+7 (800) 333-17-63

Как защитить сервер от DDoS: пошаговый чек-лист

Тенденция развития DDoS-атак не сбавляет обороты. По состоянию на первый квартал 2023 года, DDoS-атаки стали еще организованнее. Злоумышленники начали использовать искусственный интеллект и автоматизировать процесс атаки. Под угрозой находятся как небольшие проекты, которые могут стать случайной жертвой, так и крупные, которые точечно и организованно атакуют. Бизнес, который по разным причинам остался без защиты — стал еще уязвимее. Чтобы повысить уровень безопасности проекта, важно изучать типы атак, их симптомы и векторы нападения. В статье рассмотрим пошаговый чек-лист, который поможет защитить сервер от DDoS-атак.

Обложка статьи: Как защитить сервер от DDoS

Какие типы DDoS-атак возможны на сервер

Векторы атак могут быть направлены на службы приложений, протоколы, сервисы.

1. Атаки по уровням L3-4 модели OSI

Такие атаки имеют множество вариаций и довольно разнообразны. Рассмотрим лишь несколько примеров.

  • Synflood. В этом случае злоумышленник отправляет большое количество SYN-запросов в короткий срок. Цель хакера — переполнить на сервере-жертве очередь на подключение.
  • UDP-spoofing. Сервер-жертва получает большое количество UDP-пакетов от различных IP-адресов. Злоумышленник отправляет пакеты на случайные порты назначения. Фальсифицированные UDP-пакеты переполняют сетевое оборудование и провоцируют перегрузку интерфейсов занимая всю полосу пропускания.

2. Атаки на протоколы 

Злоумышленники атакуют конкретный протокол, такой как HTTP, FTP или SMTP. Атаки направлены на серверы, использующие эти протоколы, чтобы затруднить или полностью блокировать доступ к серверу.

  • Атака на DNS. Хакер использует открытые DNS-серверы и отправляет фиктивные запросы к серверу с нелегитимного IP-адреса.

3. Атаки на уязвимые места инфраструктуры 

Злоумышленники нацелены на уязвимые устройства и места в инфраструктуре, куда можно отнести сервисы аутентификации, серверы DNS, VPN, Reverse proxy, фаерволы и другие. В зависимости от типа атаки, рекомендуется применять различные меры защиты сервера от DDoS-атак.

 

Чек-лист по защите сервера от DDoS

Чтобы усилить защиту сервера от DDoS-атак, выполните ряд следующих шагов.

1. Настройте фильтрацию трафика, фаервол и лимиты запросов

Для этого потребуется установить на маршрутизатор специальное программное обеспечение для фильтрации, которое будет анализировать входящие пакеты и отбрасывать нелегитимные или подозрительные. Чтобы повысить эффективность фильтрации, стоит проводить ее как можно ближе к точке входа трафика в обслуживаемую инфраструктуру. Таким образом количество нелегитимного трафика, который идет на атакуемый сервер, будет сведено к минимуму.

При настройке фаервола придерживайтесь основного правила — запрещено все, что не разрешено. Открывайте только те порты и сервисы, которые на них находятся, которые нужны. Все, что не нужно — запрещайте.

Установите лимиты на количество запросов от одного IP-адреса или пользователя, чтобы предотвратить перегрузку сервера от одного и того же источника.

2. Используйте CDN

Используйте услуги сети доставки контента — CDN. Географически распределенная сеть серверов, хранит копии контента, который нужен людям. Таким образом, пользователи получают контент не с центрального сервера, а с тех узлов сети, которые им физически ближе. Благодаря CDN контент доставляется быстрее, а нагрузка на сервер снижается, тем самым уменьшая вероятность атаки и позволяет легче пережить ее всплеск. Однако стоит помнить, что полностью справиться с DDoS-атакой CDN не сможет.

3. Подключите профессиональную защиту сервера от DDoS

Провайдер возьмет на себя обеспечение безопасности вашего сервера. Используя широкий арсенал технологий по защите от DDoS, вендор сможет эффективно и качественно фильтровать трафик, мониторить его и защищать сетевые уровни L7 и L3, 4.

Для высоконагруженных проектов одно из лучших решений — аренда защищенного выделенного сервера. Это дает не только непрерывную защиту от DDoS на уровнях L3-L7, но и ресурсы для масштабирования проекта.

4. Регулярно обновляйте ПО и анализируйте систему

Следите за своевременным обновлением программного обеспечения, включая операционную систему и приложения на сервере. Это поможет устранить уязвимости, которыми могут воспользоваться злоумышленники.
Используйте сканер уязвимостей. На рынке представлено разнообразие как бесплатных сервисов, которые обладают ограниченным функционалом, так и платных с расширенными возможностями. Например, OpenVas, Nessus, XSSer или Nikto.

