ddos

DDoS атаки та захист від них

ВідДенис Семенюк

Останнім часом в IT-індустрії спостерігається стійке зростання розподілених атак на кшталт «відмова в обслуговуванні» (DDoS). Кілька років тому DDoS-атаки сприймалися як дрібні неприємності, які чинили зловмисники-початківці. Їх було відносно легко усунути. На жаль, сьогодні захист від них став складнішим.

Що таке DDoS-атака?

DDoS – це скорочення від Distributed Denial of Service, що перекладається як “розподілена відмова в обслуговуванні”. Такі загрози є підкласом кібератак типу “відмова в обслуговуванні” (DoS). DDoS-атака здійснюється різними методами. Її мета – переповнення цільового сайту фальшивим трафіком.

Зловмисники генерують великий обсяг трафіку, який перевантажує сервер і навіть здатний вивести його з ладу. Сервер змушений обробляти запити, і в результаті не вистачає можливостей для взаємодії з реальними користувачами.

DDoS-атака онлайн – це тип кібератаки, у якій зловмисники намагаються призвести до відмови в роботі вебсайтів або інших онлайн-сервісів, перевантажуючи їх великою кількістю запитів.

DDoS-атаки можуть призводити до серйозних проблем для власників веб-сайтів та онлайн-сервісів. Вони можуть стати причиною недоступності сайту, уповільнення роботи, втрати даних, зниження рівня довіри клієнтів і репутації компанії. Тому захист від DDoS-атак стає дедалі важливішим для власників онлайн-бізнесів.

Успішна розподілена атака типу DDoS – дуже помітна подія, що впливає на власників та відвідувачів сайту. Це робить її популярною зброєю серед хакерів та здирників.

DDoS-атаки можуть відбуватися короткими чергами або повторюватись, але в будь-якому випадку вплив на сайт може тривати дні, тижні і навіть місяці.

Принцип дії атаки

Мета DDoS-атаки – не злом сайту та крадіжка даних, а відмова сервера, окремого веб-сайту, мережевого обладнання чи підключених пристроїв. З цією метою зловмисники діють за схемою:

  1. Перевіряють домен , збирають дані про веб-сайт, сервер, на якому він розташований, підключені сервіси та захисні програми. Залежно від цього обирають метод.
  2. Надсилають фальшиві запити з усіх пристроїв, які перебувають під керуванням злочинної групи.
  3. Оцінюють результати. Якщо мети не досягнуто, зловмисники можуть застосувати інші методи.

Це лише загальна схема із основними кроками. DDoS-атаки підступні, і тому їх складно зафіксувати. Зловмисники зазвичай використовують три основні тактики:

  • Спуфінг. За замовчуванням IPv4 та IPv6 не мають можливості автентифікації та відстеження трафіку. Особливо в мережах IPv4 досить просто підробити адреси джерела та одержувача.
  • Відображення. Зловмисники хочуть приховати будь-які сліди своєї діяльності. Для цього вони маніпулюють поведінкою інтернет-служб, включаючи тисячі серверів доменних імен (DNS), протоколу мережевогоо часу (NTP) та простого мережевого управління (SNMP).
  • Посилення. Це тактика, яка дозволяє зловмиснику генерувати великий обсяг трафіку, використовуючи множник джерела. Атаки з посиленням не використовують ботів, це просто тактика, що дозволяє зловмиснику відправити 1 підроблений пакет, який обманом змушує законну службу відправляти сотні, якщо не тисячі відповідей.

В результаті успішного кібератаки сервер або веб-сайт може припинити обробляти легальні запити, втратити продуктивність і навіть стати повністю недоступним.

Класифікація DDoS-атак

Під час атаки взаємодія здійснюється на різних рівнях відкритих мережевих систем OSI, якими і класифікують DDoS. Їх можна розділити на дві основні категорії: атаки на прикладному рівні та на мережевому рівні. Кожен із цих типів визначає параметри та поведінку, що використовуються під час атаки, а також її мету.

  • Мережевий рівень (L3). Використовуються протоколи IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Атаки спрямовані на комутатори та роутери.
  • Транспортний рівень (L4). Використовуються протоколи TCP та UDP, підпротоколи DCCP, RUDP, SCTP, UDP Lite. Вони застосовуються для атак на сервери та різні сервіси, наприклад ігрові.
  • Рівень програм (L7). Зазвичай використовують HTTP, HTTPS та DNS. Атаки можуть бути націлені на сервіси, сайти та програми.

За способом взаємодії виділяють:

  • Атаки на вразливості протоколів. Дозволяють домогтися відмови в обслуговуванні легітимних запитів.
  • Перевантаження трафіком, який жертва не зможе обробити.
  • Атаки на слабкі місця в архітектурі програм. Порушується працездатність програмного комплексу.

Класифікація та розуміння того, як працюють загрози, допоможуть обрати ефективний спосіб захисту.

Що таке DDoS атака на IP?

