Что такое ddos атаки: DDoS-атаки в 2022 и методы защиты от них / Хабр

DDoS-атаки в 2022 и методы защиты от них / Хабр

Мы в Southbridge занимаемся построением и поддержкой ИТ-инфраструктуры и в процессе работы регулярно сталкиваемся с DDoS-атаками на серверы клиентов. Поэтому мы накопили опыт в этом вопросе. Денис Чернов, DevOps-инженер Southbridge, провёл вебинар о DDoS-атаках и подготовил на его основе эту статью. Слово Денису.

Привет, Хабр! Хочу поделиться тем, что знаю о DDoS — что это за атаки, какие они бывают, как можно их предотвратить и минимизировать влияние таких атак на свой сервис.

Эта статья написана по моему вебинару. Можно посмотреть его на Youtube — там кроме теории есть практика с настройкой защиты веб-сервера и имитацией DDoS-атаки.

Что такое DDoS-атаки и зачем их устраивают

DDoS — это Distributed Denial of Service, распределённый отказ в обслуживании. По сути это хакерская атака, которая перегружает систему, чтобы конечные потребители не могли пользоваться сервисом. Атака может быть направлена на всю ИТ-инфраструктуру, конкретный сервис либо канал до этого сервиса.

Распределённая — значит, что атака выполняется одновременно с большого количества устройств, которые зачастую распределены географически. Это могут быть как специально подготовленные сервера, так и ботнеты из зараженных устройств. Ботнет — это группа устройств, на которых запущены скрипты, выполняющие нужный злоумышленнику код, в данном случае — DDoS-атаку. Зачастую ботнеты собираются из устройств, зараженных вредоносным ПО, и их владельцы даже не подозревает о «двойной жизни» своих гаджетов.

DDoS-атака может быть организована с коммерческой целью:

• Получить выкуп — обрушить систему и потребовать деньги за прекращение атаки.

• Подставить конкурента. Например, обрушить его сайт в преддверии крупного праздника, чтобы клиенты ничего не могли заказать и пошли в другой магазин.

Но бывают и некоммерческие причины атак:

• геополитические;

• просто ради развлечения;

• ради «хакерской» практики;

• из «обиды» на какой-либо сайт, сервис или бренд.

Вне зависимости от причины DDoS-атака влияет на вашу конечную инфраструктуру и делает ваш сервис или сайт недоступным. Причины у недоступности могут быть разные, например:

1. Заполнение вашего сетевого канала паразитным трафиком: пустыми запросами и пакетами.

2. Утилизация ресурсов: ваш веб-сервер или СУБД оказывается загружен обработкой ненужных запросов и не может выдать реальным клиентам нужную информацию.

Кроме недоступности сервиса есть и другие последствия DDoS-атак:

• Если ваши серверы в облаке, а трафик платный, вы можете понести финансовые расходы.

• Если сайт будет недоступен больше двух суток, поисковые боты станут ранжировать вас ниже. Позиции в поисковой выдаче придётся восстанавливать.

• Даже после восстановления работоспособности сервиса клиенты станут меньше вам доверять и могут уйти к конкурентам.

• Под атакой элементы ИТ-инфраструктуры могут вести себя некорректно. Например, выдавать пользователю внутреннюю информацию о СУБД, к которой не удаётся подключиться. Ещё я на практике видел ошибку коннекта к базе данных даже после того, как проблемы с DDoS были уже решены.

Какие DDoS-атаки бывают

Существует несколько классификаций DDoS-атак. Здесь я хочу поговорить о классификации по уровням модели OSI.

Низкоуровневые. Они происходят на L3-L4 модели OSI, то есть в районе сетевого и транспортного протокола:

• Сетевой уровень (L3): DDoS-атаки по протоколам IPv4, IPv6, ICMP, IGMP, IPsec, RIP, OSPF. Цели таких атак —  в первую очередь сетевые устройства.

• Транспортный уровень (L4): воздействие по протоколам TCP и UDP.
  Цели таких атак — конечные серверы и некоторые интернет-сервисы.

Такие атаки весьма распространены. Дело в том, что стандарты интернета в делались с расчётом на то, что все участники будут добросовестно их использовать.

Например, в протоколе UDP, который работает поверх IP, информация передаётся датаграммами, и в заголовках пакета не содержится IP ни источника, ни получателя. UDP доверяет адресацию протоколу IP, поверх которого работает, а в протоколе IP эти заголовки есть, но они никак не проверяются. Соответственно, очень многие атаки основаны на том, что меняется один из IP-адресов, как правило, это IP-адрес источника. Это называется спуфингом, т.е. атакой с подменой данных одного из узлов.

Такие атаки характерны тем, что нагружают какие-то части вашей инфраструктуры, забивают канал или заполняют служебные таблицы.

Высокоуровневые. Они затрагивают уровень приложения, L7, и воздействуют по прикладным протоколам, например, HTTP. Цели таких атак — конечные серверы и сервисы.

Самые распространённые виды атак

Существует несколько разновидностей DDoS-атак в зависимости от того, на что и как конкретно они воздействуют. Расскажу о четырех самых популярных.

UDP Flood

UDP работает поверх протокола IP, и там нет установки соединения как такового — данные просто отсылаются безо всякого контроля целостности.  Поэтому злоумышленник может, например, подменить IP-адрес источника — рассылать пакеты со своего устройства, но делать, вид, что они приходят из других мест. Проверить это нельзя, и именно в таком виде они придут на сервер.