5. Ежегодно проводите стресс-тестирование

Проводите нагрузочное тестирование на систему, чтобы проверить ее устойчивость к DDoS-атакам. Также пентест-инструменты позволят идентифицировать уязвимости в вашей системе и принять меры для их устранения.

Проверьте устойчивость вашего проекта к киберугрозам. DDoS-Guard проводит комплексный анализ защищенности информационных систем. Глубокая диагностика инфраструктуры выявит вредоносное ПО, IP-адреса и открытые порты, которые могут представлять угрозу для безопасности. После поиска уязвимостей и ошибок клиентам будет предоставлен полный отчет и рекомендации по их устранению.

6. Резервное копирование

Создавайте резервные копии вашей системы, чтобы восстановить данные в случае DDoS-атаки, которая может привести к потере информации.

Полную защиту от DDoS-атак самостоятельно выстроить невозможно. Чтобы обезопасить сервер, рекомендуем подключить профессиональную защиту или арендовать сервер у надежного провайдера, который будет уже подключен к защите от всех имеющихся видов DDoS-атак.

Чек-лист по защите сервера от DDoS-атак — DDoS-Guard

 

Инструменты защиты сервера от DDoS-атак

Помимо решений, которые предлагают хостинговые компании, помочь защитить сервер могут следующие сервисы:

  • IPTables;
  • Fail2ban;
  • Программные фильтры.

Далее следуют общие рекомендации для операционных систем семейства Linux. Рассмотрим их подробнее. 

IPTables 

Поможет справиться со слабыми DDoS-атаками с помощью фильтрации трафика через специальные таблицы. Пользователю доступны несколько таблиц, которые можно регулировать с помощью инструментов для каждой конкретной ситуации. По умолчанию встроено две опции: на открытие доступа и его блокировку.

Также сервис IPTables позволяет настроить максимальное количество подключений. В таком случае, если с одного IP-адреса будет идти большое количество обращений, сервис заблокирует ему доступ к защищаемому ресурсу.

Если пользователю потребуется расширить функционал инструмента IPTables, можно выбрать дополнительные условия:

  • Установить ограничения на подключение за определенную единицу времени. 
  • Установить ограничения на подключение портов, подсетей и групп хостов. 
  • Создать маркеры для пакетов, чтобы ограничить трафик.
  • Ограничить подключения для одного IP-адреса или подсети.

Пользователю стоит обратить внимание на то, что настройки iptables могут быть потеряны при перезагрузке системы, если не принять дополнительных мероприятий по их сохранению и применению после перезагрузки.

Fail2ban

Программное обеспечение для защиты серверов от атак грубой силы. Fail2ban — это умная надстройка к фаерволу в операционной системе. Она адаптивна к внешним воздействиям на систему. Например, к попыткам подключения к системе с некорректными логинами и паролями.

Программа анализирует логи и на основании этих данных блокирует тех, кто злоопутребляет доступностью сервера в сети. Fail2ban может защитить от взлома путем перебора паролей или многократных запросов к ресурсу, а также от DDoS-атак на прикладной уровень.

Чтобы использовать Fail2ban для защиты сервера, потребуется выполнить несколько шагов:

  • Скачайте последнюю версию Fail2ban, подходящую вашей операционной системе.
  • Настройте фильтр поиска IP-адресов.
  • Сконфигурируйте правила блокировки.
  • Перезагрузите Fail2ban, чтобы конфигурация заработала.

Программные фильтры трафика

Защитить сервер от DDoS-атак можно с помощью веб-приложений. Программные фильтры используют JavaScript, который недоступен ботам. Такой прием создаст своеобразную страницу-заглушку, которая будет задерживать и не пропускать  DDoS-атаки. Чтобы настроить его, нужно перейти в конфигурации и указать там условия, которые будут фильтровать ботов и легитимных пользователей. Если условие не удовлетворено, бот перенаправляется на заглушку вместо запрашиваемой страницы.

 


Чтобы создать устойчивую систему защиты сервера от DDoS, потребуются не только знания об атаках и их типах, но и ряд обязательных шагов, которые помогут обезопасить сервер:

  • Регулярно проверяйте веб-ресурс на уязвимости, чтобы злоумышленники не могли использовать слабые места. 
  • Отслеживайте обновления программного обеспечения. 
  • Используйте инструменты для фильтрации трафика. 
  • Подключите профессиональную защиту от DDoS-атак.
     

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться