Сегодня распределенные атаки типа «отказ в обслуживании» (DDoS) несут серьезную угрозу для серверов и IT-инфраструктуры в целом. В первом квартале 2023 года в России было зафиксировано 385 000 DDoS-атак, что на 58% больше, чем в 2022 году.
Независимо от того, являетесь ли вы IT-специалистом или управляете бизнесом, материал освежит знания о DDoS и поможет подготовиться даже к самым непредсказуемым атакам.
DDoS-атаки и их цель
DDoS (Distributed Denial of Service) — это распределенная атака типа «отказ в обслуживании», которую используют хактивисты, чтобы нарушить нормальную работу целевого сервера, сайта или приложения с помощью мощного потока трафика.
Чрезмерное количество трафика вызывает отказ в обслуживании пользователей. Иначе говоря, атакуемый сервер просто перестает отвечать на запросы, потому что не успевает их обрабатывать. Такие действия могут быть мотивированы различными факторами: от финансовой выгоды и политической активности до личной неприязни и кибервандализма.
Один из методов организации таких атак — создание ботнета, или сети взломанных компьютеров. Устройства внутри сети могут быть не связаны друг с другом напрямую, но управляться одним злоумышленником. В ботнете могут быть десятки тысяч компьютеров, каждый из которых способен отправлять сетевые запросы, что в совокупности нагружает цель, вызывая перебои в работе или полную недоступность сервиса.
Устройство DDoS-атак
Ботнеты состоят из множества взломанных систем. Злоумышленники управляют ими удаленно, направляя поток трафика на жертву. Современные DDoS-атаки могут иметь различное строение: от простых прямых атак до сложных многовекторных стратегий. Последние могут одновременно нацеливаться на разные уровни сетевой модели OSI, что усложняет обнаружение и борьбу с последствиями.
Классификация атак и их виды
Низкоуровневые атаки
Эти атаки направлены на сетевой (L3) и транспортный (L4) уровни сети. Их основная цель — переполнить пропускную способность и ресурсы цели, перегрузив ее огромным количеством трафика.
Основные виды низкоуровневых атак:
- UDP Flood — переполнение случайных портов цели UDP-пакетами;
- ICMP Flood (Ping Flood) — заполнение цели пакетами ICMP Echo Request;
- SYN Flood — потребление ресурсов сервера с помощью потока TCP/SYN-пакетов;
- NTP Amplification — использование публичных NTP-серверов для переполнения цели UDP-трафиком;
- DNS Amplification — использование публичных DNS-серверов для преумножения трафика через DNS-ответы.
В качестве примера можно рассмотреть атаку SYN Flood на популярный онлайн-магазин. Злоумышленники начинают массовую отправку SYN-пакетов на серверы магазина, вызывая дефицит свободных вычислительных ресурсов для установления TCP-соединений. В результате реальные клиенты не могут загрузить страницы сайта, так как сервер перегружен фиктивными запросами на подключение, и выручка магазина падает.
Высокоуровневые атаки
Такие атаки направлены на прикладной уровень (L7) сети. Один из используемых инструментов — веб-запросы. Хактивисты по HTTP переполняют ими сервер, который не успевает загружать и отправлять страницы. Этот метод сложнее обнаружить и нейтрализовать из-за схожести с легитимным веб-трафиком.
Наиболее часто встречающиеся виды высокоуровневых атак:
- HTTP Flood — отправка многочисленных HTTP-запросов для перегрузки веб-сервера или приложения;
- Slowloris — создание и поддержание множества медленных HTTP-соединений с целью исчерпания ресурсов сервера;
- SSL Exhaustion — перегрузка сервера, вызванная инициацией большого количества запросов на SSL-соединение;
- Zero-day DDoS — использование неизвестных уязвимостей в веб-приложениях или серверах.
Примером высокоуровневой атаки может служить HTTP Flood на новостной портал. Здесь злоумышленники используют ботнет для отправки большого количества HTTP-запросов к веб-серверу. Эти запросы могут быть нацелены на конкретные ресурсоемкие страницы или функции сайта, например форму поиска. В результате сервер перегружается, а посетители не могут читать новости или оставлять комментарии.
Высокоуровневая атака фокусируется на прикладном уровне, имитируя легитимные запросы к веб-приложениям. Из-за этого отличить ее от обычного трафика очень сложно.
