+7 (800) 333-17-63

Как защитить целевой IP-адрес от DDoS-атак

Чтобы не стать жертвой DDoS-атаки, — следует внимательно отнестись к защите целевого IP-адреса. В этой статье мы расскажем о базовых принципах, соблюдая которые вы повысите безопасность своей сети в целом.

Обложка статьи: Как защитить IP-адрес от DDoS

Что такое IP-адрес и из чего состоит

Прежде чем перейти к описанию способов защиты IP-адреса от DDoS-атак, разберемся, для чего он нужен.

Аббревиатура IP (англ. Internet Protocol) — обозначает интернет протокол, благодаря которому сообщения перемещаются по сети. Именно IP стал протоколом, который объединяет отдельные компьютеры во всемирной сети Интернет.

IP-адрес — это уникальное числовое имя устройства в компьютерной сети. Он необходим для обмена данными и обеспечения связи.

Схема структуры IP-пакета
Структура IP-пакета данных сетевого уровня модели OSI

Из чего состоит IP-адрес

Стандартный (IPv4) IP-адрес состоит из 32 бит, которые можно разбить на номер сети и номера узла. Для удобства восприятия их записывают десятичными числами от 0 до 255. Выглядит это так: 192.158.1.38

Номер сети. Первые биты адреса показывают, где находится номер и его положение. Одинаковые номера сети могут общаться напрямую, если номера устройств разные — потребуется посредник. Им выступает роутер (маршрутизатор), который находится в структуре сети.

Номер узла. Чтобы узнать номер конкретного компьютера в сети, указывают оставшиеся биты в IP-адресе.

Не считая стандартного IPv4, существует и обновленная версия интернет протокола — IPv6. Ее создали, чтобы избежать проблем, с которыми сталкивалась старая версия. Согласно статистике Google, до 2020 года лишь 30% жителей планеты использовали IPv6, однако последние три года наблюдается стабильный прирост В России операторы связи используют не более 7% IPv6-трафика.

Зачем скрывать свой IP-адрес

Представьте, что ваш IP-адрес — это паспорт. Если конфиденциальная информация, которая содержится в нем, попадет к злоумышленникам, вас могут ждать негативные последствия. Далее рассмотрим несколько примеров использования IP-адреса в недобросовестных целях.

  • Зная IP-адрес, злоумышленники могут устраивать DDoS-атаки разной мощности. Например, хакеры отправляют запросы на поиск DNS, при этом заменяют IP-адрес источника на адрес жертвы. Таким образом, хакер заполняет канал сервера-жертвы огромным объемом ответов от публичных DNS-серверов.
  • Также злоумышленники могут использовать механизмы усиления DDoS с помощью скомпрометированных IP-адресов. Например, спуфинг. Хакеры выдают себя за надежные источники, чтобы получить доступ к конфиденциальной информации. Подмена происходит в изменении адреса отправителя, чтобы скрыть настоящий адрес атакующего.

Как скрыть целевой IP-адрес от DDoS-атак

Скрыть целевой IP-адрес можно с помощью любого прокси-сервера, через который будет идти трафик к целевому серверу. При выборе сервиса стоит учитывать несколько факторов: надежность, возможность проксирования со скрытием IP-адреса, а также ряд дополнительных услуг. Например, защиту от DDoS-атак и CDN.

Эффективно справиться с DDoS-атакой можно с помощью профессиональной защиты уровня L7. Провайдер безопасности поможет подобрать подходящий тариф для вашего проекта и обеспечит надежным и удобным функционалом защиты от DDoS-атак.

Механизм защиты заключается в создании буферной зоны между потенциальным правонарушителем и веб-ресурсом. Весь трафик проходит через систему фильтрации провайдера. Запросы к веб-ресурсу сначала обрабатываются на стороне защиты, и только после очистки попадают к клиенту.

Схема работы системы защиты от DDoSВажно отметить, что несмотря на подключение профессиональной защиты от DDoS, сохраняется риск непреднамеренного раскрытия реального IP-адреса из-за ошибок в настройке приложения или сервера. Например, исходный IP-адрес сервера может быть раскрыт через веб-сайты, которые отслеживают историю IP-адресов доменов, или через файлы на веб-сервере, которые раскрывают адрес в исходном коде.

Чтобы избежать подобных ситуаций, рекомендуем следовать базовым советам безопасности, которые рассмотрим далее.

Рекомендации по защите целевых IP-адресов

Замените IP-адрес своего веб-сервера. Некоторые публичные сервисы отслеживают историю DNS-записей, где содержится служебная информация о соответствии имени домена IP-адресу. Таким образом, злоумышленник может использовать историю DNS и раскрыть целевой адрес. Чтобы избежать этого, следует изменить IP-адрес своего сервера на другой доступный IP-адрес. Это действие следует выполнять после скрытия целевого IP.

Обеспечьте безопасность файлам, содержащим информацию об целевом IP-адресе. Бывают ситуации, когда эти данные остаются на веб-сервере в открытом доступе и злоумышленник может их перехватить. Чтобы предотвратить это, внимательно проверьте исходный код файлов, которые находятся на вашем веб-сервере в открытом доступе.

Не используйте IP-адрес вместо доменного имени. Иначе вы рискуете раскрыть конфиденциальную информацию. Если IP-адрес используется как доменное имя, то выпустить SSL-сертификат от доверенного центра сертификации будет практически невозможно, а использование самоподписанного сертификата не помешает провести атаку типа Man in the middle.

Если на домене настроена электронная почта, то для её корректной работы в DNS-записях приходится указывать сведения о реальном IP почтового сервера. Поэтому следует держать почту на отдельном сервере со своим IP или вовсе организовать обработку доменной почты через крупных почтовых провайдеров, чтобы минимизировать риски раскрытия целевого IP-адреса через электронную почту на домене.

Убедитесь, что никто из сотрудников не создает исходящих соединений с вашего веб-сервиса, чтобы исключить потерю данных о реальном IP-адресе. Для этого стоит исключить возможность открытия неизвестных ссылок с веб-сервера. Помните, что если ваш сайт или приложение находятся под защитой облачного провайдера, анализируется только входящий трафик.

Ограничьте доступ к целевому IP-адресу на стороне фаервола, чтобы убедиться, что к нему могут попасть только адреса прокси-сервера и доверенные пользователи. Например, IP-адреса внутренних систем мониторинга или разработчиков.

Убедитесь, что ваши поддомены в безопасности. Старайтесь избегать ситуаций, когда под защитой находится только основной домен. Злоумышленники могут воспользоваться поддоменами и через них раскрыть целевой IP-адрес. Лучший способ избежать подобной ситуации —  использовать поддомены с уникальными именами, которые злоумышленник не сможет быстро вычислить и после атаковать.


Чтобы обеспечить безопасность веб-ресурсу, внимательно анализируйте все возможные источники, где может быть раскрыт ваш целевой IP-адрес. Помните, что эффективность выстроенной защиты от DDoS-атак во многом зависит от конфиденциальности целевого IP-адреса. Чтобы сохранить его от неправомерных действий злоумышленников, соблюдайте вышеперечисленные рекомендации и подключайте профессиональную защиту от DDoS-атак.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться