DDoS-атаки являются сегодня крупнейшей системной угрозой для общества, вставшего на путь цифровизации и зависящего от стабильной работы сайтов. Из-за атак компании и организации теряют прибыль и репутацию, а их клиенты не могут получить привычную услугу, вплоть до бытовых сервисов вроде вызова такси, и испытывают ощутимые неудобства.
Атаки этого типа являются именно системной проблемой, которая никуда не уйдет, а будет со временем только усиливаться. Этому способствует постоянный рост числа устройств, доступных для их объединения в ботнеты, удешевление стоимости и упрощение организации DDoS-атак.
Что такое DDoS-атака
Распределенные сетевые атаки или атаки типа «отказ в обслуживании» (Distributed Denial of Service) отправляют огромное количество запросов в адрес веб-ресурсов.
Если веб-ресурс, который стал жертвой бомбардировки такими запросами, оказывается не способен обработать аномальный объем входящего трафика, сервер выходит из строя. Сайт становится недоступен для посетителей, а его владелец несет финансовые и репутационные убытки.
Всё о DDoS-атаках читайте в нашей статье «Что такое DDoS-атака простыми словами»
Классификация DDoS-атак
Существует множество типов атак вида «отказ в обслуживании», они классифицируются по механизму воздействия, по используемым протоколам и по уровню, который затрагивают в рамках 7-контурной модели OSI.
Наиболее популярными являются:
- Атаки на сетевую инфраструктуру (L3 по модели OSI).
- Атаки на слабые места сетевых протоколов TCP/IP (L4).
- Атаки на исчерпание ресурсов сервера и отказ в обслуживании на уровне приложений (L7).
По протоколам атаки делятся на:
- Задействующие User Datagram Protocol (UDP).
- Использующие Transmission Control Protocol (TCP).
- Прочие (ряд других реже используемых протоколов).
Читайте в нашей статье более подробно о видах DDoS-атак.
Цели и принцип действия DDoS-атак
Такие атаки используются в различных целях: их организуют компании-конкуренты, идейные хактивисты или вымогатели, требующие денег за прекращение вредоносного воздействия.
Независимо от механизма, уровня и протокола действия все DDoS-атаки нацелены на вывод из строя веб-ресурса и прекращение его нормальной работы.
Это достигается путем перегрузки сервера отправкой огромного количества запросов за пределами нормальной пропускной способности. Атаковать могут как страницу или определенный веб-элемент, так и сетевую инфраструктуру.
Принцип действия DDoS-атаки
Для пользователей результат DDoS-атаки выглядит как перебои в работе сайта, которые, при отсутствии защиты, всегда заканчиваются его «падением». Последствия известны: временный паралич бизнес-процессов, технические и репутационные издержки, потеря прибыли и позиций в поисковой выдаче.
Кто может стать жертвой DDoS
От DDoS-атаки не застрахован никто. По данным DDoS-Guard на 2021-й год, больше всего от кибератак страдали развлекательные сайты, на которые пришлось почти 30% от всего числа инцидентов. С примерно одинаковой частотой год назад подвергались DDoS-атакам бизнес-порталы, образовательные сайты, IT и телеком-ресурсы (10-13%).
За первую половину 2022 года количество DDoS-атак уже в четыре раза превысило показатели за весь 2021-й. Наибольшей популярностью пользовались атаки на прикладном уровне L7, было зафиксировано почти полмиллиона таких инцидентов. На втором месте — транспортно-сетевые атаки L3-L4, около 90 тысяч случаев.
Чаще всего по-прежнему атакуют развлекательные сайты (20%), сильно возрос интерес злоумышленников к СМИ, в частности информационным порталам (14%) и игровым серверам (9%).
Детальную статистику можно посмотреть в нашем аналитическом отчете за I полугодие 2022 года.
Какие бывают методы для защиты от распределенных атак
Максимально полную и эффективную защиту сайта от DDoS-атак может дать только подключение профессионального сервиса. Однако еще до подобного обращения можно принять ряд мер по повышению степени защищенности вашего проекта:
- Составьте актуальный план своей инфраструктуры и ее уязвимых мест.
- Закройте для доступа извне базы данных и другие подобные элементы.
- Сконфигурируйте фаервол так, чтобы открытыми оставались только доверенные адреса и сети.
- Разграничьте используемые ресурсы, если на сервере больше одного сайта.
- Настройте непрерывный мониторинг сетевого трафика.
ТОП-10 способов защиты от DDoS-атак
Перечислим десять основных методов защиты от DDoS. Главное помнить, что каждый из них сам по себе не является панацеей!
1. Начните с начала
Еще на этапе планирования и подготовки нового интернет-проекта выберите безопасного хостинг-провайдера, который предоставляет надежную защиту от угроз, дает вам доступ к статистике, а также, что особенно важно, имеет техподдержку 24/7. Убедитесь, что вы не используете уязвимое ПО, вовремя его обновляете и делаете бэкапы. В случае разработки собственного ПО тщательно сканируйте его на уязвимости.
