Что такое ddos: Что такое DDoS-атака | REG.RU

Что такое DDoS-атака | REG.RU

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Закажите услугу «Сервер для бизнеса»

Сосредоточьтесь на вашем бизнесе, о хостинге позаботится REG.RU! Закажите мощный облачный сервер с круглосуточным администрированием и бесплатной защитой от низкоуровневых DDoS-атак.

Заказать

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

• государственных учреждений,
• крупных корпораций,
• здравоохранительных организаций,
• онлайн-школ,
• игровых сервисов,
• местных и региональных СМИ,
• онлайн-кинотеатров,
• банков,
• хостинг-провайдеров.

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

• Низкоуровневая атака — на сетевом и транспортном уровнях (третий и четвёртый уровень модели OSI). На этих уровнях для атаки используются «дыры» в сетевых протоколах. На виртуальном хостинге, VPS и выделенных серверах REG.RU установлена бесплатная защита от данных типов атак.
• Высокоуровневая атака — атака на сеансовом и прикладном уровнях (пятый и седьмой уровни по модели OSI). Такие атаки схожи с поведением пользователей. В данном случае может помочь тонкая настройка сервера или платная защита от DDoS.

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

• Ping of death. Это атака, которая заключается в отправке эхо-запроса, который превышает допустимый объём в 65535 байт. Устройство не знает, как обработать такой запрос, и перестаёт отвечать. В настоящее время Ping of death уже не используется — проверка размера при сборке пакета решила проблему. Пакеты, размер которых превышает допустимый, отбрасываются как неверные. Эта атака относится к классу DoS, так как в качестве отправителя выступает один компьютер, а не сеть из разных устройств, как в случае с DDoS.
• SYN Flood. Клиент отправляет серверу огромное количество SYN-пакетов с поддельным IP-адресом. Сервер отвечает на каждый запрос и ожидает подключения клиента. Клиент игнорирует приглашение и создаёт новые запросы, чем переполняет очередь на подключение. В итоге производительность сервера падает вплоть до полного прекращения работы.
• HTTP Flood. Каждый участник ботнета генерирует большое количество HTTP-запросов к серверу, за счёт чего сильно повышает нагрузку. Это могут быть как GET, так и POST-запросы. В GET клиент запрашивает самые тяжеловесные части сайта. А в POST-запросах передаёт большие объёмы данных серверу в теле запроса.
• UDP Flood. Злоумышленник отправляет жертве много UDP-пакетов большого размера на определенные или случайные порты. Получатель тратит ресурсы на обработку запросов и отправку ICMP-ответа, что может привести к отказу в обслуживании.
• DNS Flood. Это разновидность UDP Flood. Отличается тем, что атаке подвергается DNS-сервер. Сервер не может отличить участника такой атаки от обычного пользователя и обрабатывает все запросы, на что может не хватить ресурсов.
• VoIP Flood. Снова вариант UDP Flood, цель которой — IP-телефония. Сервер получает запросы с разных IP-адресов, которые приходится обрабатывать вместе с запросами от легитимных клиентов.
• ICMP Flood. На сервер жертвы отправляется множество ICMP-запросов с разных IP-адресов. Этот вид флуда может использоваться как для перегрузки сервера, так и для сбора информации о сервере при подготовке к другой атаке.
• DNS-амплификация. Атакующие устройства отправляют небольшие запросы на публичные DNS-серверы. Запросы формируются так, чтобы ответ содержал как можно больше данных. Кроме этого, в запросе подменяется IP-адрес реального отправителя на адрес жертвы, на который DNS-сервер и отправит ответы. В результате жертва получит много больших пакетов данных от DNS-сервера, что вызовет переполнение канала.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