Основное различие между низкоуровневыми и высокоуровневыми атаками в том, что первые обычно нацелены на нарушение работы сетевых компонентов, а последние — на конкретных приложениях и функциях.
Чем опасны DDoS-атаки
DDoS-атаки несут угрозу не только стабильной работе серверов, но и безопасности данных, деловой репутации и финансам.
Группы риска
Некоторые отрасли более уязвимы к атакам из-за зависимости от цифровых и онлайн-сервисов. Основными объектами атак часто становятся:
- платформы электронной коммерции,
- финансовые учреждения,
- медицинские организации,
- государственные учреждения,
- службы онлайн-игр.
Для этих организаций бесперебойная работа онлайн-сервисов имеет решающее значение, и за любое нарушение могут быть серьезные последствия.
Ущерб от DDoS-атак
- Утечка данных. DDoS отвлекает внимание от более серьезных нарушений безопасности. Пока IT-команда занята борьбой с атакой, киберпреступники могут воспользоваться моментом для хищения данных. Такие утечки могут привести к раскрытию различных видов конфиденциальной информации.
- Финансовый ущерб. DDoS-атаки ведут как к прямым затратам на противодействие атаке и восстановление сервисов, так и к косвенным. В качестве последнего могут быть потерянные клиенты, компенсации и другое.
- Репутационный ущерб. DDoS может подорвать авторитет компании, что приведет к потере клиентов, партнеров и потенциально долгосрочному ущербу для бренда.
- Вымогательство. DDoS-атаки могут сопровождаться вымогательством, когда злоумышленники не только нарушают работу сервисов, но и угрожают зашифровать или раскрыть конфиденциальные данные.
Трудности для службы технической поддержки
Во время DDoS-атак пользователи сталкиваются с перебоями в работе сервисов. Они начинают отправлять больше запросов и жалоб в техподдержку хостинг-провайдера. Это ведет к тому, что время решения одного тикета увеличивается. Другая сложность для техподдержки в том, чтобы отличить обычные технические проблемы от тех, которые вызваны DDoS-атакой.
Методы защиты от DDoS-атак
Настройка файрвола
Важнейшие элементы защиты от DDoS — брандмауэры, они же файрволы, которые могут быть настроены на выявление и блокирование нелегитимного трафика.
Использование CDN
CDN (сеть доставки контента) — это сеть распределенных серверов, которые доставляют веб-контент и страницы пользователю в зависимости от его географического положения. CDN предназначена для оптимизации скорости и эффективности за счет хранения кешированного контента ближе к конечным пользователям, уменьшая задержки и нагрузку на другие серверы.
CDN распределяет содержимое веб-ресурса по глобальной сети серверов. Так уменьшается объем трафика, воздействующего на отдельный сервер. Кроме того, многие CDN предлагают встроенные функции защиты от DDoS, такие как автоматическое перенаправление трафика, алгоритмы обнаружения аномалий и способность поглощать и рассеивать большие объемы трафика.
Настройка DNS
- Очистка кэша. Эта процедура дает возможность хранить информацию об IP-адресах внутри сети и не обращаться к DNS-серверу при каждом запросе, снимая с него часть нагрузки. Другое преимущество очистки кэша DNS в том, что она сокращает ожидание ответа на запросы пользователей.
- Ограничение скорости ответа (Response Rate Limiting, RRL). Это техника, используемая в DNS-серверах для защиты от DDoS-атак, в частности от атак с усилением DNS. RRL работает за счет контроля количества ответов, которые DNS-сервер посылает за определенный промежуток времени.
Атака с усилением DNS — это тип DDoS-атаки, при которой злоумышленник использует функциональность публичных DNS-серверов для переполнения цели большим объемом трафика. Это делается путем отправки DNS-запросов с IP-адреса жертвы, заставляя DNS-сервер присылать ответы на адрес, который по факту в них не нуждается. Такой механизм называется «усилением», потому что злоумышленник превращает небольшой набор запросов в гораздо больший объем трафика, направленный на жертву.
Настройка фильтрации трафика
Фильтрация трафика подразумевает развертывание сетевых решений, которые тщательно проверяют входящий трафик и определяют, исходит ли он от легитимных пользователей или является частью DDoS-атаки. Эти системы используют различные критерии для выявления и блокировки вредоносного трафика, например IP-адрес источника, частоту трафика, целостность пакетов. Такой подход помогает не только защититься от атаки в реальном времени, но и понять шаблон, чтобы предотвратить ее в будущем.
