DDoS атаки і захист від них

Сьогодні ми часто чуємо про ddos-атаки на сайт, під час яких використовуються автономні ddos-програми. Наприклад, у вересні 2018 року хакери спрямовували близько одного терабайта трафіку на секунду на сервери французького хоста, у такий спосіб порушуючи запис даних у реальному часі. Аналогічна історія сталася на початку 2019 року, коли на одну з американських хостинг компаній було спрямовано понад п'ять терабайтів трафіку.

Існує кілька різновидів ддос-атак, і всі ці типи атак вкрай небезпечні для вашого бізнесу. Тому необхідно вжити елементарних запобіжних заходів для пом'якшення і виявлення таких атак — у мережі можна знайти кілька десятків інструментів і безліч рекомендацій, доступних для моніторингу та пом'якшення перевантажень на ваш ресурс.

Нижче ми постараємося розібратися - що ж таке ddos атаки, як вони проводяться і яким чином від них захиститися. Також ми торкнемося цілей цих атак і основних технічних принципів їх проведення.

Що таке DDoS-атака?

Коли ваша машина піддається атаці за типом DDoS, вона отримує надвеликий потік даних, що негативно впливає на продуктивність її процесорів або навіть призводить до збою системи.

Здебільшого це відбувається так - зловмисні користувачі, які мають намір завдати шкоди вашому серверу, викликають ботів для анонімних систем по всьому світу. Цими ботами можна керувати дистанційно, і вони призначені для виконання певних завдань.

Якщо користувач хоче провести атаку DDos, він просто має активувати ботів. Ці боти, кількість яких може сягати мільйонів, починають заповнювати сервер сміттєвими даними. Сервер, зі свого боку, перестає нормально функціонувати - він не може витримати навантаження, не може виділити ресурси для реальних користувачів або просто відключається.

Цей метод атаки, під час якого робиться спроба зробити цільову систему та її інтернет-служби непридатними або придатними тільки в дуже обмеженій мірі для користувача через перевантаження за кількістю одноразово оброблюваних операцій. На відміну від звичайної атаки, яка може відбуватися з одного хоста, DDoS-атака зазвичай складається з безлічі окремих запитів від дуже великої кількості ботів.

За допомогою DDoS-атаки хакери намагаються викликати недоступність протоколів інтернет-служб за допомогою цільового перевантаження. Метою атаки можуть бути як сервери загалом, так і інші мережеві компоненти.

Строго кажучи, DDoS-атаки розрізняються за ключовою характеристикою — а саме, на який рівень моделі взаємодії відкритих мережевих систем (OSI) вони впливають. Найчастіше перевантаження проводяться на мережевому (Lvl.3), транспортному (Lvl. 4), презентаційному (Lvl. 6) і прикладному (додатків) (Lvl. 7) рівнях протоколів.

Як влаштовані атаки?

Структура перевантаження серверів давно визначена і має цілком типовий малюнок. Нижче ми торкнемося двох найпоширеніших типів.

Атаки на рівні інфраструктури

Перевантаження на Lvl.3 і Lvl.4 зазвичай визначається як атака на рівні інфраструктури. Власне, це найбільш поширений різновид атаки DDoS. У ній зазвичай використовують вектори, як-от синхронізовані (SYN) потоки та інші атаки "дзеркала", як-от користувацькі зв'язки дейтаграмних пакетів (UDP).

Ці атаки зазвичай дуже тривалі й часто бувають великими за обсягом, вони значно перевантажують ємність мережі або серверів додатків. На щастя, ці атаки також мають тип із чіткими підписами і їх легше виявити.

Атаки на рівні додатків

Атаки Lvl.6 і Lvl.7 часто класифікуються як атаки рівня застосунку. Хоча ці атаки менш поширені, вони, як правило, складніші і від них важче захиститься.

Ці атаки зазвичай бувають невеликими за обсягом порівняно з атаками на рівні інфраструктури, але, як правило, фокусуються на особливо дорогих частинах програми, щоб зробити їх недоступними для реальних користувачів. Приклад: потік HTTP-запитів на сторінці входу в систему, дорогий API пошуку або навіть потоки Wordpress XML-RPC (також відомі як атаки пінгбека Wordpress).

Деякі хакери-початківці хочуть знати - як зробити ддос атаку? Але хоч принцип і простий, підготовка до неї є досить трудомістким процесом, що вимагає значних зусиль.