1. Изучите ПО, которое планируете использовать в вашем проекте или уже используете, на наличие уязвимостей и критических ошибок. Их не должно быть. Выбирайте те инструменты, в которых уверены. Регулярно обновляйте их и делайте резервное копирование.
2. Используйте сложные пароли для доступа к административным частям вашего ресурса.
3. Настройте сеть так, чтобы доступ к админке был из только из внутренней сети или через VPN.
4. Подключите WAF и CDN. WAF — брандмауэр веб-приложений для проверки легитимности трафика и его фильтрации. CDN — сеть доставки контента позволяет распределять нагрузку на серверы и увеличивать скорость загрузки страниц за счёт географически распределённых серверов.
5. Установите капчу или другие компоненты в форму обратной связи на сайте. Это защитит сайт от спам-ботов.
6. Распределите ресурсы сайта между несколькими серверами, которые не зависят друг от друга. В случае сбоя одного из серверов, работу обеспечат запасные серверы.
7. Перенаправьте атаку на злоумышленника. Таким образом вы сможете не только отразить удар, но и нанести ущерб злоумышленнику. Для этого требуются специалисты, но это вполне реально.
8. Узнайте у вашего хостинг-провайдера, какой уровень защиты он гарантирует для вашего хостинга или VDS. Если хостер не предоставляет защиту, выберите другого провайдера.

Компания REG.RU предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

Помогла ли вам статья?

Да

11 раз уже помогла

Что такое DDoS-атаки и как от них защититься

DDoS – «Distributed Denial of Service» или «Распределенный отказ в обслуживании». Защита от DDoS-атак в современном бизнесе – не просто дополнительная опция, а обязательный атрибут ИБ (информационной безопасности).

Ведь подвергнуться DDoS-атаке может любое предприятие, которое взаимодействует с пользователями через веб-ресурсы (начиная от обычных блогов и заканчивая крупными корпорациями). Что чревато простоем IT-инфраструктуры, огромными убытками и испорченной репутацией.

Примечание! Согласно данным Corero Network Security, более 70% компаний в мире ежемесячно подвергаются DDoS-атаке.

Как защититься от DDoS-атаки

Что такое DDoS?

DDoS представляет собой нападение на информационную систему с целью нарушить ее работоспособность. Злоумышленники искусственно создают огромный поток запросов к онлайн-ресурсу жертвы с разных источников. От чего вырастает нагрузка на IT-инфраструктуру, она не справляется с чрезмерно высоким уровнем запросов и частично или полностью выходит из строя.

DDoS-атака выполняется с помощью десятков, сотен или даже тысяч компьютеров, зараженных вредоносным ПО, которое сделало их частью ботнет-сети. В начале кибератаки с каждого устройства ботнет-сети инициализируется соединение с веб-ресурсом жертвы.

Признаки DDoS:

• внезапное и сильное повышение входящего трафика;
• серверное ПО и ОС работает с перебоями;
• многократное дублирование однотипных действий (например, переход на сайт и скачивание файла).

Примечание! «Естественный» DDoS может происходить во время сезонных скачков спроса, когда от наплыва покупателей, превышающего расчетные значения, сервис работает с перебоями или вовсе становится недоступен.

Подробнее об услуге по мониторинга информационной безопасности можно узнать здесь.

Цели DDoS

Причины для реализации кибератак такого характера могут быть разные – начиная с человеческого фактора (политический протест, личная неприязнь к компании или ради развлечения) и заканчивая:

• Конкуренцией. Компании заказывают DDoS-атаки на свои конкурентов, чтобы получить преимущество в конкурентной борьбе;
• Вымогательством. До запуска атаки хакер может связаться с предприятием и потребовать выкуп, в случае отказа угрожая DDoS.

Также, например, DDoS-атаки могут использоваться для отвлечения внимания, чтобы злоумышленники смогли внедрить вредоносное ПО или украсть важную корпоративную информацию.

Методы защиты

Единственный способ защититься от DDoS – организовать фильтрацию трафика на основе его содержимого (IP-адреса и других параметров). Для этого необходимо силами компании установить специализированное ПО и нанять квалифицированных сотрудников в отдел информационной безопасности.

Или же можно обратиться к сторонним организациям, которые специализируются на ИБ. Таким образом можно снизить расходы на ИБ и получить услуги защиты от DDoS от профильных специалистов.

Заказать услугу обеспечения информационной безопасности IT-инфраструктуры можно у компании Sky Dynamics. Мы организуем надежную защиту от DDoS и других киберугроз. Наши гарантии – команда компетентных специалистов с большим опытом работы в области IT и ИБ, в частности.

