабильность вашего бизнеса.

Похожие материалы

Leave a Reply

Your email address will not be published. Required fields are marked *