+7 (800) 333-17-63

CAPTCHA как финальный бастион: почему она используется с защитой от DDoS-атак

«Докажите, что вы не робот» — знакомо? Почему обычным пользователям предлагается пройти капчу от сервисов защиты от DDoS-атак при посещении сайта или при совершении, казалось бы, обычных действий? В этой статье поговорим о роли капчи в защите, важности баланса между безопасностью и удобством пользователей, а также поделимся, какую капчу использует DDoS-Guard.

Баннер: CAPTCHA и защита от DDoS-атак

Что такое CAPTCHA

CAPTCHA — это один из самых доступных и эффективных способов определить реального пользователя. Даже простой вариант испытания — ввод текста с картинки — значительно увеличивает требования к атакующему боту, ведь он должен уметь проходить подобный тест.

Однако стоит помнить, что CAPTCHA — не конкретное испытание, а целый класс таковых. Ввод текста, прослушивание аудио-фрагмента, выбор фотографии пожарного гидранта — это разные подходы, которые служат одной цели — отделить людей, которые справятся с заданием, от ботов, которые скорее всего провалят его. 

 

Как работает защита от DDoS-атак

Прежде чем рассказать об использовании капчи в построении защиты от DDoS-атак, следует разобраться с тем, как работает сама защита. Сделаем это на примере сервиса DDoS-Guard.

Как работает защита от DDoS-атак в DDoS-Guard

Наша защита затрагивает несколько уровней модели OSI, где L7 — уровень приложений (о нем дальше и будем говорить), а L3 и 4 — сетевой и транспортный уровни. Защита от DDoS строится на программном обеспечении собственной разработки, которое анализирует HTTP-запросы. Они проверяются по множеству параметров: от IP-адреса до HTTP-заголовков. Алгоритмы в режиме 24/7 оценивают общее состояние запросов к защищаемым доменам на основании репутационного анализа всех параметров запросов и автоматически выявляют веб-ресурсы под атакой. Пока домен под атакой, защита обрабатывает валидные запросы как обычно, а подозрительные блокирует. Помимо этого, существуют дополнительные проверки для увеличения уровня безопасности — капча одна из них.  

Главная задача дополнительных проверок — сделать основную защиту от DDoS-атак безопасной для легитимных пользователей. Если алгоритмы обнаружили подозрительную активность и оценили пользователя как представляющего опасность для сайта — его блокируют не сразу, а предлагают пройти еще одну дополнительную проверку — капчу.

 

Роль CAPTCHA в многослойной защите от DDoS-атак

Основная роль защиты от DDoS — заблокировать атакующие запросы, а легитимные передать целевым серверам. В этом процессе неизбежно появление ошибок при принятии решений о необходимости блокировки. Например, ложно-позитивные решения (false-positive), когда легитимный запрос определяется как атакующий, и ложно-негативные (false-negative), где наоборот, атакующий запрос идентифицируется как безопасный.

На следующем этапе подключаются дополнительные испытания для тех запросов, которые были определены как «плохие». Это «второй шанс» для легитимных пользователей, по разным причинам зачисленным в ряды неблагонадежных посетителей веб-ресурса. Например, низкая репутация IP-адреса или браузера. Один из способов доказать, что запрос отправлен не одним из устройств атакующего ботнета, а реальным посетителем сайта, — это пройти испытание, которое может решить только живой человек — уже знакомая нам CAPTCHA.

Если задача капчи решена, то система получает доказательство валидности запроса и перенаправляет его обратно на запрашиваемый URL. На этот раз защита увидит доказательство и правильно оценит запрос как «хороший».

Итак, CAPTCHA в системе защиты от DDoS-атак — это важный инструмент апелляции для обжалования несправедливо вынесенного приговора для легитимных пользователей.

Важно: CAPTCHA не выполняет прямой работы по защите, однако она позволяет сохранять баланс ложно-позитивных и ложно-негативных запросов. Так как несколько пропущенных атакующих запросов — это неприятно, но хорошо организованный сайт выдержит, а вот несколько заблокированных посетителей — иногда ощутимые убытки если не мгновенно, то в перспективе.

 

Какой вид капчи использует DDoS-Guard и почему

В DDoS-Guard представлено два вида капчи: hCaptcha и капча собственной разработки. Мы стараемся учесть пожелания клиентов, а также отталкиваемся от конкретных задач, под которые и интегрируем оба инструмента. Сервис hCaptcha был выбран после анализа рынка провайдеров капчи, также мы основывались на собственном опыте разработки сервиса тестирования.

Экран капчи DDoS-Guard

Капча DDoS-Guard показывает немного искаженный текст. Такой подход позволяет усложнять отображение текста, если это потребуется. Алгоритмы капчи DDoS-Guard автоматически анализируют каждого посетителя защищаемого веб-ресурса. Для этого используется репутационная модель с применением машинного обучения. Алгоритмы изучают множество параметров, которые можно получить при приеме запроса, в том числе HTTP-заголовки и IP-адрес источника. Такой подход позволяет свести к минимуму ошибочно заблокированных посетителей, при этом поддерживать высокий уровень безопасности сайта.

