Бесплатно по России

Работаем с 10:00 до 21:00 (без выходных)

Онлайн заявка

DDOS атака - что это такое и как защититься

DDOS атака - что это такое и как защититься

Редакция Appfox

Редакция Appfox

Время чтения: 12 минут

Distributed Denial of Service - или распределенная атака по типу “отказ в обслуживании” - давно известное и, к сожалению, нередко встречающееся явление в сети. Сайт, подверженный DDoS, перестает нормально функционировать, а его владелец теряет прибыль. Страдает репутация компании - пользователям вряд ли понравится, если при заходе на ресурс вместо запрашиваемой страницы они увидят сообщение об ошибке. Все это неприятно. Но с проблемой можно бороться. В этой статье мы расскажем о наиболее эффективных решениях.

Как работает

Сервер не может обрабатывать одновременно бесконечное число запросов пользователей. Если лимит запросов будет превышен, существенно замедлится время ответа сервера или связь будет полностью прервана. Уязвимость также кроется в ограниченной пропускной способности шлюза, соединяющего сервер с внешней Сетью.

Для создания искусственной нагрузки хакеры создают ботнеты, или зомби-фермы - сети компьютеров, по команде “хозяина” одновременно пытающихся открыть атакуемый ресурс.

Главный принцип DDoS-атак, отраженный в самом названии - распределенность. В отличие от DoS, когда нападение на сервер осуществляется из единой точки, DDoS-атака происходит с участием множества разрозненных устройств, которые могут быть разбросаны по всему миру.

Обычно компьютеры или смартфоны попадают в ботнет после заражения вирусными троянскими программами, распространяемыми через ссылки в электронных письмах или личных сообщениях на сайтах и в социальных сетях. Злоумышленник получает контроль над устройством жертвы и может отдавать ему приказы в любой момент. В последние годы к атакам все чаще подключают так называемый “интернет вещей” - умные холодильники, стиральные машины, прочую технику. В их системах еще много уязвимостей. Но производители активно работают над устранением слабых мест сетевых приборов.

Иногда сайт может “упасть” без вмешательства хакеров. Например, если компания заказала рекламные интеграции у известных блоггеров и не подготовила свой ресурс к резкому наплыву трафика из реальных пользователей.

Виды DDoS атак

Виды DDoS атак

Отказ в обслуживании достигается разными методами. Опишем самые распространенные из них.

Ping of death

Устаревший вид угрозы. Связан с отправкой запроса, превышающего допустимый объем в байтах. Сейчас такой тип атак не актуален, так как размеры отправляемых пакетов проверяются при сборке. Слишком “тяжелые” помечаются как неправильные и отклоняются системой.

SYN Flood

Генерация “фальшивых” SYN-пакетов на связь с сервером. При получении ответа пользовательский IP игнорирует его и отправляет новый запрос. Тем самым сервер заваливается большим количеством необработанных запросов на получение ответных ACK пакетов, его работа замедляется или полностью прекращается.

HTTP Flood

Отправка множества HTTP-запросов GET и POST типа. Как правило, обращение идет к наиболее тяжелым частям сайта. В случае POST запроса серверу отправляется максимально возможный объем данных.

UDP, DNS и VoIP Flood

Атака сетевых портов жертвы через UDP-пакеты, DNS-сервер или IP-телефонию. Принцип схож - отправка множества запросов, которые сайт физически не может обработать.

DNS-амплификация

Взлом сайта через публичные DNS-серверы. При обращении к этим серверам IP адрес отправителя подменяется на адрес атакуемого ресурса. Таким образом на сайт одномоментно приходит множество ответных запросов от публичных серверов - как правило, с большим количеством данных.

Атаки на уровне инфраструктуры

Переполнение памяти

Загрузка выделенной на сервере памяти “мусором” - логами, фейковыми комментариями и т. п. Таким способом можно заполнить весь диск, если на объем загружаемой информации не установлен лимит.

Взлом CGI скриптов

Скрипты, использующие Common Gateway Interface - или по-простому - общий шлюз для связи с внешним ПО, уязвимы. Получив доступ к CGI, хакер может переписать программный код так, что он будет полностью расходовать ресурсы сервиса - время на обработку запросов или выделенную оперативную память.

Использование сигналов защиты

Вызов ложного сообщения об опасности, после которого система безопасности временно блокирует доступ к ресурсу.

Недостаточная проверка данных

При отсутствии должной проверки характеристик принимаемых пакетов система искусственно перегружается.

DNS-атаки

Сервера, связывающие IP-адрес сайта с его URL, также имеют уязвимости. Если такой сервер не будет доступен, пользователи не попадут на сайт. С помощью метода Fast Flux DNS злоумышленники могут скрытно вести деятельность по созданию ботнета и управлению им.

Кто и почему становится жертвой

Кто и почему становится жертвой DDoS атак

Есть несколько причин попадания ресурса под хакерскую атаку.

  1. Происки конкурентов.

Если ваш сайт на какое-то время выйдет из строя - конкуренты могут от этого выиграть. Некоторые бизнесы осознанно прибегают к такому черному методу борьбы с соседями по рынку.

  1. Политические мотивы.

Нередко нападению подвергаются сайты правительственных и некоммерческих организаций. Как правило, за этим стоят структуры или люди противоположных взглядов и идей.

  1. “Спортивный” интерес.

Хакеры-одиночки или специальные хакерские группировки могут взломать приглянувшийся ресурс только ради развлечения или чтобы показать окружающим свои возможности и умения.

  1. Выкуп.

Злоумышленники часто требуют деньги у владельцев сайтов за прекращение атаки и восстановление ресурса.

  1. Личный конфликт.

Атака на сайт может быть местью корпорации или даже целому государству.

В сети есть несколько известных группировок хакеров наподобие Anonymous и LulzSec, известных своими атаками на правительственные сайты или ресурсы медиагигантов, таких как FOX и Sony.

Под наибольшей угрозой находятся следующие типы площадок в сети:

  • крупные интернет-магазины;
  • сайты государственных учреждений;
  • корпорации с широким общественным влиянием;
  • СМИ и информационные порталы;
  • медицинские организации;
  • финансовые корпорации;
  • криптовалютные платформы;
  • онлайн-игры.

Как понять, что сайт под DDoS атакой

Как понять, что сайт под DDoS атакой

Нападение злоумышленников через DDoS не всегда означает, что сайт становится недоступным за несколько секунд. Наоборот, как правило, у вебмастера есть возможность заметить неладное и предпринять необходимые действия. Насторожиться стоит, если:

  • появляются мелкие, но регулярные сбои в работе сетевой инфраструктуры;
  • стремительно растет трафик - без явных на то причин и не соответствующий вашей целевой аудитории по географическим и демографическим признакам;
  • запросы, поступающие на сервер или другие сетевые устройства, однотипны и поступают массово из разных источников;
  • пользователи совершают множество повторных действий - отправка форм, загрузка файлов, пр.;
  • системы безопасности могут дать сигнал о возросшей нагрузке на конкретные сетевые узлы.

Последствия атаки

В зависимости от размеров компании и продолжительности атаки, бизнес может потерять десятки и сотни тысяч долларов в результате DDoS. Кроме того, страдает репутация компании, что приводит к убыткам в дальнейшем. В целом распределенная атака представляет для компании больший риск, чем заражение сетевой инфраструктуры вирусом или несанкционированный доступ сторонних пользователей к конфиденциальной информации.

Как защититься

Как защититься от DDoS атак

Чтобы не упустить прибыль, не потерять доверие клиентов, необходимо принимать предупредительные меры против хакерских атак на ваш сайт.

  1. Внимательно относитесь к установленному ПО - CMS, менеджер хостинга, брандмауэр, пр. В них не должно быть лазеек и слабых мест. Изучайте отзывы специалистов о программах, проводите собственные тесты.
  2. Периодически обновляйте ПО, иначе оно может стать уязвимым.
  3. Обеспечьте приватность IT-инфраструктуры компании. Используйте надежные пароли. Выдавайте административные доступы только тем сотрудникам, которым они действительно необходимы. Удаляйте неактуальные учетные записи.
  4. Проверяйте систему на уязвимость. Следите за профессиональными публикациями в сфере кибербезопасности.
  5. Допускайте вход в административную панель только из внутрикорпоративной сети или через VPN сервис.
  6. Применяйте список контроля доступа, в котором четко указаны должностные лица и их права на управление системой или конкретным ПО/файлом.
  7. Используйте брандмауер для проверки данных пользователей, отправляющих запросы.
  8. Поставьте captcha или reCaptcha на все интерактивные формы на сайте, установите проверку времени на заполнение.
  9. Регулярно чистите кэш DNS
  10. Храните данные не на одном, а на нескольких не связанных друг с другом серверах. Так у вас будет физический бэкап ресурсов, который позволит продолжить стабильную работу сайта в критической ситуации.
  11. С помощью специалистов настройте систему так, чтобы она наносила “ответный удар” по ресурсам злоумышленника. Это называется принципом обратной атаки.
  12. Настройте распределенную сеть доставки контента (CDN). Используя множество отдельных серверов, такая сеть равномерно распределяет нагрузку и обеспечивает быстрый доступ пользователей к ресурсу.
  13. Используйте надежные аппаратные средства защиты для контроля доступа, шифрования информации и обработки временных файлов. Известные компании из этой сферы - Cisco, CloudFlare, Qrator.
  14. Узнайте, какие меры по предотвращению киберугроз принимает ваш хостинг-провайдер. Выбирайте поставщика услуг с круглосуточной технической поддержкой.
  15. Следите, чтобы у DNS-сервера хватало ресурсов на обработку запросов - желательно, чтобы их было в несколько раз больше, чем вам требуется по статистике в обычном режиме работы.
  16. По возможности мониторьте DNS-сервера на предмет подозрительной активности.

Заключение

DDoS атаки представляют собой ощутимую угрозу для бизнеса, несмотря на развитие средств защиты и активную деятельность киберполиции. Чтобы не потерять деньги и лояльность клиентов, компании заранее нужно позаботиться о безопасности IT-инфраструктуры. Больше всего риску подвержены финансовые организации, интернет-магазины и общественно-политические структуры.

Если атака все же произошла, необходимо сразу обратиться в техническую поддержку хостинг-провайдера или к своему системному администратору. Специалистами будут приняты меры по ограничению вредоносного трафика и восстановлению ресурсов сервера.