DDoS-атаки – распространенное киберпреступление, которое может нанести серьезный ущерб бизнесу, общественной или государственной организации. Сегодня существует множество способов вывести из строя как небольшой сайт, так и крупный клиентский онлайн-сервис и причины для этого могут быть самые разные.
В статье рассказываем, какие DDoS-атаки бывают, каковы их последствия и как защитить от них свой веб-ресурс или приложение.
Что значит DDoS-атака и как она происходит
DDoS-атака простыми словами – это хакерские действия, направленные на целевой сервер для нарушения его работоспособности из-за нехватки ресурсов и перегрузки. Расшифровывается название как Denial of Service – «отказ в обслуживании».
Для этого злоумышленники устанавливают контроль над рядом устройств, как правило, чужих. С этой целью такие устройства заражаются вредоносным программным обеспечением – пользователю достаточно скачать его из интернета с каким-нибудь файлом или электронным письмом.
Контролируемых таким образом устройств могут быть сотни, они могут атаковать цель из разных географических точек и не оставлять юридически значимых следов, по которым можно отследить злоумышленника. Объединенные в сети, они составляют так называемые ботнеты.
Любое устройство, имеющее доступ в интернет, может стать источником атаки – маршрутизаторы, бытовая техника, смартфон и др.
dos и ddos атаки: в чем разница
Не все знают, в чем разница DoS и DDoS-атаки. При DoS-атаке ложные запросы отправляются из одной точки, а не из нескольких. Их проще отследить и пресечь, а направлены они чаще на личный компьютер или простые системы.
Жертвы и последствия DDoS-атаки
Стать жертвой теоретически может любой веб-ресурс. Чаще всего целями DDoS-атаки являются сайты и приложения:
- Банковских структур;
- Крупных корпораций;
- Платежных систем;
- Медицинских учреждений;
- Онлайн-школ;
- Интернет-магазинов;
- Государственных структур;
- СМИ и информационных агрегаторов;
- Бирж криптовалюты;
- Игровых сервисов;
- Личных блогов и др.
Цели DDoS-атак
Причины этого киберпреступления могут быть также разнообразны. DDoS-атаки способны серьезно нарушить работу веб-ресурса, поэтому чаще всего требуют определенного времени на подготовку, выбора момента и спланированных действий. Рассмотрим основные причины перегрузки целевых серверов.
Экономический и репутационный ущерб. Так как сбои в работе веб-ресурсов могут временно ограничить доступ к ним посетителей, это может снижать продажи и отрицательно влиять на репутацию компании. Кибератаки также могут быть направлены на снижение позиций веб-сайта в выдаче при поисковых запросах, что тоже влияет на экономические показатели бизнеса.
Вымогательство. Преступники могут нарушать работу сайтов и сервисов и требовать у владельца выгоды для себя в обмен на прекращение кибератак и восстановление стабильной работы.
Политические высказывания. Атаки предпринимают также, чтобы сделать политические заявления или в качестве протеста. В таких случаях атаки чаще всего направлены на общественные и государственные ресурсы.
Кража информации. Нападения на ресурсы могут совершаться для кражи ценной информации из баз данных, например, у компаний-конкурентов.
Личные цели. Злоумышленники могут иметь личную неприязнь и атаковать серверы организаций в ответ на какие-либо действия или заявления.
Отвлечение внимания. Бывают случаи, когда серверы перегружаются для того, чтобы отвести глаза владельцев и служб безопасности от других преступных действий.Развлечение. Сервера атакуются хакерами и в качестве пробы своих сил, тренировки навыков и просто в качестве развлечения.
Признаки DDoS-атаки
Несмотря на то, что атака может начаться неожиданно и достаточно быстро, приводя к заметным нарушениям работы веб-ресурса, ее можно распознать по ряду косвенных признаков еще до ее начала. Среди них:
- Статистика запросов начинает резко превышать средние показатели.
- Заметно возрастает входящий трафик.
- Медленно работает и «зависает» операционная система и программное обеспечение системы.
- Журналы пользовательских действий регистрируют множество однотипных запросов из разных источников, часто исходящие от нецелевой аудитории.
Если вовремя отследить подозрительные действия на онлайн-ресурсе, есть шанс успеть предпринять соответствующие меры и избежать значительного ущерба.
Виды DDoS-атак
В основе взаимодействия устройств в рамках сети лежит протокол – перечень определенных правил и инструкций. Согласно сетевой модели OSI всего возможно взаимодействие на 7 уровнях: физическом, канальном, сетевом, транспортном, сеансовом, уровне представления и прикладном. Нападения осуществляются на любом из них.
Согласно этим уровням DDoS-атаки принято делить на следующие виды:
- Низкоуровневые атаки. Эти нападения чаще всего производятся на сетевом и транспортном уровнях. Их целью становятся сетевые протоколы и каналы обмена данными. Примерами могут служить IP-флуд, ICMP-флуд, Smurf-атака, SYN-флуд и др. Они перегружают сетевую пропускную способность и принимающий узел ложными запросами. Такие запросы забивают каналы обмена данными, выстраиваясь в огромные очереди, на которые у сервера не хватает ресурсов.
- Высокоуровневые атаки. Они производятся чаще на сеансовом и прикладном уровне. Эти нападения имеют целью вывести из строя приложение или оборудование, перегружают физическую или оперативную память, крадут данные. Примеры – отправка «тяжелых» или «замусоренных» пакетов данных, переполняющих оперативный ресурс устройства или его жесткий диск.
Остановимся подробнее на некоторых конкретных DDoS-атаках и их принципе действия.
SYN Flood. На сервер посылается множество SYN-пакетов с фальшивым IP-адресом. Несмотря на ответы сервера и ожидание подключения, приходят все новые запросы, переполняя очередь и перегружая сервер.
ICMP Flood. Производится множественная отправка ICMP-запросов с разных источников для сбора данных о сервере или его перегрузки.
HTTP Flood. Хакеры отправляют HTTP-запросы, обращенные к «тяжелым» частям веб-сайта или содержащие высокие объемы информации. Это закономерно перегружает сервер.
UDP Flood. На сервер отправляются тяжеловесные UDP-пакеты, занимающие много времени на обработку и ответ.
DNS Flood. Частный случай UDP Flood, атакующий DNS-сервер и занимающий максимум его ресурсов.
DNS-амплификация. Частный случай атаки на DNS-сервер. Источники отправляют на DNS-серверы такие запросы, чтобы ответы содержали как можно больше данных. При этом вместо настоящего IP-адреса применяется адрес целевого сервера, который принимает ответы и перегружается.
VoIP Flood. Другой частный случай UDP Flood, имеющий целью IP-телефонию.Ping of death. DoS-атака с одного устройства. На сервер отправляется эхо-запрос, превышающий разрешенный объем в 65535 байт. Это приводит к сбою в работе сервера. Проверка размера пакета сегодня надежно защищает от такой атаки.
Защита от DDoS-атак
Зная, как работает защита от DDoS-атак, владельца онлайн-ресурсов могут уберечь свои серверы и данные, так как такие нападения являются большой проблемой, не теряющей актуальность. В зависимости от вида кибератак и специфики целевой системы подбираются и способы для защиты. Вот несколько из них:
- Установка капчи – картинки с символами, которые необходимо ввести в текстовое поле вручную. Это решение помогает удостовериться, что запрос на сервер отправляет настоящий пользователь.
- Увеличение пропускного канала. Чем больше канал обмена данными, тем больше времени будет на поиск уязвимостей и принятие соответствующих мер.
- Установка брандмауэра для веб-приложений для фильтрации поступающего трафика (WAF, Web Application Firewall). Это поможет не пропускать подозрительные и очевидно ложные пакеты данных и поможет снизить риск перегрузки сервер.
- Применение CDN (Content Delivery Network) – сети доставки контента, которые призваны распределять нагрузку на несколько географически разбросанных серверов. Это увеличит скорость загрузки веб-страниц и увеличит пропускную способность для посетителей ресурса.
- Использование облачных виртуальных хранилищ. Облака позволяют быстро создавать резервные копии всей системы и регулировать нагрузку в зависимости от текущих потребностей.
- Обновление физического оборудования и программных средств. Чем новее используемые средства, тем выше шанс, что хакеры еще не нашли их уязвимости и тем быстрее и надежнее будет защитная реакция системы на опасные действия извне.
- Выбор услуг компаний по защите от DDoS-атак. Такие сервисы как DDOS-GUARD, Kaspersky DDoS Protection, Qrator и другие предлагают фильтрацию трафика, балансировщики нагрузки, выделенные сервера, а также консультативную и техническую поддержку от экспертов.
Чтобы эффективно защитить сервер от DDoS-атак, также стоит принять во внимание следующие стандартные рекомендации.
Резервное копирование информации. Создание резервной копии данных может помочь не потерять их во время нападения злоумышленников на сервер.
Выбор надежного провайдера хостинга. Стоит изучить предложения провайдеров и их методы защиты от кибератак.
Применение лицензированного программного обеспечения и оригинального оборудования. Это даст дополнительную гарантию от производителя и уверенность в надежности системы.
Создание службы безопасности. Если ресурсы позволяют, стоит нанять специалистов. Они подберут оптимальные защитные меры в зависимости от специфики системы и смогут своевременно отреагировать при подозрении на нападение.
Разработка плана реагирования. В случае уже случившейся атаки все причастные специалисты организации должны точно знать, какие действия от них требуются для ее устранения и минимизации вреда. План следует регулярно пересматривать и обновлять.
Анализ и работа над ошибками. После нападения не менее важно проанализировать действия злоумышленников, найти и устранить уязвимые места, задуматься о новых защитных мерах на перспективу.
Проверка на уязвимости. Регулярное тестирование системы поможет найти слабые места быстрее преступников.Разграничение доступа. Следует контролировать, кто именно из сотрудников имеет доступ к администрированию сервера, надежны ли пароли, кто видит IP-адреса и вовремя ли удаляются аккаунты уволенных сотрудников для защиты утечки информации.
Будущее DDoS-атак
Когда-то мощность кибератак составляла всего несколько мегабайт и производилась она с нескольких десятков устройств. В настоящее время ботнеты могут насчитывать тысячи устройств и иметь мощность в сотни Гбит/с.
Развитие технологий говорит о том, что эти показатели будут лишь увеличиваться. Распространение все большего разнообразия аппаратов и гаджетов также намекает на рост возможностей для атак.
Однако новые виды кибернападений не появлялись на протяжении нескольких лет и в этом вопросе ожидается, что все останется по-прежнему.
Однако знания о том, как защититься от DDoS-атак также непрерывно увеличиваются, а методы прогрессируют для повышения безопасности систем от хакеров.
Выводы
Личные блоги, государственные и общественные организации, а также бизнес любого масштаба, представленный в интернете, являются потенциальными целями для кибератак по самым разным причинам. Бороться с DDoS-атаками следует, тщательно подбирая защитные меры для обеспечения безопасности крупных и небольших онлайн-ресурсов. Стоит позаботиться о подборе способов защиты до того, как системе будет нанесен ущерб и регулярно пересматривать их для защиты информации, репутации и денежных средств.