Что делать во время DDoS-атаки: руководство от специалистов DDoS-Guard

В любой непонятной ситуации составляйте чек-листы, это поможет разобраться и избежать паники. Мы подготовили для вас список полезных советов на случай DDoS-атаки и рассказали, чего точно делать не нужно.

Жертвой DDoS-атаки в 2022 году может стать практически любой сайт, особенно если он относится к категории риска. По нашим данным, 20% инцидентов приходится на порталы развлекательного характера, по 10% — в категории «бизнес» и «телеком».

Атаки могут организовывать конкуренты, хакеры-вымогатели или идейные хактивисты. Итог удара по инфраструктуре всегда один — потеря доступа, денег и репутации. Чем дольше и чаще длятся атаки, тем серьезнее их последствия. 

Предположим, вам повезло, и даже в условиях кибернапряженности 2022 года вы успешно избегали серьезных DDoS-атак и потому не посчитали нужным приобрести профессиональную защиту. Но вот настал день, когда суровая реальность вторглась и в пространство вашей онлайн-деятельности: неизвестные атаковали сайт, он работает с перебоями и вот-вот откажет.

Что делать при DDoS-атаке? Возникает соблазн применить скоропалительные решения (их мы перечислили ниже), однако разумным будет следовать одному из предложенных специалистами алгоритмов реагирования.

Читайте так же:  «Как бороться с ddos атаками?» - что нужно делать во время ddos-аткаи и после нее

Картинка с тем, что не нужно делать во время DDoS

Вредный совет №1. Не делайте ничего

Просто подождите, пока DDoS-атака закончится. В конце концов, может быть это просто эпизод, который не повторится? Ничего страшного в том, чтобы на какое-то время сайт стал недоступен, бывает.

На самом деле: любая DDoS-атака — повод серьезно задуматься о приобретении профессиональной anti-DDoS защиты. Как правило, если вы стали целью однажды, вскоре это повторится вновь.

Вредный совет №2. Отключите сервер от сети 

Если в онлайне не будет сервера, который можно атаковать, не будет и проблемы, верно? В конце концов, можно просто подождать и включить его обратно через какое-то время. Как с компьютером, который завис.

На самом деле: отключение сервера от сети не поможет, ведь атаки возобновятся, как только вы включите сервер обратно.

Вредный совет №3. Отключите страницу или ассет, которые атакуют хакеры

Если им так уж нужно вывести из строя эту страницу или форму, хорошо, пусть забирают. Атакующий трафик можно перенаправить в «черную дыру». Главное, чтобы работал сам сайт, правильно?

На самом деле: атакующие достигнут своей цели, ведь в случае защиты типа blackholing атакуемая страница оказывается недоступна не только для хакера, но и для пользователя.

Вредный совет №4. Поменяйте в DNS А-запись домена на 127.0.0.1

Вы где-то слышали, что это поможет. Кажется, это сказал ваш сисадмин, правда он при этом так странно улыбался, что у вас возникло подозрение, что это он не всерьез. Но хуже ведь не станет, верно?

На самом деле: Не делайте так! 127.0.0.1 это localhost, то есть адрес компьютера. В случае такой подмены, то есть в случае обращения к домену с A-записью, ссылающейся на 127.0.0.1, все действия попадут на машину, с которой идет запрос. Однако проблема в том, что атака делается не по доменному имени, а по реальному IP-адресу машины.

Мем с рэпером дрейком

1. В первую очередь, постарайтесь не поддаваться панике

2. Оцените ресурсы своего сервера, хостинга/ VDS. Какова их типичная и атипичная нагрузка —, как по параметрам запросов, так и по утилизации CPU/MEM/NET.

3. Проверьте, есть ли у вас план, как противостоять DDoS-атаке, толковый системный администратор, который может его реализовать? Самое время сейчас всеми доступными способами снизить эффективность атакующего трафика. 

4. Убедитесь в том, что ваш сайт именно под DDoS-атакой. Подтвержденную информацию о том, что веб-ресурс подвергся распределенной атаке типа «отказ в обслуживании» можно получить от хостера, с графиков загрузки интерфейсов (BPS или PPS), с графиков загрузки CPU/Disk IO/RPS, через утилизацию CPU RAM LAN или из других источников. 

5. Постарайтесь определить, какой характер носит атакующий трафик и на что нацелена атака, меняются ли ее цели по ходу происходящего. Для оценки обстановки пригодятся программы-сетевые анализаторы типа Wireshark и Tshark.

6. Обратитесь в техническую поддержку. Если сайт, который подвергается атаке, не находится на постоянном мониторинге у провайдера защиты, как можно скорее свяжитесь с командой хостера. Обратите внимание, в каком режиме она работает. Доступность менее 24 часов в сутки, да еще и с перерывом на выходные — повод серьезно задуматься о смене хостинга в пользу площадки с поддержкой 24/7.

7. При наличии технической возможности также выполните следующие действия:

  • Проверьте доступность сайта с помощью внешних ресурсов check-host, ping-admin, ping.pe или других;
  • Проверьте доступность сервера/VDS/самого хостинга. Возможно, проблема вовсе не в атаке, а, например, в отстутствии электропитания;
  • Очистите логи access/error. Ресурсы сервера или VDS могут быстро переполняться из-за аномального количества однотипных запросов от атакующих;
  • Настройте ограничение скорости брандмауэра на стороне сервера (iptables или брандмауэр Windows). Эта мера годится только как временная, так как может фактически изолировать сервер от сети;
  • Измените записи DNS для домена. Эта мера также носит только временный характер.