Основываясь на практическом опыте, мы можем дать несколько рекомендаций:

1. регулярно обновляйте ПО, но с учетом возможности откатиться к старой версии;
2. на этапе написания ПО тщательно проверяйте его на наличие ошибок и уязвимостей;
3. доступ к интерфейсу администратора возможен только из внутренней сети или через VPN;
4. службы, связанные с администрированием, должны быть закрыты от внешнего доступа;
5. используйте защиту от спам-ботов – капчи и т. п.;
6. для хостинга используйте независимые сервера – если один выйдет из строя, другой продолжит функционировать.

Чтобы воспользоваться услугами Sky Dynamics или проконсультироваться, свяжитесь с нами, позвонив по контактному номеру телефона или оставьте заявку на обратный звонок.

Методы защиты от DDoS

Смотрите также

Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?

DDoS (распределенный отказ в обслуживании)

DDoS — это попытка исчерпать ресурсы, доступные для сети, приложения или службы, чтобы подлинные пользователи не могли получить доступ.

Начиная с 2010 года, в немалой степени благодаря росту хактивизма, мы стали свидетелями возрождения DDoS-атак, что привело к инновациям в области инструментов, целей и методов. Сегодня определение DDoS-атаки продолжает усложняться. Киберпреступники используют комбинацию очень крупных атак, а также более изощренные и трудно обнаруживаемые проникновения, нацеленные на приложения, а также на существующую инфраструктуру сетевой безопасности, такую ​​как брандмауэры и IPS.

Что делать, если вы столкнулись с DDoS-атакой.

Под DDoS-атакой? Свяжитесь с нами. Ведущие в отрасли эксперты NETSCOUT по предотвращению DDoS-атак обеспечивают круглосуточную поддержку DDoS-атак 7 дней в неделю.

Позвоните нам, чтобы получить немедленную помощь, по номеру +1-734-794-5099 (международный) или +1-844-END-DDoS (бесплатный номер в Северной Америке)

.

Какие существуют типы DDoS-атак?

Распределенные атаки типа «отказ в обслуживании» значительно различаются, и существуют тысячи различных способов проведения атаки (векторов атаки), но вектор атаки обычно попадает в одну из трех широких категорий:

Объемные атаки

Атаки с исчерпанием состояния TCP

Атаки прикладного уровня

Объемные DDoS-атаки

Объемные атаки пытаются использовать полосу пропускания либо внутри целевой сети/службы, либо между целевой сетью/службой и остальной частью Интернета. Эти атаки просто вызывают перегрузку.

Подробнее

DDoS-атаки с исчерпанием состояния TCP

Атаки TCP State-Exhaustion пытаются использовать таблицы состояний соединения, которые присутствуют во многих компонентах инфраструктуры, таких как балансировщики нагрузки, брандмауэры и сами серверы приложений. Эти атаки могут вывести из строя даже устройства с большой емкостью, способные поддерживать состояние миллионов подключений.

Подробнее

DDoS-атаки на уровне приложений

Атаки на уровне приложений нацелены на некоторые аспекты приложения или службы на уровне 7. Это самый смертоносный вид атак, поскольку они могут быть очень эффективными, когда всего одна атакующая машина генерирует низкую скорость трафика (это делает такие атаки очень сложными для активного обнаружения и смягчения последствий). Атаки на прикладном уровне получили широкое распространение за последние три-четыре года, а простые флуд-атаки на прикладном уровне (HTTP GET-флуд и т.

д.) были одними из наиболее распространенных атак типа «отказ в обслуживании», наблюдаемых в дикой природе.

Современные искушенные злоумышленники объединяют объемные атаки, атаки с исчерпанием состояния и атаки на уровне приложений против инфраструктурных устройств в одной устойчивой атаке. Эти кибератаки популярны, потому что от них трудно защититься, и они часто очень эффективны.

На этом проблема не заканчивается. Согласно Frost & Sullivan, DDoS-атаки «все чаще используются в качестве отвлекающей тактики для целенаправленных постоянных атак». Злоумышленники используют инструменты DDoS, чтобы отвлечь внимание сетевых специалистов и специалистов по безопасности, одновременно пытаясь внедрить в сеть сложные постоянные угрозы, такие как вредоносное ПО, с целью кражи IP-адресов и/или важной клиентской или финансовой информации.

