DDoS атаки та захист від них
Останнім часом в IT-індустрії спостерігається стійке зростання розподілених атак на кшталт «відмова в обслуговуванні» (DDoS). Кілька років тому DDoS-атаки сприймалися як дрібні неприємності, які чинили зловмисники-початківці. Їх було відносно легко усунути. На жаль, сьогодні захист від них став складнішим. Давайте розглянемо, що таке DDoS-атака і як захистити свій сайт від DDoS-атак.
Що таке DDoS-атака?
DDoS – це скорочення від Distributed Denial of Service, що перекладається як “розподілена відмова в обслуговуванні”. Такі загрози є підкласом кібератак типу “відмова в обслуговуванні” (DoS). DDoS-атака здійснюється різними методами. Її мета – переповнення цільового сайту фальшивим трафіком.
Що означає ДДоС-атака? Зловмисники генерують великий обсяг трафіку, який перевантажує сервер і навіть здатний вивести його з ладу. Сервер змушений обробляти запити, і в результаті не вистачає можливостей для взаємодії з реальними користувачами.
Що таке ДДоС-атака на сайт? DDoS-атака онлайн – це тип кібератаки, у якій зловмисники намагаються призвести до відмови в роботі вебсайтів або інших онлайн-сервісів, перевантажуючи їх великою кількістю запитів. ДДоС-атаки – що це? DDoS-атаки можуть призводити до серйозних проблем для власників веб-сайтів та онлайн-сервісів. Вони можуть стати причиною недоступності сайту, уповільнення роботи, втрати даних, зниження рівня довіри клієнтів і репутації компанії. Тому захист від DDoS-атак стає дедалі важливішим для власників онлайн-бізнесів.
Успішна розподілена атака типу DDoS – дуже помітна подія, що впливає на власників та відвідувачів сайту. Це робить її популярною зброєю серед хакерів та здирників.
DDoS атаки – що це таке? DDoS-атаки можуть відбуватися короткими чергами або повторюватись, але в будь-якому випадку вплив на сайт може тривати дні, тижні і навіть місяці.
Принцип дії атаки
Мета DDoS-атаки – не злом сайту та крадіжка даних, а відмова сервера, окремого веб-сайту, мережевого обладнання чи підключених пристроїв. З цією метою зловмисники діють за схемою:
- Перевіряють домен , збирають дані про веб-сайт, сервер, на якому він розташований, підключені сервіси та захисні програми. Залежно від цього обирають метод.
- Надсилають фальшиві запити з усіх пристроїв, які перебувають під керуванням злочинної групи.
- Оцінюють результати. Якщо мети не досягнуто, зловмисники можуть застосувати інші методи.
Це лише загальна схема із основними кроками. DDoS-атаки підступні, і тому їх складно зафіксувати. Зловмисники зазвичай використовують три основні тактики:
- Спуфінг. За замовчуванням IPv4 та IPv6 не мають можливості автентифікації та відстеження трафіку. Особливо в мережах IPv4 досить просто підробити адреси джерела та одержувача.
- Відображення. Зловмисники хочуть приховати будь-які сліди своєї діяльності. Для цього вони маніпулюють поведінкою інтернет-служб, включаючи тисячі серверів доменних імен (DNS), протоколу мережевогоо часу (NTP) та простого мережевого управління (SNMP).
- Посилення. Це тактика, яка дозволяє зловмиснику генерувати великий обсяг трафіку, використовуючи множник джерела. Атаки з посиленням не використовують ботів, це просто тактика, що дозволяє зловмиснику відправити 1 підроблений пакет, який обманом змушує законну службу відправляти сотні, якщо не тисячі відповідей.
В результаті успішного кібератаки сервер або веб-сайт може припинити обробляти легальні запити, втратити продуктивність і навіть стати повністю недоступним.
Класифікація DDoS-атак
Під час атаки взаємодія здійснюється на різних рівнях відкритих мережевих систем OSI, якими і класифікують DDoS. Їх можна розділити на дві основні категорії: атаки на прикладному рівні та на мережевому рівні. Кожен із цих типів визначає параметри та поведінку, що використовуються під час атаки, а також її мету.
