DDoS-атаки для чайников (защита, а не нападение)

Distributed Denial of Service attack (DDoS) — это комплекс вредоносных действий, направленный на доведение до отказа вычислительной системы. Во время такой хакерской атаки доступ к ресурсу ограничен (или вовсе отсутствует) для обычных пользователей. Сегодня DoS/DDoS атаки — распространенная практика, так как без труда выводят из строя большинство систем, практически не оставляя следов злоумышленника.

Первые подобные атаки были произведены еще в конце 90-х и с тех пор угрожают всем владельцам интернет-ресурсов. История знает немало атак, которые парализовали даже крупные ресурсы:

• Dyn (2016). В результате атаки на DNS-сервисы целую неделю были недоступны Twitter и Netflix.
• GitHub (2018). Самая мощная зафиксированная атака, трафик которой на пике достигал 1,35 Тбит/с. Хакеры использовали уязвимость в Memcached.
• AWS (2020). Мощность атаки достигла 2,3 Тбит/с, что стало рекордом.

Всё же, стоит отметить, что DDoS стали менее успешными, так как было разработано достаточно много технических средств для противостояния действиям злоумышленников.

Как это работает?

Для осуществления атаки используется ограниченная пропускная способность систем, характерная для всех ресурсов сети. Хакеры используют ограничения количества поступающих запросов и ширины канала связи с Интернетом. Атакуемый сервер одновременно начинает получать огромное количество запросов и «ложится».

Существует похожее понятие «флуд». Различие с DoS состоит в том, что при флуде канал забивается огромным количеством ненужной информации, а при DoS — в пакетах содержится заведомо некорректная информация, чтобы сервер не мог ее обрабатывать.

DoS и DDoS тоже легко отличить. DoS предполагают 1 источник атаки, а DDoS — 2 и более.

В качестве источников DDoS-атаки используются так называемые «боты». Их создают путем заражения вирусами техники, имеющей операционную систему (не только компьютеры/телефоны, но и SMART-телевизоры, стиральные машины, системы SMART HOME и т.д.)

В каких целях применяются DDOS-атаки?

К сожалению, сегодня можно организовать атаку, не разбираясь в механике. Существуют специальные службы, которые могут «задудосить» почти кого угодно. Самостоятельно организованная атака, обычно, более действенна. Причин таких мероприятий может быть несколько:

1. Шантаж. Цели хакеров в этом случае — ресурсы крупных компаний. Они запускают атаку и требуют деньги за ее прекращение и возобновление доступа к ресурсам компании обычных пользователей системы.
2. Конкуренция. Некоторые считают, что «положить» сайт конкурента в важный для него день —это прекрасно. (Нет, не делайте так!)
3. Желание развлечься / месть / личные мотивы. Именно для этих случаев чаще всего используются примитивные заказные атаки. От таких действий никто не застрахован.
4. Изучение уязвимостей. Некоторые атаки устраивают в качестве проверки собственного ресурса на отказоустойчивость.

Современные тренды в DDoS-атаках

DDoS-атаки постоянно эволюционируют. Если раньше они были относительно простыми и ограничивались перегрузкой серверов, то сегодня киберпреступники используют более сложные и эффективные методы. Например:

• Использование ботнетов из IoT-устройств. Вредоносные программы, такие как Mirai, заражают умные устройства: камеры, роутеры, телевизоры и даже бытовую технику. Все эти устройства объединяются в ботнет и начинают атаку.
• Атаки на DNS-серверы. Злоумышленники могут атаковать не сам сайт, а его DNS-инфраструктуру, делая ресурс недоступным даже для тех, кто знает его IP-адрес.
• Метод «Carpet Bombing». Вместо атаки на один IP-адрес, хакеры распределяют нагрузку на целый диапазон адресов, что затрудняет фильтрацию трафика.
• Гибридные атаки. Чаще всего DDoS сочетается с другими типами атак, например, с SQL-инъекциями или кражей данных, пока сервер перегружен.

Иногда DDoS-атака становится только началом проблем. Пока сервер атакуют, он крайне уязвим, а значит, из него можно «вытащить» что-нибудь важное. Например, данные о Ваших клиентах, которые они оставляют в формах обратной связи.

Поэтому будьте готовы к тому, что злоумышленники будут требовать деньги не только за то, чтобы оставить сайт в покое, но и за то, чтобы не «слить» важные данные. На самом деле, идти на контакт с хакерами и, тем более, платить им, будет не лучшей идеей в любом случае. Поэтому продумайте план действий на случай таких ситуаций, выясните, насколько сильным будет ущерб в самом плохом случае. Делайте резервное копирование информации и используйте инструменты для предотвращения DDoS-атак.

Методы борьбы

Защита от DDoS атак может быть активной и пассивной. Пассивные меры предполагают, в первую очередь, использование специального ПО. Также сюда относят исключение факторов, которые раздражают недоброжелателей, из своей деятельности. Неоднозначный метод. Если Ваш бизнес успешен — у Вас всегда будут завистники.

К активным относится фильтрация и блокировка сетевого трафика на уровне магистрального провайдера. Осуществляется за счет межсетевых экранов и ACL (Access Control List — список контроля доступа). Последние отвечают за разграничение доступа к ресурсу.

Если Ваш ресурс имеет достаточные серверные мощности и у Вас есть команда толковых специалистов, можно не только заблокировать трафик хакеров, но и перенаправить его обратно на них.

Расширенные методы защиты

Для защиты от DDoS-атак используют как стандартные, так и более современные технологии:

• WAF (Web Application Firewall). Позволяет блокировать вредоносные запросы на уровне приложения, анализируя содержимое трафика.
• Rate Limiting. Ограничивает количество запросов от одного IP-адреса за определённый промежуток времени, предотвращая перегрузку сервера.
• Anycast DNS. Позволяет распределять трафик между несколькими серверами, снижая нагрузку на основной ресурс.
• Облачные анти-DDoS-сервисы. Такие компании, как Cloudflare, Akamai и AWS Shield, могут фильтровать трафик, перенаправляя нагрузку на свои мощные серверы.

Наш вариант

Гарантировать полную безопасность сайта от DDoS-атак невозможно. Можно принять все необходимые меры для блокировки трафика и быстрой остановки атаки в экстренных случаях. Для этого нужна уверенность в технической площадке, отсутствии уязвимостей системы и организация системы мониторинга. Своевременное оповещение об опасности решит большинство проблем.

Оптимальным вариантом будет использование услуг проверенных дата-центров. Таковой является техническая площадка «Макснет». В комплекс услуг нашего Дата-центра входят хостинг и аренда виртуальных серверов с защитой от DDoS-атак.

Нашим специалистам не раз приходилось сталкиваться с подобными действиями злоумышленников, это стало незаменимым опытом. Мы четко понимаем, как реагировать на различные типы DDoS-атак и поэтому оперативно устраняем угрозы.

Чтобы заказать услуги нашего Дата-центра, свяжитесь с нашими менеджерами по почте dc@maxnet.ua или через форму обратной связи на сайте.