Что такое DDOS-атаки?

Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.

В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.

Модель взаимодействия открытых систем (OSI)

Классификация DDoS-атак

Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).

Атаки уровня инфраструктуры

К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.

Атаки уровня приложения

К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).

Методы защиты от DDoS-атак

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

DDoS-атака проти вас: що таке і як боротися

«DDoS-атака? Ні не чув. Та й чого турбуватися, адже мій сайт зовсім мааааленький », – приблизно так міркують деякі власники невеликих інтернет-проектів.

Під загрозою хакерського нападу знаходиться будь-який мережевий ресурс – не тільки сайт або веб-додаток, а й … звичайний домашній комп’ютер, смартфон, телевізор з доступом в Інтернет і т. д. Отже, що таке DDoS атака і чим вона може нашкодити особисто вам.

Що таке DDoS-атака?

Поняття DDoS або Distributed Denial of Service означає «розподілена відмова в обслуговуванні» – зловмисний напад на мережевий ресурс з метою довести його до стану, коли він не зможе обробляти вхідні запити. І не як-небудь, а шляхом завалювання його величезною кількістю таких запитів.

Зрозуміло, щоб звалити якийсь сервер, запитів з одного комп’ютера явно недостатньо. Тому хакери використовують зомбі-мережі (ботнети), що складаються з мережевих пристроїв (ПК, смартфонів, планшетів, смарт ТВ, розумної побутової техніки), заражених троянською програмою, яка надає зловмисникові функції віддаленого контролю.

Троянець може ніяк не видавати своєї присутності на зараженій машині, поки не отримає команду від хакера. Ось тоді і починається DDoS-атака – безліч пристроїв одночасно звертаються до сервера-жертви і тим самим виводять його з ладу.

Розподілена відмова в обслуговуванні (DDoS-атака) проводиться за допомогою комп’ютерних пристроїв, розміщення яких виходить за межі однієї локальної мережі. Цим вона відрізняється від DoS-атак (Denial of Service), де бере участь тільки один комп’ютер або одна локальна мережа.

Великі зомбі-мережі налічують мільйони заражених девайсів. Власники останніх часто не підозрюють, що їх техніка живе таємним життям і комусь шкодить. І навіть дізнавшись, хтось думає про це так: «раз мені не заважає, то нехай хлопці користуються». Однак це дуже небезпечна безтурботність, адже DDoS-трояни часто мають і інші «корисні» (не вам, зрозуміло) функції: віддалений доступ до системи зараженого пристрою, збір конфіденційних даних (логінів, паролів, номерів банківських карт), розсилку спаму з електронних скриньок власника, майнінг криптовалют і т. д.

Але навіть якщо вам дістався «чистий» троянець, здатний тільки на проведення атак, шкоди від нього теж буде чимало. Адже він використовує апаратні ресурси вашого обладнання і забиває мережевий канал, що знижує продуктивність і швидкість з’єднання з Інтернетом в рази.

Хто, кого і навіщо

DDoS-атака – це вплив, спрямований на конкретний мережевий ресурс, яке переслідує цілком певну мету – паралізувати роботу, завдати матеріальної шкоди, дискредитувати власника в очах клієнтів і партнерів. Нерідко такі напади – частина складного ланцюжка кіберзлочинів, кінцева мета яких – злом сервера з подальшою крадіжкою або знищенням даних.

Потужні і тривалі – високорівневі атаки DDoS – задоволення не з дешевих. Вони відбуваються нечасто, але з шумом і освітленням в пресі, а проводять їх добре оснащені кіберзлочинці-професіонали і хакерські співтовариства. Цілями таких нападів зазвичай стають великі заможні компанії, а ініціаторами – або конкуренти і вороги останніх, або самі зловмисники заради відкупу за припинення впливу. Нерідко цей інструмент використовують як знаряддя політичних акцій, наприклад, щоб привернути увагу або чинити тиск на впливових осіб.

Середні і малопотужні DDoS-атаки – явище куди більш поширене. Їхньою жертвою може стати будь-який доступний з Інтернету ресурс – сайт, корпоративний сервер і навіть чийсь особистий комп’ютер. Замовниками та виконавцями подібних акцій теж стають конкуренти і здирники, але можуть бути і просто цікаві експериментатори з числа нудьгуючих школярів.

Втім, проблем від викрутасів «мамкіних хакерів» нітрохи не менше, ніж від профі: якщо їм вдається досягти поставленої мети, жертва неминуче зазнає збитків і витрачає сили на усунення наслідків. Але найнебезпечніше те, що роботою недоучок можуть скористатися їх більш просунуті «колеги» і спробувати, наприклад, проникнути на атакуємий ресурс.

«ПоДДосить» невеликий сайт або сервер дрібного підприємства варто цілком доступних грошей. Зловмиснику навіть не потрібно мати свій ботнет – послуги проведення DDoS-атак сьогодні пропонуються майже легально. І не де-небудь в даркнетах, а у відкритій Всесвітній павутині. Ну а особливо допитливі можуть просто завантажити програму з інструкцією і зробити все «як треба» своїми руками. До їх радості, ПО для проведення DDoS теж можна знайти у вільному доступі.

Професійні масштабні напади ведуться з командних центрів, розташованих в різних країнах світу. Центри часто ніяк не пов’язані ні з географією зомбі-мереж, якими керують, ні з місцезнаходженням самих кіберзлочинців. А це створює певні труднощі в нейтралізації подібної діяльності.

Навпаки, відповідальність за «аматорські» атаки частіше лежить на тих, хто має або раніше мав пряме відношення до жертви. Вони, як правило, не володіють ресурсами, здатними забезпечити їм належний рівень захисту, і легко попадаються. Так що якщо вашому бізнесу намагаються шкодити за допомогою DDoS, не забувайте звертатися в правоохоронні органи.

Типи і тривалість DDoS-атак

Методик проведення DDoS досить багато, тому більшість атак можна віднести до одного конкретного варіанту. Зазвичай вони мають складний, комбінований характер. Але частіше за інших зустрічається такі типи нападів:

• Volumetric (об’ємні) – пов’язані з переповненням і вичерпанням пропускної здатності мережі.
• Рівня додатків – пов’язані з вичерпанням ресурсів сервера або конкретного серверного додатка, що створюється інтенсивним обчислювальним навантаженням або незавершеними запитами.
• Рівня протоколів – пов’язані з експлуатацією уразливості мережевих протоколів і спрямовані на вичерпання обчислювальних можливостей мережі і проміжних вузлів (фаєрволів).

Атаки типу Volumetric проводяться шляхом відправки на випадкові порти сервера величезної кількості пакетів UDP або луна-запитів ICMP (UDP і ICMP-флуд). При отриманні того чи іншого атакуюча система повертає відправникам відповіді, що тільки підсилює забивання мережевого каналу.

Атаки рівня додатків (найпоширеніші) полягають у відправці серверним програмам надмірної кількості пакетів HTTP / HTTPS / SNMP, які тим доводиться обробляти, або незавершених запитів HTTP (HTTP-флуд), щоб сервер простоював в очікуванні отримання їх відсутніх частин.

Атаки рівня протоколів проводяться шляхом «бомбардування» сервера-жертви незавершеними запитами SYN (SYN-флуд), щоб створити велику кількість напіввідкритих (непідтверджених) TCP-з’єднань і тим самим заблокувати можливість обробки легітимних підключень. Інший різновид нападу цього типу полягає у відправці фрагментованих або надлишково-великих пакетів ICMP, щоб зайняти серверні ресурси приведенням їх до стандартного вигляду.

При DDoS-атаках використовуються і інші види флуду, наприклад, MAC-флуд, який призначений для виведення з ладу мережевих комутаторів, DNS-флуд, застосовуваний для нейтралізації серверів DNS і т.д.

Яким би не був спосіб нападу, в його основі завжди лежить одне – вичерпання ресурсів вузла, що атакується.

Тривалість дії на жертву обмежується тільки можливостями і бажанням нападника. Більше половини DDoS-атак триває менше доби. Приблизно третина – менше години. Решта тривають від двох днів до декількох тижнів і найменша частина – більше одного місяця.

Як визначити, що ваш сервер або сайт піддався нападу

Від початку дії до моменту, коли атакований ресурс перестає відповідати на запити, найчастіше (але не завжди) проходить кілька годин. Якщо встигнути прийняти захисні заходи, серйозних наслідків можна уникнути. Але для цього необхідно знати, якими бувають неявні ознаки нападу.

Отже, у чому проявляється DDoS-атака:

• Вхідний, а іноді і вихідний мережевий трафік вузла, що атакується збільшується в рази і має тенденцію до подальшого зростання. Помітно зростає обсяг трафіку на певні порти.
• По наростаючій збільшується навантаження на процесор і оперативну пам’ять.
• В роботі серверних додатків виникають різні помилки – від «вильоту» окремих функцій до повної неможливості запуску.
• Основна маса клієнтів звертається до одних і тих же функцій програми або сайту, наприклад, відкриває певну сторінку.
• На сайті що атакується повільно вантажаться сторінки, не виконуються окремі функції, виникають помилки. Іноді при ознаках атаки сайт блокує хостинг-провайдер, щоб захистити від впливу ні в чому не винних сусідів.
• В логах атакуємого сервера і мережевих пристроїв велика кількість однотипних запитів від клієнтів, географічно віддалених один від одного (зомбі-мережі заражених комп’ютерів).
• До сайту, традиційно має аудиторію, об’єднану за конкретною ознакою, наприклад, мови або місця розташування (міський портал), масово звертаються клієнти, які не мають цієї ознаки. Наприклад, з інших міст і країн.

Ці симптоми, крім двох останніх, зустрічаються не тільки при нападах хакерів, але і при інших неполадках мережевих ресурсів. Єдина ознака – привід посилити увагу. Але якщо їх два або більше, пора вживати захисних заходів.

Як запобігти і зупинити DDoS напад, якщо він вже почався

Багато власників сайтів переконані, що одноразову атаку, якщо вона вже в ходу, простіше і дешевше перечекати, адже найчастіше вони короткочасні. Зазвичай це так, але якщо примудрився потрапити під вплив високого рівня, який триває кілька днів, боротьба буде нелегкою і витратна:

• Якщо сайт розміщений на віртуальному сервері, перенесіть його на виділений. Можливо, атака спрямована не на вас, а на один з сусідніх сайтів.
• Підключіть служби, в арсеналі яких є спеціальні апаратні комплекси захисту від DDoS, так як тільки програмні методи в таких випадках малоефективні.

Середньо- і малопотужні впливу (флуд) можна спробувати відбити своїми силами шляхом відстеження і блокування джерел запитів. Однак часу на це піде не набагато менше, ніж триває напад.

Набагато правильніше приділити трохи уваги налаштування мережевих ресурсів до того, як вас атакують.

Ось приблизний список того, що слід зробити в першу чергу:

• Встановіть на сайті захист від ботів, де це можливо.
• Проаналізуйте логи, визначте неблагонадійні адреси і домени і заблокуйте їм доступ до вашого ресурсу назавжди.
• Забороніть обробку запитів ICMP. При неможливості заборони – обмежте.
• Використовуйте фільтри і аналізатори мережевого трафіку до того, як він потрапить на сервер.
• Відмовтеся від використання на сервері потенційно уразливого ПО, а те, що встановлено, підтримуйте в актуальному стані.
• Підключіть засоби контролю стану системи і програм.
• Встановіть квоти на використання апаратних ресурсів. Збільште пропускну здатність мережі і виділіть окремий канал для адміністративного доступу.
• Збільште ліміт на максимальне число з’єднань HTTP.
• Скоротіть максимум одночасних напіввідкритих з’єднань TCP з одним клієнтом і час їх утримання.
• Ізолюйте служби, призначені для адміністрування, від доступу ззовні.
• Використовуйте готові рішення захисту від DDoS, якими володіє ваш хостинг-провайдер і сторонні комерційні компанії.

І якщо є можливість, розподіліть найбільш важливі веб-ресурси з різних, не пов’язаних один з одним серверів. Щоб у разі атаки на один, інші залишалися доступні.

Можливо, ці заходи не забезпечать вам стовідсоткового захисту від загроз, але точно знизять їх ймовірність в десятки разів.

Блогун — реклама в социальных сетях, блогах и сообществах

Be the first to comment

Leave a Reply Скасувати коментар

Щоб відправити коментар вам необхідно авторизуватись.