- Мережевий рівень (L3). Використовуються протоколи IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Атаки спрямовані на комутатори та роутери.
- Транспортний рівень (L4). Використовуються протоколи TCP та UDP, підпротоколи DCCP, RUDP, SCTP, UDP Lite. Вони застосовуються для атак на сервери та різні сервіси, наприклад ігрові.
- Рівень програм (L7). Зазвичай використовують HTTP, HTTPS та DNS. Атаки можуть бути націлені на сервіси, сайти та програми.
За способом взаємодії виділяють:
- Атаки на вразливості протоколів. Дозволяють домогтися відмови в обслуговуванні легітимних запитів.
- Перевантаження трафіком, який жертва не зможе обробити.
- Атаки на слабкі місця в архітектурі програм. Порушується працездатність програмного комплексу.
Класифікація та розуміння того, як працюють загрози, допоможуть обрати ефективний спосіб захисту.
Що таке DDoS атака на IP?
DDoS-атака на IP (Internet Protocol) – це кібератака, яка спрямована на виведення з ладу певної IP-адреси, не обов’язково пов’язаної з вебсайтом або мережевим сервером. На відміну від класичної DDoS-атаки, яка спрямована на виведення з ладу цілого веб-сайту або мережевого сервера, DDoS-атака на IP спрямована на перевантаження конкретної IP-адреси трафіком, що призводить до її недоступності для звичайного використання.
Часто DDoS-атака на IP використовується для вимагання грошей у власника атакованої IP-адреси, або для відключення конкурента від мережі. Зловмисники можуть використовувати різні методи, такі як синхронізація або UDP-флуд, щоб створити великий обсяг трафіку і націлити його на одну IP-адресу. Це може призвести до того, що IP-адреса стане недоступною для інших користувачів або служб, які залежать від неї для роботи.
Як влаштовані атаки?
Зловмисники рідко винаходять нові способи, тому DDoS-атаки мають схожу схему.
Атаки на рівні інфраструктур
Атаки на рівні інфраструктур (L3–L4) майже завжди створені для того, щоб перевантажити пропускну спроможність мережі чи додатків. Вектори атак у цій категорії включають UDP-флуд, SYN-флуд, атаки з посиленням NTP та посиленням DNS. Будь-яке з них може бути використане для запобігання доступу користувачів до серверів. Такі атаки легко виявити.
Атаки на рівні додатків
Атаки прикладного рівня (також відомі як атаки рівня додатків, L6–L7) можуть бути або DoS, або DDoS-загрози. Надсилаючи велику кількість запитів, створюється навантаження на служби. Серед векторів атак до цієї категорії входять HTTP-флуди, повільні атаки (наприклад, Slowloris або RUDY) та атаки DNS-запитів.
На рівні програм часто проводять змішані атаки (SYN + TCP Connect + HTTP-flood + UDP flood). Вони йдуть із різних напрямків, і виявити їх досить складно.
Навіщо атакують сайти?
Основні причини DDoS-атак:
- нечесна конкуренція;
- спроби шантажу;
- конфлікти у бізнесі;
- помста.
Деякі хакери-початківці, бажаючи відточити «майстерність», здійснюють атаки на ресурси, в яких знайшли вразливості.
Збитки від DDoS-атаки мають фінансові та репутаційні ризики. Падає відвідуваність сайту, потрібні ресурси для відновлення. Якщо веб-сайт компанії часто «лежить», це може погано позначитися на репутації.
Іноді DDoS – лише прикриття. Коли сайт лежить і технічні фахівці займаються його відновленням, зловмисники приступають до своєї головної мети: викрадення даних, встановлення шкідливого коду.
Проти кого здійснюються DDoS-атаки
Атаки йдуть на різні ресурси. У зоні особливого ризику:
- сайти урядових та фінансових установ;
- ігрові портали;
- онлайн-кінотеатри;
- інтернет-магазини та маркетплейси.