У той час як раніше було складно торпедувати ціль великими обсягами даних, мережеві пристрої в Інтернеті речей, здається, пропонують хакерам абсолютно нові можливості для атак DDoS. Чи то відеокамера, чи то система керування опаленням, чи то ресивер: у кожному мережевому пристрої, підключеному до Інтернету, також є невеликий комп'ютер.

Окремі пристрої не є особливо потужними, але їх можна легко з'єднати, щоб сформувати ботнет, який, зрештою, розподіляє десятки тисяч запитів на секунду на сервери. Щоб здійснити таку атаку, зловмисникам навіть не потрібні глибокі ІТ-знання: інструменти для DDoS-атак можна купити в Інтернеті.

Прикладом може слугувати змішана атака на рівні додатків (SYN + TCP Connect + HTTP-flood + UDP flood). Особливістю цього методу є велика різноманітність векторів із порівняно низькою продуктивністю (3 Гбіт/с) - тобто атака йде з різних напрямків.

Навіщо атакують сайти?

Наслідки DDoS-атаки можуть бути руйнівними як для інфраструктури, так і для бізнесу: інтернет-магазин перебуває в автономному режимі, поштовий сервер більше не отримує і не надсилає електронні листи, а співробітники недоступні

Падіння продажів і втрата репутації можуть завдати серйозної шкоди компанії та підірвати довіру клієнтів. Нерідко після DDoS-атаки слідують спроби вимагання із загрозою паралізації систем.

Успішна DDoS-атака може завдати значної матеріальної шкоди компанії-власнику ресурсу або організації, що орендує сервер. Сюди також належить втрата іміджу або поява незадоволених користувачів і клієнтів.

Як захиститися від DDoS-атаки?

У 2019 році одна з німецьких компаній провела аналітичне дослідження на предмет схильності до DDoS-атак. Виявилося, більше половини з 250 осіб, які ухвалюють рішення в галузі ІТ, і консультантів, опитаних для дослідження Link11 і TeleTrusT, уже стали жертвами DDoS-атаки.

Але що вони могли зробити, щоб захистити системи? Багато ІТ-відділів безпорадні проти такої атаки, оскільки навіть спеціальні брандмауери перевантажуються і падають. Природно, найпростіший спосіб запобігти атаці на сервери - закрити порти і відрізати будь-який зовнішній веб-трафік, але це також призведе до вашої власної ізоляції.

Фільтрація трафіку в магістралі

Ви можете оцінити трафік даних у магістралі мережі та запобігти йому в разі помітно більшого збільшення кількості даних у напрямку до вашої IP-адреси.

Наприклад, у так званому чорному списку (Blacklist) експерти видаляють увесь трафік, що йде на IP-адресу, яка не використовується клієнтом, і таким чином звільняють з'єднання. Списки фільтрів також мають відповідний ефект. Компанія визначає відправників, яким дозволено встановлювати з'єднання, а всі інші запити відхиляються.

Інший метод - це свого роду віртуальна машина, яка відмічає і відкидає шкідливі IP-пакети в трафіку даних клієнта, тож тільки чистий трафік потрапляє в з'єднання клієнта, і компанія може працювати без проблем.

Контроль з'єднання і реагування на атаки

Якщо компанія помічає DDoS-атаку, їй слід якомога швидше зв'язатися з провайдером, щоб можна було негайно вжити контрзаходів, і щоб негативний ефект виявився мінімальним. Експерти з кібербезпеки стежать за з'єднанням на час атаки, яка може тривати кілька тижнів.

Підсумок

У невеликій статті не можна навести повну аналітику майбутніх прогнозів. Але, з огляду на збільшення пропускної спроможності мереж, ми протягом 2020-2025 років, найімовірніше, всього будемо спостерігати сплеск ддос-атак.

Оскільки технічно вони не потребують особливої підготовки, а їхній ефект доволі руйнівний, такі атаки дедалі частіше використовуватимуть як метод кібертероризму і впливу на корпорації та економічні інтернет-структури.

Замовляйте хостинг і обирайте домен в компанії «Хостінг Україна».

У нас якісний і надійний сервіс, зручна система управління через адмін-панель, інтелектуальні системи захисту і технічна підтримка, яка допоможе вирішити всі виникаючі питання в будь-який час доби.

Наші ціни: SSD хостинг, VPS на SSD, Cloud (хмарний) хостинг, хмарний VPS.

Приєднуйтесь до «Хостинг Україна» і ми подбаємо про технічну сторону вашого бізнесу.