При такой атаке злоумышленник генерирует множество пакетов максимального размера и отправляет на сервер-жертву. Опасность в том, что даже если сервер закрыт на firewall, невозможно повлиять на фильтрацию таких данных до их получения сетевым интерфейсом. «Последняя миля» от граничного маршрутизатора до сетевого интерфейса зачастую является наиболее уязвимым местом по пропускной способности. Пакеты всё равно пойдут через ваш канал и заполнят полосу пропускания.

Что делать. Банить на сервере пакеты по IP неэффективно, потому что заголовки легко менять (вышеупомянутый спуфинг). А если вы ещё и слушаете что-то по UDP-порту, бороться с ситуацией становится особенно сложно.

Обычно сервисы, которые работают через UDP — потоковые: IPTV, голосовые серверы вроде Тимспика, игры. Есть вариант посчитать длину пакета, которую вы обычно получаете, например, для входа в игру. И настроить firewall так, чтобы в доверенные добавлялись только адреса, откуда пришли пакеты нужного размера с подходящим содержимым. Это можно сделать с помощью анализа дампа трафика, который генерирует легитимное клиентское приложение.

Также есть методы усиления (амплификации), позволяющие многократно усилить атаку. Злоумышленник рассылает совершенно нормальным серверам по всему миру запрос (например DNS запрос, который использует UDP порт 53), в котором подменяет свой адрес на адрес жертвы в заголовках. Соответственно все сервера, на которые пришел запрос, отправляют ответ не на адрес атакующего, а на адрес жертвы, который был указан в заголовках. Так как DNS-ответ намного больше запроса, то и объем данных, который приходит на сервер жертвы, зачастую весьма велик.

Если вы не работаете через UDP, его вообще можно закрыть — так делают многие провайдеры, размещая свои DNS-сервера внутри сети.

Кстати, сейчас активно внедряют новый протокол QUIC, который будет являться транспортным для HTTP3.  Этот протокол работает как раз поверх UDP и, скорее всего, будет подвержен таким атакам. Пока не знаю, как с ними планируют бороться. Может, разработают какие-то подходящие инструменты.

Фрагментированный UDP Flood

У него кроме описанного выше есть дополнительное действие. Атакующий присылает на сервер жертвы пакет, но говорит, что это только часть. Сервер-жертва резервирует у себя ресурс, чтобы собрать пакет, но новые фрагменты не приходят.

Что делать. Отбрасывать пакеты, которые по ожиданиям будут слишком большого размера, чтобы не забивать вашу оперативную память.

TCP SYN Flood

У TCP есть механизм установки соединения. Сначала источник посылает SYN-запрос о том, что хочет установить соединение. Сервер-получатель отвечает пакетом SYN+АСК о том, что готов к соединению. 

Источник отвечает ACK-пакетом, подтверждая получение SYN+ACK.

Соединение устанавливается, потому что обе стороны подтвердили готовность, и начинают передаваться данные.

Здесь уже есть проверка соответствия IP-адреса, поэтому подменить его не получится. Но атакующий может генерировать SYN-пакет, инициируя новую сессию с сервером-жертвой, а соединение не установить, не отправляя АСК. Такая атака переполняет таблицу соединений, вызывая падение производительности. На настоящие запросы просто не остаётся места.

Что делать. Блокировать через firewall по превышению и настраивать лимиты по количеству SYN-пакетов в секунду, которые вы ожидаете для вашего сервиса.

HTTP Flood

Направлена уже не на соединение, а непосредственно на ваш сервис, и обычно воздействует на прикладной уровень модели OSI.

HTTP Flood — это просто генерация запросов. Здесь не происходит какой-то подмены, нарушений стандартов или тому подобного. Это распределённые запросы с целью вызвать недоступность вашего веб-сервера. Банально — злоумышленник отправляет миллионы запросов по генерации главной страницы вашего сайта, и сервер просто не справляется. Это как реальное обрушение в Черную пятницу, только вызванное искусственно.

Борьба с такими атаками сильно разнится в зависимости от инфраструктуры и характера атаки. Дальше расскажу об этом подробнее.

Методы предотвращения и защиты от DDoS-атак

Общий анализ инфраструктуры

1. Составить план инфраструктуры. Однозначно понять, что и где у вас расположено, какие сервисы и серверы вы используете.

2. Проанализировать, какие элементы инфраструктуры должны быть доступны извне. Все, которые не должны быть — закрыть. Например, СУБД не должна быть доступна извне. Стоит в firewall ограничить доступ и сменить порт со стандартного.

3. Убедиться, что IP-адреса инфраструктуры не скомпрометированы. Даже если вы отбили атаку на основной сервис, другой элемент вашей инфраструктуры может стать целью атаки.

Минимизация зоны атаки

1. Настроить firewall сервера. В политиках ни в коем случае нельзя оставлять настройки по дефолту. Важно закрыть все, кроме доверенных адресов и сетей.

2. Скрыть все реальные IP-адреса инфраструктуры. Периодически их менять.

3. По возможности отказаться от нешифрованного трафика. Перестать использовать HTTP и перейти на HTTPS. Это важно для безопасности в целом, но и от DDoS защищает — чтобы злоумышленники не смогли подсмотреть ваши пакеты и понять, как вы их формируете, чтобы потом подделать.

4. Проверить бизнес-логику, чтобы понять, как и куда ваш легитимный клиент должен делать запросы. Так вы научитесь распознавать нелегитимные.

5. Если на физическом сервере находится не один сервис, важно тщательно разграничить их по ресурсам. Чтобы упавший сервис не мог съесть все ресурсы и повредить другим сервисам.