DDoS-атаки можуть статися з усіма компаніями. Однак варто знати про загрозу і бути готовим вжити відповідних кроків для нейтралізації атаки.
Як захиститись від DDoS-атаки?
Існують різні способи захисту від DDoS-атак. Ви, напевно, чули це багато разів, але профілактика – найкращий спосіб захиститися від будь-якого типу кібератаки. DDoS-атака впливає на ваші мережі не так, як шкідливе програмне забезпечення або атака соціальної інженерії, тому план реагування повинен враховувати ці нюанси. Атаки на веб-програми із шифруванням SSL можна відбити за допомогою рішення Link11.
Наступні кроки допоможуть захиститися від атак та забезпечити стабільну роботу сайту.
Налаштуйте брандмауер
Активація брандмауера – один із дієвих способів захисту від DDoS. Використання брандмауера веб-додатків (WAF) як захист між хост-сервером та відвідувачами забезпечить фільтрацію та блокування всього шкідливого трафіку HTTP/HTTPS. Ви можете налаштувати правила брандмауера для фільтрації шкідливих IP-адрес та джерел трафіку. Крім того, хороший WAF захистить від SQL-ін’єкцій, XSS (міжсайтовий скриптинг), RCE (віддалене виконання коду), RFU та інших відомих атак.
Блокування країни
Це ще один із видів захисту від ДДоС атаки. Блокування відвідувачів на основі геолокації зазвичай ефективно знижує ризик. Більшість атак на веб-сайти походять з таких країн, як Китай, Росія та Туреччина. WAF дає можливість заблокувати їхню взаємодію з вашим сайтом.
Більшість ботнетів створюються на тисячах зламаних серверів та пристроїв (IoT), тому блокування країни може, як і раніше, запобігати спаму тисяч ботів у журналах підключень.
Слідкуйте за трафіком
Регулярний моніторинг трафіку важливий для виявлення будь-яких піків, що натякають на DDoS-атаку. У більшості випадків ці атаки є об’ємними та мережевими (на рівнях 3 та 4). Розуміння того, які загрози ви відчуваєте, допоможе вам ефективно запобігати та реагувати на DDoS.
Для більш ефективного виявлення та запобігання DDoS рекомендується мати інструменти моніторингу і, звичайно, завжди перевіряти журнали. Ось деякі індикатори, які допоможуть вам визначити, чи є трафік законним чи ні:
- У який час доби відбувалися ці візити. Наприклад, як ви вважаєте, о 2:00 за місцевим часом ваш бізнес побачить сплеск трафіку?
- Звідки йдуть візити. Якщо ви продаєте каву в Ужгороді, ви справді очікуєте відвідувачів з Індонезії?
- Сезонні сплески. Зважайте на те, що в період Чорної п’ятниці або новорічних свят може бути реальне зростання відвідуваності.
Купуючи хостинг або VPS у TutHost, наші клієнти отримують зручні інструменти аналітики.
Збільште пропускну спроможність
Уявіть, що ваша мережа схожа на шосе. Якщо виникає пробка, то вам знадобиться шосе з великою кількістю смуг руху. Якщо ви піддаєтеся DDoS-атаці, найкращий спосіб запобігти її наслідкам — збільшити пропускну здатність та поглинути більше трафіку.
Хмарні anti-DDoS рішення
Перехід у хмару допоможе запобігти DDoS-атаці, але не усуне її повністю. Хмарні послуги зазвичай мають більшу пропускну здатність, ніж локальні рішення. Деякі послуги навіть пропонують клієнтам допомогу в пом’якшенні наслідків. Хмарні anti-DDoS підключаються автоматично на початку підозрілої активності.
Одне з найкращих рішень для нейтралізації атак – вибір надійного провайдера захисту. У поєднанні з надійним хостингом , це суттєво знизити ймовірність загрози. Від цього залежить стабільність вашого бізнесу.