Узнать больше

Глоссарий DDoS-атак

Почему DDoS-атаки так опасны?

DDoS представляет серьезную угрозу для непрерывности бизнеса. По мере того, как организации становятся все более зависимыми от Интернета и веб-приложений и услуг, доступность стала столь же важной, как электричество.

DDoS представляет собой угрозу не только для розничных продавцов, финансовых услуг и игровых компаний с очевидной потребностью в доступности. Атаки DDoS также нацелены на критически важные бизнес-приложения, от которых ваша организация зависит в управлении повседневными операциями, например, электронная почта, автоматизация отдела продаж, CRM и многие другие. Кроме того, другие отрасли, такие как производство, фармацевтика и здравоохранение, имеют внутренние веб-ресурсы, на которые полагаются цепочки поставок и другие деловые партнеры для повседневных деловых операций. Все это цели для современных изощренных кибератак.

Каковы последствия успешной DDoS-атаки?

Когда общедоступный веб-сайт или приложение недоступны, это может привести к недовольству клиентов, потере дохода и ущербу для бренда. Когда критически важные бизнес-приложения становятся недоступными, операции и производительность останавливаются. Внутренние веб-сайты, на которые полагаются партнеры, означают нарушение цепочки поставок и производства.

Успешная DDoS-кампания также означает, что ваша организация спровоцировала новые атаки. Вы можете ожидать, что атаки будут продолжаться до тех пор, пока не будут развернуты более надежные средства защиты от DDoS-атак.

Какие у вас есть варианты защиты от DDoS-атак?

Учитывая громкий характер DDoS-атак и их потенциально разрушительные последствия, многие поставщики систем безопасности внезапно начали предлагать решения для защиты от DDoS-атак. Поскольку от вашего решения зависит так много всего, очень важно понимать сильные и слабые стороны ваших вариантов.

Существующие инфраструктурные решения

(брандмауэры, системы обнаружения/защиты от вторжений, контроллеры доставки приложений/балансировщики нагрузки)

Устройства IPS, брандмауэры и другие продукты безопасности являются важными элементами стратегии многоуровневой защиты, но они предназначены для решения проблем безопасности, которые принципиально отличаются от специализированных продуктов для обнаружения и смягчения последствий DDoS-атак. Устройства IPS, например, блокируют попытки взлома, приводящие к краже данных. Между тем, брандмауэр действует как средство обеспечения соблюдения политики для предотвращения несанкционированного доступа к данным. Хотя такие продукты безопасности эффективно обеспечивают «целостность и конфиденциальность сети», они не решают фундаментальную проблему DDoS-атак — «доступность сети». Более того, IPS-устройства и брандмауэры представляют собой встроенные решения с отслеживанием состояния, что означает, что они уязвимы для DDoS-атак и часто сами становятся целями.

Подобно IDS/IPS и брандмауэрам, ADC и балансировщики нагрузки не имеют более широкой видимости сетевого трафика и встроенной аналитики угроз, а также являются уязвимыми устройствами с отслеживанием состояния для атак с истощением состояния. Рост объемных угроз, истощающих состояние, и смешанных атак на уровне приложений делает ADC и балансировщики нагрузки ограниченным и частичным решением для клиентов, которым требуется лучшая в своем классе защита от DDoS.

Сети доставки контента (CDN)

Правда в том, что CDN устраняет симптомы DDoS-атаки, но просто поглощает эти большие объемы данных. Через него проходит вся информация. Все приветствуются. Здесь есть три предостережения. Во-первых, должна быть доступная полоса пропускания для поглощения этого большого объема трафика, а некоторые из этих объемных атак превышают 300 Гбит/с, и за всю пропускную способность приходится платить. Во-вторых, есть способы обойти CDN. Не каждая веб-страница или ресурс будут использовать CDN. В-третьих, CDN не может защитить от атаки на основе приложений. Так что пусть CDN делает то, для чего предназначена.

Брандмауэр веб-приложений (WAF)

WAF — это устройство обработки пакетов с отслеживанием состояния, предназначенное для предотвращения атак веб-приложений и, следовательно, не останавливающее все типы DDoS-атак, такие как атаки с исчерпанием состояния TCP. Любая флуд-атака с отражением или усилением с использованием многочисленных источников перегрузила бы WAF, сделав все решение бесполезным. Суть в том, что эти две технологии дополняют друг друга в своем использовании для защиты организаций от атак, но WAF не защитит от обширных векторов DDoS-атак.

Каков подход NETSCOUT к защите от DDoS-атак?

Решение NETSCOUT Arbor DDoS уже более десяти лет защищает крупнейшие в мире и наиболее требовательные сети от DDoS-атак. Мы твердо убеждены, что лучший способ защитить ваши ресурсы от современных DDoS-атак — это многоуровневое развертывание специально разработанных решений по смягчению последствий DDoS-атак.

Только с тесно интегрированной многоуровневой защитой вы сможете надлежащим образом защитить свою организацию от всего спектра DDoS-атак.

• Arbor Cloud (Тесно интегрированная, многоуровневая защита от DDoS)
• Arbor Edge Defense (локальная установка)
• Arbor SP/Threat Mitigation System (высокопроизводительное локальное решение для крупных организаций)

Клиенты NETSCOUT получают значительное конкурентное преимущество, получая как микропросмотр собственной сети с помощью наших продуктов, так и макропросмотр глобального интернет-трафика через NETSCOUT Omnis Threat Horizon, интерфейс к нашей аналитике угроз ATLAS и DDoS Визуализация карты атаки.

Блог ASERT

Читайте последние новости и идеи от исследователей и аналитиков мирового уровня в области безопасности NETSCOUT.

Просмотреть сейчас

Omnis Threat Horizon

NETSCOUT Omnis Threat Horizon — это бесплатный инструмент, состоящий из тщательно отобранных данных о глобальных угрозах в режиме реального времени, представленных таким образом, чтобы вы могли понять, как они влияют на вашу организацию.

Узнать больше

Отчет NETSCOUT об угрозах DDoS

Команда ASERT компании NETSCOUT отслеживает ландшафт угроз и сообщает о новых участниках, разрабатываемых вредоносных программах и развернутых все более сложных инструментах и ​​методах.

Узнать больше

Краткий обзор решения

Решения Arbor для защиты от DDoS-атак

Интеллектуально автоматизированная гибридная защита от DDoS-атак, поддерживаемая глобальным обзором и анализом угроз. Передовой отраслевой подход к защите от DDoS-атак — это многоуровневый или гибридный подход, учитывающий различные типы и цели DDoS-атак. Масштабные флуд-атаки, нацеленные на подключение к Интернету, должны нейтрализоваться в облаке, вдали от…

Узнать больше

Хотите узнать больше?

См. Атаки в режиме реального времени

Глобальный обзор активности DDoS-атак в режиме реального времени.

Omnis Threat Horizon

Защита от DDoS-атак

Продукты и услуги, помогающие защитить вас от DDoS-атак.

Наши решения

Обратитесь к эксперту

Вопросы о наших продуктах, услугах или тенденциях DDOS-атак и передовых методах защиты?

Свяжитесь с нами

Как работают DDoS-атаки и как их предотвратить

Распределенные атаки типа «отказ в обслуживании» (DDoS) могут причинить большой ущерб. Узнайте, как работают DDoS-атаки, распространенные типы и как предотвратить их на своем сайте.

Возможно, вы слышали термин «DDoS-атака» в онлайн-кругах, особенно когда речь идет о безопасности веб-сайтов, но что это такое? DDoS-атака или распределенная атака типа «отказ в обслуживании» — это попытка киберпреступника залить сервер трафиком, чтобы перегрузить его инфраструктуру. Это приводит к замедлению сканирования сайта или даже к сбою, поэтому законный трафик не сможет попасть на сайт. Этот тип атаки может нанести большой ущерб вашему онлайн-бизнесу.

Эти кибератаки могут преследовать самые разные цели: от раздражения и «хактивизма» до массовой потери бизнеса. Что делает их уникальными по сравнению с другими формами взлома, так это мотивация. В то время как другие формы вредоносного ПО, такие как программы-вымогатели и пугающие программы, представляют собой попытки выкачивания денег у жертвы, DDoS-атаки предназначены исключительно для создания хаоса и разрушения.

Количество времени простоя и ущерб, который они могут вызвать, — вот почему о них так часто говорят. Хакеры регулярно используют DDoS-атаки, и вам нужно следить за ними, чтобы они не повлияли на вас слишком сильно.

Как работает DDoS-атака?

Большинство DDoS-атак осуществляются с помощью ботнетов — групп компьютеров, действующих вместе. Все эти компьютеры будут пытаться получить доступ к веб-сайту одновременно, перегружая сервер и выводя его из строя.

Как они получают эти ботнеты? Угоняя другие машины. Часто хакер использует вредоносное ПО или неисправленную уязвимость на чужом сервере, чтобы получить к нему доступ с помощью программного обеспечения Command and Control (C2). Используя эти эксплойты, хакеры могут относительно дешевым и простым способом собрать большое количество компьютеров, которые они затем могут использовать для своих гнусных целей.

Как только они получат контроль над достаточным количеством машин, хакеры смогут отдать команду всей ботнету, который затем попытается получить доступ к целевому серверу. Когда слишком много компьютеров одновременно пытаются получить доступ к серверу, перебои в работе служб являются обычным явлением. Конечным результатом является перерыв в обслуживании и потеря производительности.

Это может быть что угодно: от детской шалости до мести бизнесу. И хотя на первый взгляд это звучит безобидно, важно знать, что средняя стоимость DDoS-атаки даже для операций малого бизнеса может достигать 120 000 долларов — этого достаточно, чтобы поставить на колени многие малые предприятия. Крупные корпорации могут потерять миллионы.

Аналогия для иллюстрации

Представьте двухполосное шоссе. Он прочный, безопасный, надежный, и вы без проблем ездите на нем каждый день, потому что он служит своей цели. Городские власти проложили эту магистраль, потому что у них есть разумная оценка того, сколько автомобилей будет проезжать по ней в течение дня.

Теперь представьте себе внезапное событие, которое приводит к тому, что тысячи автомобилей одновременно пытаются использовать эту дорогу. Вы пытаетесь въехать на съезд, но когда выезжаете на шоссе, вы не можете попасть на него. Дорога полностью забита транспортом, и теперь вы опоздаете к месту назначения — если вообще приедете.

Вот, по сути, и есть DDoS-атака.

Распространенные типы DDoS-атак

Эти атаки принимают различные формы и продолжают развиваться. Часто без надлежащей системы мониторинга вы можете стать жертвой скрытой атаки без вашего ведома, и к тому времени, когда вы это осознаете, ваш бизнес уже остановится. Наиболее распространенные типы включают:

• Атака уровня приложений , или «DDoS-атака уровня 7» — это попытка исчерпать ресурсы вашего веб-сайта и использовать всю его доступную полосу пропускания. Когда хакер внезапно отправляет большой объем трафика с множества разных компьютеров на сайт, сервер очень быстро перегружается. Неоднократно трафик отправляет запросы на перезагрузку на сервер (например, нажатие «обновить» в вашем браузере). В конце концов, сервер выдает ошибки, потому что больше не может справляться с рабочей нагрузкой.
• Атака по протоколу немного сложнее, поскольку она нацелена на слабые места в серверах, отправляя запросы на подключение с разных IP-адресов. Для этого не требуется большая система компьютеров. Каждый запрос на подключение требует ответа, и сервер довольно быстро перегружается, так как его ресурсы исчерпываются.
• Наконец, объемная атака — это другая версия атаки типа «переполнение трафика». В этом случае боты отправляют данные на сервер и ожидают ответа. Сделайте это достаточное количество раз, и ответ станет слишком длинным. Эти данные искусственно усиливаются перед отправкой на сервер, который быстро истощает ресурсы, пытаясь обработать приток.