Настроить мониторинг

Бывает так, что DDoS-атаки неочевидны и труднообнаружимы. Например, атаковать могут микросервис по приему заказов. Тогда главная страница будет доступна, но клиенты не смогут сделать заказ — и пока вам об этом не сообщат, вы останетесь в неведении.

Поэтому важно настроить мониторинг показателей сервиса: канал, загрузка CPU, траты памяти, работоспособности отдельных микросервисов и важных для бизнеса элементов сайта.

На что еще обратить внимание

1. После атаки IP бэкенда может остаться известен злоумышленникам. Поэтому его важно менять — ведь раз вас хотят «положить», то после отбитой атаки могут начать атаковать снова.

2. Защищать нужно все сервисы, а не только часть. Иначе эффективность защиты сильно упадет.

3. Граничные маршрутизаторы, «последняя миля» до вашего сервера, не всегда приспособлены подавлять флуд, который забивает ваш канал. Учитывайте это при выборе провайдера.

4. Определённые части кода могут быть плохо оптимизированы и уязвимы к атакам. Их нужно прорефакторить.

Мы в Southbridge достаточно часто сталкиваемся с DDoS-атаками. Последовательно выявляя характер атаки и её паттерны, не так уж сложно выработать методы противодействия и модернизировать инфраструктуру, учитывая необходимость отражения таких атак. Я сталкивался с сильной атакой только один раз, а в остальных случаях справиться всегда удавалось. Значит, и вам по силам построить инфраструктуру, устойчивую к DDoS.

Все о DDoS-атаках и защите

Марина Суворова

Редактор блога

Безопасность

24 марта 2022

Время чтения

9 минут

Компании любых размеров, индивидуальные предприниматели и стартаперы активно используют онлайн-среду, размещая в ней различную информацию и сервисы для работы. Вместе с этим развиваются инструменты противодействия благоприятному развитию бизнеса. DDoS-атаки — одни из часто используемых инструментов.

По данным «Лаборатории Касперского», в четвертом квартале 2021 года замечен внушительный рост числа DDoS-атак — он стал рекордным за всю историю наблюдений. Количество атак выросло на 52% относительно предыдущего квартала и более чем в 4,5 раза по сравнению с аналогичным периодом 2020 года.

Важно заметить, что DDoS-атаки не направлены на систему для нанесения ей вреда и не приводят к фатальным сбоям в работе. Они нацелены на важное свойство системы, заключающееся в доступности для пользователя, и приводят ее в ступор. В итоге для пользователя система выглядит как сломанная.

Масштабы DDoS-атак и их последствия могут быть глобальными для пользователя, но не для атакуемого сервиса. Как только атака прекращается, можно перезапустить атакованные узлы, и их работоспособность вернется в норму.

Каждому управленцу и владельцу ресурсов в интернет важно понимать, что такое DDoS-атаки, какими они бывают и как можно защитить свой онлайн-продукт.

Что такое DDoS-атака

Для понимания этого термина обратимся к его производным: DoS (Denial of Service) означает отказ в обслуживании, а DDoS (Distributed Denial of Service) — распределенный отказ в обслуживании.

DoS-атакой считается действие, направленное на частичное или полное нарушение работоспособности отдельных интернет-сервисов или глобальной инфраструктуры за счет исчерпания какого-то ограниченного ресурса, лежащего в основе сервиса. Например, оперативной памяти web-сервера, реализующего логику работы приложения, или ширины канала подключения атакуемой системы к интернету, или количества одновременно поддерживаемых web-приложением пользовательских сессий и так далее.

Сама DoS-атака подразумевает искусственно созданный поток запросов к онлайн-ресурсу или ответов к обеспечивающим его работу сервисам, цель которого — многократное увеличение нагрузки на сайт или сервер и выведение их из состояния нормальной работы.

DoS-атаки осуществляются на серверы, сайты, сервисы в составе систем и даже телефонные номера — спам-звонки делают телефонную линию недоступной для обычных пользователей, что в итоге приводит к оттоку и падению лояльности клиентов.

DDoS-атака является разновидностью обыкновенной DoS-атаки. Отличие DoS от DDoS в количестве задействованных устройств. В случае классической DoS для отправки запросов в сторону цели атаки используется, как правило, одно устройство.

В случае DDoS-атаки задача распределяется между большим количеством атакующих устройств, как правило, управляемых атакующим центром.

Примечание

DoS-атака может быть как созданной искусственно с целью нанесения вреда, так и естественной, вызванной, как правило, отказом отдельных узлов или неправильным планированием ресурсов, лежащих в составе системы — это часто происходит в ситуациях, когда органический трафик превышает возможности сервера сайта.

Кто и с какой целью проводит атаки

Можно выделить несколько основных целей и инициаторов DDoS-атак:

1. Борьба с конкурентом. Атака на сервер может проводиться конкурентами для уменьшения трафика на сайт, снижения продаж или полного «падения» доступности ресурса для его пользователей.  
2. Хактивизм. Политическая или активистская протестная деятельность, с целью привлечь, обратить внимание большого количества пользователей атакуемого ресурса или системы на какие-то требования или ситуацию. 
3. Вымогательство. Целью хакеров может быть заработок. В таких ситуациях массивные атаки могут продолжаться до тех пор, пока владелец ресурса не согласится с требованиями мошенников. Это все равно что трясти закрытый сейф и ждать, что из него посыплются деньги. 
4. Личная неприязнь. Иногда единственная цель атаки — желание навредить без каких-либо дополнительных предпосылок. Таким атакам часто подвергаются ресурсы и форумы, на которых идет обсуждение медийных персон. 
5. Обучение — пробные, как правило, кратковременные действия злоумышленников с целью научиться или отработать сложный сценарий атаки на информационную систему. 
6. Кража персональных данных. Увеличение нагрузки на сайт или даже сервер может приводить к повышению его уязвимости. Злоумышленники могут пользоваться этим для получения доступа к защищенным персональным данным.

