Чтобы определить, когда начинается волюметрическая DDoS-атака, специалисту достаточно проверить нагрузку на сеть. Будет заметен резко возросший объем трафика на портах, а в логах веб-сервера появятся ошибки 502, 503 или 504. Действия атакующих скажутся и на работе сайта — он заметно замедляется. На процессор возрастает нагрузка, так как он будет пытаться обработать множество поступающих запросов. Подобные атаки могут быть достаточно мощными, но при этом сценарий выглядит просто, ведь после обнаружения DDoS, с ней можно будет бороться. Но есть типы атак, с которыми сложно справиться, потому что их трудно обнаружить.
Медленные маломощные атаки (Low and Slow) — главная угроза для устаревшей защиты от DDoS. Этот тип атак построен на принципе создания минимальной активности, которая будет незаметна для защитных систем без автоматизации процессов обнаружения. Передача данных проходит очень медленно и не переполняет каналы трафиком. Представьте три очереди в банке на заполнение важных бумаг, где все посетители будут максимально медленно доставать ручку из кармана, а потом выводить каждую букву своей фамилии на листке бумаги. Сотрудники банка будут вынуждены ждать каждого «злоумышленника», ведь по сути они ничего не нарушают. Подобный сценарий схож с принципом медленных маломощных DDoS-атак.
Для проведения Low and Slow атакующие чаще всего используют особенности протоколов HTTP или TCP. Самые распространенные виды таких атак: Slow HTTP, Sockstress, R.U.D.Y.
- Slow HTTP
Атакующий подключается к веб-серверу, после чего начинает медленно отправлять заголовки HTTP-запроса, не передавая сигнал, что отправка заголовков завершилась. Эти действия вынуждают сервер держать соединение открытым, а при использовании протокола HTTP/2 злоумышленник может в одном сетевом соединении передавать одновременно множество HTTP-запросов. - Sockstress
Атакующий использует уязвимость в трехстороннем рукопожатии TCP/IP, создавая полуоткрытые соединения для истощения ресурсов. - R.U.D.Y.
Инструмент для атак R.U.D.Y. — название произошло от сокращения Are You Dead Yet. Используя R.U.D.Y., злоумышленники открывают параллельные POST HTTP-соединения к HTTP-серверу и задерживают отправку POST-запросов. Механизм схож с атакой Slow HTTP, только вместо незавершающейся передачи заголовков в запросе объявляется размер тела POST-запроса, и медленно передается уже само это тело запроса.
Бороться с медленными маломощными атаками одной блокировкой запросов на основе репутации недостаточно, так как за единицу времени их гораздо меньше, чем валидных запросов. А такая атака, как R.U.D.Y. трудно обнаружима, потому что она похожа на подключение обычного посетителя, но с плохим интернетом.
Следите за ежегодной аналитикой экспертов DDoS-Guard в разделе «Отчеты» на нашем сайте, а более развернутые комментарии можно найти по одноименному тегу в блоге.
Методы защиты от DDoS-атак
Базовый подход к безопасности строится по схеме «анализ — детектирование — переключение — очистка». Новые способы и инструменты, которые используют злоумышленники, позволяют найти слабые места в устаревших подходах формирования защиты от DDoS-атак, поэтому важно внедрять современные методы противодействия.
Принцип работы защиты от DDoS-атак
При обнаружении аномалии специалисты переключают маршрут, и трафик идет на устройства очистки. После того, как проходит «всплеск» аномального трафика, еще какое-то время трафик ресурса-жертвы продолжает проходить через устройство фильтрации. Несколько лет назад такое переключение производилось в ручном режиме — решение принимал сетевой инженер после анализа трафика, и он же производил нужные настройки. Это могло занять от 10 до 30 минут как минимум — в зависимости от размеров и топологии сети оператора. В течение этого времени страдала производительность системы и безопасность сети в целом.
Переключение маршрута в современной защите от DDoS-атак занимает всего несколько секунд. Сегодня негативный сценарий для владельцев веб-ресурсов может возникнуть в двух случаях: при отсутствии вообще какой-либо защиты от DDoS или на этапе обнаружения вредоносной активности, если она производится только в ручном режиме.
1. При отсутствии защиты от DDoS-атак компании необходимо быстро найти провайдера защиты. Это создает сразу несколько препятствий:
- Время обнаружения — если атака масштабная, ее легче распознать. Однако, злоумышленники могут использовать способ о котором мы говорили ранее — маломощные DDoS. В таком случае вероятность своевременного обнаружения атаки значительно снижается.
- Поиск провайдера защиты — выбор услуги, подходящего тарифа, подписание договора и настройка дополнительных опций — все это также скажется на времени отражения атаки, которое является критическим фактором при DDoS-атаке.
- Подключение — после выбора подходящего провайдера необходимо потратить какое-то время, чтобы подключить защиту и убедиться в ее эффективности.