В зависимости от типа DDoS-атаки, от нее может быть сложно защититься без новейших средств обнаружения и смягчения последствий.

Как предотвратить DDoS-атаку

Если вы уже находитесь в эпицентре DDoS-атаки, время имеет решающее значение. Непрерывный мониторинг является основным компонентом, и вам нужна надежная система оповещения, которая будет предоставлять уведомления в режиме реального времени. Если на ваш сервер начинается DDoS-атака, вы должны быть в состоянии поймать ее на ранней стадии и действовать быстро. Если вы сможете действовать достаточно быстро, вы, надеюсь, не заметите большого эффекта для ваших обычных пользователей. Вы можете заблокировать IP-адреса с помощью брандмауэра и не дать им получить доступ к вашему серверу. Возможно, вы даже сможете изолировать целевую систему и закрыть к ней входящий трафик.

Если атака на ваш веб-сайт еще не происходила, и вы просто хотите предотвратить этот невероятно распространенный тип атаки, рассмотрите следующее.

Разработка плана реагирования

Может показаться глупым сказать, что предотвращение начинается с плана реагирования, поскольку это означает, что вы не предотвратили атаку.

Но прежде чем делать что-либо еще, вам нужно составить пошаговый план. Вы не можете реагировать на DDoS-атаку на лету. Это требует предварительной подготовки и планирования с конечной целью предотвращения ненужного ущерба для вашего бизнеса.

• Проверьте свои системы. Все они. Каждый актив, который у вас есть в сети, может стать мишенью. Составьте контрольный список каждой системы, которая может быть уязвима для DDoS-атаки. Когда вас атакуют, вы можете просмотреть список и посмотреть, сможете ли вы изолировать и спасти системы, которые еще не пострадали.
• Создайте группу реагирования и дайте им четкие задачи. Атака — не время спорить и делегировать полномочия. Это должно было быть сделано уже. Убедитесь, что все роли понятны.
• Составьте список экстренных сообщений. Также очень важно понимать, кто что должен знать и когда. Ваши клиенты, ваш поставщик услуг и любые другие поставщики средств обеспечения безопасности должны знать, что происходит, чтобы каждый из них мог отреагировать соответствующим образом.

Теперь это после нападения. Что вы можете сделать прямо сейчас, чтобы подготовиться и предотвратить нападение на вас?

Обновляйте свою систему

Этот шаг имеет решающее значение — для предотвращения DDoS-атак, а также во всех вопросах онлайн-безопасности. Бесполезно пытаться снизить риск для вашей системы, если вы не будете обновлять ее. Своевременные обновления устранят уязвимости в вашей системе, закроют дыры, в которые могут проникнуть хакеры, и снизят максимально возможный риск с самого начала.

Если ваш веб-сайт работает на WordPress, перейдите на страницу обновлений и убедитесь, что все недавно обновлялось. Избавьтесь от плагинов, которые устарели и больше не разрабатываются. Вы не хотите рисковать.

Вы можете перекрыть больше дыр для потенциальных злоумышленников, сделав этот шаг, чем что-либо еще. И, к счастью, с этим справятся даже те, кто не особо разбирается в технологиях. Большинство обновлений автоматизированы и могут быть запущены одним щелчком мыши.

Когда ваша инфраструктура обновлена, вы можете эффективно свести к минимуму угрозу атаки.

Практика базовой сетевой безопасности

Здесь нет ничего особенного или сложного — надежные пароли (и их регулярное обновление) и безопасные брандмауэры сотворят чудеса для вашей защиты.

Получите надлежащий мониторинг DDoS

Благодаря поставщикам облачных услуг еще никогда не было так просто и доступно установить службу, которая может следить за вашей системой и защищать ее от потенциальных DDoS-атак.

SiteLock, компания Sectigo, предлагает полные планы безопасности веб-сайтов, которые автоматически сканируют, обнаруживают и блокируют попытки атак, прежде чем они перерастут в нечто более зловещее и разрушительное. Например, одна из функций SiteLock заключается в том, что он соединяет ваш сайт с глобальной сетью доставки контента (CDN), которая не только ускоряет ваш сайт, но и добавляет уровни защиты от DDoS-атак.