Администрирование

DDoS-атака: что это, принцип действия, защита | Boodet.online

DDoS-атаки на сайты и сервера могут принести существенные потери вашему бизнесу. Разбираемся, в чем суть DDoS-атак, как от них защититься и можно ли по закону ответить вредителю?

IT GIRL 18
Поделиться
Запинить
Отправить

Что такое DDoS-атака: суть, механизм работы, защита

Бизнес сильно страдает от DDoS-атак. По статистике, в первом квартале 2018 года их количество возросло на 53% по сравнению с концом 2017 года. Более 65% пострадавших не смогли сразу пресечь действия злоумышленников.

DDoS-атака направлена на то, чтобы не дать трафику прийти в место назначения. Сравнение с пробкой на автомобильной трассе — это клише, но оно лучше всего отражает суть процесса. Трафик служб, сетей или сервера намеренно перегружается потоком интернет-трафика.

Современная глобальная угроза DDoS-атак состоит в том, что для нее используют не только компьютеры. IoT-устройства тоже участвуют в схеме, и это большая проблема ввиду роста их численности.

Потенциальные жертвы DDoS-атак

К сожалению, абсолютно все сайты и приложения в интернете могут быть атакованы. При этом тип и расположение сервера не имеет значения. ДДос-атакам подвергаются как домашние машины, так и облачные. Чтобы минимизировать риски, нужно защищать сеть от уязвимостей на всех этапах.

Признаки атаки

Как узнать, что ваш сайт подвергся атаке? Есть несколько характерных признаков:

  • ровное количество IP-запросов за определенный отрезок времени (в секундах);

  • ответ 503 со стороны вашего сервера;

  • TTL по запросу ping истекло;

  • есть проблемы со скоростью, которые влияют на работу сотрудников;

  • неожиданная активность трафика, которую видно в журнале мониторинга.

В чем принцип действия DDoS-атаки?

Первое, что делают при DDoS-атаке — заражают вредоносным ПО компьютеры и сетевые устройства, получают контроль над ними и превращают устройства в боты, а группы устройств — в ботнеты.

Почему нормальный трафик получает отказ в обслуживании? Обновленные инструкции отправляются злоумышленником дистанционно каждому боту из ботнета. За счет использования целевого IP-адреса жертвы каждое устройство начинает отправлять запросы именно на этот IP. Сервер просто не справляется с нагрузками и обрабатывает только запросы атаки.

Последствия DDoS-атаки

DDoS — это самые распространенные виды атак. Чаще всего они проводятся для того, чтобы сделать сайт конкурентов временно нерабочим. Однако действия злоумышленников могут быть направлены и на то, чтобы лишить доступа к ресурсу одного или нескольких пользователей при этом сам сайт будет продолжать работать.

Основная опасность любого нелегального действия в интернете — это потеря данных. Хакеры могут украсть информацию о посетителях и использовать ее для мошеннических схем. По закону, владелец ресурса должен всеми возможными способами обеспечить безопасность сведений. Если этого не сделать, придется заплатить большой штраф или получить тюремный срок.

Виды DDoS-атак

DDoS-атаки направлены на несколько особенно уязвимых сегментов сетевого соединения. Для того чтобы разобраться в их сущности и логике злоумышленников, рассмотрим, из каких уровней состоит соединение:

  1. Физический. Размещение необработанных сведений на голом железе.

  2. Уровень данных. Определяет формат информации в сети.

  3. Сетевой. Работает с физической передачей данных.

  4. Транспортный. Передает данные по протоколам, например, TCP и UDP.

  5. Уровень сеансов. Поддерживает соединения и отвечает за мониторинг портов и сеансов.

  6. Презентационный. Шифрует данные и отвечает за читабельность конечного формата.

  7. Прикладной. Зависимый от человека уровень, на котором ПО и службы получают доступ к настройкам сети.

В зависимости от того, сколько уровней модели сети задействуют злоумышленники, выделяют три основных типа DDoS-атак:

  • прикладные;

  • протокольные;

  • объемные.

Прикладной уровень

DDoS-атаки этого типа направлены на седьмой, прикладной уровень сети. На этом уровне происходят вызовы и ответы API, используют протоколы HTTP и SMTP.

Как действуют злоумышленники на этом уровне? Обычно сетевые или серверные ресурсы перегружаются потоком HTTP-трафика. Еще один способ — бесконечный вызов API. В обоих вариантах потребляются не только серверные, но и сетевые ресурсы. При этом злоумышленникам не требуется большая пропускная способность для нанесения максимального урона.

Протокольный уровень

Цель — вызвать сбои в работе служб. Достигается путем забивания всей доступной емкости серверов, веб-приложений, распределителей нагрузки и брандмауэров. Проходят на 3 и 4 уровне сети.

Самый популярный метод — SYN flood. С помощью TCP-протокола отправляется огромное количество SYN-пакетов. Служба выходит из строя, потому что физически не успевает получить ответ на все запросы.

Объемный уровень

DDoS-атака этого уровня создает нагрузку на канал внешнего интернета. Чаще всего работает с DNS. На открытый DNS-сервер отправляют запрос с поддельного IP-адреса, который совпадает с настоящим адресом жертвы. Запрос структурируют так, чтобы вынудить DNS-сервер отвечать на него большими массивами данных. Такой метод работает за счет уязвимостей 3 и 4 уровней сети.