Последнее является скорее теоретизированной возможностью. Весьма маловероятно, что DDoS-атака на сам ресурс приведет к реальному нарушению работоспособности, приводящему к утечке чувствительных данных.

Такое возможно только в том случае, если DDoS-атака является одним из элементов многоступенчатой атаки. Как правило, в этом случае DDoS-атака вообще направлена не на основную цель, а на другой элемент системы, например, на средство защиты, мониторинга, регистрации событий.

Чем опасна DDoS-атака для информационной системы

Проблема DDoS-атак заключается в следующем. У вас может быть установлена самая безопасная информационная система, самые современные и эффективные средства защиты и устранены все уязвимости кода. Несмотря на это, ваша информационная система не будет работать и не будет доступна для пользователей все то время, пока она находится под атакой. При этом стоимость затрат злоумышленников на проведение такой атаки может быть существенно меньше того репутационного риска и опасности потерять клиентов, доходы, рынок, которые несет владелец атакуемой системы.

Стоимость использования защитных мер для противодействия DDoS-атакам существенно ниже потерь бизнеса от реализации этих атакКонстантин Феоктистовархитектор по кибербезопасности SberCloud

Типы DDoS-атак

Выделяют несколько типов DDoS-атак:

• «Пинг смерти» (Ping of Death) — отправка пакета данных объемом более 65 535 байт, приводящая к сбою в работе сервера или его отключению. Использовалась в 90-е. Современные системы не подвержены такой атаке. 
• HTTP(S) GET/POST-флуд — загрузка с сервера объемных данных или отправка на сервер ничего не значащей информации с целью заполнения канала передачи данных и расходования ресурсов сервера на обработку этого запроса. 
• Smurf-атака — отправка атакуемой системе ICMP-ответов от компьютеров на специально сформированный запрос. 
• UDP-флуд — отправка множества UDP-пакетов на множество портов (определенные или случайные), чтобы заставить TCP/UDP-стек жертвы  обрабатывать ошибки приема пакетов и создавать ответные ICMP-сообщения.  
• SYN-флуд — одновременный запуск множества TCP-соединений, размещенных в SYN-пакетах, имеющих устаревший или несуществующий обратный адрес. 
• Layer 7 HTTP-флуд — поток HTTP-запросов, обычно направлен на «слабые» места веб-приложения, в основном, логику веб-приложения и нацелены на исчерпание ресурсов веб-сервера при обработке «тяжелых» запросов, интенсивных функций обработки или памяти. 
• Атаки на DNS-серверы — отправка на сервер пустых, типовых запросов (пакетов данных). 
• Амплификация атаки — способ выполнения DDoS-атаки, приводящий к многократному усилению воздействия на жертву атаки: небольшое количество ботов инициирует отправку огромного количества поддельных пакетов или запросов. Такой подход применяется в атаках, построенных на основе DNS или NTP-протоколов.

Как понять, что вас атакуют

Успешно проведенная атака быстро приводит к нарушению доступности сервера для клиентов или размещенных на нем ресурсов. Но есть ряд признаков, позволяющих распознать самое начало атаки.

Это:

• частые сбои в работе серверного ПО и ОС; 
• резкое увеличение нагрузки на аппаратные мощности сервера; 
• значительное увеличение входящего трафика; 
• многократное дублирование типовых действий пользователей ресурса.

Признаком также считается резкое увеличение трафика от пользователей, не входящих в целевую аудиторию сервиса.

Как защититься от DDoS-атак

Меры по защите сайта или сервера надо предпринимать еще на этапе разработки и постепенно расширять их, снижая уязвимость.

• Защита программного кода. В процессе написания прикладного ПО должны учитываться стандарты безопасного кодирования и проводиться тщательные тесты обеспечения. Это поможет исключить типовые ошибки и известные уязвимости. 
• Своевременное обновление ПО. Регулярное совершенствование ПО в составе сервера позволит улучшать защиту и не даст злоумышленникам возможность использования старых методов атак. 
• Создание контрольных точек. Чтобы «смягчить» последствия, нужно иметь контрольные точки восстановления и снапшоты СХД, к которым можно выполнить откат системы.  
• Ограничение прав доступа. Аккаунты администраторов должны иметь надежную защиту и регулярно обновляемые сложные пароли. Также надо контролировать, чтобы расширенные права доступа были у ограниченного круга людей. 
• Средства защиты от провайдера. Операторы связи могут предложить инструменты для изменения схемы маршрутизации трафика, в том числе выделения дополнительных каналов для увеличения пропускной способности.

Каналы от провайдера могут быть так же защищены средствами борьбы с DDoS-атаками на уровнях L3 или L4.

• Использование CDN-партнера. Content Delivery Network (сети доставки контента) помогают доставлять контент распределенно, что уменьшает нагрузку на сервер и снижает время задержек.
• Использование Web Application Firewall (фаервол для веб-приложений). Мониторит поступающий трафик, оценивая легитимность запросов и проверяя нетипичное поведение. Подобные технологии используются в инструменте противодействия DDoS-атакам SberCloud Anti-DDoS. Он фильтрует трафик, обеспечивая стабильность и бесперебойность работы информационных ресурсов в соответствии с протоколами HTTP или HTTPS. 
• Использование специализированных сервисов защиты от DDoS. Существуют специализированные сервисы, построенные для противодействия массированным распределенным атакам на отказ в обслуживании. Как правило, способны защищать от атак на уровнях L3, L4, L7 и содержат в составе дополнительные функции и средства защиты, обеспечивающие удобство в обеспечении защиты ресурсов от DDoS-атак.
  

Средства защиты, как и технологии атаки, постоянно совершенствуются.

SberCloud Anti-DDoS+WAF

Инструмент защиты от DDoS-атак. Помогает обеспечить стабильную работу клиентских сайтов и веб-сервисов по протоколам HTTP/HTTPS

Попробовать

Примеры самых мощных DDoS-атак

Количество DDoS-атак в мире стремительно увеличивается. Среди них за последние 15 лет, можно выделить самые известные и мощные.

• В 2007 году в течение 3-х недель ботнеты непрерывно атаковали Эстонию. Пострадали торговля, банковский сектор, почтовые сервисы были завалены спамом. 
• В 2012 году была атакована американская банковская система: 6 крупных банков США попали под атаку мощностью 60 Gbps. 
• В 2016 году был организован ботнет из сотен тысяч IoT-устройств, управляемых ботнетом Mirai, участвовавшим во множестве атак мощностью от 600 Gbps до 1,1 Tbps. 
• В 2017 году в самой крупной из известных атак мощностью 2.5 Tbps на Google участвовали ботнеты из Китая, приписываемые правительственным хакерам. Google справился с атакой, пользователи не пострадали. 
• В 2018 году был атакован сервис GitHub. Мощность атаки составила 1,35 Tbps. Атака была короткой, что позволило замедлить и вывести из строя сервис на 10 минут. Атака была построена не на сети ботнетов, а на эксплуатации уязвимости самой платформы. 
• В 2020 и 2021 годах были атакованы облака Amazon Wеb Services в течение 3-х дней мощностью 2,3 Tbps, Microsoft Azure в течение 9 минут атаковывали мощностью 2,4 Tbps и Yandex был атакован 22 миллионами запросов в секунду. Примечательно, что компания Amazon посчитала, что каждая минута простоя обходилась бизнесу в 5 600 долларов США.   

Что грозит за осуществление DDoS-атаки

Заказ и проведение DDoS-атаки квалифицируются в соответствии с нормами о преступлениях в компьютерной сфере, к которым относятся две статьи УК РФ:

• ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. 
• ст. 273 УК РФ — создание, использование и распространение вредоносных компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Мерами пресечения подобных преступлений может быть штраф, условное наказание или реальное лишение свободы сроком до 7 лет. Дополнительно предусматривается возмещение причиненного ущерба.

Уголовные дела по факту DDoS-атак возбуждаются крайне редко. Обусловлено это тем, что технически выявить исполнителя или заказчика неправомерных действий практически невозможно, а у сотрудников правоохранительных органов часто не хватает квалификации в сфере компьютерных технологий.

Резюме

DDoS-атаки — это инструмент в руках злоумышленников, который может быть применен практически к любому интернет-ресурсу, серверу и сайту. Последствия таких действий могут быть значительными и даже разрушительными. Владельцам серверов и сайтов следует тщательно заботиться о защите собственных ресурсов. При этом защиту важно постоянно совершенствовать, ведь количество DDoS-атак неизменно увеличивается, а их методы становятся еще технологичнее и опаснее.

Что такое DDoS-атака? DDoS Значение, определение и типы

DDoS-атака означает «распределенную атаку типа «отказ в обслуживании» (DDoS) » и представляет собой киберпреступление, при котором злоумышленник заливает сервер интернет-трафиком, чтобы помешать пользователям получить доступ к подключенным онлайн-сервисам и сайтам. .

Мотивы для проведения DDoS-атак сильно различаются, как и типы людей и организаций, стремящихся совершить эту форму кибератаки. Некоторые атаки осуществляются недовольными людьми и хактивистами, желающими вывести из строя серверы компании просто для того, чтобы заявить о себе, повеселиться, используя киберслабость, или выразить неодобрение.

Другие распределенные атаки типа «отказ в обслуживании» имеют финансовую мотивацию, например, когда конкурент нарушает или закрывает онлайн-операции другого бизнеса, чтобы тем временем украсть бизнес. Другие связаны с вымогательством, когда преступники нападают на компанию и устанавливают программы-заложники или программы-вымогатели на свои серверы, а затем вынуждают их заплатить крупную сумму за возмещение ущерба.

DDoS-атаки растут, и даже некоторые из крупнейших мировых компаний не застрахованы от DDoS-атак. Крупнейшая атака в истории произошла в феврале 2020 года не на что иное, как на Amazon Web Services (AWS), превзойдя предыдущую атаку на GitHub двумя годами ранее. Последствия DDoS включают падение законного трафика, потерю бизнеса и ущерб репутации.

По мере распространения Интернета вещей (IoT) растет число удаленных сотрудников, работающих дома, и количество устройств, подключенных к сети. Безопасность каждого IoT-устройства может не поддерживаться, что делает сеть, к которой оно подключено, уязвимой для атак. Таким образом, важность защиты и смягчения последствий DDoS-атак имеет решающее значение.

Целью DDoS-атаки является переполнение устройств, служб и сети намеченной цели фальшивым интернет-трафиком, что делает их недоступными или бесполезными для законных пользователей.

DoS против DDoS

Распределенная атака типа «отказ в обслуживании» является подкатегорией более общей атаки типа «отказ в обслуживании» (DoS). При DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы завалить цель поддельными запросами или попытаться использовать уязвимость кибербезопасности. DDoS больше по масштабу. Он использует тысячи (даже миллионы) подключенных устройств для достижения своей цели. Огромный объем используемых устройств значительно усложняет борьбу с DDoS.

Ботнеты

Ботнеты являются основным способом осуществления распределенных атак типа «отказ в обслуживании». Злоумышленник взламывает компьютеры или другие устройства и устанавливает вредоносный фрагмент кода или вредоносное ПО, называемое ботом. Вместе зараженные компьютеры образуют сеть, называемую ботнетом. Затем злоумышленник дает указание ботнету перегрузить серверы и устройства жертвы большим количеством запросов на подключение, чем они могут обработать.

Одна из самых больших проблем с определением DDoS-атаки заключается в том, что ее симптомы не являются чем-то необычным. Многие из симптомов аналогичны тем, с которыми пользователи технологий сталкиваются каждый день, в том числе низкая скорость загрузки или скачивания, невозможность просмотра веб-сайта, обрыв интернет-соединения, необычные медиафайлы и контент или чрезмерное количество спама.

Кроме того, DDoS-атака может длиться от нескольких часов до нескольких месяцев, а степень атаки может варьироваться.

 

Какие страны наиболее подвержены DDoS-атакам?

Прочтите отчет, чтобы узнать больше

Различные атаки нацелены на разные части сети и классифицируются в соответствии с уровнями сетевых подключений, на которые они нацелены. Соединение в Интернете состоит из семи различных «уровней», как определено моделью взаимодействия открытых систем (OSI), созданной Международной организацией по стандартизации. Эта модель позволяет различным компьютерным системам «общаться» друг с другом.

 

Объемные или объемные атаки

Этот тип атаки направлен на контроль всей доступной полосы пропускания между жертвой и большим Интернетом. Усиление системы доменных имен (DNS) является примером атаки на основе объема. В этом случае злоумышленник подделывает адрес цели, а затем отправляет запрос поиска DNS-имени на открытый DNS-сервер с поддельным адресом.

Когда DNS-сервер отправляет ответ DNS-записи, он вместо этого отправляется цели, в результате чего цель получает усиление изначально небольшого запроса злоумышленника.

Протокольные атаки

Атаки по протоколам потребляют всю доступную мощность веб-серверов или других ресурсов, таких как брандмауэры. Они выявляют слабые места на уровнях 3 и 4 стека протоколов OSI, чтобы сделать цель недоступной.

SYN-флуд — это пример атаки на протокол, при которой злоумышленник отправляет цели огромное количество запросов установления связи по протоколу управления передачей (TCP) с поддельными исходными IP-адресами. Целевые серверы пытаются ответить на каждый запрос на подключение, но окончательное рукопожатие никогда не происходит, что подавляет цель в процессе.

Атаки прикладного уровня

Эти атаки также направлены на истощение или перегрузку ресурсов цели, но их трудно пометить как вредоносные. Часто называемая DDoS-атакой 7-го уровня (имея в виду 7-й уровень модели OSI) атака на уровне приложений нацелена на уровень, на котором веб-страницы генерируются в ответ на запросы протокола передачи гипертекста (HTTP).

Сервер выполняет запросы к базе данных для создания веб-страницы. В этой форме атаки злоумышленник заставляет сервер жертвы обрабатывать больше, чем обычно. HTTP-флуд — это тип атаки на уровне приложений, аналогичный постоянному обновлению веб-браузера на разных компьютерах одновременно. Таким образом, чрезмерное количество HTTP-запросов перегружает сервер, что приводит к DDoS.

Даже если вы знаете, что такое DDoS-атака, очень трудно избежать атаки, потому что ее обнаружение представляет собой сложную задачу. Это связано с тем, что симптомы атаки могут не сильно отличаться от типичных проблем обслуживания, таких как медленная загрузка веб-страниц, а уровень изощренности и сложности методов DDoS продолжает расти.

Кроме того, многие компании приветствуют всплеск интернет-трафика, особенно если компания недавно запустила новые продукты или услуги или сообщила о важных для рынка новостях. Таким образом, предотвращение не всегда возможно, поэтому организации лучше всего планировать ответные действия на случай возникновения таких атак.

После предполагаемой атаки у организации есть несколько способов смягчить ее последствия.

Оценка рисков

Организации должны регулярно проводить оценку рисков и аудиты своих устройств, серверов и сети. Хотя полностью избежать DDoS невозможно, тщательное понимание сильных и слабых сторон аппаратных и программных активов организации имеет большое значение. Знание наиболее уязвимых сегментов сети организации является ключом к пониманию того, какую стратегию следует реализовать, чтобы уменьшить ущерб и сбои, которые может нанести DDoS-атака.

Дифференциация трафика

Если организация считает, что она только что стала жертвой DDoS-атаки, первое, что нужно сделать, — это определить качество или источник аномального трафика. Конечно, организация не может полностью отключить трафик, так как это означало бы выбрасывать хорошее вместе с плохим.

В качестве стратегии смягчения последствий используйте сеть Anycast для распределения трафика атаки по сети распределенных серверов. Это делается для того, чтобы трафик поглощался сетью и становился более управляемым.