Процесс проверки пользователя - DDoS-Guard
Процесс проверки пользователя

 

Преимущества и недостатки использования CAPTCHA

Капча эффективно защищает ресурсы от ботов и вредоносных скриптов, повышая безопасность и снижая нагрузку на серверы. Однако этот инструмент может создать дополнительные препятствия для реальных пользователей, особенно для людей с ограниченными возможностями. Помимо этого существуют сервисы по обходу капч, которые снижают вклад в безопасность от интеграции капч на сайты. Поэтому приходится подключать дополнительные механизмы защиты — например, WAF. Таким образом, интеграция CAPTCHA требует взвешенного подхода, чтобы обеспечить баланс между безопасностью и удобством.

 

Преимущества использования CAPTCHAНедостатки использования CAPTCHA

1. Высокая эффективность

  • Защищает от большинства ботов и автоматических скриптов, которые могут использоваться для спама, взлома аккаунтов и других вредоносных действий.
  • Фильтрует нежелательный трафик и помогает снизить нагрузку на серверы.

1. Сложность для пользователей

  • Некоторые типы заданий могут быть сложными для понимания и решения.
  • Введение CAPTCHA незначительно замедляет процесс выполнения задач на сайте, таких как регистрация или отправка форм, что может вызвать раздражение у пользователей.

2. Простота внедрения

  • Большинство решений CAPTCHA легко интегрируются в веб-сайты и приложения с минимальными усилиями, благодаря существующим библиотекам и API.
  • Разнообразие типов CAPTCHA от различных провайдеров, таких как Google reCAPTCHA и многих других, упрощает процесс выбора и внедрения подходящего варианта.

2. Наличие возможности обхода теста

  • Для обхода капчи могут использоваться клик-фермы — это сервисы антикапчи, которые эксплуатируют низкооплачиваемый труд реальных людей. Бороться с такими фермами практически невозможно, так как они не имитируют действия пользователей на сайте, а в действительности являются людьми.

 

Эффективность капчи устарела: так ли это?

Поговорили с экспертами DDoS-Guard о том, что они думают о капче.

Большинство ботов проходят капчу так же плохо, как и прежде, если мы говорим про стандартную капчу — показать картинку. Другой момент, что есть сервисы-посредники, которым ботоводы делегируют обход капчи. У этих сервисов есть сотрудники, которые по факту являются людьми, им и показывают капчу. Они ее проходят, и результат отправляется обратно ботоводу. Получается, что ботам и не надо учиться проходить капчу, ведь за них это делает человек.

 

Важность баланса между безопасностью и удобством пользователя

Баланс между безопасностью и удобством является критически важным аспектом веб-безопасности и пользовательского опыта. С одной стороны, капча играет важную роль в защите от ботов и злоумышленников. Она предотвращает автоматизированные атаки, такие как создание фальшивых аккаунтов, рассылка спама и атаки с перебором паролей. С другой стороны, удобство использования капчи существенно влияет на пользовательский опыт. Слишком сложные или частые капчи могут раздражать посетителей и приводить к потере интереса к веб-ресурсу. Люди будут покидать сайт, если процесс проверки станет затяжным и обременительным. Это особенно важно для коммерческих сайтов, где каждое действие пользователя должно быть как можно более комфортным.

Современные технологии капчи стремятся найти этот баланс. Такие решения, как hCaptcha или капча DDoS-Guard, используют невидимые методы проверки, анализируя поведение пользователя и предоставляя испытание только в случае подозрительных действий. Это значительно улучшает пользовательский опыт, минимизируя вмешательство в процесс взаимодействия с сайтом.

Наконец, важно помнить, что капча — это один из важных инструментов в комплексной защите веб-ресурса от негативного воздействия злоумышленников. Эксперты по безопасности используют капчу как заключительный этап валидации пользователя.

 

Будущее CAPTCHA и альтернативные методы

Сервисы, как и злоумышленники, не стоят на месте и продолжают развиваться, чтобы справляться с новыми вызовами. Такие решения, как hCaptcha или новые интерактивные задачи, включающие в себя перетаскивание объектов или другой функционал, усложняют автоматизацию действий, чтобы помешать злоумышленникам. Например, один из вариантов защиты от автоматизации предложил сервис hCaptcha — токены для удостоверения личности с уникальным цифровым отпечатком. Однако и здесь злоумышленники быстро среагировали и создали сервисы, которые фактически представляют людей с подписями в больших объемах.  

Существуют альтернативные методы защиты, которые дополняют капчу. Например, биометрия. Использование биометрических данных, таких как отпечатки пальцев, распознавание лиц или голоса для подтверждения реальности пользователя (бот или человек) может использоваться как еще один барьер для действий злоумышленников. 

Другой способ, который подойдет не всем — оплата за действие. При регистрации сервис будет взимать небольшую плату. Такой подход предложил использовать Илон Маск, который возглавляет компанию X. Он считает, что это поможет «сдержать беспощадный натиск» ботов и фейков. Если эксперимент окажется удачным, то вскоре пользователи будут платить за посты и лайки.  

В сети можно встретить рассуждения о том, что капча скоро трансформируется в новый фоновый сервис сайта, который будет 24/7 следить за пользователем и анализировать его действия, чтобы отличить от нейросети. Иными словами — одни нейросети будут следить за другими нейросетями, чтобы отличать на их фоне реальных людей. Пока этого не произошло, гидранты продолжат стоять на страже границы между людьми и ботами.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться