DDoS-атака — тип кибератаки, при которой злоумышленники отправляют поддельные запросы на сервер или сеть с целью перегрузить их и сделать недоступными для обычных пользователей. Запросы могут идти как от множества источников в одну цель, так и одновременно по нескольким целям от одного источника.
Что значит DDoS
Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что означает «распределенный отказ в обслуживании». Это такая атака, при которой множество устройств, заражённых злоумышленником, одновременно перегружают сайт или сеть, делая их недоступными. Именно поэтому DDoS ещё называют «распределенной атакой типа отказ в обслуживании».
Как работает DDoS-атака
Стандартный сценарий DDoS-атаки включает в себя заражение устройств, которые подключены к интернету (компьютеры, телефоны, роутеры и другие девайсы), создавая сеть, называемую «ботнет». Задача ботнета отправлять огромное количество запросов на целевой сервер или сеть жертвы. Атакуемый ресурс в результате станет недоступным для пользователей, так как он не выдержит нагрузки трафика. Это может привести к потере прибыли для интернет-магазинов или краже данных, которые злоумышленники могут использовать для шантажа.
Массовая атака на сеть не всегда полагается на взломанные устройства — роль ботнета может выполнять легитимный трафик другого приложения (например, Misused Application) или отряд хактивистов (например, виртуальная сидячая забастовка).
Определить когда начинается DDoS можно по резко увеличивающейся нагрузке на сеть. Заметен большой объем трафика на портах соединений, что приводит к выдаче сервером ошибок 502, 503 и 504. Работа сайта заметно замедляется. Процессор и оперативная память также испытывают значительную нагрузку, так как пытаются обработать множество запросов.
Одновременно с этим, увеличивается количество обращений к базам данных и другим внутренним сервисам, что еще больше перегружает систему. Многократные обращения к одним и тем же файлам или страницам сайта исчерпывают ресурсы сервера, который не справляется с обработкой запросов.
Также можно заметить, что обращения пользователей не соответствуют тематике веб-ресурса. Например, если это магазин товаров для велоспорта в определенном городе, внезапный массовый трафик со всего мира вызывает подозрения.
Простыми словами принцип работы DDoS-атаки следующий:
- Злоумышленник использует ботнет, чтобы отправить вредоносный трафик на сайт-жертву.
- Ботнет генерирует массу запросов: от нескольких тысяч до миллионов.
- Веб-сервер не выдерживает подобной нагрузки и выходит из строя.
Пример DDoS-атаки
В 2023 году корпорация Google столкнулась с самой мощной DDoS-атакой в истории. Ее интенсивность составляла 398 миллионов запросов в секунду. Специалистам удалось сохранить работоспособность сервисов благодаря инфраструктуре распределения нагрузки. Эксперты проанализировали возможные причины и выявили уязвимость CVE-2023-44487 в сетевом протоколе HTTP/2, которой и воспользовались. Google регулярно публикуют информацию о найденных и устраненных уязвимостях на своих веб-ресурсах.
Какие бывают DDoS-атаки
Существует три распространенных типа:
- Объемные — кибератака, при которой злоумышленники используют большое количество устройств для одновременной отправки огромного объема трафика на целевой сервер. Эти действия переполняют каналы связи жертвы и препятствуют доставке легитимного трафика.
Пример:
ICMP-флуд — атакующие отправляют на сервер-жертву большое количество поддельных ICMP-пакетов с широкого диапазона IP-адресов, чтобы заполнить канал и вызвать перегрузку сервера.
- Протокольные - направлены на эксплуатацию уязвимостей в протоколах сетевого взаимодействия. Злоумышленники используют особенности работы сетевых протоколов, таких как TCP/IP, DNS и других.
Пример:
SYN flood или Slowloris — относительно небольшим количеством запросов атакующий заставляет жертву потратить все ресурсы на поддержание и обслуживание бесполезных соединений.
- Атаки прикладного уровня (Application Layer DDoS attack) - нацелена на ресурсы сервера — веб-сайты, API и DNS-серверы. Механизм атаки строится на отправке большого количества поддельных запросов, которые выдаются за легитимные.
Пример:
DDoS-атаки прикладного уровня включают в себя HTTP-флуд, атаки на DNS, а также на SSL/TLS соединения.
Тип DDoS-атаки | В чем измеряется | Особенности | Примеры | Защита |
Объемная | Объем трафика (бит/с) | Направлена на перегрузку каналов связи | UDP Flood, ICMP Flood | Использование CDN, фильтрация трафика на уровне сети |
Протокольная | Количество запросов в секунду (PPS) | Эксплуатация уязвимостей в протоколах | SYN Flood, ACK Flood | Настройка сетевых устройств для обнаружения и блокировки аномального трафика |
На уровне приложения | Запросы к серверу в секунду (RPS) | Направлена на исчерпание ресурсов сервера | HTTP Flood, Slowloris | Использование WAF, балансировка нагрузки, кэширование данных, тест-CAPTCHA |
Читайте также: Классификация DDoS: полное руководство по типам атак
Причины DDoS-атак
Одни из самых распространенных причин — это вымогательство и недобросовестная конкуренция. Далее рассмотрим другие популярные мотивы злоумышленников.
- Конкурентная борьба. Организации могут заказать атаку, чтобы нанести ущерб бизнесу конкурента или временно вывести его из игры.
- Вымогательство. Злоумышленники атакуют компании и манипулируют прекращением угрожающих действий только после уплаты выкупа.
- Политические мотивы. Группы или отдельные хакеры могут использовать DDoS в рамках политических протестов или для выражения своих взглядов на различные общественно-политические проблемы.
- Развлечение. Некоторые злоумышленники проводят атаки для развлечения, демонстрации навыков или привлечения внимания к своей личности.
Цели DDoS-атак
Главная цель — перегрузить ресурсы целевой системы, чтобы она стала недоступной для легитимных пользователей.
Атаке злоумышленников может подвергнуться любой проект, независимо от его сферы деятельности или размера, например:
- Веб-сайты. Любой веб-ресурс, включая сайты электронной коммерции, новостные порталы, блоги, форумы, социальные сети и другие.
- Корпоративные сети и организации. Целью DDoS-атак могут стать как крупные корпорации, так и небольшие проекты.
- Игровые серверы. Онлайн-игры и игровые платформы часто становятся целью злоумышленников, особенно если они имеют большое количество активных пользователей.
- Облачные сервисы. Сервисы облачного хранения данных и виртуальные частные сети.
Последствия DDoS-атак
Успешная массовая атака на сеть может не только нанести серьезный финансовый ущерб организации, но и значительно навредить репутации из-за полной или частичной остановки бизнес-процессов.
- Перегрузка и сбои сети. Может привести к временной или полной недоступности веб-ресурсов для легитимных пользователей.
- Потеря дохода. В результате компания может потерять доступ к своим онлайн-сервисам, что приведет к крупным денежным потерям. Это особенно критично для компаний, зависящих от онлайн-продаж.
- Ущерб репутации. Длительные перерывы и сбои в подключении, негативно скажутся на репутации компании, а пользователи потеряют доверие к бренду.
- Потеря данных. В некоторых случаях DDoS могут использоваться как отвлекающий маневр для более опасных кибератак, которые нацелены на кражу конфиденциальных данных или внедрение вредоносных программ.
- Дополнительные расходы на устранение последствий. После успешной атаки на сайт или сеть, компания будет вынуждена потратить дополнительные ресурсы на восстановление своей деятельности.
- Юридические последствия. В зависимости от характера атаки, бизнес может столкнуться с юридическими последствиями, такими как иски со стороны клиентов, ущерб за нарушение SLA или судебные издержки.
