Ddos атаки что такое: Как происходят DDoS атаки? | Лаборатория Касперского
Содержание
Как происходят DDoS атаки? | Лаборатория Касперского
Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все … и вызвать отказ в обслуживании.
Стандартные цели DDoS-атак:
- Сайты интернет-магазинов
- Онлайн-казино
- Компания или организация, работа которой связана с предоставлением онлайн-услуг
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
- Существенное замедление время ответа на запросы.
- Отказ в обслуживании всех запросов пользователей или части из них.
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Использование сети зомби-компьютеров для проведения DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Природа современных DDoS-угроз
В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:
- Полицейские расследования, которые привели к аресту преступников по всему миру
- Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
Распределенные сетевые атаки / DDoS
Kaspersky
DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.
Dos против DDoS-атак: различия и методы борьбы
Для хорошей работы любого сайта важно обеспечить надёжное подключение и защитить его от атак и взломов. Ведь хакерские атаки, независимо от их разновидности, приводят к одному — неработоспособности сайта или подмене копией от злоумышленников. Минимизировать ущерб от «искусственных сбоев» получится только тогда, когда администратор сервера поймёт, с какой проблемой он столкнулся.
Сегодня рассказываем подробнее о DoS- и DDoS-атаках.
Что такое DoS-атака?
DoS-атака (Denial of Service) — буквально «отказ в обслуживании». Это тип атаки, в котором мошенники нападают с целью вызвать перегрузку подсистемы сервиса. В этом случае компьютер (или компьютеры) используется для заполнения сервера пакетами TCP и UDP.
Особенности DoS-атак
- Одиночная атака. Отправка вредоносных пакетов производится из одной сети.
- Высокая заметность. Попытки «положить» сайт заметны по содержимому лог-файла.
- Лёгкость подавления. DoS-атаки можно легко предотвратить, заблокировав источник. Это может сделать системный администратор или сетевые фильтры, анализирующие трафик.
Простота координации DoS-атак означает, что они стали одна из самых распространённых угроз кибербезопасности с которыми сталкиваются современные организации. DoS-атаки просты, но были очень эффективны в 90 годы. Сейчас же они преобразовались в DDoS-атаки и могут нанести сокрушительный ущерб компаниям или частным лицам, на которых они направлены. Одной атакой организация может быть выведена из строя на несколько дней или даже недель.
Немного истории
Первая успешная DoS атака состоялась в 1974 году, когда 13-летний школьник Дэвид Деннис вызвал перебои в функционировании терминалов Лаборатории компьютерных вычислений Университета Иллинойса. Он обнаружил особенность, при которой команда EXT приводила к зависанию терминал, если он не имел периферийных устройств. Он написал небольшую программу, посылавшую команду EXT на все доступные машины, и одновременно подвесил 31 терминал.
Что такое DDoS-атака?
DDoS-атака (Distributed Denial of Service) — по сути, это та же DoS-атака, но реализованная с нескольких машин на один целевой хост. Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика, поэтому этот тип атаки занимает важное место в арсенале хакеров.
Во время DDoS-атаки возникают большие сложности с обнаружением её источника, так как хакер использует целую сеть связанных между собой машин или ботов. Традиционно атаки ведутся с заражённых вирусами компьютеров обычных пользователей, которые даже не подозревают, что стали невольными соучастниками правонарушения. Но не так давно появился новый способ — проводить атаки с помощью IoT устройств (умные чайники, кофеварки, пылесосы и другая техника). Дело в том, что раз у умных гаджетов есть доступ в интернет, а значит есть и возможность участвовать в DDoS-атаке.
Эти компьютеры и техника образуют ботнет — единую сеть, которой управляет злоумышленник — он же ботмастером, с главного контрольного сервера (C&C). Подобная структура позволяет хакеру координировать атаки одновременно с нескольких системам, численность которых колеблется от десятков до миллионов устройств.
Один из ярких примеров — ботнет Mirai. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов — сейчас он атакует и заражает не только ПК, но и умную технику. Уже в 2019 году Mirai захватил почти 500 000 устройств и повредил сервисы, например, Xbox Live и Spotify и веб-сайты, такие как BBC и Github.
Особенности DDoS
- Многопоточная атака. Благодаря возможности организовать атаку на ресурс с нескольких хостов шансы «положить» сервер намного выше, чем у нападения методом DoS. Если в подчинении злоумышленника сотни, тысячи, а то и миллионы ботов на разных хостах, то атаку не выдержат даже самые мощные и защищённые системы.
- Скрытность. Вредоносный трафик с нескольких хостов выглядит «живым» для защитных фильтров и администраторов, что усложняет обнаружение DDoS. Но, если сохранять бдительность и следовать рекомендациям, что мы дадим в конце статьи, обнаружить атаку всё же можно.
- Сложность подавления. Остановить мощную DDoS-атаку крайне сложно. Трудности может вызвать не только подавление уже начавшегося нападения, но и обнаружение самого факта атаки. Дело в том, что для остановки DoS-атаки админу достаточно забанить всего один IP-адрес. Если же говорить о DDoS, то речь может идти о +100500 IP-адресах, с которыми тяжело оперативно справиться.
А когда была первая DDos-атака?
22 июля 1999 года сервер Университета Миннесоты перестал отвечать. Админы проанализировали сетевой трафик и поняли, что университетский сервер находится под атакой, с какой ещё никому не доводилось сталкиваться. Так началась эра DDoS.
Делаем вывод, что главные отличая DoS от DDoS…
…проявляются в способе технической реализации. DoS-атаки исходят исключительно из одного источника, тогда как DDoS-атаки проводятся с двух и более хостов. Обнаружить многопоточное нападение методом DDoS значительно сложнее, потому что запросы выглядят «живыми» и вызывают меньше подозрений у админа. При этом DDoS-атаки дают возможность хакеру отправлять большие объёмы трафика в целевую сеть.
Можно сказать, что все DDoS = DoS, но не все DoS = DDoS ;).
Почему DoS и DDoS атаки происходят?
Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.
Существует огромное количество причин, из-за которых злоумышленники приводят бизнес в автономный режим. Например:
- Вымогательство — одна из распространённых причин для атаки. После успешной попытки взлома злоумышленники потребуют выкуп, чтобы остановить атаку и вернуть сайт в оперативный режим. Но, конечно же, отдавать деньги хакерам не стоит — нет никакой гарантии, что работа вашего сайта будет восстановлена.
- Недобросовестная конкуренция. Отключив корпоративную сеть, конкуренты пытаются украсть ваших клиентов у вас.
- Развлечение — молодые программисты запускают атаки ради хвастовства перед друзьями, знакомыми, коллегами.
- Неприязнь личного, политического характера. Здесь мотивом становится либо несогласие с политикой компании.
- Также нельзя исключать личную неприязнь недовольных сотрудников, которые уволились или ещё продолжают работать, но уже готовы пакостить своему работодателю.
Примеры крупнейших атак
Впервые серьезное нападение произошло в 2000 году. Жертвами стали серверы и сайты eBay, Amazon, CNN и Yahoo. Виновником стала самописная программа, созданная 16-летним хакером-энтузиастом. Вредоносный алгоритм под названием Sinkhole зафлудил машины жертв и обрушил их.
В 2013 году в результате конфликта между голландским хостинг-провайдером Cyberbunker и Spamhaus (организация занимается составлением списков спамеров) первые начали атаку на последних. Первый удар на себя приняла CDN CloudFlare, далее вредоносный трафик переключился на её провайдеров. Нагрузка на канал составила 300 Гбит/с.
Ещё один пример — DDoS-атака на Dyn (провайдера доменов), которая произошла произошла в октябре 2016 года. Мы уже упоминали эту атаку, когда рассказывали про ботнет Mirai. Её мощность составила один терабит в секунду, а, по некоторым сведениям, могла достигнуть и 1,5 терабит в секунду — очередной «рекорд» для данной индустрии. Из-за настолько серьёзного напора сервисы Dyn были отключены — вместе с этим упал целый ряд известных сайтов, среди которых GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb.
Как понять, что на мой сайт напали?
Если злоумышленнику удалось достичь цели и «положить» сервер, не заметить атаку — невозможно. Но, есть некоторые «звоночки», благодаря которым сисадмин сможет понять, что сайт в опасности. Например:
- Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и так далее).
- Резкий рост нагрузки на процессор, оперативную память и накопитель по сравнению с исходным уровнем.
- Увеличение объёма трафика на один или несколько портов.
- Многократные обращения клиентов к одним и тем же ресурсам. Это может быть открытие одной страницы сайта или скачивание одного и того же файла.
- Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира.
А есть профилактика против атак?
К сожалению, универсального способа борьбы с мошенниками нет. Но, если выполнять рекомендации и сохранять бдительность, вы сможете обезопасить себя.
Например, наиболее эффективный способ защиты от DDoS атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг или интернет-провайдера. Причём выполняться это может как средствами сетевых маршрутизаторов, так и с помощью специального оборудования.
Вести контроль версий ПО и сетевых служб — необходимо своевременно обновлять программное обеспечение сетевых служб.
Тщательно выбирать хостинг-провайдера. Выбирайте поставщика, дающего гарантии защиты от всех современных угроз. Например, в REG.RU защита от DDoS подключается к услугам хостинга (Shared Hosting), виртуальных серверов (VPS) и выделенных физических серверов (Dedicated) автоматически для всех пользователей.
Используйте брандмауэр приложений и автоматизируйте проверку сетевого трафика и валидации запросов к портам и службам сервера.
Распределяйте трафик с помощью CDN, чтобы ускорить обработку трафика и запросов за счёт распределённого хранения контента.
Не забывайте про балансировщик нагрузки — при подозрительно нагрузке программа определяет самый незагруженный сервер и отправляет клиента на него.
Плюс желательно иметь чёткий план действий на случай краха сайта. В него могут входить мероприятия по оперативному подключению другого сервера, перенастройке DNS-хостов и так далее.
И, конечно же, сохраняйте бдительность.
⌘⌘⌘
Надеемся, что наш пост поможет защитить вашу инфраструктуру от атак. Мы всегда готовы поделиться полезным опытом!
Читайте наши статьи по «Безопасности», где ведущие специалисты REG.RU делятся с вами полезными советами, и выбирайте надёжный хостинг с встроенной защитой от DDoS-атак.
Что такое DDoS-атака: виды и способы защиты
T-Rex
Тираннозавр Рекс
Distributed Denial of Service, или «Распределенный отказ в обслуживании» — это перегрузка информационной системы избыточным числом запросов, блокирующая обработку обращений.
Что происходит при DDoS-атаке? Массовые запросы к серверу. Их объем превышает допустимый, что делает сервер недоступным для других пользователей.
Причины DDOS-атак
Личная неприязнь
IT-специалисты могут инициировать обвал сервера организации по личным мотивам: преследование со стороны закона, желание отомстить обидчикам, зависть успеху чужого проекта и пр. Например, в 1999 году хакеры из-за угрозы преследования обрушили серверы ФБР.
Политические мотивы
Атакуя серверы органов власти, хакеры таким образом выражают свой протест действиям правительства. Например, в 2007 году из-за угрозы сноса Памятника Воину-освободителю в Таллине хакеры начали атаковать серверы госучреждений.
Развлечение
DDoS становится популярным в современном IT-сообществе, поэтому новички могут проводить их не столько из серьезных побуждений, сколько для забавы.
Вымогательство
Хакер может шантажировать владельцев ресурса с целью выкупа под угрозой DDoS.
Конкуренция
Инфраструктура организации может быть атакована представителями конкурирующей фирмы.