Предотвращение спама
Меры по предотвращению спама включают в себя развертывание CAPTCHA для проверки реальных пользователей и ботов, внедрение систем проверки электронной почты для предотвращения регистрации спам-ботов. А также ограничение попыток авторизации или отправки форм.
Использование модуля Testcookie
Модуль Testcookie — это сложный инструмент, часто используемый в серверах Nginx. Он проверяет входящие соединения с помощью теста JavaScript, чтобы определить, от кого исходит трафик: реального пользователя или бота. Этот модуль эффективно блокирует запросы от автоматизированных ботнетов.
Код 444
В конфигурациях серверов Nginx код 444 указывает закрыть соединение, не отправляя в ответ ни заголовка, ни тела сообщения. Такой инструмент является эффективной мерой для обработки вредоносного трафика с минимальным потреблением ресурсов.
Блокировка по географическому признаку
Этот метод подразумевает блокирование или ограничение трафика из регионов с репутацией источников DDoS-атак. Такая защита может быть реализована с помощью правил брандмауэра или настроек конфигурации сети.
Использование нейронной сети
Использование нейронных сетей для борьбы с DDoS предполагает анализ трафика и выявление «аномалий» с помощью искусственного интеллекта. Этот метод позволяет адаптивно реагировать на угрозы в режиме реального времени.
Использование специальных сервисов
Услуги компаний, специализирующихся на предотвращении DDoS, обеспечивают комплексную защиту от широкого спектра таких атак. Эти услуги обычно включают расширенную фильтрацию трафика, ограничение скорости, обнаружение ботнетов и автоматические механизмы реагирования.
Профилактика DDoS-атак
1. Общий анализ и диагностика IT-инфраструктуры
На первом этапе профилактики стоит оценить архитектуру сети, мощности серверов и существующие меры безопасности. Анализ IT-инфраструктуры выявит уязвимости, которые могут быть использованы в DDoS-атаке, и поможет устранить слабые места.
2. Подготовка резервных ресурсов
Резервирование серверов и сетевых маршрутов гарантирует, что операции будут продолжаться даже во время DDoS-атаки. Эти резервные ресурсы могут взять на себя нагрузку по трафику, поддерживая доступность услуг, если основная система будет скомпрометирована.
3. Минимизация зоны атаки
Сокращение зоны атаки подразумевает ограничение точек доступа, которыми может воспользоваться злоумышленник. Этого можно достичь путем отключения ненужных служб, закрытия неиспользуемых портов и применения строгих мер контроля доступа. Чем меньше уязвимых точек содержится в сети, тем сложнее злоумышленнику проникнуть в нее.
4. Настройка мониторинга
Постоянный мониторинг сетевого трафика и производительности системы помогает на ранней стадии обнаружить аномалии, которые могут сигнализировать о DDoS-атаке. Внедрение инструментов мониторинга, способных анализировать трафик и предупреждать о подозрительных действиях, является важным элементом для оперативного реагирования и смягчения последствий.
5. Подбор оптимальной конфигурации
Настройка конфигурации сети и систем безопасности в соответствии с потребностями может значительно усилить защиту от DDoS-атак. Конфигурация сети включает в себя настройку брандмауэров, систем обнаружения вторжений и других решений для выявления и блокирования вредоносного трафика.
Этапы борьбы с DDoS в дата-центрах
1. Обнаружение атаки
В центрах обработки данных используются мощные системы мониторинга, которые анализируют весь трафик в поисках признаков атаки. Быстрое выявление таких аномалий важно для своевременного реагирования.
2. Перенаправление трафика
После обнаружения DDoS-атаки главной задачей становится эффективное управление входящим трафиком. Он перенаправляется от основной цели к распределенным сетям или специализированным системам фильтрации. В этом может помочь, например, перенаправление средствами DNS или CDN. Эти методы позволяют «рассеять» атаку в более широкой сети, снизив ее воздействие на атакуемый сервер или IT-инфраструктуру в целом.
3. Фильтрация трафика
На этом этапе внедряются механизмы фильтрации, чтобы отделить легитимный трафик от атак. Для этого используются алгоритмы и методы распознавания образов, позволяющие идентифицировать и блокировать вредоносные пакеты данных.
4. Анализ атаки
После устранения последствий атаки нужно понять ее «природу» и источник: изучить логи, схемы трафика и векторы атак. Полученные сведения важны для укрепления защиты от атак в будущем. Готово — вы побороли DDoS!
