Захист від DDoS атак

Одними з найпоширеніших кіберзагроз останніми роками стали DDoS-атаки. З їхньою допомогою зловмисники можуть повністю паралізувати веб-ресурс, закривши доступ для користувачів на невизначений час. Для інтернет-бізнесу, фінансових компаній і веб-порталів державних послуг це може бути дуже болючим. Крім того, падає довіра клієнтів, які не можуть потрапити на сайт, втрачають можливість безпечно здійснювати фінансові операції або інші дії, що вимагають конфіденційності, що підриває репутацію ресурсу.

Що таке DDoS-атаки

DDoS-атака (Distributed Denial of Service) – це розподілена відмова в обслуговуванні. Іншими словами, зловмисники здійснюють певні дії, щоб сайт перестав працювати.

Під час ДДоС-атаки вони надсилають з підконтрольних ресурсів величезну кількість запитів до сервера (вірусний трафік) мережею, які він не в змозі обробити. Відбувається перевантаження і відмова системи, сервер перестає працювати, клієнти втрачають доступ до сайту.

Особливо страждають від DDoS-атак особисті сайти, створені на безкоштовних шаблонах. Зазвичай власник подібного ресурсу не має достатньо досвіду в захисті від кіберзагроз. Ціна такої безпечності може бути дуже високою. Рекомендуємо купити послугу адміністрування сервера для ефективної боротьби з ДДоС-атаками в TutHost.

Класифікація DDoS-атак

Для атаки найчастіше використовують певні рівні моделі взаємодії відкритих систем OSI:

1. Рівні інфраструктури:
   1. мережевий L3 – атаки спрямовані на роутери і комутатори. Використовуються протоколи IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF.
   2. транспортний L4 – атаки спрямовані на сервери і різноманітні сервіси (ігрові тощо). Використовуються протоколи TCP та UDP, підпротоколи DCCP, RUDP, SCTP, UDP Lite.
2. Рівні додатків L7. На рівні додатків атаки націлені на сервіси, додатки та сайти. Використовуються протоколи HTTP, HTTPS і DNS.

Завдання атаки мережевого рівня – домогтися відмови в обслуговуванні легітимних запитів. ДДоС атаки на транспортну інфраструктуру масові, вони перевантажують пропускні спроможності мережі та сервери трафіком, але легко обчислюються за певними ознаками.

Атаки на рівні застосунку не такі масові, але спрямовані на вразливості в його архітектурі. Для таких атак використовується SSL-порушення, флуд запитів DNS і HTTP, потоки запитів до API додатка або Wordpress Pingback.

Методи захисту від DDoS-атак

Існує кілька методів нейтралізації та захисту від DDoS-атак.

Ізоляція зон атаки

Щоб ефективно нейтралізувати атаку, потрібно обмежити зону, якої може торкнутися кіберзагроза. Зменшення зони знижує можливості хакерів, а для адміністратора сервера підвищує шанси вчасно обчислити і нейтралізувати атаку.

Потрібно зменшити до мінімуму або відключити точки вразливості, як-от порти, додатки та протоколи, з якими не передбачено взаємодії, обмежити трафік до певних частин інфраструктури (наприклад, баз даних), використовувати CDN, балансувальники навантажень тощо.

Збільшення пропускної здатності та продуктивності сервера

Цей метод допомагає нейтралізувати масштабні ДДоС-атаки шляхом їх поглинання. Для цього потрібно передбачити збільшену пропускну здатність при підключенні до мережі. Під час масштабної атаки пропускної спроможності вистачить, щоб застосунок або ресурс залишалися доступними для клієнтів навіть за вірусного трафіку. Також застосунки та ресурси потрібно розміщувати поблизу великих вузлів міжмережевого обміну, які допомагають збільшувати пропускну здатність.

ДДоС-атаки використовують багато ресурсів, тому потрібно мати можливість регулювати обчислювальні обсяги сервера. Збільшена продуктивність сервера підтримує обробку великих обсягів трафіку. Для регуляції розподілу навантажень і мінімізації перевантажень використовувати балансувальники.

Еталонний і нетиповий трафік

Ще одним методом обчислення DDoS-атаки є відстеження трафіку. Нетиповий трафік – це коли множинні запити надходять у нестандартний час, з нецільових регіонів, з яких зазвичай не буває відвідувачів. Наприклад, раптом зростає трафік о 2 годині ночі з Нової Зеландії, хоча ваша цільова аудиторія перебуває в Україні.

Тому необхідно перевіряти журнали і відстежувати подібні нетипові активності. Якщо обсяги запитів перевищують максимально допустимий трафік, потрібно вжити заходів щодо нейтралізації. Але при цьому не забувати, що в передсвятковий період або в сезон розпродажів трафік може сильно зрости з природних причин.

Використання брандмауерів

Для захисту від DDoS-атак, що використовують уразливості в додатках шляхом впровадження SQL-коду або міжсайтового скриптингу, краще використовувати брандмауер. Він нейтралізуватиме запити за певними характеристиками, які відрізняються від еталонного трафіку. Наприклад, запити з підозрілих IP або з нетипових географічних регіонів.

Кому потрібна послуга DDoS-захисту

Найчастіше ДДоС-атакам піддаються:

• фінансовий сектор;
• платіжні системи;
• інтернет-магазини;
• державні установи.

Також нерідкими жертвами стають ресурси медіакомпаній, наприклад, під час топових онлайн-трансляцій, коли сильно зростає трафік.

Чому базові засоби захисту не рятують від DDoS-атак

Стандартні системи запобігання вторгнень IPS і міжмережеві екрани допомагають зберігати цілісність даних і запобігають їхньому витоку всередині ресурсів компанії, але не захищають від загроз ззовні, а також можуть самі стати мішенями для зловмисників.

Чому варто обрати сервіс “Захист від DDoS-атак” у TutHost

Наш сервіс захисту від DDoS-атак включає такі послуги:

• моніторинг трафіку, висока точність визначення шкідливих запитів;
• швидка організація захисту від атак, встановлення фільтрів флуду SYN, HTTP, UDP/ISMP;
• відбиття великомасштабних атак;
• забезпечення доступності серверів.

Ви можете вибрати і купити один із трьох тарифних планів сервісу захисту від ДДоС-атак за доступною ціною. Ми гарантуємо надійний захист від зовнішніх зазіхань і доступність ваших веб-ресурсів і додатків для клієнтів.

• Відбивати атаки великого обсягу більше 1 Tbps
• Швидко організувати захист вашого сервісу
• З високою точністю визначати шкідливий трафік
• Забезпечити моніторинг доступності сервісів