Потенциальные жертвы
Основной ущерб для любой корпорации — это потери от простоя (трафик, клиенты, доход, репутация, ухудшение позиций в поисковых выдачах и пр.). Как правило, жертвами крупных DDOS атак становятся:
- Корпорации и государственные учреждения: агрегаторы (маркетплейсы), сайты крупных компаний, отраслевых министерств и др.;
- Финансовые учреждения: сайты и порталы банков, бирж, управляющих и инвестиционных компаний;
- Медицинские учреждения: больницы, медицинские центры и пр.;
- IoT устройства: онлайн-кассы, системы «Умный дом» и пр.
Организация DDOS-атак
Серверы имеют ограничения на одновременную обработку запросов. Также для оптимизации нагрузки предусмотрено ограничение пропускной способности канала, соединяющего сеть и сервер. Для обхода ограничений злоумышленники организуют специальную сеть с вредоносным ПО («ботнет»). Для наглядности ее схема приведена ниже.
Входящие в инфраструктуру «ботнет» компьютеры не связаны между собой. Они используются для генерации избыточного трафика, способного перегрузить атакуемую систему. Для этого на компьютеры ставится троян, который запускается удаленно. Атаке подвергается DNS сервер, пропускной канал и интернет-соединение.
Признаки DDOS-атаки
Распознать атаку можно по следующим признакам:
- Некорректная работа серверного ПО и ОС: зависания, произвольные завершения сессий и пр.;
- Пиковая нагрузка на сервер: нагрузка на ЦП, оперативную память, диск и другие компоненты сервера, превышающая средние значения;
- Рост числа запросов на порты;
- Одинаковая модель поведения: злоумышленники пытаются маскировать вредоносный трафик, закладывая в алгоритмы симуляцию действий пользователей (скачивания файлов, просмотры страниц, использование поиска и пр.). Выявление массового совершения однотипных действий может послужить сигналом;
- Однотипные запросы к портам и сервисам: выявить возросшую нагрузку, однотипные запросы к службам сервера можно по анализу логов. Массовые запросы, если генерирующие их пользователи не похожи на типичную аудиторию, являются хорошим маркером.
Виды DDoS-атак
Атаки транспортного уровня
Атака направлена на перегрузку брандмауэра, центральной сети или системы, распределяющей нагрузку. При атаках такого вида распространено использование сетевого флуда, при котором генерируется масса однотипных запросов-пустышек, перегружающих канал. Основной упор здесь делается на методику обработки клиентских запросов к серверу.
Как правило, сетевая служба работает по методу FIFO, согласно которому в приоритете первое обращение. Однако, при флуде генерируется такой объем запросов, что аппаратных ресурсов сервера не хватает для завершения обработки первого запроса.
HTTP-флуд
Сервер получает избыточный объем HTTP-запросов клиентов, в результате чего все узлы связи становятся недоступными.
ICMP-флуд
Перегружает сервер жертвы служебными командами, на которые машина должна давать эхо-ответы. Классический пример — Ping-флуд, когда на сервер непрерывно отправляются ICMP-пакеты для проверки доступности узла.
SYN-флуд
На сервер отправляется избыточный объем SYN-запросов на TCP-подключение. Согласно алгоритму «тройного рукопожатия», сервер должен ответить на SYN-запрос клиента пакетом с флагом ACK (Аcknowledge). После этого будет установлено соединение. В случае с SYN-флудом, очередь SYN-запросов на сервере переполняется.
При этом заголовки SYN-пакетов подделываются таким образом, чтобы ответные пакеты с сервера уходили на несуществующие адреса. Таким образом, злоумышленник создает цепочку наполовину открытых соединений, забивающих канал и делающих невозможным доступ рядовых пользователей к серверу и его службам.
UDP-флуд
Атакуемое устройство получает множественные UDP-запросы с измененными IP-адресами источников. Так злоумышленник сохраняет анонимность паразитной сети, забивая полосу пропускания сервера. Суть атаки в следующем: из вредоносной сети на жертву направляется поток UDP-запросов. Сервер должен обработать запрос, разобрав приходящий пакет и определив для него соответствующее приложение (сервис, порт).
Затем нужно перенаправить запрос туда и в случае успеха вернуть ответ службы. В случае отсутствия активности будет отправлено сообщение «Адресат недоступен» по протоколу ICMP. Поскольку в пакетах был изменен адрес источника инициатора запроса, то ICMP-отказы уходят на другие узлы. Тем временем, вредоносный алгоритм продолжает поддерживать очередь запросов переполненной.
MAC-флуд
На порты сервера поступает поток пустых пакетов с пустыми MAC-адресами.
Атаки уровня инфраструктуры
Атаке подвергаются оперативная память, процессорное время, а также подсистема хранения данных на сервере. При этом пропускной канал не перегружается.
Существуют несколько видов таких атак.
Вычисления
Процессор получает запросы на «тяжелые» вычисления. Ввиду переизбытка запросов сервер начинает сбоить и пользователи не получают доступ к серверу, его службам и ресурсам.
Переполнение диска
Дисковое пространство сервера начинает заполняться «мусорным» содержимым с помощью вредоносного кода злоумышленников. Переполнение диска нарушает работу веб-сервисов, функционал которых построен на активной работе с файловой системой (хранение, доступ и воспроизведение мультимедиа и другого контента). Для заполнения используются лог-файлы (данные о запросах и сессиях, формируемые на стороне сервера). Предотвратить умышленное заполнение диска можно ограничив размер лог-файлов.
Обход системы квотирования
Злоумышленник получает доступ к CGI-интерфейсу сервера и с его помощью использует аппаратные ресурсы машины в своих интересах.
Неполная проверка пользователя
Злоумышленник может использовать ресурсы сервера бесконечно долго.
Атака второго рода
На сервере вызывается ложный сигнал о перегрузке, либо ее угрозе, в результате сетевой узел на время становится недоступным.
Атаки уровня приложений
При таких атаках используются заложенные в серверное ПО упущения, создающие уязвимости. Классический пример — атака «Пинг смерти», когда на атакуемую машину направляется избыточный объем ICMP-пакетов, переполняющих буфер памяти.
DNS-атаки
Атаки этого вида направлены на:
- Использование уязвимостей в ПО DNS-серверов: «уязвимость нулевого дня», «Быстрый поток», «DNS-спуфинг»;
- Обрушение DNS-серверов: из-за отключения службы DNS пользователь не сможет зайти на страницу сайта, поскольку его браузер не найдет IP-адрес нужного узла.
Предотвращение и защита от DDoS-атак
Наиболее эффективный способ защиты от DDoS атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг или интернет-провайдера. Причем выполняться это может как средствами сетевых маршрутизаторов, так и с помощью специального оборудования.
Владелец же сайта, веб-сервиса или другого сетевого проекта, со своей стороны, для минимизации рисков и потерь от DDoS должен:
- Тщательно обследовать логику своего продукта: еще на этапе разработки и тестирования можно исключить ошибки и уязвимости;
- Вести контроль версий ПО и сетевых служб: необходимо своевременно обновлять программное обеспечение сетевых служб (СУБД, PHP и пр.). Также нужно поддерживать код самого продукта в актуальном и стабильном состоянии. Рекомендуется даже разворачивать проект на нескольких серверах — продуктовом (боевом), тестовом (для обкатки нового функционала) и бэкап-сервере (для хранения резервных копий и архивов исходников). Также рекомендуется использовать системы контроля версий (Git) для возможности отката проекта к предыдущей стабильной сборке;
- Следить за доступом к сетевым службам: делегирование прав на операции требует проработки. Необходимо обеспечить несколько уровней доступа (мастер, гостевой и пр.) к сетевым службам сервера и архиву версий проекта. Список лиц, имеющих доступ к ресурсам сервера, необходимо поддерживать в актуальном состоянии — например, своевременно отключать доступ уволившимся сотрудникам. Также нужно сбрасывать пароли и учетные записи при любом подозрении на компрометацию;
- Контролировать панель администратора: рекомендуется ограничить доступ к панели внутренней, либо VPN-сетью;
- Сканировать систему на наличие уязвимостей: в этом помогут публичные рейтинги (например, OWASP Top 10), либо инструменты разработчика;
- Использовать брандмауэр приложений: автоматизируйте проверку сетевого трафика и валидации запросов к портам и службам сервера;
- Распределять трафик с помощью CDN: за счет распределенного хранения контента нагрузка на ресурсы сервера оптимизируется, что ускоряет обработку трафика и запросов;
- Вести списки контроля доступа (ACL): для персонального ограничения доступа к сетевым узлам;
- Очищать кэш DNS: для защиты от спуфинга;
- Использовать защиту от спама: один из источников уязвимостей — формы обратной связи. Злоумышленники могут направить своих ботов массово заполнять их отправлять однотипные данные на сервер. Для фильтрации такого трафика формы нужно переводить на JS-компоненты или оснащать их капчами и другими инструментами проверки;
- Использовать контратаку: вредоносный трафик можно перенаправить на сеть атакующего. В результате это не только сохранит доступность Вашего сервера, но и временно выведет злоумышленника из игры;
- Использовать распределенное хранение и бэкапирование: в случае отказа одного или нескольких серверов Вашей сети Вы сможете возобновить работу ресурса на другой машине. К этому времени там уже будет развернута функциональная копия Вашего проекта;
- Использовать аппаратные средства защиты от DDoS: Impletec iCore, DefensePro и пр.;
- Тщательно выбирать хостинг-провайдера: необходимо выбирать поставщика, дающего гарантии защиты от всех современных угроз. Также немаловажно иметь круглосуточную линию поддержки, панель администратора с необходимыми инструментами аналитики по конкурентным условиям.
Защита DNS
Брандмауэры и системы предотвращения вторжений на серверы сами по себе уязвимы и рассчитывать только на их надежность не стоит.
Для TCP-трафика рекомендуется использовать облачные сервисы для фильтрации подозрительных запросов. Также рекомендуется:
- Проводить мониторинг DNS: подозрительную сетевую активность можно отследить. Для этого рекомендуется использовать коммерческие DNS-решения, либо Open-source продукты (например, BIND). Вы сможете в режиме реального времени отслеживать сетевой трафик и запросы к DNS. Для экономии времени также рекомендуется построит базовый профиль сетевой инфраструктуры и обновлять его по мере масштабирования бизнеса;
- Расширять аппаратные ресурсы DNS: компромиссное решение, позволяющее защитить инфраструктуру от мелкомасштабных атак. Закупка дополнительных мощностей также сопряжена и с вложениями;
- Использовать DNS Response Rate Limiting (RRL): это снижает вероятность использования Вашего DNS-сервера в атаке DDoS Reflection. RRL снижает скорость обработки повторных запросов. Этот параметр поддерживается большинством DNS;
- Строить конфигурации высокой доступности: DNS служба разворачивается на HA-сервере, что позволяет восстановить работу сервиса на резервной машине в случае если основная окажется недоступной.
Географически распределенная сеть также может послужить средством защиты от DDoS. Существует два подхода к построению такой сети:
- Anycast: разные DNS серверы используют общий IP-адрес, а при обработке трафика запросы направляются на ближайший сервер. Такой подход, по сравнению с описанным ниже, является более оптимальным, поскольку трафик и нагрузки распределяются между несколькими машинами. Это делает инфраструктуру более устойчивой к DDoS;
- Unicast: за каждым DNS-сервером закрепляется уникальный IP-адрес. Служба DNS поддерживает таблицу серверов и соответствующих им адресов ресурса. При обработке запросов для балансировки трафика и нагрузок IP-адрес выбирается в случайном порядке. Такой подход к организации DNS-сети проще в реализации, однако при этом страдает устойчивость инфраструктуры. Злоумышленники могут инициировать цепочку направленных атак на DNS-серверы, последовательно выводя их из строя.