Отличие DDoS-атаки от DOS-атаки

Основное отличие DDoS-атаки от DOS — количество используемых для реализации злого умысла ресурсов. DOS использует всего один. Он направлен либо на создание искусственных ограничений для одного конкретного пользователя, либо для того, чтобы «обрушить» сам ресурс. К счастью, современные системы мониторинга и обнаружения научились узнавать DOS-трафик благодаря системе анализа источника.

Как защититься от DDoS-атаки: основы

Для того чтобы защитить свою сеть, нужно отличать вредоносный трафик от целевого. Атаки могут идти как из одного источника, так и обладать многоуровневой структурой. Логично, что эффективная стратегия защиты тоже должна быть многоуровневой.

Маршрутизация

Этот способ называют «черной дырой». Он смягчает DDoS-атаку за счет направления трафика по тупиковому маршруту. Проблема в том, что если не провести тонкую настройку исключений и правил, в никуда отправится и нормальный трафик.

Маршрутизация не сработает при переменных IP-адресах. Чаще всего метод применяют для защиты отдельного небольшого сайта, который входит в крупную сеть.

Ограничение скорости

Количество запросов, которые будет принимать сервер, ограничивают для определенного промежутка времени. Способ хорошо защищает от грубого взлома системы или парсинга данных, но он не так эффективен для DDoS. Его можно использовать в связке, но не как самостоятельный метод.

Разделение сетевого потока

Реализуется с помощью специальных приложений, например, Cloudflare. Такое ПО работает с распределенными сетями типа Anycast, которые распределяют вредоносный трафик по серверам до точки поглощения сетью.

Обратите внимание: Anycast нельзя использовать самостоятельно. Связка с Cloudflare нужна потому, что ПО обеспечит повышенную пропускную способность сети.

Защита на 7 уровне

Самые эффективные методы:

  • проверять, не является ли устройство ботом, с помощью специального запроса (JavaScript);

  • использовать брандмауэр, управлять и фильтровать трафик с помощью базы доверенных IP;

  • работать с расширенными службами защиты специальных приложений.

Сложность защиты на уровне приложений состоит в том, что вредоносный трафик мало чем отличается от обычного. Каждый бот в ботнете будет отправлять абсолютно нормальные, законные запросы.

Что делать? Нужно разработать адаптивную стратегию, с помощью которой можно будет ограничить трафик на основе набора правил. Для этого отлично подойдет брандмауэр WAF (естественно, его нужно будет сконфигурировать под наши цели). По сути, WAF — это обратный прокси-сервер, который не только фильтрует трафик, но и может на лету ограничивать скорость простым изменением набора правил.

К сожалению, с такими DDoS-атаками, как SYN flood или NTP усиление, брандмауэр не справится. Схема защиты довольна проста: поток надо просто отбросить. Сложность в том, что для начала его надо принять, а не в каждой сети хватит ширины канала для этого.

DDoS в облаке

Для облачных провайдеров актуальна схема защиты из 4 этапов:

  • обнаружение;

  • реакция;

  • маршрутизация;

  • адаптация.

На этапе обнаружения система будет анализировать данные, полученные во время предыдущих DDoS-атак, поэтому рекомендуем не отключать журнал событий в облаке. Эти данные также потребуются для этапа адаптации.

Правовой аспект

После любой DDoS-атаки бизнес несет потери в следующих аспектах:

  • прибыль;

  • эффективность персонала;

  • репутация.

Вследствие деятельности злоумышленников можно потерять не только посетителей сайта, но и важные данные. Также закон Российской Федерации предусматривает наказания за киберпреступления.

Для заказчика:

  • Штраф до 500 тысяч рублей или лишение свободы на срок до 7 лет.

  • Статья: 272 УК РФ.

Для исполнителя:

  • Штраф до 200 тысяч рублей или лишение свободы до 2 лет.

  • Статья: 273 УК РФ.

Для пострадавшего:

Недоработка законодательства заключается в том, что, если злоумышленники используют данные, полученные в ходе DDoS-атаки, то накажут, в том числе и владельца сайта, который пострадал:

  • Штраф до 500 тысяч рублей или лишение свободы до 5 лет.

  • Статья: 274 УК РФ.

Нюансы

Статья и наказание могут измениться, если кража данных привела к финансовым потерям пользователей. В этом случае исполнителя и заказчика будут судить по статье Мошенничество.

Штрафом до 800 тысяч рублей или тюремным сроком на 6 лет может закончится атака на сайты и личные страницы журналистов. Права журналистов защищает 144 статья УК РФ.

Заключение

DDoS-атаки — это плохо для всех: они вредят бизнесу, сотрудникам и простым посетителям. Более того, если планировать и участвовать в атаке или не применять эффективные методы по защите своего ресурса, можно и злоумышленникам, и жертвам получить большой штраф или тюремный срок.

Поделиться
Запинить
Отправить

Возможно вам так же будет интересно:

Установка и настройка SQL Server 1508

Гайд по установке и настройке SQL сервера версии 2016 и 2019. Поэтапная настройка SQL — бэкап, безопасность, память.

Colocation: определение, преимущества, рекомендации 1547

Что такое Colocation, когда и кому может понадобиться услуга, выбор поставщика и необходимые технические параметры колокейшн хостинга.

Контроль трафика в локальной сети: особенности и рекомендации 1583

Практические рекомендации по контролю сетевого трафика в компаниях и организациях. Для чего нужен мониторинг и отслеживание трафика? Как лучше всего реализовать? Boodet.online.

Реляционные vs. нереляционные базы данных: отличия и преимущества 1539

SQL или NoSQL — какую базу данных выбрать? В чем заключается их различие. Преимущества SQL и NoSQL. Сравнение и выводы.