Маршрутизация через черную дыру

Другой формой защиты является маршрутизация через черную дыру, при которой сетевой администратор или интернет-провайдер организации создает маршрут в виде черной дыры и направляет трафик в эту черную дыру. При использовании этой стратегии весь трафик, как хороший, так и плохой, направляется по нулевому маршруту и, по сути, отбрасывается из сети. Это может быть довольно экстремально, поскольку законный трафик также останавливается, что может привести к потере бизнеса.

Ограничение скорости

Еще один способ смягчить DDoS-атаки — ограничить количество запросов, которые сервер может принять в течение определенного периода времени. Одного этого, как правило, недостаточно для борьбы с более изощренными атаками, но они могут служить компонентом комплексного подхода.

Брандмауэры

Чтобы уменьшить влияние атаки уровня приложений или уровня 7, некоторые организации выбирают брандмауэр веб-приложений (WAF). WAF — это устройство, которое находится между Интернетом и серверами компании и действует как обратный прокси-сервер. Как и во всех брандмауэрах, организация может создать набор правил для фильтрации запросов. Они могут начать с одного набора правил, а затем модифицировать их на основе того, что они видят в качестве моделей подозрительной активности, осуществляемой DDoS.

Защитите свою сеть с помощью брандмауэров FortiGate.

Если организация считает, что она только что стала жертвой DDoS-атаки, первое, что нужно сделать, — это определить качество или источник аномального трафика. Конечно, организация не может полностью отключить трафик, так как это означало бы выбрасывать хорошее вместе с плохим.

В качестве стратегии смягчения последствий используйте сеть Anycast для рассеивания вредоносного трафика по сети распределенных серверов. Это делается для того, чтобы трафик поглощался сетью и становился более управляемым.

Полностью надежное решение для защиты от DDoS-атак включает в себя элементы, помогающие организации как в защите, так и в мониторинге. Поскольку уровень изощренности и сложности атак продолжает расти, компаниям требуется решение, которое может помочь им с известными атаками и атаками нулевого дня. Решение для защиты от DDoS-атак должно использовать ряд инструментов, которые могут защищать от всех типов DDoS-атак и одновременно отслеживать сотни тысяч параметров.

Защитите свою организацию как от известных атак, так и от атак нулевого дня с помощью FortiDDoS. Нажмите здесь, чтобы узнать больше.

С FortiDDoS вы получаете всестороннюю защиту от DDoS-атак благодаря его способности проверять трафик и анализировать его поведение, чтобы предотвратить успешную кампанию киберпреступников. FortiDDoS использует машинное обучение, которое проверяет пакеты данных на предмет подозрительного поведения. Он также проверяет ваш DNS-трафик, чтобы защитить вас от различных угроз, включая объемные атаки и атаки приложений, а также потенциально опасные аномалии.

FortiDDoS также может автоматически предотвращать атаки и постоянно анализировать поверхность атаки. Кроме того, с помощью FortiDDoS вы можете проверять трафик на трех разных уровнях: 3, 4 и 7, а поскольку он интегрируется с Fortinet Security Fabric, администраторы получают возможность поддерживать единое представление как о общая система управления угрозами и производительность сети.

Что такое DDoS-атака?

DDoS-атака означает «распределенную атаку типа «отказ в обслуживании» (DDoS)» и представляет собой киберпреступление, при котором злоумышленник заливает сервер интернет-трафиком, чтобы пользователи не могли получить доступ к подключенным онлайн-сервисам и сайтам.

Когда срабатывает DDoS-атака?

Целью DDoS-атаки является переполнение устройств, служб и сети предполагаемой цели фальшивым интернет-трафиком, что делает их недоступными или бесполезными для законных пользователей.

Что такое пример DDoS-атаки?

Различные атаки нацелены на разные части сети и классифицируются в соответствии с уровнями сетевых подключений, на которые они нацелены. Эти три типа включают:

1. Объемные или объемные атаки
2. Протокольные атаки
3. Атаки прикладного уровня

Демистификация технологий защиты от DDoS-атак

FortiDDoS и облачная служба защиты от DDoS-атак Riverview Networks Baffin Bay Networks

Готов ли ваш центр обработки данных к современным угрозам DDoS?

Что такое DDOS-атака и как защитить свой сайт от нее

Методы защиты и смягчения последствий с использованием управляемой службы защиты от распределенного отказа в обслуживании (DDoS), брандмауэра веб-доступа (WAF) и сети доставки контента (CDN)

ЧТО ТАКОЕ DDOS-АТАК?

Атака типа «отказ в обслуживании» (DoS) — это злонамеренная попытка повлиять на доступность целевой системы, например веб-сайта или приложения, для законных конечных пользователей. Как правило, злоумышленники генерируют большие объемы пакетов или запросов, которые в конечном итоге перегружают целевую систему. В случае атаки распределенного отказа в обслуживании (DDoS) злоумышленник использует несколько скомпрометированных или контролируемых источников для создания атаки.

Как правило, DDoS-атаки можно разделить по тому, какой уровень модели взаимодействия открытых систем (OSI) они атакуют. Они наиболее распространены на сетевом (уровень 3), транспортном (уровень 4), представлении (уровень 6) и прикладном (уровень 7) уровнях.