Крупнейшие DDOS-атаки в истории
Впервые серьезное нападение произошло в 2000 году. Жертвами стали серверы и сайты eBay, Amazon, CNN и Yahoo. Виновником стала самописная программа, созданная 16-летним хакером-энтузиастом. Вредоносный алгоритм под названием Sinkhole зафлудил машины жертв и обрушил их.
Некогда популярный «Пинг смерти» использовал ping-команду для флуда. Для того, чтобы вызвать DDoS сервера, размер пакета искусственно увеличивался до 65535 байт. Пик популярности такой атаки приходится на 90-е годы — тогда в серверном ПО еще не была распространена проверка размера приходящих пакетов. В результате пропускной канал забивался и ресурс становился недоступным.
В 2013 году в результате конфликта между голландским хостинг-провайдером Cyberbunker и Spamhaus (организация занимается составлением списков спамеров) первые начали атаку на последних. Первый удар на себя приняла CDN CloudFlare, далее вредоносный трафик переключился на ее провайдеров. Нагрузка на канал составила 300 Гбит/с.
При атаке использовался метод DNS amplification. Суть метода — рассылка рекурсивных запросов с поддельными обратными адресами. При длине исходящего запроса в несколько байт ответный пакет может превышать несколько килобайт. При этом, для усиления эффекта ответный пакет направляется на сервер жертвы. Такой подход позволяет добиться большей эффективности, чем при использовании ботнет, поскольку в качестве «зомби»-компьютеров выступают не устройства с ограниченным каналом, а серверы.
В 2016 году была зафиксирована атака с нагрузкой на канал в 1 Тбит/с. Тем не менее, атакуемый ресурс устоял и смог отразить атаку.
Мы предлагаем комплексные решения для защиты Ваших интернет-ресурсов от DDoS:
- Базовая защита: фильтрация трафика и защищенные IP-адреса. Подробнее о фильтрации — в нашей базе знаний;
- Расширенная защита: анализ и очистка трафика на уровне протоколов приложений: HTTP, DNS, SIP и др.;
- Балансировщик нагрузки: оптимальное использование ресурсов сервера, распределенные системы хранения и обработки запросов и пр.
Количество DDoS-атак в мире выросло почти на четверть » Безопасность
В третьем квартале 2021 года общее число DDoS-атак увеличилось почти на 24% по сравнению с аналогичным периодом 2020 года, а продвинутых (которые часто являются целевыми) — на 31%.
По данным Лаборатории Касперского, также количество DDoS выросло по сравнению со вторым кварталом 2021 года.
В августе был поставлен рекорд по количеству таких инцидентов в день за последние несколько лет — 8 825.
В числе наиболее крупных целей — организации, борющиеся с пандемией, государственные учреждения, разработчики игр и медиа, специализирующиеся на кибербезопасности. Больше всего атакованных ресурсов располагалось в США, Гонконге и Китае.
Для проведения некоторых из наиболее крупных DDoS-атак в прошлом квартале использовался новый мощный ботнет Mēris, способный отправлять огромное число запросов в секунду. С его помощью были в том числе атакованы два известных медиа по кибербезопасности — блог Krebs on Security и журнал InfoSecurity Magazine.
Эксперты зафиксировали серию политически мотивированных атак в Европе и Азии, атаки на разработчиков игр и на образовательные ресурсы. В частности, в августе произошёл один необычный инцидент, целью которого был личный кабинет для абитуриентов одного российского государственного вуза. Атака продолжалась несколько суток и долго не завершалась после начала фильтрации, хотя злоумышленники сильно рискуют, когда целевой ресурс оказывается под защитой, ведь таким образом значительно повышается вероятность обнаружить узлы ботнета.
«В течение последних двух лет группы, занимающиеся криптомайнингом и организацией DDoS-атак, боролись за ресурсы, поскольку многие ботнеты использовались для обеих целей. Ранее мы видели спад числа DDoS, связанный с взрывным ростом курса криптовалюты, а теперь фиксируем перераспределение ресурсов. DDoS приносит прибыль, и мы думаем, что число таких инцидентов продолжит увеличиваться в четвёртом квартале, ведь традиционно к концу года так и происходит», — отмечает Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского».
«Лаборатория Касперского» напоминает о мерах, которые помогут компаниям успешно противодействовать DDoS-атакам и бороться с их последствиями:
-поддержку сайтов следует доверить специалистам, которые знают, что предпринять в случае такого инцидента;
-стоит внимательно проверять соглашения с поставщиками и контактную информацию, включая договоры с провайдерами интернет-услуг. Это поможет сотрудникам компании быстро получать нужную информацию в случае атаки;
-использовать специализированные корпоративные решения для защиты от DDoS. Например, решение Kaspersky DDoS Protection обеспечивает мониторинг трафика в режиме реального времени и эффективно отражает атаки любого масштаба. Зная обычные характеристики трафика, легче выявить нестандартную активность, характерную для DDoS;
-нужно иметь запасной план защиты от таких атак, чтобы быть готовыми восстановить критичные для бизнеса сервисы.
По материалам Лаборатории Касперского
«Яндекс» назвал DDoS-атаку на него крупнейшей в истории интернета
Автор фото, Getty Images
Специалистам российского интернет-гиганта «Яндекс» удалось отразить рекордную DDoS-атаку, заявили в компании, подтвердив таким образом сообщения СМИ.
«Нашим специалистам действительно удалось отразить рекордную атаку более чем в 20 млн RPS — это самая крупная атака из известных за всю историю интернета», — сказано в заявлении «Яндекса». 20 миллионов RPS — это количество запросов в секунду. Из заявления также следует, что атаки продолжаются несколько недель, а их источник — «новый ботнет, о котором пока мало что известно».
Два дня назад газета «Ведомости» писала, что «Яндекс» подвергся крупнейшей в истории рунета DDoS-атаке, реализованной через новый ботнет, маскирующийся под обычных пользователей. Рекордный масштаб кибератаки был подтвержден американской компанией Cloudflare, которая сотрудничает с «Яндексом», отмечало издание.
Один из собеседников «Ведомостей» говорил, что «Яндекс» с трудом сдержал DDоS-атаку. Собеседник издания не смог ответить на вопрос, обратились ли представители компании с заявлением в полицию или ФСБ, а официальный представитель «Яндекса» уверял, что атака не повлияла на работу сервисов и данные пользователей не пострадали.
Виртуальная чума
Сейчас «Яндекс» сообщил о «текущих результатах» совместного с компанией Qrator Labs расследования деятельности ботнета, который получил название Mēris. Mēris — по-латышски «чума». Это ботнет нового типа, обнаруженный в конце июня, который уже тогда «обладал значительными масштабами».
«Построен он на сетевом оборудовании одного очень популярного вендора из Прибалтики. Он распространяется через уязвимость в прошивках и уже насчитывает до сотни тысяч зараженных устройств», — рассказывал «Ведомостям» гендиректор Qrator Labs Александр Лямин.
Другой эксперт в области информбезопасности говорил изданию, что для организации нового ботнета якобы могли быть использованы роутеры латвийской компании MikroTik.
По предварительным данным, ботнет не относится к семейству Mirai. Ранее участники отрасли предполагали, что это вернулся ботнет Mirai, активизировавшийся пять лет назад и построенный на основе видеокамер.
Командный центр нового ботнета не обнаружен. Для взаимодействия внутри сети используются обратные L2TP-туннели, а число зараженных устройств достигает 250 тысяч, следует из расследования. «Ботнет продолжает расти. У нас есть предположение, что он может разрастаться за счет техники брутфорса (перебора паролей), хотя этот вариант не кажется основным», — предупредили в «Яндексе».
Там также напомнили, что в последние недели были зафиксированы разрушительные DDoS-атаки в Новой Зеландии, США и России.
«Все эти атаки мы ассоциируем с ботнетом Mēris. В настоящий момент он может перегрузить практически любую сетевую инфраструктуру, включая некоторые сети высокой надежности», — сказано в заявлении. Главным признаком этого ботнета в «Яндексе» называют «чудовищный показатель RPS».
В августе и сентябре наблюдается рост числа DDoS-атак на компании из самых разных секторов экономики — от небольших бизнесов до крупнейших корпораций, говорил Лямин из Qrator Labs. «Заказчики этих атак разные, а вот исполнитель, судя по всему, один, и оперирует он недавно появившимся в индустрии ботнетом», — рассказывал он.
Первой компанией, которая публично рассказала о масштабных атаках 19 августа, стала Cloudflare (17,2 млн RPS), напоминает издание The Bell.
«Речь идет об угрозе инфраструктуре в масштабах страны», — оценивал атаку на «Яндекс» собеседник «Ведомостей».
Что такое DoS и DDoS атаки: классификация и защита
DoS-атака (от англ. Denial of Service – «отказ в обслуживании») – атака, которая используется для выведения из строя и взлома вычислительной техники и создания технических и экономических трудностей у цели. Осуществляется посредством создания большого количества запросов и серьезной нагрузки на технику, чаще всего на крупные сервера.
Схема DoS-атаки.
Почему используются DoS-атаки
Популярность ДоС-атак обусловлена тем, что определить исполнителя крайне сложно – он создает большую нагрузку через множество компьютеров в сети. Чаще всего такие атаки используются тогда, когда взломать систему или сервер не получается. Даже если с помощью DoS-атаки не удается получить доступ, техника выходит из строя или теряет производительность.
DoS-Атака на компанию Spamhaus.
Жертвами таких атак чаще всего становятся правительственные сайты, крупные порталы, онлайн-СМИ, серверы онлайн-игр, интернет-магазины, корпоративные сайты финансового сектора. Мотивация атакующего также зависит от сферы. Чаще всего атака происходит по причинам политических протестов, недобросовестной конкуренции, вымогательств и шантажа, личной неприязни, а также с целью развлечения.
Частота DoS-атак по сферам.
Классификация DoS-атак
-
Насыщение интернет-канала бесполезным трафиком (флудом) создает большое количество запросов к системе или серверу, за счет этого происходит быстрое исчерпание его ресурсов, что приводит к отключению или некорректной работе. Флуд бывает разных типов:-
HTTP-флуд и ping-флуд — одни из самых простых и доступных видов атак: с помощью ping-запросов на компьютер «жертвы» с меньшим каналом интернета. HTTP-флуд применяется для серверов, отправляется HTTP-пакет, на который сервер шлет ответные пакеты, превышающие размеры, за счет чего пропускные способности сервера снижаются. -
ICMP-флуд – атака с помощью ICMP-пакета, который через усиливающую сеть способен вывести из строя любой компьютер, сервер, если размер сети насчитывает большое количество компьютеров. -
UDP-флуд – аналог ICMP-атаки, только в этом случае используется UDP-пакет и создаются echo-запросы на седьмой порт жертвы. За счет атаки возникает насыщение полосы пропускания.
-
-
Проблемы системы квотирования – если на сервере плохо настроено квотирование, то можно получить доступ к CGI и задействовать скрипт, который будет использовать большое количество ресурсов компьютерной системы. -
Ошибки программирования – если в программном коде есть ошибки, профессионалы в сфере DoS-атак используют именно их для того, чтобы заставить систему выполнить команду с ошибкой, что приведет к аварийному выключению. -
Атаки на DNS-сервера – вид атаки, который использует множество компьютеров-зомби и путем захвата системных ресурсов или насыщения полосы выводит из строя обработчик доменного имени на IP адрес. Это делает страницу в интернете недоступной для пользователей.