DDoS-атака на IP (Internet Protocol) – це кібератака, яка спрямована на виведення з ладу певної IP-адреси, не обов’язково пов’язаної з вебсайтом або мережевим сервером. На відміну від класичної DDoS-атаки, яка спрямована на виведення з ладу цілого веб-сайту або мережевого сервера, DDoS-атака на IP спрямована на перевантаження конкретної IP-адреси трафіком, що призводить до її недоступності для звичайного використання.

Часто DDoS-атака на IP використовується для вимагання грошей у власника атакованої IP-адреси, або для відключення конкурента від мережі. Зловмисники можуть використовувати різні методи, такі як синхронізація або UDP-флуд, щоб створити великий обсяг трафіку і націлити його на одну IP-адресу. Це може призвести до того, що IP-адреса стане недоступною для інших користувачів або служб, які залежать від неї для роботи.

Як влаштовані атаки?

Зловмисники рідко винаходять нові способи, тому DDoS-атаки мають схожу схему.

Атаки на рівні інфраструктур

Атаки на рівні інфраструктур (L3–L4) майже завжди створені для того, щоб перевантажити пропускну спроможність мережі чи додатків. Вектори атак у цій категорії включають UDP-флуд, SYN-флуд, атаки з посиленням NTP та посиленням DNS. Будь-яке з них може бути використане для запобігання доступу користувачів до серверів. Такі атаки легко виявити.

Атаки на рівні додатків

Атаки прикладного рівня (також відомі як атаки рівня додатків, L6–L7) можуть бути або DoS, або DDoS-загрози. Надсилаючи велику кількість запитів, створюється навантаження на служби. Серед векторів атак до цієї категорії входять HTTP-флуди, повільні атаки (наприклад, Slowloris або RUDY) та атаки DNS-запитів.

На рівні програм часто проводять змішані атаки (SYN + TCP Connect + HTTP-flood + UDP flood). Вони йдуть із різних напрямків, і виявити їх досить складно.

Навіщо атакують сайти?

Основні причини DDoS-атак:

  • нечесна конкуренція;
  • спроби шантажу;
  • конфлікти у бізнесі;
  • помста.

Деякі хакери-початківці, бажаючи відточити «майстерність», здійснюють атаки на ресурси, в яких знайшли вразливості.

Збитки від DDoS-атаки мають фінансові та репутаційні ризики. Падає відвідуваність сайту, потрібні ресурси для відновлення. Якщо веб-сайт компанії часто «лежить», це може погано позначитися на репутації.

Іноді DDoS – лише прикриття. Коли сайт лежить і технічні фахівці займаються його відновленням, зловмисники приступають до своєї головної мети: викрадення даних, встановлення шкідливого коду.

Проти кого здійснюються DDoS-атаки

Атаки йдуть на різні ресурси. У зоні особливого ризику:

  • сайти урядових та фінансових установ;
  • ігрові портали;
  • онлайн-кінотеатри;
  • інтернет-магазини та маркетплейси.

DDoS-атаки можуть статися з усіма компаніями. Однак варто знати про загрозу і бути готовим вжити відповідних кроків для нейтралізації атаки.

Як захиститись від DDoS-атаки?

DDoS атаки та захист від них

Ви, напевно, чули це багато разів, але профілактика – найкращий спосіб захиститися від будь-якого типу кібератаки. DDoS-атака впливає на ваші мережі не так, як шкідливе програмне забезпечення або атака соціальної інженерії, тому план реагування повинен враховувати ці нюанси. Атаки на веб-програми із шифруванням SSL можна відбити за допомогою рішення Link11.

Наступні кроки допоможуть захиститися від атак та забезпечити стабільну роботу сайту.

Налаштуйте брандмауер

DDoS атаки та захист від них

Використання брандмауера веб-додатків (WAF) як захист між хост-сервером та відвідувачами забезпечить фільтрацію та блокування всього шкідливого трафіку HTTP/HTTPS. Ви можете налаштувати правила брандмауера для фільтрації шкідливих IP-адрес та джерел трафіку. Крім того, хороший WAF захистить від SQL-ін’єкцій, XSS (міжсайтовий скриптинг), RCE (віддалене виконання коду), RFU та інших відомих атак.

Блокування країни

DDoS атаки та захист від них

Блокування відвідувачів на основі геолокації зазвичай ефективно знижує ризик. Більшість атак на веб-сайти походять з таких країн, як Китай, Росія та Туреччина. WAF дає можливість заблокувати їхню взаємодію з вашим сайтом.

Більшість ботнетів створюються на тисячах зламаних серверів та пристроїв (IoT), тому блокування країни може, як і раніше, запобігати спаму тисяч ботів у журналах підключень.

Слідкуйте за трафіком

Регулярний моніторинг трафіку важливий для виявлення будь-яких піків, що натякають на DDoS-атаку. У більшості випадків ці атаки є об’ємними та мережевими (на рівнях 3 та 4). Розуміння того, які загрози ви відчуваєте, допоможе вам ефективно запобігати та реагувати на DDoS.