2. Если у вас есть провайдер защиты, одним из ключевых аспектов станет скорость обнаружения атакующего трафика. Согласно распространенным форматам защиты, используя режим On-Demand (по требованию), вы оплачиваете только время, в течение которого вредоносный трафик проходит через сеть фильтрации. В этом случае решение о переключении на защитную инфраструктуру провайдера вам предстоит принимать самостоятельно. А после отражения атаки — возвращать трафик на прежний маршрут.
Важно автоматизировать не только обнаружение вредоносной активности, но и сам момент переключения трафика, так как даже 10 минут простоя обернется крупными убытками. Особенно, если это интернет-магазин, новостной портал или телекоммуникационная компания. Одно из решений — программное обеспечение типа «сенсор», которое анализирует трафик и позволят при распознании атаки отправить сигнал роутеру и в автоматическом режиме спровоцировать перенаправление анонсов в пользу более безопасного маршрута.
Другой тип защиты — Always-On (постоянная) — при таком подходе весь трафик будет 24/7 проходить через защищенную сеть фильтрации вне зависимости от наличия или отсутствия атаки.
Клиентам сервиса DDoS-Guard доступны оба типа защиты. Однако мы рекомендуем использовать Always-On, поскольку анализ трафика будет происходить в непрерывном режиме. В случае атаки система адаптируется быстрее, так как использует данные о паттернах трафика за последний интервал времени, что напрямую влияет на скорость принятия решения о блокировке. При использовании On-Demand защитная система начинает фильтрацию так же с первого пакета, но если атака уже идет, на адаптацию потребуется больше времени.
Если по каким-то причинам у вас нет возможности подключить профессиональную защиту от DDoS-атак, рекомендуем подготовить план реагирования на случай критических ситуаций. Он не защитит от действий злоумышленников, но поможет минимизировать убытки и сократит срок восстановления веб-ресурса после атаки.
Почему больше недостаточно ручного обнаружения аномалий
Ситуация осложняется массовой автоматизацией DDoS-атак. Более того, хакеры все чаще используют возможности искусственного интеллекта для совершенствования атак и обхода защиты. Атакующие могут комбинировать несколько видов атак, чтобы усложнить обнаружение, а впоследствии и защиту. Например, сначала они запускают простой поток пакетов UDP, а если это не срабатывает, переключаются на другой метод. Например, DNS-амплификацию. В ходе атаки могут использоваться разные техники: медленные HTTP-запросы с нескольких IP-адресов, метод R.U.D.Y., который уже известен читателю, а в фоновом режиме — атака TCP Slowloris на сеть. В очень редких, скорее исключительных случаях, вмешательство человека может конкурировать с подобными инструментами и схемами атак.
Корпоративные специалисты по информационной безопасности не всегда могут вовремя обнаружить DDoS-атаки с низким объемом вредоносного трафика, а если им это все же удается, будет сложно среагировать достаточно быстро, чтобы предотвратить их последствия. Ручные и гибридные методы предотвращения последствий атак недостаточно эффективны, что приводит к задержкам и некорректной работе устройств в процессе восстановления системы.
Система DDoS-Guard анализирует трафик в постоянном режиме и позволяет клиентам настроить уведомления об аномальных паттернах трафика. В настройках сервиса защиты можно установить параметры, при достижении которых система оповестит клиента о начале атаки по электронной почте или через мессенджер. При этом защита сработает автоматически.
Какой метод защиты наиболее эффективен
Автоматизированные атаки требуют автоматизированных решений для защиты. Единственный способ успешно противостоять атакам с низким объемом вредоносного трафика — использовать систему, которая быстро обнаружит и заблокирует DDoS-атаки любого типа в режиме реального времени.
Автоматизированная система мгновенно идентифицирует атаку и не дает хакеру возможности остаться незамеченным даже при использовании Low and Slow атак. При таком подходе ресурс будет всегда под защитой, а вредоносный трафик сразу же перенаправляется на системы фильтрации. Умные алгоритмы круглосуточно анализируют пакеты данных и быстро выявляют подозрительную активность.
Клиентам сервиса DDoS-Guard доступны удобные и эффективные решения от DDoS-атак на уровнях L3,4 и L7 модели OSI. Благодаря этому вмешательство со стороны специалистов нужно минимальное. Сотрудники могут больше времени посвятить для обнаружения и устранения других киберугроз.
Защита от DDoS-атак работает круглосуточно и не требует сложной ручной настройки. Клиентам сервиса доступны дополнительные инструменты в личном кабинете. Создайте индивидуальные настройки безопасности, сформируйте расширенные отчеты по прошедшим DDoS-атаками или воспользуйтесь другими услугами. В личном кабинете можно арендовать выделенный сервер, разместить сайт на защищенном хостинге или подключить модуль отслеживания вредоносных запросов.
Начните знакомство с сервисом защиты DDoS-Guard — свяжитесь с нами, чтобы подобрать оптимальное решение для вашего проекта и обезопасить его от вредоносных действий злоумышленников.