Защита от DoS-атак
Наличие DoS-атаки невозможно не заметить по нагрузке на сервер и сопутствующим проблемам и сбоям. Но нужно знать хотя бы основные приемы по защите от подобных атак:
-
Для защиты от HTTP-флуда увеличивается количество одновременных подключений. Делается это с помощью установки производительного веб-сервера Nginx, кеширующего запросы. -
ICMP-флуд можно предотвратить, отключив на компьютерной системе ответы на запросы ICMP ECHO. -
Если ограничить количество соединений к DNS-серверу и отключить от внешнего выхода UDP-сервисы, можно избежать атаки с UDP-флудом. -
Если отключить очередь «полуоткрытых» портов TCP-соединений, можно защитить систему от SYN-флуда.
Существуют также универсальные способы защиты от разного рода DoS-атак.
- Включать и настраивать брандмауэр для сетевых сервисов;
- Использовать сервисы защиты от данных атак;
- Увеличивать ресурсы системы, сервера.
Что такое DDoS-атака. Защита от Ddos атаки. Профессиональный хостинг Hostland
Если Ваш сайт подвергся DDos атаке, то Вам нужен хостинг, который сможет Вам обеспечить защиту от DDos атаки. Свяжитесь с нами, мы сможем Вам помочь
Что такое DDoS-атака.
DDoS-атака (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — атака на систему с целью вывести ее из строя, другими словами, создание условий, при которых пользователи не могут получить доступ к сервисам, которые им необходимы. Ярким примером этого является вывод из строя сайта, который еще вчера радовал Вас своей стабильностью и быстродействием.
Резкий прирост трафика.
Некоторые пользователи иногда путают DDos атаку с резким приростом трафика на сайт (увеличение посещаемости), вызванный будь то продвижением сайта в поисковых системах, или указание ссылки на сайт на каком либо очень высоко посещаемом ресурсе.
Прирост трафика (увеличение посещаемости) означает то, что Ваш сайт посещают «настоящие» пользователи, которые заходят на Ваш сайт целеноправленно, которые заинтересованы в Ваших товарах или услугах (или в информации представленной на сайте). В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера остается неизменным, обычно это соотношение 1/4, т.е. на один мегабайт входящего на сервер трафика, есть четыре мегабайта исходящего трафика с сервера.
Если при приросте посещаемости Ваш сайт начинает работать медленно Вам нужно обратить внимание на несколько вещей:
а) скорость работы Вашего программного обеспечения, т.е. Ваш технический специалист должен найти узкое место в ПО Вашего сайта, и устранить его.
б) скорость работы сервера, на котором размещен Ваш сайт, иногда некоторые т.н. «хостинг провайдеры» размещают сайты не на высоко производительных серверах, а на машинах уровня «desk top», что рано или поздно приведет к проблеме доступности сайта, при более или менее значительном увеличении посещаемости сайта.
DDoS атака.
DDos атака в своем настоящем проявлении — это непрерывные обращения к сайту со многих компьютеров, расположенных в разных частях мира. В основном это так называемые «зазомбированные» компьютеры обыкновенных пользователей (которые даже не подозревают об этом). Эти компьютеры заражены вирусами, которые управляются злоумышленником централизованно. Именно эти компьютеры и рассылают спам, участвуют в DDos атаках, именно с этих компьютеров злоумышленники воруют персональную информацию. В интернет существует целая индустрия («подпольная» индустрия), над этим работают целые команды программистов, которые ищут уязвимости в операционных системах, что бы использовать их в своих целях.
В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера резко меняется: размер входящего трафика на канале резко увеличивается и, порой, достигает максимального значения пропускной способности канала, при этом исходящий трафик с сервера становится мизерным, потому как входящие соединения буквально «забивают» канал своими запросами.
В наших суровых реалиях, данный способ выведения сайта из строя, стал очень распространен, в связи с острой конкуренцией между сайтами в так называемом «ТОПе» поисковых систем Yandex, Google, Rambler. Ведь если вывести из строя сайт, то он будет исключен поисковой системой из выдачи, и его место станет вакантным. Так же эти методы используют люди, которые готовы заплатить деньги, за то, что бы какой либо сайт перестал функционировать (личная неприязнь у злоумышленника к администратору сайта и т.д.)
Для эффективной борьбы с DDos атакой необходимо произвести ряд превентивных мер, произвести специальную настройку программного и сетевого аппаратного обеспечения, установленного на высокопроизводительном сервере. И конечно пользователю необходимо изложить всю необходимую информацию хостинг-провайдеру, когда началась DDos атака, были ли случаи шантажа, есть ли прецеденты по DDos атаке других сайтов смежной тематики и т.д. Только в этом случае возможно быстро и эффективно «отбить» DDos атаку.
Объяснение
DDoS: как развиваются распределенные атаки типа «отказ в обслуживании»
Что такое DDoS-атака?
Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление услуги. Этого можно достичь, заблокировав доступ практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже конкретным транзакциям внутри приложений. При DoS-атаке вредоносные данные или запросы отправляет одна система; DDoS-атака исходит из нескольких систем.
Обычно эти атаки работают, забивая систему запросами данных. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он аварийно завершает работу по требованию, или это может быть база данных, пораженная большим объемом запросов. В результате доступная пропускная способность интернета, ресурсы ЦП и ОЗУ становятся перегруженными.
Воздействие может варьироваться от незначительного раздражения от перебоев в работе служб до отключения целых веб-сайтов, приложений или даже всего бизнеса.
Видео по теме: Ранние предупреждающие признаки DDoS-атаки
3 типа DDoS-атак
Существует три основных класса DDoS-атак:
- Объемные атаки используют огромные объемы фиктивного трафика для перегрузки такого ресурса, как веб-сайт или сервер. К ним относятся атаки ICMP, UDP и флуд-атаки с поддельными пакетами. Размер атаки на основе объема измеряется в битах в секунду (бит / с).
- или DDoS-атаки на сетевом уровне отправляют большое количество пакетов в целевую сетевую инфраструктуру и инструменты управления инфраструктурой.Эти атаки протокола включают, среди прочего, SYN-флуд и Smurf DDoS, и их размер измеряется в пакетах в секунду (PPS).
- Атаки на уровне приложений проводятся путем переполнения приложений вредоносными запросами. Размер атак на уровне приложений измеряется запросами в секунду (RPS).
Протокол
Для каждого типа атаки цель всегда одна: сделать онлайн-ресурсы вялыми или полностью зависшими.
Симптомы DDoS-атаки
DDoS-атаки могут выглядеть как многие из не вредоносных вещей, которые могут вызвать проблемы с доступностью, например, отказавший сервер или система, слишком много законных запросов от законных пользователей или даже перерезанный кабель.Часто требуется анализ трафика, чтобы точно определить, что именно происходит.
График DDoS-атаки
Это была атака, которая навсегда изменила взгляд на атаки типа «отказ в обслуживании». В начале 2000 года канадский ученик средней школы Майкл Кальс, также известный как MafiaBoy, взломал Yahoo! с помощью распределенной атаки типа «отказ в обслуживании» (DDoS), в результате которой удалось остановить один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицелился и успешно взломал другие такие сайты, как Amazon, CNN и eBay.
Конечно, это не первая DDoS-атака, но эта широко известная и успешная серия атак навсегда превратили атаки типа «отказ в обслуживании» из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах руководителей по информационным технологиям и ИТ-директорам.
С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, как средство онлайн-активности и даже для ведения кибервойны.
Они тоже стали больше с годами.В середине 1990-х атака могла состоять из 150 запросов в секунду — и этого было бы достаточно, чтобы вывести из строя многие системы. Сегодня они могут превышать 1000 Гбит / с. Это во многом было вызвано огромным размером современных ботнетов.
В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял под волной DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры.На пике популярности Mirai достигла 400 000 ботов. Сервисы, включая Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, были остановлены.
В начале 2018 года начал появляться новый метод DDoS. 28 февраля служба хостинга контроля версий GitHub подверглась массированной атаке отказа в обслуживании, при которой на популярный сайт приходилось 1,35 ТБ трафика в секунду. Хотя GitHub отключался от сети лишь периодически и ему удалось полностью отбить атаку менее чем через 20 минут, сам масштаб атаки вызывал беспокойство, так как она опередила атаку Dyn, пик которой достиг 1.2 ТБ в секунду.
Анализ технологии, использованной для атаки, показал, что в некоторых отношениях она была проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч устройств IoT, атака GitHub использовала серверы с системой кэширования памяти Memcached, которая может возвращать очень большие блоки данных в ответ на простые запросы.
Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, не имеет достаточной защиты, чтобы предотвратить подмену IP-адресов злоумышленниками и отправку огромных объемов данных ничего не подозревающим жертвам.К сожалению, тысячи серверов Memcached находятся в открытом Интернете, и наблюдается огромный рост их использования в DDoS-атаках. Сказать, что серверы «взломаны», не совсем справедливо, поскольку они с радостью отправят пакеты, куда бы им ни сказали, не задавая вопросов.
Спустя всего несколько дней после атаки GitHub еще одна DDoS-атака на основе Memecached обрушилась на американского поставщика услуг с объемом данных 1,7 ТБ в секунду.
Видео по теме: DDoS-атака Dyn через год
Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он задействовал уязвимые устройства Интернета вещей, а не ПК и серверы. Это особенно страшно, если учесть, что к 2020 году, согласно данным BI Intelligence, будет 34 миллиарда подключенных к Интернету устройств, а большинство (24 миллиарда) будут устройствами Интернета вещей.
К сожалению, Mirai не будет последним ботнетом на базе Интернета вещей. Расследование, проведенное группами безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru, выявило ботнет аналогичного размера, получивший название WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Проведение расследования послужило поводом для серии крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.
21 июня 2020 года Akamai сообщила, что смягчила DDoS-атаку на крупный европейский банк, пиковая скорость которой достигла 809 миллионов пакетов в секунду (Mpps), что является самым большим объемом пакетов за всю историю.Эта атака была разработана, чтобы перегрузить сетевое оборудование и приложения в центре обработки данных цели, отправив миллиарды небольших (29 байт, включая заголовок IPv4) пакетов.
Исследователи Akamai заявили, что эта атака была уникальной из-за большого количества используемых исходных IP-адресов. «Количество исходных IP-адресов, которые регистрировали трафик к месту назначения клиента, значительно увеличилось во время атаки, что указывает на его высокую степень распределенности по своей природе. Мы увидели, что количество исходных IP-адресов в минуту увеличилось в 600 раз по сравнению с тем, что мы обычно наблюдаем для этого клиента. пункт назначения «, — отметили исследователи.
DDoS-атаки сегодня
Несмотря на то, что объем DDoS-атак со временем снизился, они по-прежнему представляют собой серьезную угрозу. Лаборатория Касперского сообщает, что количество DDoS-атак во втором квартале 2019 года увеличилось на 32% по сравнению с третьим кварталом 2018 года, в первую очередь из-за всплеска атак в сентябре. В 2020 году Cloudflare сообщает, что объем DDoS-атак увеличивался каждый квартал, кроме Q4,
По словам Касперского, недавно обнаруженные бот-сети, такие как Torii и DemonBot, способные запускать DDoS-атаки, вызывают беспокойство.Torii способен захватить ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности.
Еще одна тревожная тенденция — появление новых платформ запуска DDoS, таких как 0x-booter. В этом DDos-as-a-service задействовано около 16 000 устройств Интернета вещей, зараженных вредоносным ПО Bushido, разновидностью Mirai.
Отчет о DDoS-атаках от Imperva показал, что большинство DDoS-атак в 2019 году были относительно небольшими.Например, атаки на сетевом уровне обычно не превышали 50 миллионов пакетов в секунду. Авторы отчета связали это с услугами DDoS-наемников, которые предлагают неограниченные, но небольшие атаки. Imperva действительно наблюдала несколько очень крупных атак в 2019 году, включая атаку сетевого уровня, которая достигла 580 миллионов запросов в секунду, и атаку уровня приложений, которая достигла пика в 292000 запросов в секунду и длилась 13 дней.
Эта тенденция изменилась в четвертом квартале 2020 года, когда Cloudflare сообщила о «массовом росте» числа атак со скоростью более 500 Мбит / с и 50 000 пакетов в секунду.Эти нападения также стали более постоянными: с октября по декабрь наблюдалось почти 9% атак, которые продолжались более 24 часов.
Cloudflare также наблюдала то, что она назвала «разрушительной тенденцией» в увеличении числа атак RDDoS в 2020 году, когда организации получают угрозу DDoS-атаки, которая нарушит их работу, если не будет выплачен выкуп. Злоумышленники, как правило, нацелены на жертв, которые менее способны отреагировать и оправиться от такой атаки.
Инструменты DDoS-атаки
Как правило, DDoS-атакующие используют ботнеты — совокупности сети зараженных вредоносным ПО систем, которые контролируются централизованно.Этими зараженными конечными точками обычно являются компьютеры и серверы, но все чаще это Интернет вещей и мобильные устройства. Злоумышленники будут использовать эти системы, идентифицируя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники арендуют эти бот-сети у тех, кто их построил.
Как развиваются DDoS-атаки
Как вкратце упоминалось выше, все чаще такие атаки проводятся арендованными ботнетами.Ожидайте, что эта тенденция сохранится.
Еще одна тенденция — использование нескольких векторов атаки в рамках атаки, также известной как APDoS с расширенным постоянным отказом в обслуживании. Например, атака APDoS может включать в себя уровень приложений, например атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого« наводнения », — говорит Чак Макки, управляющий директор по успеху партнеров в Binary Defense.
Кроме того, объясняет Макки, злоумышленники часто атакуют не только своих жертв, но и организации, от которых они зависят, например интернет-провайдеров и поставщиков облачных услуг.«Это широкомасштабные, высокоэффективные и хорошо скоординированные атаки», — говорит он.
Это также меняет влияние DDoS-атак на организации и увеличивает их риск. «Бизнесы больше не озабочены DDoS-атаками на себя, а атаками на огромное количество деловых партнеров, поставщиков и поставщиков, на которых они полагаются», — говорит Майк Оверли, юрист по кибербезопасности в Foley & Lardner LLP. «Одна из старейших пословиц в сфере безопасности заключается в том, что безопасность бизнеса зависит от его самого слабого звена.В сегодняшних условиях (о чем свидетельствуют недавние взломы) этим самым слабым звеном может быть и часто оказывается одна из третьих сторон », — говорит он.
Конечно, по мере того, как преступники совершенствуют свои DDoS-атаки, технологии и тактика не будут стоять на месте. Как объясняет Род Сото, директор по исследованиям безопасности в JASK, добавление новых устройств Интернета вещей, развитие машинного обучения и искусственного интеллекта сыграют свою роль в изменении этих атак. «Злоумышленники в конечном итоге интегрируют эти технологии и в атаки, что затрудняет защиту защитников от DDoS-атак, особенно тех, которые не могут быть остановлены простыми ACL-списками или сигнатурами.Технологии защиты от DDoS-атак также должны будут развиваться в этом направлении », — говорит Сото.
Примечание редактора: эта статья, впервые опубликованная в сентябре 2017 года, была обновлена с учетом текущих данных Cloudflare.
Подробнее о DDoS-атаках:
Copyright © 2021 IDG Communications, Inc.
Что такое DDoS-атака? Объяснение распределенных атак типа «отказ в обслуживании»
Что такое DDoS-атака?
При распределенной атаке типа «отказ в обслуживании» (DDoS) несколько скомпрометированных компьютерных систем атакуют цель и вызывают отказ в обслуживании для пользователей целевого ресурса.Целью может быть сервер, веб-сайт или другой сетевой ресурс. Поток входящих сообщений, запросов на соединение или искаженных пакетов в целевую систему заставляет ее замедляться или даже аварийно завершаться, тем самым отказывая в обслуживании законным пользователям или системам.
Многие типы злоумышленников, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений, проводят DDoS-атаки. В определенных ситуациях — часто связанных с плохим кодированием, отсутствующими исправлениями или нестабильными системами — даже законные, несогласованные запросы к целевым системам могут выглядеть как DDoS-атака, если это просто случайные потери производительности системы.
Как работают DDoS-атаки?
В типичной DDoS-атаке злоумышленник использует уязвимость в одной компьютерной системе, делая ее мастером DDoS-атак. Мастер-система атаки идентифицирует другие уязвимые системы и получает контроль над ними, заражая их вредоносным ПО или обходя средства аутентификации с помощью таких методов, как угадывание пароля по умолчанию в широко используемой системе или устройстве.
Компьютер или сетевое устройство, находящееся под контролем злоумышленника, называется зомби или ботом .Злоумышленник создает так называемый командно-управляющий сервер для управления сетью ботов, также называемый ботнетом . Лицо, контролирующее ботнет, называется ботмастером . Этот термин также использовался для обозначения первой системы, задействованной в ботнете, поскольку он используется для контроля распространения и активности других систем в ботнете.
Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными.Их размер может не иметь верхнего предела. После сборки ботнета злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, для наводнения целевого домена и отключения его.
Целью DDoS-атаки не всегда является единственная жертва, поскольку DDoS-атаки затрагивают многие устройства. Устройства, используемые для маршрутизации вредоносного трафика к цели, также могут страдать от снижения качества обслуживания, даже если они не являются основной целью.
Ботнеты являются ключевым инструментом в DDoS-атаках на основе Интернета вещей, но они также могут использоваться для других злонамеренных действий.
Типы DDoS-атак
Существует три основных типа DDoS-атак:
- Сетецентрические или объемные атаки. Они перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Примером этого типа атаки является атака с усилением системы доменных имен, которая делает запросы к DNS-серверу, используя адрес Интернет-протокола (IP) цели. Затем сервер заваливает цель ответами.
- Протокол атаки. Эти целевые протоколы сетевого или транспортного уровня используют недостатки в протоколах для перегрузки целевых ресурсов. Атака SYN-лавинной рассылки, например, отправляет на целевые IP-адреса большое количество пакетов «запроса начального соединения» с использованием поддельных исходных IP-адресов. Это затягивает рукопожатие протокола управления передачей, которое никогда не может завершиться из-за постоянного притока запросов.
- Уровень приложения . Здесь службы приложений или базы данных перегружаются из-за большого количества вызовов приложений.Избыток пакетов вызывает отказ в обслуживании. Одним из примеров этого является флуд-атака по протоколу передачи гипертекста (HTTP), которая эквивалентна многократному одновременному обновлению множества веб-страниц.
Интернет вещей и DDoS-атаки
Устройства, составляющие Интернет вещей (IoT), могут быть полезны для законных пользователей, но в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства со встроенными вычислительными и сетевыми возможностями, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.
устройства, подключенные к Интернету вещей, открывают большие поверхности для атак и часто уделяют минимальное внимание передовым методам обеспечения безопасности. Например, устройства часто поставляются с жестко запрограммированными учетными данными для проверки подлинности для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения, что еще больше подвергает их атакам с использованием хорошо известных уязвимостей.
Ботнеты Интернета вещей все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn; объем атак составил более 600 гигабит в секунду. Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика со скоростью более 1 терабит в секунду. Многие ботнеты Интернета вещей, начиная с Mirai, используют элементы своего кода. Ботнет dark_nexus IoT — один из примеров.
Выявление DDoS-атак
DDoS-атаки по сути вызывают проблемы с доступностью.Проблемы с доступностью и обслуживанием — нормальное явление в сети. Важно уметь различать эти стандартные операционные проблемы и DDoS-атаки.
Иногда DDoS-атака может выглядеть обыденной, поэтому важно знать, на что обращать внимание. Подробный анализ трафика необходим, чтобы сначала определить, имеет ли место атака, а затем определить метод атаки.
Примеры поведения сети и сервера, которые могут указывать на DDoS-атаку, перечислены ниже.Одно из этих поведений или их сочетание должно вызывать беспокойство:
- Один или несколько определенных IP-адресов отправляют много последовательных запросов в течение короткого периода.
- Рост трафика исходит от пользователей со схожими поведенческими характеристиками. Например, если большой объем трафика исходит от пользователей схожих устройств, одного географического местоположения или одного и того же браузера.
- Время ожидания сервера при попытке протестировать его с помощью службы проверки связи.
- Сервер отвечает сообщением об ошибке HTTP 503, что означает, что сервер либо перегружен, либо отключен для обслуживания.
- Журналы показывают сильный и постоянный скачок пропускной способности. Пропускная способность должна оставаться даже для нормально работающего сервера.
- Журналы показывают скачки трафика в необычное время или в обычной последовательности.
- Журналы показывают необычно большие всплески трафика на одну конечную точку или веб-страницу.
Эти поведения также могут помочь определить тип атаки. Если они находятся на уровне протокола или сети — например, ошибка 503 — это, скорее всего, атака на основе протокола или сетевая атака.Если поведение проявляется как трафик к приложению или веб-странице, это может быть более признаком атаки на уровне приложения.
В большинстве случаев человек не может отследить все переменные, необходимые для определения типа атаки, поэтому для автоматизации процесса необходимо использовать инструменты анализа сети и приложений.
Признаки распределенной атаки отказа в обслуживании аналогичны признакам атаки отказа в обслуживании.
Защита и предотвращение DDoS-атак
DDoS-атаки могут создавать серьезные бизнес-риски с долгосрочными последствиями.Поэтому важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.
Когда они начнутся, остановить эти атаки практически невозможно. Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации. Сюда входит выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с DoS, и использование средств контроля сетевой безопасности, включая услуги от поставщиков облачных услуг, специализирующихся на реагировании на DDoS-атаки.
Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки через Интернет.
Примеры DDoS-атак
Помимо DDoS-атак на основе Интернета вещей, упомянутых ранее, к другим недавним DDoS-атакам относятся следующие:
Хотя DDoS-атаки относительно дешевы и просты в реализации, они сильно различаются по сложности и могут серьезно повлиять на предприятия или организации, на которые они направлены.Узнайте, как компании могут предотвратить эти атаки , купив услугу у интернет-провайдера, используя сеть доставки контента и развернув внутреннюю систему предотвращения вторжений.
Общие сведения об атаках типа «отказ в обслуживании» | CISA
Атаки типа «отказ в обслуживании» затрагивают не только веб-сайты, но и отдельные домашние пользователи тоже могут стать их жертвами. Атаки типа «отказ в обслуживании» сложно отличить от обычной сетевой активности, но есть некоторые признаки того, что атака уже началась.
Что такое атака отказа в обслуживании?
Атака типа «отказ в обслуживании» (DoS) происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злонамеренного субъекта киберугроз. Затронутые службы могут включать электронную почту, веб-сайты, онлайн-аккаунты (например, банковские) или другие службы, которые зависят от затронутого компьютера или сети. Условие отказа в обслуживании достигается за счет наводнения целевого хоста или сети трафиком до тех пор, пока целевой объект не сможет ответить или просто не выйдет из строя, предотвращая доступ для законных пользователей.DoS-атаки могут стоить организации как времени, так и денег, в то время как их ресурсы и услуги недоступны.
Какие распространенные атаки типа «отказ в обслуживании»?
Существует множество различных методов проведения DoS-атаки. Наиболее распространенный метод атаки возникает, когда злоумышленник наводняет сетевой сервер трафиком. В этом типе DoS-атаки злоумышленник отправляет несколько запросов на целевой сервер, перегружая его трафиком. Эти служебные запросы являются незаконными и имеют сфабрикованные обратные адреса, которые вводят сервер в заблуждение, когда он пытается аутентифицировать отправителя запроса.Поскольку нежелательные запросы обрабатываются постоянно, сервер перегружен, что вызывает состояние DoS для законных запрашивающих.
- В атаке Smurf Attack злоумышленник отправляет широковещательные пакеты протокола управляющих сообщений Интернета на несколько узлов с поддельным исходным IP-адресом, принадлежащим целевой машине. Получатели этих поддельных пакетов затем ответят, и целевой хост будет завален этими ответами.
- SYN-флуд происходит, когда злоумышленник отправляет запрос на подключение к целевому серверу, но не завершает соединение с помощью так называемого трехстороннего рукопожатия — метода, используемого в сети протокола управления передачей (TCP) / IP. для создания соединения между локальным хостом / клиентом и сервером.Неполное рукопожатие оставляет подключенный порт в состоянии занятости и недоступен для дальнейших запросов. Злоумышленник будет продолжать отправлять запросы, насыщая все открытые порты, так что легитимные пользователи не могут подключиться.
Отдельные сети могут быть затронуты DoS-атаками без прямого нападения. Если сетевой провайдер интернет-услуг (ISP) или поставщик облачных услуг подвергся нападению и атаке, сеть также потеряет обслуживание.
Что такое распределенная атака отказа в обслуживании?
Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько машин работают вместе, чтобы атаковать одну цель.Злоумышленники DDoS часто используют ботнет — группу захваченных устройств, подключенных к Интернету, для проведения крупномасштабных атак. Злоумышленники используют уязвимости системы безопасности или слабые места устройства для управления многочисленными устройствами с помощью программного обеспечения для управления и контроля. Получив контроль, злоумышленник может дать команду своему ботнету провести DDoS-атаки на цель. В этом случае зараженные устройства также становятся жертвами атаки.
Бот-сети, состоящие из взломанных устройств, также могут быть сданы в аренду другим потенциальным злоумышленникам.Часто ботнет становится доступным для служб «атаки по найму», которые позволяют неквалифицированным пользователям запускать DDoS-атаки.
DDoS позволяет отправлять на цель экспоненциально больше запросов, что увеличивает мощность атаки. Это также увеличивает сложность атрибуции, поскольку истинный источник атаки труднее определить.
Количество атак
DDoS увеличилось, поскольку все больше и больше устройств подключаются к сети через Интернет вещей (IoT) (см. Защита Интернета вещей).Устройства IoT часто используют пароли по умолчанию и не имеют надежных положений безопасности, что делает их уязвимыми для взлома и эксплуатации. Заражение устройств Интернета вещей часто остается незамеченным пользователями, и злоумышленник может легко взломать сотни тысяч этих устройств для проведения крупномасштабной атаки без ведома владельцев устройств.
Как избежать участия в проблеме?
Несмотря на то, что невозможно полностью избежать того, чтобы стать целью DoS- или DDoS-атаки, администраторы могут предпринять упреждающие меры, чтобы уменьшить влияние атаки на свою сеть.
- Зарегистрируйтесь в службе защиты от DoS, которая обнаруживает ненормальные потоки трафика и перенаправляет трафик из вашей сети. Трафик DoS фильтруется, и чистый трафик передается в вашу сеть.
- Создайте план аварийного восстановления, чтобы обеспечить успешную и эффективную связь, смягчение последствий и восстановление в случае атаки.
Также важно принять меры по усилению безопасности всех ваших подключенных к Интернету устройств, чтобы предотвратить их взлом.
- Установите и обслуживайте антивирусное программное обеспечение.
- Установите брандмауэр и настройте его, чтобы ограничить входящий и исходящий трафик на ваш компьютер (см. Общие сведения о брандмауэрах для домашнего и малого офиса).
- Оцените настройки безопасности и следуйте передовым методам обеспечения безопасности, чтобы минимизировать доступ других людей к вашей информации, а также управлять нежелательным трафиком (см. Хорошие навыки безопасности).
Как узнать о нападении?
Симптомы DoS-атаки могут напоминать непреднамеренные проблемы доступности, такие как технические проблемы с конкретной сетью или системным администратором, выполняющим обслуживание.Однако следующие симптомы могут указывать на DoS- или DDoS-атаку:
- Необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам),
- Недоступность определенного веб-сайта, или
- Отсутствие доступа к любому веб-сайту.
Лучший способ обнаружить и идентифицировать DoS-атаку — это мониторинг и анализ сетевого трафика. Сетевой трафик можно отслеживать с помощью брандмауэра или системы обнаружения вторжений. Администратор может даже установить правила, которые создают предупреждение при обнаружении аномальной нагрузки трафика и идентифицируют источник трафика или отбрасывают сетевые пакеты, которые соответствуют определенным критериям.
Что делать, если вы думаете, что испытываете приступ?
Если вы считаете, что вы или ваш бизнес подвергаетесь DoS- или DDoS-атаке, важно обратиться за помощью к соответствующим техническим специалистам.
- Обратитесь к сетевому администратору, чтобы узнать, связано ли отключение обслуживания с техническим обслуживанием или внутренней проблемой сети. Сетевые администраторы также могут отслеживать сетевой трафик, чтобы подтвердить наличие атаки, идентифицировать источник и смягчить ситуацию, применяя правила брандмауэра и, возможно, перенаправляя трафик через службу защиты от DoS.
- Обратитесь к своему интернет-провайдеру, чтобы узнать, есть ли сбой на его стороне или даже если его сеть является целью атаки, а вы — косвенная жертва. Они могут посоветовать вам подходящий курс действий.
В случае атаки не упускайте из виду другие хосты, ресурсы или службы, находящиеся в вашей сети. Многие злоумышленники проводят DoS- или DDoS-атаки, чтобы отвлечь внимание от намеченной цели и использовать возможность для вторичных атак на другие службы в вашей сети.
Что такое DDoS-атаки (распределенные атаки типа «отказ в обслуживании»)?
Что такое распределенные атаки типа «отказ в обслуживании»?
DDoS-атаки (распределенные атаки типа «отказ в обслуживании») — это метод нарушения работы веб-сайта и сети. Однако это всего лишь часть ландшафта угроз. Интернет-бизнес и центр обработки данных должны быть защищены от всех этих угроз, а не только от широко разрекламированных DDoS-атак.
Сетевой уровень может быть атакован массовыми атаками лавинной рассылки, сканированием сети и вторжениями, которые потребляют сетевые ресурсы, что делает информацию недоступной для законных пользователей.
Уровень сервера может быть нарушен сканированием портов, инструментами DoS-атак и другими атаками, которые неправильно используют ресурсы сервера.
Наконец, уровень приложений уязвим для широкого спектра атак, которые используют бреши в безопасности приложений, потребляют ресурсы или выполняют вредоносные команды.
Решение DefensePro, разработанное
Radware для защиты и предотвращения DDoS-атак, помогает защититься от всех этих атак, а также от известных DDoS-атак, предотвращая утечки данных, веб-вандализм и отключение служб.
Что происходит во время DDoS-атаки?
Во время распределенных атак типа «отказ в обслуживании» на любом из вышеупомянутых уровней предпринимается попытка помешать законным посетителям получить доступ к данным, обычно доступным на веб-сайте, получить доступ к личным данным, совершить вандализм на сайте или полностью отключить службу. Это может случиться с сайтами и предприятиями в любой отрасли — от финансовых услуг, таких как банки, до электронной коммерции или B2B.
Во время атаки злоумышленники могут наводнить сеть запросами и информацией.Флуд может быть выполнен специальной группой злоумышленников, добровольно использующих свои собственные машины — например, при распределенных атаках отказа в обслуживании со стороны группы «хактивистов» или другой организованной организации — или они могут захватить машины, чтобы использовать их для атаки. Они также могут сканировать приложения и серверы на предмет возможных эксплойтов или пытаться принудительно получить доступ к конфиденциальным данным.
Мотивы атаки могут быть разными — от «хактивизма» до преступного умысла — и методы могут измениться. Надежный пакет безопасности необходим, чтобы гарантировать, что ваши сети и сайты защищены от последних достижений в этом постоянно развивающемся ландшафте.Radware DefensePro защищает ваши активы от злоумышленников и хакеров с помощью быстрых обновлений и ответов на новые методы атак.
Как распознать DDoS-атаки?
Симптомы DDoS-атак просты — атакованная сеть будет работать медленно, а серверы начнут отказывать. Доступ к сети будет минимальным и лаговым. Атака — не единственная проблема, которая может снизить производительность сети или привести к сбою сервера, но это распространенная проблема.
Распределенные атаки типа «отказ в обслуживании» часто используют один и тот же тип запроса или трафика снова и снова на протяжении всей атаки, что может помочь определить, имеет ли место атака.Необычно большое количество запросов от определенного типа пакета — например, ICMP — является хорошим признаком того, что в настоящее время проводятся распределенные атаки типа «отказ в обслуживании».
Решения
для обеспечения безопасности, такие как DefensePro и брандмауэр веб-приложений Radware, AppWall, мы можем помочь администраторам идентифицировать этот трафик. Во многих случаях эти решения безопасности могут выявлять необычные запросы, которые часто отмечают DDoS-атаки, и помогают реализовать стратегии предотвращения DDoS-атак до того, как будет нанесен ущерб.
Другие распределенные атаки типа «отказ в обслуживании» могут быть сложнее диагностировать или выявить другие симптомы.Вот почему необходимо комплексное решение безопасности.
Как предотвратить распределенные атаки типа «отказ в обслуживании» и другие атаки?
Продукты
Radware для обеспечения безопасности приложений и сетевой безопасности помогают администраторам предотвращать потенциальный распределенный трафик отказа в обслуживании до того, как он может нанести ущерб. Используя запатентованные технологии, брандмауэры приложений и продукты безопасности веб-приложений от Radware выявляют и блокируют подозрительный трафик. Администраторы имеют полное представление об этом процессе, поэтому они могут оценить потенциальные угрозы и их источники.Служба защиты от атак Radware включает защиту на всех уровнях:
Распределенная защита от отказа в обслуживании:
Наши модули защищают от широкого спектра атак флуда, включая атаки UDP, TCP, ICMP, IGMP и SYN flood.
НБА:
Сложный модуль анализа сетевого поведения помогает предотвратить неправильное использование ресурсов, которое может указывать на атаку переполнения страниц HTTP, атаку DNS, атаки методом грубой силы и распространение вредоносных программ.
IPS:
Система предотвращения вторжений защищает вашу систему от уязвимостей и эксплойтов приложений и ОС, в том числе троянов, червей, ботов, шпионского ПО и других атак.
Двигатель репутации:
Защитите свои активы от финансовых атак, таких как фишинговые кампании и т. Д.
WAF:
Наконец, модуль WAF защищает от внедрения SQL, XSS, подделки межсайтовых запросов и отравления файлов cookie.
Изучите свои решения по защите от DDoS-атак с помощью Radware сегодня, чтобы защитить свои услуги.
Объяснение
атак типа «отказ в обслуживании» (DDoS)
Типы DoS-атак
С годами атаки типа «отказ в обслуживании» эволюционировали и стали охватывать ряд векторов и механизмов атак.
Распределенный отказ в обслуживании (DDoS)
Первоначально в ходе DoS-атак одна система атаковала другую. Хотя сегодня DoS-атака может быть проведена аналогичным образом, в большинстве современных DoS-атак задействовано несколько систем (даже до сотен тысяч), находящихся под контролем злоумышленника, и все они одновременно атакуют цель. Такая координация атакующих систем называется «распределенным отказом в обслуживании» (DDoS) и часто является механизмом выбора при проведении других типов атак, перечисленных ниже.Существуют даже услуги «stresser» (также известные как «booter»), якобы наемные для тестирования собственных систем, которые можно легко использовать для DDoS-атак на ничего не подозревающую цель.
Сетевой отказ в обслуживании
Именуется «атакой с использованием полосы пропускания», злоумышленник попытается использовать всю доступную полосу пропускания сети («лавинная рассылка»), чтобы законный трафик больше не мог проходить в / из целевых систем. Кроме того, злоумышленники могут использовать «отказ в обслуживании с распределенным отражением» (DRDoS), чтобы обмануть другие, ничего не подозревающие системы, помочь в атаке путем наводнения цели сетевым трафиком.Во время этой атаки законным пользователям и системам отказывают в доступе, который они обычно имеют к другим системам атакуемой сети. Вариант этой атаки с аналогичными результатами включает изменение (или отключение) самой сети путем нацеливания на устройства сетевой инфраструктуры (например, коммутаторы, маршрутизаторы, точки беспроводного доступа и т. Д.), Чтобы они больше не позволяли сетевому трафику проходить в / от целевых систем, как обычно, что приводит к аналогичным результатам отказа в обслуживании без необходимости лавинной рассылки.
Отказ в обслуживании, ориентированный на систему
Эти атаки направлены на подрыв удобства использования целевых систем.Истощение ресурсов — это распространенный вектор атаки, когда ограниченные системные ресурсы (например, память, ЦП, дисковое пространство) намеренно «используются» злоумышленником, чтобы помешать нормальной работе цели. Например, SYN-лавинная атака — это атака, нацеленная на систему, которая использует все доступные входящие сетевые соединения на цели, не позволяя легитимным пользователям и системам создавать новые сетевые соединения. Результаты системной атаки могут варьироваться от незначительного сбоя или замедления до полного сбоя системы.Хотя это не является обычным явлением, постоянная атака отказа в обслуживании (PDoS) может даже повредить цель до такой степени, что ее необходимо физически отремонтировать или заменить.
Отказ в обслуживании, ориентированный на приложения
Ориентация на приложение — популярный вектор DoS-атак. Некоторые из этих атак используют существующее обычное поведение приложения для создания ситуации отказа в обслуживании. Примеры этого включают в себя блокировку пользователей их учетных записей или выполнение запросов, которые нагружают неотъемлемый компонент приложения (например, центральную базу данных) до такой степени, что другие пользователи не могут получить доступ или использовать приложение по назначению или ожиданиям.Другие атаки, нацеленные на приложения, основываются на уязвимостях в приложении, таких как запуск состояния ошибки, приводящей к сбою приложения, или использование эксплойта, который облегчает прямой доступ к системе для дальнейшего усиления DoS-атаки.
Как подавить DoS-атаки
Следующие предложения могут помочь уменьшить поверхность атаки организации и уменьшить потенциальный ущерб от DoS-атаки:
Изучите архитектуру и реализацию приложения : не позволяйте действиям пользователя истощать ресурсы системы, не позволяйте действиям пользователя чрезмерно расходовать компоненты приложения и обязательно ищите доступные в Интернете ресурсы с лучшими практиками предложения.
Монитор и оповещение:
- Сетевой трафик для предупреждения о неожиданном увеличении сетевого трафика / нагрузки может повысить осведомленность о сетевых атаках DoS. Дополнительную информацию может дать анализ происхождения и типа трафика.
- Работоспособность и скорость отклика системы с частыми проверками работоспособности каждой системы и ее быстродействием для выявления DoS-атак, направленных на систему.
- Работоспособность и скорость отклика приложения с частыми проверками работоспособности компонентов приложения и их способности выполнять запланированную «задачу» в ожидаемые сроки.Это может помочь отловить DoS-атаки, нацеленные на приложения.
Многие провайдеры (как облачные, так и центры обработки данных) уже имеют решения для мониторинга, которые они могут предложить. Обратитесь к своему провайдеру и подумайте, подходят ли их решения для мониторинга и оповещения для ваших нужд.
Имейте план (и возможности) смягчения. : Различные типы атак требуют разных возможностей и стратегий для смягчения. Атаки типа «отказ в обслуживании» представляют собой достаточно серьезную проблему, и многие провайдеры теперь предлагают механизмы и стратегии смягчения последствий.Подумайте, подходят ли вам те, которые предлагает ваш поставщик.
Несмотря на то, что атаки типа «отказ в обслуживании» остаются постоянной угрозой, их влияние можно уменьшить путем тщательного анализа, планирования и мониторинга.
DDoS-атак становятся все более масштабными и мощными, предупреждают исследователи кибербезопасности
В последние месяцы наблюдается рост числа атак распределенного отказа в обслуживании (DDoS), что, по мнению исследователей кибербезопасности, является рекордным числом инцидентов.
Согласно отчету исследователей кибербезопасности в Netscout, в первой половине 2021 года было зарегистрировано 5,4 миллиона DDoS-атак, что на 11% больше, чем за тот же период прошлого года.
DDoS-атака — это грубая, но эффективная форма кибератаки, при которой злоумышленники наводняют сеть или серверы жертвы волной интернет-трафика, который настолько велик, что инфраструктура перегружается из-за количества запросов на доступ, замедляющих работу служб или они полностью отключены и вообще не позволяют законным пользователям получить доступ к сервису.
Часто машины, используемые для запуска DDoS-атак — это может быть все, что подключается к Интернету, от серверов и компьютеров до продуктов Интернета вещей — контролируются злоумышленниками как часть ботнета. Настоящие владельцы устройств вряд ли узнают, что их устройство было похищено таким образом.
SEE: Кибербезопасность: давайте перейдем к тактике (специальная функция ZDNet)
В некоторых случаях DDoS-атаки просто предназначены для того, чтобы вызвать сбой, а те, кто стоит за атаками, просто запускают их, потому что могут.Однако в других случаях также присутствует элемент вымогательства, когда злоумышленники угрожают запустить DDoS-атаку против жертвы, если они не подчинятся требованию оплаты.
Но не только рост числа DDoS-атак делает их разрушительными; Киберпреступники адаптируют новые методы для развития своих атак, чтобы помочь им обойти облачную и локальную защиту.
«Инструменты, лежащие в основе этих атак, со временем стали зрелыми», — сказал ZDNet Хардик Моди, вице-президент Netscout по разработке продуктов, угрозам и предотвращению.
Например, киберпреступники все чаще используют многовекторные DDoS-атаки, которые усиливают атаки, используя множество различных способов для направления трафика к жертве, а это означает, что если трафик с одной стороны будет нарушен или отключен, другие будут продолжать наводнять сеть цели. Во многих случаях злоумышленники специально адаптируют их для использования уязвимостей цели.
Исследователи отмечают, что многовекторные атаки становятся все более разнообразными (вектор — это, по сути, метод или техника, которая используется в атаке, например, отражение DNS или TCP SYN-флуды).В 2020 году самая крупная из этих атак использовала 26 векторов. В первой половине 2021 года было совершено несколько атак с использованием от 27 до 31 различных векторов, плюс злоумышленник может переключаться между ними, чтобы затруднить прерывание атаки.
SEE: Четыре месяца спустя после изощренной кибератаки департамент здравоохранения Аляски все еще восстанавливается.
DDoS-атаки стали более эффективными за последний год благодаря дополнительной зависимости от онлайн-сервисов.Сбои в предоставлении услуг, на которые люди полагаются как в профессиональной, так и в личной жизни, могут иметь значительные последствия.
Тем не менее, в большинстве случаев можно защититься от DDoS-атак, применяя передовые отраслевые практики для поддержания доступности услуг в случае инцидента. Эти методы включают настройку определенных политик доступа к сети, а также регулярное тестирование защиты от DDoS-атак, чтобы подтвердить, что они могут защитить сеть от атак.
ПОДРОБНЕЕ О КИБЕРБЕЗОПАСНОСТИ
Что такое DDoS-атака? Все, что вам нужно знать о распределенных атаках типа «отказ в обслуживании» и способах защиты от них
Что такое DDoS-атака?
При распределенной атаке типа «отказ в обслуживании» (DDoS-атака) злоумышленник наводняет сеть или серверы жертвы такой большой волной интернет-трафика, что их инфраструктура перегружается из-за количества запросов на доступ, что замедляет работу служб. или отключить их полностью и запретить законным пользователям доступ к сервису.
Хотя DDoS-атака является одной из наименее изощренных категорий кибератак, она также потенциально может стать одной из самых разрушительных и мощных, поскольку веб-сайты и цифровые сервисы отключаются на значительные периоды времени, которые могут варьироваться от секунд до даже недели за раз.
Как работает DDoS-атака?
DDoS-атаки осуществляются с использованием сети подключенных к Интернету компьютеров — компьютеров, ноутбуков, серверов, устройств Интернета вещей — и все это контролируется злоумышленником.Они могут быть где угодно (отсюда и термин «распределенные»), и маловероятно, что владельцы устройств понимают, для чего они используются, поскольку они могут быть захвачены хакерами.
Распространенные способы, которыми киберпреступники получают контроль над машинами, включают атаки вредоносного ПО и получение доступа с использованием имени пользователя и пароля по умолчанию, с которыми выдается продукт, — если на устройстве вообще есть пароль.
Как только злоумышленники взломали устройство, оно становится частью ботнета — группы машин под их контролем.Ботнеты могут использоваться для всех видов злонамеренных действий, включая распространение фишинговых писем, вредоносных программ или программ-вымогателей, или, в случае DDoS-атаки, в качестве источника потока интернет-трафика.
SEE: Политика осведомленности о безопасности и обучения (TechRepublic Premium)
Размер ботнета может варьироваться от относительно небольшого количества зомби-устройств до миллионов из них. В любом случае контроллеры ботнета могут направить генерируемый веб-трафик на цель и провести DDoS-атаку.
Серверы, сети и онлайн-сервисы предназначены для того, чтобы справляться с определенным объемом интернет-трафика, но если они затоплены дополнительным трафиком в результате DDoS-атаки, они будут перегружены. Большой объем трафика, отправляемого DDoS-атакой, забивает или снижает возможности систем, а также препятствует доступу законных пользователей к службам (что является элементом «отказа в обслуживании»).
DDoS-атака запускается с намерением отключить сервисы таким образом, хотя онлайн-сервисы также могут быть перегружены регулярным трафиком со стороны не злонамеренных пользователей — например, если сотни тысяч людей пытаются получить доступ сайт для покупки билетов на концерты, как только они поступят в продажу.Однако это обычно только кратковременные, временные и случайные, в то время как DDoS-атаки могут продолжаться в течение длительных периодов времени.
DDoS-атаки могут быть чрезвычайно мощным онлайн-оружием.
Что такое IP-адресатор и как он связан с DDoS-атаками?
IP stresser — это услуга, которую могут использовать организации для проверки устойчивости своих сетей и серверов. Цель этого теста — выяснить, достаточно ли существующей пропускной способности и пропускной способности сети для обработки дополнительного трафика.ИТ-отдел, использующий stresser для тестирования своей собственной сети, является вполне законным приложением IP stresser.
Однако использование IP-адресата против сети, которую вы не используете, является незаконным во многих частях мира, потому что конечным результатом может быть DDoS-атака. Однако есть киберпреступные группы и отдельные лица, которые будут активно использовать IP-адресаты в рамках DDoS-атаки.
Какой была первая DDoS-атака?