8. Подумайте о пользователях. Если сайт или сервер слишком долго недоступен из-за атаки, сообщите своей аудитории о проблемах. Напишите в соцсетях о том, что происходит и что вы принимаете меры по устранению технических неполадок. Привяжите к сайту страницу-заглушку с аналогичным сообщением.

Если вы еще не сделали этого ранее, теперь самое время оценить свои ресурсы и подлатать «дыры» в инфраструктуре.      
Для этого:

  • составьте актуальный план вашей инфраструктуры, определите, где расположены какие активные ее элементы;
  • определите, какие части инфраструктуры должны быть доступны извне, остальные (например, базы данных) надежно закройте для посторонних. Убедитесь, что IP-адреса инфраструктуры не скомпрометированы;
  • минимизируйте поверхность возможной атаки, настройте фаервол так, чтобы открытыми оставались только доверенные адреса и сети;
  • если вдруг по какой-то причине в 2022 году вы этого еще не сделали, перейдите с HTTP на HTTPS;
  • в том случае, если на физическом сервере находится не один сайт, важно тщательно разграничить их по используемым ресурсам или выбрать другой вариант размещения сайта.

Подробнее о том, какие меры можно принять для профилактики DDoS-атак, читайте в нашем материале «Как предотвратить DDoS-атаку»

Наиболее оптимальным по соотношению затрат и эффективности способом предотвратить DDoS-атаки является приобретение услуг профессиональной защиты. Какая именно услуга окажется самой эффективной, зависит от того, какого типа атаки фиксируются на ваши ресурсы.

В случае атаки волюметрического типа необходима защита сети (L3-L4 по модели OSI), для чего потребуется «переезд» на защищенные ресурсы хостера. Если атака идет именно на сайт (L7), потребуется защитить его и сменить IP адрес веб-сервера, настроив его в соответствии с рекомендациями провайдера защиты.

Даже во время интенсивных кибератак сервисы клиентов DDoS-Guard остаются полностью доступны и работоспособны.

Наиболее популярные типы угроз, от которых можно защититься с помощью DDoS-Guard

Атаки, направленные на переполнение канала (L3)Атаки, использующие уязвимости стека сетевых протоколов (L4)Атаки на уровень приложений (L7)
DNS амплификация (DNS Amplification)ACK / PUSH ACK флуд (ACK & PUSH ACK Flood)HTTP флуд (HTTP Flood, Excessive VERB)
DNS флуд (DNS Flood)SYN-ACK флуд (SYN-ACK Flood)HTTP флуд одиночными запросами (Single Request HTTP Flood, Multiple VERB Single Request)
ICMP флуд (ICMP Flood)SYN-флуд (SYN Flood)HTTP флуд одиночными сессиями (Single Session HTTP Flood, Excessive VERB Single Session)
VoIP флуд (VoIP Flood)Атака поддельными TCP сессиями с несколькими ACK (Multiple ACK Fake Session Attack)Атака с целью отказа приложения (Faulty Application Attack)
NTP флуд (NTP Flood)Атака поддельными TCP сессиями с несколькими SYN-ACK (Multiple SYN-ACK Fake Session Attack)Атака фрагментированными HTTP пакетами (Fragmented HTTP Flood, HTTP Fragmentation)
Ping флуд (Ping Flood)Атака с помощью перенаправления трафика высоконагруженных сервисов (Misused Application Attack)Сессионная атака. Атака медленными сессиями (Session Attack, SlowLoris)
UDP флуд (UDP Flood)Атака поддельными TCP сессиями (Fake Session Attack)Рекурсивный HTTP GET флуд (Recursive HTTP GET Flood)

    
DDoS-Guard также предоставляет услуги безопасного хостинга со встроенной защитой от паразитного трафика. В рамках любого тарифного плана доступна техническая поддержка 24/7, CDN и выбор популярных панелей управления. Мы готовы помочь с переездом и ответить на все ваши вопросы.

Напишите нам на sales@ddos-guard.net, чтобы получить персональную консультацию и подобрать решение, которое лучше всего подходит для вашего проекта.

Поделиться:

Читайте также

Дайджест новостей за Q1 2025

Отчёты

Дайджест событий в мире кибербезопасности за первый квартал 2025 года

Рассказываем о самых ярких киберсобытиях за первый квартал 2025 года и делимся актуальными тенденциями DDoS-атак.

19 мин
249
Обложка статьи: Как защититься от DDoS

Статьи

Как защититься от DDoS-атак в 2025 году

DDoS-атаки — это системная угроза, которая набирает обороты. Разбираем актуальные методы защиты и даем практические советы по повышению безопасности.

10 мин
12811
Обложка: Новые типы киберугроз 2025

Статьи

DDoS-атаки сегодня: новые типы киберугроз в 2025 году

Изменение ландшафта DDoS-атак в 2025 году: новые типы угроз и надежный способ защиты от них.

5 мин
1125