Для більш ефективного виявлення та запобігання DDoS рекомендується мати інструменти моніторингу і, звичайно, завжди перевіряти журнали. Ось деякі індикатори, які допоможуть вам визначити, чи є трафік законним чи ні:

  • У який час доби відбувалися ці візити. Наприклад, як ви вважаєте, о 2:00 за місцевим часом ваш бізнес побачить сплеск трафіку?
  • Звідки йдуть візити. Якщо ви продаєте каву в Ужгороді, ви справді очікуєте відвідувачів з Індонезії?
  • Сезонні сплески. Зважайте на те, що в період Чорної п’ятниці або новорічних свят може бути реальне зростання відвідуваності.

Купуючи хостинг або VPS у TutHost, наші клієнти отримують зручні інструменти аналітики.

Збільште пропускну спроможність

Уявіть, що ваша мережа схожа на шосе. Якщо виникає пробка, то вам знадобиться шосе з великою кількістю смуг руху. Якщо ви піддаєтеся DDoS-атаці, найкращий спосіб запобігти її наслідкам — збільшити пропускну здатність та поглинути більше трафіку.

Хмарні anti-DDoS рішення

Перехід у хмару допоможе запобігти DDoS-атаці, але не усуне її повністю. Хмарні послуги зазвичай мають більшу пропускну здатність, ніж локальні рішення. Деякі послуги навіть пропонують клієнтам допомогу в пом’якшенні наслідків. Хмарні anti-DDoS підключаються автоматично на початку підозрілої активності.

Одне з найкращих рішень для нейтралізації атак – вибір надійного провайдера захисту. У поєднанні з надійним хостингом , це суттєво знизити ймовірність загрози. Від цього залежить стабільність вашого бізнесу.

Денис Семенюк

Створення та адміністрування сайтів на Wordpress. Оптимізація швидкості сайтів.

Схожі матеріали

Юзабіліті сайту і як його поліпшити

Юзабіліті сайту і як його поліпшити

ВідДавид

Юзабіліті – один із “китів”, на яких стоїть SEO-просування. Ви можете пропонувати найкращі продукти, але їх ніхто не замовлятиме, якщо сайт незручний. Юзабіліті – це спосіб зрозуміти, наскільки сайтом легко користуватися. Завдання веб-дизайнера – зробити так, щоб усі відвідувачі легко і швидко знаходили потрібну інформацію. За хорошого юзабіліті користувачі не тільки замовлять товари і послуги,…

Як використовувати CDN для поліпшення продуктивності сайту

Як використовувати CDN для поліпшення продуктивності сайту

ВідДавид

Сучасні веб-сайти та додатки вимагають високої продуктивності та швидкості завантаження, щоб задовольнити потреби користувачів. Content Delivery Network (CDN, мережа доставки контенту) – це потужний інструмент, який допомагає поліпшити продуктивність сайту, забезпечуючи швидку доставку контенту користувачам у різних частинах світу. У цій статті розглянемо, що таке CDN, як вона працює, і які переваги вона надає. Що…

Як продати свій домен?

Як продати свій домен?

ВідДавид

Домени є цінним цифровим активом, здатним принести вигоду і поліпшити фінансове становище їхніх власників. За правильного підходу можна не тільки вигідно його продати, а й повернути частину тих коштів, які були раніше витрачені на його реєстрацію. Як сформувати ціну для продажу домену Власники доменних імен можуть самостійно призначати ціну. Але якщо робити це безсистемно, то…

SSL сертифікати для FATCA та IRS

SSL сертифікати для FATCA та IRS

ВідДенис Семенюк

За законом FATCA всі банки зобов’язані передавати до податкової служби США IRS дані про своїх іноземних клієнтів (номери їх рахунків, суми на них, оборот за рахунками).Передача даних про клієнтів в IRS здійснюється за допомогою спеціального веб-додатку IDES (International Data Exchange Service), яке дозволяє домогтися захисту інформації, що передається.Щоб зареєструватися в системі IDES, банк повинен спочатку…

8 порад, які допоможуть проіндексувати сайт у Google

8 порад, які допоможуть проіндексувати сайт у Google

ВідДавид

Органічний пошуковий трафік має вирішальне значення для розвитку вашого сайту. Його неможливо отримати, якщо ресурс взагалі не відображається в результатах пошуку. SEO та ключові слова не допоможуть, якщо сайту немає в індексі. Ви можете просто чекати, поки Google проіндексує його, але іноді цього не відбувається. Перш ніж Гугл почне показувати ваш сайт у результатах пошуку,…

Сертифікати SSL. Особливості та відмінності.

Сертифікати SSL. Особливості та відмінності.

ВідДенис Семенюк

Ви використовуєте свій веб-сайт для здійснення операцій або передачі конфіденційних даних? Значить, вам краще показати відвідувачам, що він є повністю безпечним. Зробити це можна за допомогою SSL сертифіката . Це цифрове посвідчення веб-ресурсу, що гарантує, що обмін інформацією між користувачем і сайтом здійснюється за допомогою захищеного каналу із застосуванням зашифрованого протоколу https. Завдяки цьому можна…

Leave a Reply

Your email address will not be published. Required fields are marked *