Как определить DDoS
Типичные признаки атаки типа отказ в обслуживании:
- существенно увеличилась нагрузка на сеть;
- увеличился объем трафика на порты соединений;
- сайт выдает ошибки 502, 503, 504 и медленно работает;
- резко возрастает нагрузка на процессор и оперативную память;
- увеличивается количество запросов к базам данных или к другим внутренним сервисам;
- появляются многократные обращения пользователей к одним и тем же файлам или страницам сайта;
- обращения пользователей не соответствуют тематике веб-ресурса (например, магазин товаров для велоспорта из Твери, а трафик массово начал идти со всего мира).
Читайте также: Как быстро обнаружить DDoS-атаку на сайт
Как бороться с DDoS-атаками
Чтобы обеспечить безопасность, веб-ресурсу следует принять ряд профилактических и превентивных мер защиты. Далее рассмотрим их подробнее.
Превентивные меры
- Используйте межсетевые экраны.
- Регулярно обновляйте программное обеспечение.
- Разработайте и внедрите план реагирования на киберинциденты.
- Проводите обучения, чтобы сотрудники были готовы к непредвиденным ситуациям.
- Проводите нагрузочное тестирование, чтобы оценить устойчивость веб-ресурса к высокому объему трафика.
Читайте также: Как предотвратить DDoS-атаку
Что делать во время DDoS
Следуйте рекомендациям, чтобы минимизировать негативные последствия, а также помните, что самостоятельно устранить кибератаку на ресурс невозможно. Обезопасить компанию от действий злоумышленников поможет профессиональный провайдер защиты.
- Оцените нагрузку на свои ресурсы — свяжитесь с хостинг-провайдером и запросите мониторинг доступности.
- Запросите информацию у хостера о своем ресурсе, чтобы проверить, действительно ли на него идет атака.
- Определите характер атакующего трафика с помощью специальных программ-анализаторов типа WireShark. Это поможет при подборе оптимального решения по защите.
- Подключите сервис защиты от DDoS-атак, который оперативно отразит вредоносный трафик.
При наличии технического опыта выполните следующие действия:
Проверьте доступность сайта с помощью внешних ресурсов — check-host, ping-admin, ping.pe.
Очистите файлы логов access/error.
Что делать после DDoS
- Определите активные элементы вашей инфраструктуры и составьте план их расположения.
- Закройте базы данных от посторонних и убедитесь, что IP-адреса не скомпрометированы.
- Настройте фаерволл так, чтобы доступ остался только для доверенных адресов и сетей.
- Разграничьте используемые ресурсы для сайтов, которые находятся на вашем сервере.
Профилактические меры
- Изучите свою инфраструктуру и выявите уязвимые места в программных компонентах своей операционной системы, базах данных и антивирусных программах.
- Используйте технологию CDN, чтобы распределить нагрузку и ускорить доставку контента.
- Регулярно анализируйте сетевой трафик и изучайте поток запросов, чтобы понимать, как выглядит нормальное и аномальное состояние трафика вашего веб-ресурса.
- Подключите профессиональную защиту от DDoS — это один из самых надежных и простых способов защитить веб-ресурс от вредоносной активности хакеров и ботнетов.
Рассмотрите защиту на уровне L7, если хотите обезопасить веб-ресурс от DDoS-атак на уровне приложения. Чтобы обеспечить защиту всей сети, подключите услугу защиты сети на уровне L3-4.
Читайте также расширенный список рекомендаций о том, какие способы защиты от DDoS-атак выбрать для веб-ресурса.
Другие вопросы о DDoS-атаках
1. Сколько длится DDoS?
От нескольких секунд до нескольких дней. В среднем атака длится до 20 минут.
2. В чем измеряется DDoS?
Для определения мощности DDoS-атаки используют несколько параметров:
Объем — измеряется в битах в секунду (BPS).
Скорость — измеряется в пакетах в секунду (PPS).
Количество запросов в секунду — (RPS).
3. Какая ответственность за проведение DDoS-атаки?
Организация DDoS-атак квалифицируется в соответствии с нормами УК РФ о преступлениях в компьютерной сфере: статья 272 УК РФ, статья 273 УК РФ. Нарушитель может получить штраф или уголовное наказание, в том числе лишение свободы сроком до 7 лет.