2. Позаботьтесь о базовой безопасности
Доступ для третьих лиц к вашей сетевой инфраструктуре должен быть закрыт, а для собственных сотрудников — строго регламентирован. Необходимо обеспечить несколько уровней доступа к сетевым службам сервера и архиву версий проекта, отключать его для неактуальных сотрудников. При малейшем подозрении на компрометацию сайта, сбрасывайте все пароли. Стоит ли говорить, что они должны быть разными и сложными?
3. Используйте фаервол, VPN и CDN
Фильтруйте трафик и обеспечьте его защищенность, вместе с тем позаботившись и о скорости работы сайта. Вам понадобится брандмауэр для приложений, чтобы фильтровать входящий трафик, межсетевые экраны либо списки ACL. Защиту и ускорение сайта можно обеспечить с помощью сети доставки контента (Content Delivery Network, CDN). Контент сайта будет храниться сразу на нескольких серверах по всему миру, что снизит нагрузку на исходный сервер и ускорит отображение страниц для пользователей.
4. Защитите DNS
Регулярно очищайте кэш DNS, чтобы злоумышленникам не удалось подменить ваш IP-адрес в кэше сервера. Найдите способ постоянного отслеживания сетевого трафика и запросов, отправляемых на сервер. Используйте DNS Response Rate Limiting — инструмент, специально разработанный для защиты от DDoS-атак типа «DNS амплификация». Есть также варианты с построением геораспределенной сети Unicast, чтобы закрепить за каждым DNS-сервером уникальный IP-адрес, или установкой дополнительного оборудования DNS.
5. Предотвратите спам
Один из весьма популярных способов атаки — спам в формы обратной связи, через которые отправляется гигантское количество однотипных бессмысленных запросов. Капча должна стоять везде, где есть поле ввода данных со стороны пользователя. Безопасность ресурса важнее, чем незначительные неудобства, вызванные необходимостью пройти проверку. Еще один вариант — перевести формы обратной связи на JS-компоненты.
6. Позаботьтесь о резервных ресурсах
Убедитесь, что ваш хостинг-провайдер предоставляет избыточную пропускную способность подключения: в период аномальных всплесков из-за DDoS-атак придется обрабатывать большие объемы трафика. Обеспечьте возможность масштабирования производительности сервера, приобретайте большее количество ресурсов, чем нужно для работы в стабильных условиях. Также желательно иметь несколько рабочих серверов, чтобы можно было перераспределить нагрузку в случае атаки.
7. Настройте фильтрацию входящего трафика
Обеспечьте себе возможность сбора сведений о типичном и нетипичном трафике, определите характеристики «хорошего» трафика для сравнения с этим образцом входящих запросов. Как и в случае с CDN, черные/белые списки доступа можно использовать в качестве дополнительной меры к основной защите от DDoS. Важно проверять, кого вы заносите в белый список и помнить, что этот метод не гарантирует защиты от мощных атак.
8. Выберите оптимальную конфигурацию защиты
Современные DDoS-атаки относятся к разным типам (см. модель OSI), они могут отличаться в зависимости от бизнес-отрасли, в которой работает ваш сайт. Оцените, что реально угрожает, и что может угрожать потенциально в плане DDoS и попробуйте сформировать видение защиты, ее типа, ее уровней. Это поможет решить, можно ли обеспечить безопасность своего проекта самостоятельно или стоит обратиться к специалистам.
9. Если ничего не помогает, бросайте трафик в черную дыру
Этот способ подходит только для оперативного отражения атаки в том случае, если вы пропустили какие-то из описанных выше пунктов, и теперь сайт не справляется с потоком вредоносных запросов. Blackholing – перенаправление трафика с атакуемой страницы на несуществующий ресурс (так называемую черную дыру) или же его блокирование. Метод чреват падением производительности, снижением трафика (а также атакуемая страница или ассет становятся недоступны, то есть хакер достигает своей цели). Тем не менее, blackholing рабочий метод, если вы планируете отразить атаку, а потом серьезно заняться укреплением безопасности. К счастью, абсолютное большинство DDoS-атак носят кратковременный характер.
10. Приобретите профессиональную защиту от DDoS
Если вы не справляетесь самостоятельно с кибератаками, либо если важно как можно скорее обеспечить безопасность сайта – обратитесь к специалистам, которые помогут подобрать оптимальный вариант. Вы сможете выбрать виртуальный или физический защищенный сервер для переноса на него сайта, обеспечить защиту сети от DDoS и, при необходимости, подключить дополнительные услуги. Этот вариант обойдется дороже, чем предшествующие девять способов, но он значительно проще, и дает гарантию отказоустойчивости, что может быть критически важно.
Актуальные меры защиты DDoS-Guard
Есть множество способов снизить ущерб от распределенных атак типа «отказ в обслуживании» или даже полностью отразить некоторые не слишком сильные их разновидности. По соотношению время/цена/результат, самым выигрышным вариантом будет подключить профессиональные средства защиты от DDoS. Для малого бизнеса такое решение достаточно быстро окупится, для крупного – сэкономит время и силы, для социально значимых сервисов – позволит обеспечить бесперебойную работу для населения.
Об актуальных мерах защиты для заказчиков и провайдеров безопасности также рассказал наш эксперт Дмитрий Никонов в своем выступлении на Selectel Network MeetUp 3.