DDoS-атаки часто фигурируют в новостях, и ни одна компания от них не застрахована. В ходе атаки происходит перегрузка системы огромным количеством запросов. Массовые запросы превышают допустимый уровень, поэтому сервер становится недоступен. В статье расскажем, что же это такое, какие бывают виды DDoS-атак, а также поговорим о способах защиты.
Что такое DDoS-атака
Ресурсы сети не могут принимать и обслуживать бесконечное число запросов. Они ограничены допустимой нагрузкой на сервер и пропускной способностью канала. Если запросов становится слишком много, это снижает производительность или полностью останавливает работу сетевого ресурса. Происходит «отказ в обслуживании» - Denial of Service или, сокращённо, DoS.
DDoS является частным случаем DoS и является распределенной атакой типа «отказ в обслуживании. В случае DoS-атаки злоумышленник посылает на жертву трафик через одно подключение к Интернету, в то время как DDoS – гораздо более масштабная атака. Здесь в ход идут тысячи, если не миллионы, подключенных устройств. Поэтому справиться с DDoS гораздо сложнее.
DDoS- атака – это разновидность киберпреступления, в ходе которого злоумышленник направляет на атакуемый сервер поток интернет-трафика, тем самым, не позволяя обычным пользователям получать доступ к ресурсу.
Причины проведения атак могут сильно разниться. Это может быть некая манифестация недовольного человека или группы лиц, которые таким способом решили выразить своё отношение к компании или ресурсу. Либо – ход конкурента, целью которого было вывести из строя рабочие процессы другой компании. DDoS- атака также может осуществляться с целью вымогательства, нанесения ущерба репутации и т.п.
Распределённые атаки по типу «отказ в обслуживании» в основном осуществляются с помощью ботнетов. Злоумышленник взламывает компьютеры и прочие устройства, устанавливает там вредоносное ПО или фрагменты кода, которые называются ботом. Сеть из таких заражённых устройств называется ботнет.
Далее злоумышленник посылает ботнету команду перегрузить серверы, на который он совершает нападение, большим числом запросов на подключение. Количество запросов значительно превышает то, которое серверы способны обработать.
Как опознать DDoS-атаку
Проблема с выявлением атак типа «отказ в обслуживании» состоит в том, что их признаки не являются чем-то специфичным. Особенно со стороны. Большинство пользователей интернета практически ежедневно сталкивается с низкой скоростью загрузки сайтов, избытком спама, недоступными для просмотра страницами. Это всё может быть симптомом ДДоСа, но также может быть следствием и совершенно других причин.
По длительности также сложно идентифицировать проблему, так как это может длиться всего час, а может затянуться на месяцы. Интенсивность так же может колебаться.
И всё же, вот несколько признаков, на которые стоит обратить внимание при подозрении на DDoS-атаку:
-
Сайт или онлайн-сервис становится недоступным или работает слишком медленно. Проверьте производительность с помощью инструментов мониторинга или просто попробуйте открыть сайт из разных браузеров и устройств.
-
Необычный трафик на сервере. Просмотрите журналы сервера, чтобы определить, есть ли неожиданный рост трафика. Если вы заметите необычно большое количество запросов с определенных IP-адресов или на какие-то конкретные страницы, это обычно говорит о DDoS-атаке.
-
Отказ в обслуживании для легитимных пользователей. Просите пользователей сообщать вам о проблемах с доступом, чтобы вы могли оперативно отреагировать на ситуацию.
-
Неожиданные скачки использования ресурсов, таких как процессорное время, память или пропускная способность сети. Мониторинг системных ресурсов поможет быстро обнаружить аномалии.
-
Отчеты об аномальной активности. Если вы используете службы мониторинга безопасности или услуги защиты от DDoS, они могут предоставить уведомления о любой аномальной активности.
Типы DDoS-атак
Атаки делятся на три типа:
-
по модели OSI;
-
по протоколам;
-
по механизму воздействия.
По модели OSI
Сетевые подключения состоят из 7 различных уровней (Модель OSI) и DDoS-атаки могут быть ориентированы на различные части сети. Поэтому обычно их классифицируют исходя из того, на какой уровень подключения ориентирована атака.
1. На физическом уровне DoS или DDoS атака невозможна.
2. На канальном уровне возможны атаки типа MAC-флуд. В этом случае пакеты данных перегружают сетевые коммутаторы из-за чего выходят из все порты соединения.
3. На сетевом уровне злоумышленники перегружают сеть ICMP-флудом. За счёт этого снижается пропускная способность сети и число запросов, которое может поступать.
4. На транспортном уровне наиболее популярны DDoS-атаки с помощью Smurf и SYN-флуда. Здесь превышают пороговые значения по ширине канала и количеству доступных подключений.
5. На сеансовом уровне злоумышленник пользуется слабыми местами ПО через протокол Telnet, из-за чего администратор может потерять контроль доступа над сервером.
6. На уровне представления злоумышленники создают искаженные SSL-запросы, чтобы провести атаки на сервер. Проверка шифрованных SSL-пакетов – времязатратная задача, из-за чего ресурсы начинают тормозить.
7. На прикладном уровне атаки совершаются при помощи вредоносных программ. Создаётся огромное количество запросов, так называемый HTTP-флуд, из-за чего ресурс перегружается и обычные пользователи не могут на него попасть.
По протоколам
Обычно выделяют три крупные группы сетевых протоколов:
-
UDP;
-
TCP;
-
Другие (ICMP, GRE, ESP, AH, SCTP, OSPF и т.п.).
Здесь встречаются такие атаки, как IP Null (в поле IP-пакета вместо информации о протоколе прописывается ноль, что позволяет обойти файрвол), SYN-флуд (спамятся запросы на соединение с сервером, перегружая память таблицы соединений сервера), UDP-флуд (сервер, на который совершена атака, закидывается большим количеством UDP-пакетов с разных IP-адресов), Ping of Death (генерация неправильно сформированных или просто объёмных пакетов через команду ping).
По механизму воздействия
Здесь можно выделить 3 блока, отличающихся по механизму действия:
-
На основе флуда. Такие атаки занимаются переполнением канала связи. Сюда входит DNS-амплификация, фрагментированный UDP-флуд, ICMP-флуд и др.
-
С использованием уязвимости стека сетевых протоколов. Здесь встречаются атаки с модификацией поля TOS, с поддельными TCP-сессиями с несколькими SYN-ACK, RST, FIN-флуд и др.
- На уровень приложений. В эту категорию входит HTTP-флуд, атаки, ведущие к отказу приложений, атаки фрагментированными HTTP-пакетами и др.
Как защититься от DDoS-атак
Застраховаться от такого вида атак сложно. Даже крупные компании с мировым именем периодически им подвержены. Поэтому компаниям важно принять меры защиты и реагирования на возможный DDoS.
1. Разработайте план реагирования на атаку. Составьте инструкции для сотрудников, опишите приоритетные направления защиты.
2. Применяйте CDN (систему доставки контента). Она позволяет снизить нагрузку на серверы и перераспределить трафик.
3. Пользуйтесь услугами профессионального провайдера, обеспечивающего защиту от DDoS.
4. Применяйте не только брандмауэр, но и дополнительные инструменты, такие, как WAF (предлагает более тонкую настройку и способен обнаружить большее количество угроз).
5. На сайте используйте CAPTCHA, которые позволят отсеять ботов и, тем самым, снизить нагрузку на сервер.
6. Организуйте постоянный мониторинг и анализ трафика.
Если атака всё же произошла, приступайте к реализации составленного вами плана и обратитесь к вашему провайдеру защиты от DDoS.
Заключение
DDoS-атаки – практически неизбежная угроза для любой компании. Поэтому для стабильной и успешной работы необходимо обеспечить защиту своих ресурсов и проработать меры реагирования. Cloud4Y предлагает решение, которое позволит сохранить непрерывность бизнес-процессов и доступность сервисов для клиентов.