Модель взаимодействия открытых систем (OSI):

#	Слой	Применение	Описание	Пример вектора
7	Применение	Данные	Сетевой процесс для приложения	HTTP-флуд, DNS-запрос лавин
6	Презентация	Данные	Представление данных и шифрование	Злоупотребление SSL
5	Сессия	Данные	Межхостовая связь	Н/Д
4	Транспорт	Сегменты	Сквозные соединения и надежность	SYN переполняет
3	Сеть	Пакеты	Определение пути и логическая адресация	Атаки с отражением UDP
2	Линии передачи данных	Рамки	Физическая адресация	Н/Д
1	Физический	Биты	Медиа, сигнал и двоичная передача	Н/Д

Размышляя о методах защиты от этих атак, полезно сгруппировать их как атаки уровня инфраструктуры (уровни 3 и 4) и уровня приложений (уровни 6 и 7).

Атаки на уровне инфраструктуры

Атаки на уровне 3 и 4 обычно классифицируются как атаки на уровне инфраструктуры. Они также являются наиболее распространенным типом DDoS-атак и включают в себя такие векторы, как синхронизированные (SYN) наводнения и другие атаки с отражением, такие как наводнения пакетов пользовательских дейтаграмм (UDP). Эти атаки обычно имеют большой объем и направлены на перегрузку пропускной способности сети или серверов приложений. Но, к счастью, такие атаки имеют четкие сигнатуры и их легче обнаружить.

Атаки на прикладном уровне

Атаки на уровне 6 и 7 часто классифицируются как атаки на прикладном уровне. Хотя эти атаки менее распространены, они также имеют тенденцию быть более изощренными. Эти атаки, как правило, невелики по объему по сравнению с атаками на уровне инфраструктуры, но, как правило, сосредоточены на определенных дорогостоящих частях приложения, что делает его недоступным для реальных пользователей. Например, поток HTTP-запросов на страницу входа в систему, дорогостоящий поисковый API или даже поток XML-RPC в WordPress (также известный как pingback-атака WordPress).

Уменьшение поверхности атаки

Одним из первых методов смягчения DDoS-атак является минимизация площади поверхности, которая может быть атакована, тем самым ограничивая возможности для злоумышленников и позволяя вам создавать средства защиты в одном месте. Мы хотим убедиться, что наше приложение или ресурсы не подвергаются воздействию портов, протоколов или приложений, откуда они не ожидают никакого взаимодействия. Таким образом, сводя к минимуму возможные точки атаки и позволяя нам сконцентрировать наши усилия по смягчению последствий. В некоторых случаях вы можете сделать это, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик определенными частями вашей инфраструктуры, такими как серверы баз данных. В других случаях вы можете использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик достигает ваших приложений.

Планирование масштабирования

Двумя ключевыми факторами для смягчения последствий крупномасштабных объемных DDoS-атак являются пропускная способность (или пропускная способность) и способность сервера поглощать и смягчать атаки.

Пропускная способность. При разработке архитектуры приложений убедитесь, что ваш хостинг-провайдер предоставляет достаточные избыточные подключения к Интернету, которые позволяют обрабатывать большие объемы трафика. Поскольку конечной целью DDoS-атак является влияние на доступность ваших ресурсов/приложений, вы должны размещать их не только рядом с вашими конечными пользователями, но и с крупными интернет-биржами, которые дадут вашим пользователям легкий доступ к вашему приложению даже во время больших объемов. трафика. Кроме того, веб-приложения могут пойти еще дальше, используя сети распространения контента (CDN) и службы интеллектуального разрешения DNS, которые обеспечивают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения запросов DNS из мест, которые часто находятся ближе к вашим конечным пользователям.

Объем сервера. Большинство DDoS-атак представляют собой объемные атаки, использующие много ресурсов; поэтому важно, чтобы вы могли быстро увеличивать или уменьшать свои вычислительные ресурсы. Вы можете сделать это, используя большие вычислительные ресурсы или ресурсы с такими функциями, как расширенные сетевые интерфейсы или расширенные сетевые возможности, поддерживающие большие объемы. Кроме того, также часто используются балансировщики нагрузки для постоянного мониторинга и перераспределения нагрузки между ресурсами, чтобы предотвратить перегрузку какого-либо одного ресурса.

Знайте, что такое нормальный и ненормальный трафик

Всякий раз, когда мы обнаруживаем повышенный уровень трафика, попадающего на хост, самым базовым уровнем является способность принимать только тот объем трафика, который наш хост может обработать, не влияя на доступность. Эта концепция называется ограничением скорости. Более продвинутые методы защиты могут сделать еще один шаг вперед и разумно принимать только законный трафик, анализируя сами отдельные пакеты. Для этого вам нужно понимать характеристики хорошего трафика, который обычно получает цель, и иметь возможность сравнивать каждый пакет с этим базовым уровнем.

Развертывание брандмауэров для сложных атак на приложения

Рекомендуется использовать брандмауэр веб-приложений (WAF) против атак, таких как внедрение SQL или подделка межсайтовых запросов, которые пытаются использовать уязвимость в самом приложении. Кроме того, из-за уникальной природы этих атак вы должны иметь возможность легко создавать настраиваемые средства защиты от незаконных запросов, которые могут иметь такие характеристики, как маскировка под хороший трафик или исходящие с плохих IP-адресов, неожиданных географических мест и т. д. Иногда это также может быть полезно. в смягчении атак, поскольку они получают опытную поддержку для изучения моделей трафика и создания индивидуальной защиты.

Зарегистрируйте учетную запись AWS

Ваша учетная запись будет относиться к уровню бесплатного пользования AWS, что позволит вам получить бесплатный практический опыт работы с платформой, продуктами и услугами AWS.