То, что многие считают первой вредоносной DDoS-атакой, произошло в июле 1999 года, когда компьютерная сеть в Университете Миннесоты была отключена на два дня.
Сеть из 114 компьютеров, зараженных вредоносным ПО Trin00, направила свой трафик на компьютер в университете, перегружая сеть трафиком и блокируя законное использование. Не было предпринято никаких усилий, чтобы скрыть IP-адреса компьютеров, запускающих трафик, и владельцы атакующих систем не знали, что их компьютеры были заражены вредоносным ПО и вызывали сбой в другом месте.
Trin00, возможно, не был крупным ботнетом, но это первый зарегистрированный инцидент, когда кибер-злоумышленники захватывали машины, которые им не принадлежали, и использовали веб-трафик для нарушения работы сети определенной цели.И за прошедшие два десятилетия DDoS-атаки стали только масштабнее и разрушительнее.
Известные DDoS-атаки: MafiaBoy — февраль 2000 г.
Миру не пришлось долго ждать после инцидента в Университете Миннесоты, чтобы увидеть, насколько разрушительными могут быть DDoS-атаки. К февралю 2000 года 15-летний канадец Майкл Кальс — он-лайн псевдоним MafiaBoy — сумел захватить ряд университетских сетей, подключив большое количество компьютеров к ботнету.
Он использовал это для DDoS-атаки, которая уничтожила некоторые из крупнейших веб-сайтов в начале нового тысячелетия, включая Yahoo! — который в то время был крупнейшей поисковой системой в мире — eBay, Amazon, CNN и другие.
Кальче был арестован и отбыл восемь месяцев в центре по выявлению молодежи после того, как признал себя виновным по предъявленным ему обвинениям. Он также был оштрафован на 1000 канадских долларов (660 долларов США) за проведение атак, которые, по оценкам, причинили ущерб более 1,7 миллиарда долларов, и впоследствии стал аналитиком по компьютерной безопасности.
Известные DDoS-атаки: Эстония — апрель 2007 г.
К середине 2000-х годов стало очевидно, что DDoS-атаки могут быть мощным инструментом в арсенале киберпреступников, но мир вот-вот увидит новый пример того, насколько разрушительны Возможны DDoS-атаки; отключив интернет-сервисы по всей стране.
В апреле 2007 года Эстония была и остается одной из самых продвинутых в цифровом отношении стран в мире, где почти все государственные услуги доступны онлайн для 1,3 миллиона граждан страны через систему онлайн-идентификации.
Но с 27 апреля Эстония подверглась серии DDoS-атак, нарушивших работу всех онлайн-сервисов в стране, а также парламента, банков, министерств, газет и вещательных компаний. Люди не могли получить доступ к услугам, в которых они нуждались ежедневно.
SEE: Политика сетевой безопасности (TechRepublic Premium)
Атаки совершались неоднократно, в том числе в течение особенно интенсивного 24-часового периода 9 мая — в день, когда Россия отмечает День Победы в Европе в мировой войне. II, прежде чем в конце концов отпадет в конце месяца.
DDoS-кампании начались в то время, когда Эстония была вовлечена в политический спор с Россией по поводу переноса советского памятника в Таллинне.
Некоторые члены эстонского руководства обвинили Россию в организации терактов, что Кремль всегда отрицал.
Эстония стала жертвой масштабной DDoS-атаки.
Изображение: Getty Images / iStockphoto
Известные DDoS-атаки: Spamhaus — март 2013 г.
Цель проекта Spamhaus — отслеживать активность спамеров в Интернете, чтобы помочь интернет-провайдерам и почтовым службам составить в режиме реального времени список распространенных спам-писем, сообщений и сообщений. чтобы пользователи не видели их и не могли быть обмануты.
Но в марте 2013 года Spamhaus сам стал жертвой киберпреступников, когда на него было запущено 300 миллиардов бит данных в секунду. Это была самая крупная в то время DDoS-атака за всю историю, которая длилась почти две недели.
Cloudflare назвал это «DDoS-атакой, которая чуть не сломала Интернет» после того, как компания, занимающаяся веб-инфраструктурой и веб-безопасностью, вмешалась, чтобы смягчить атаку на Spamhaus, а затем обнаружила кибер-злоумышленников, пытающихся отключить сам Cloudflare.Но влияние атаки было намного больше, потому что масштаб атаки вызвал перегрузку в Интернете.
Известные DDoS-атаки: Mirai — октябрь 2016 г.
Вероятно, самая известная на сегодняшний день DDoS-атака, ботнет Mirai уничтожил огромное количество онлайн-сервисов в большей части Европы и Северной Америки. Новостные сайты, Spotify, Reddit, Twitter, PlayStation Network и многие другие цифровые сервисы были либо замедлены до сканирования, либо полностью недоступны для миллионов людей.К счастью, перебои в работе длились менее суток.
Этот простой, описанный как крупнейшее в истории отключение Интернета, был вызван DDoS-атакой на компанию Dyn, поставщика системы доменных имен для сотен крупных веб-сайтов. Атаки были явно предназначены для перегрузки его возможностей.
Что помогло сделать атаку настолько мощной, так это то, что ботнет Mirai взял под контроль миллионы устройств IoT, включая камеры, маршрутизаторы, смарт-телевизоры и принтеры, часто просто путем подбора учетных данных по умолчанию, если у устройств вообще был пароль.И хотя трафик, генерируемый отдельными устройствами IoT, невелик, огромное количество устройств в ботнете было для Dyn огромным. И Мираи все еще живет.
Атака ботнета Mirai уничтожила большое количество онлайн-сервисов.
Изображение: Уровень 3
Как узнать, что я подвергся DDoS-атаке?
Любой бизнес или организация, у которых есть веб-элемент, должны думать о регулярном веб-трафике, который они получают, и соответствующим образом обеспечивать его; большие объемы легитимного трафика могут перегрузить серверы, что приведет к медленному или отсутствию обслуживания, что потенциально может оттолкнуть клиентов и потребителей.
Но организациям также необходимо различать законный веб-трафик и трафик DDoS-атак.
Планирование пропускной способности, таким образом, является ключевым элементом работы веб-сайта с мыслью о том, чтобы определить ожидаемый, регулярный объем трафика и то, как может выглядеть необычно высокий или непредвиденный объем легитимного трафика, чтобы избежать нарушения работы сайта. пользователей — либо отключив сайт из-за высоких требований, либо по ошибке заблокировав доступ из-за ложной тревоги DDoS.
SEE: VPN: выбор поставщика и советы по устранению неполадок (бесплатный PDF) (TechRepublic)
Итак, как организации могут отличить законное увеличение спроса от DDoS-атаки?
Как правило, сбой, вызвавший мой законный трафик, будет длиться очень короткий период времени, и часто может быть очевидная причина сбоя, например, интернет-магазин, испытывающий высокий спрос на новый товар или новое видео. онлайн-серверы игры получают очень высокий трафик от игроков, желающих поиграть.
Но в случае DDoS-атаки есть несколько явных признаков того, что это злонамеренная и целенаправленная кампания. Часто DDoS-атаки предназначены для прерывания работы в течение длительного периода времени, что может означать внезапные всплески вредоносного трафика через определенные промежутки времени, вызывающие регулярные отключения.
Другим ключевым признаком того, что ваша организация, вероятно, подверглась DDoS-атаке, является то, что службы внезапно замедляются или отключаются на несколько дней, что может указывать на то, что службы являются целью злоумышленников, которые просто хотят вызвать столько же сбоев. насколько возможно.Некоторые из этих злоумышленников могут делать это только для того, чтобы вызвать хаос; некоторым могут заплатить за атаку на конкретный сайт или службу. Другие могут пытаться запустить какую-то вымогательскую рэкету, обещая прекратить атаку в обмен на вознаграждение.
Что мне делать, если я подвергаюсь DDoS-атаке?
Как только станет ясно, что вы подвергаетесь DDoS-атаке, вы должны составить временную шкалу, показывающую, когда проблемы начались и как долго они продолжались, а также определить, какие активы, такие как приложения, службы и серверам — и как это негативно влияет на пользователей, клиентов и бизнес в целом.
Также важно, чтобы организации уведомляли своего провайдера веб-хостинга — вполне вероятно, что они также видели DDoS-атаку, но обращение к ним напрямую может помочь уменьшить влияние DDoS-кампании — особенно если провайдер может переключить вашу Айпи адрес. Переключение IP-адреса на новый адрес будет означать, что DDoS-атака не будет иметь такого эффекта, потому что атака будет направлена в неправильном направлении.
Если ваш провайдер безопасности предоставляет услугу защиты от DDoS-атак, это должно помочь снизить воздействие атаки, но, как видно из атак типа Mirai, особенно крупных атак, которые могут вызывать сбои, несмотря на наличие превентивных мер.Прискорбная особенность DDoS-атак заключается в том, что, хотя их очень просто проводить, они также очень эффективны, поэтому все еще возможно, что даже при наличии мер службы могут быть отключены на некоторое время.
Также важно уведомлять пользователей службы о том, что происходит, потому что в противном случае они могут быть сбиты с толку и разочарованы отсутствием информации. Компаниям следует рассмотреть возможность создания временного сайта с объяснением наличия проблем и предоставлением пользователям информации, которой они должны следовать, если им понадобится услуга.Платформы социальных сетей, такие как Twitter и Facebook, также могут использоваться для продвижения этого сообщения.
Как мне защититься от DDoS-атак?
Что делает DDoS-атаки эффективными, так это способность направлять большой объем трафика на конкретную цель. Если все онлайн-ресурсы организации находятся в одном месте, злоумышленникам нужно атаковать только одну конкретную цель, чтобы вызвать нарушение работы с большим объемом трафика. Поэтому, если возможно, полезно распределить системы по разным адресам, чтобы злоумышленникам было сложнее — хотя и возможно — направить ресурсы на все сразу.
Мониторинг веб-трафика и точное представление о том, как выглядит обычный и ненормальный трафик, также может сыграть жизненно важную роль в защите от DDoS-атак или их обнаружении. Некоторые сотрудники службы безопасности рекомендуют настроить оповещения, которые будут уведомлять вас, если количество запросов превышает определенный порог. Хотя это не обязательно может указывать на злонамеренную активность, но, по крайней мере, дает потенциальное раннее предупреждение о том, что что-то может произойти.
Также полезно спланировать масштабирование и скачки веб-трафика, в чем может помочь использование облачного хостинг-провайдера.
Межсетевые экраны и маршрутизаторы могут сыграть важную роль в уменьшении потенциального ущерба от DDoS-атаки. При правильной настройке они могут отклонять поддельный трафик, анализируя его как потенциально опасный и блокируя его до прибытия. Однако важно также отметить, что для того, чтобы это было эффективно, брандмауэр и программное обеспечение безопасности должны быть исправлены последними обновлениями, чтобы оставаться максимально эффективными.
Использование службы IP stresser может быть эффективным способом тестирования вашей пропускной способности. Существуют также специализированные поставщики услуг по предотвращению DDoS-атак, которые могут помочь организациям справиться с внезапным значительным увеличением веб-трафика, помогая предотвратить ущерб от атак.
Что такое служба защиты от DDoS-атак?
Сервисы предотвращения DDoS-атак защищают сеть от DDoS-атак, перенаправляя вредоносный трафик из сети жертвы. Крупные поставщики услуг по предотвращению DDoS-атак включают Cloudflare, Akamai, Radware и многие другие.
Первой задачей службы смягчения последствий является способность обнаруживать DDoS-атаку и отличать то, что на самом деле является вредоносным событием, от обычного — хотя и необычно большого — трафика.
Обычные средства, используемые службами защиты от DDoS-атак, включают оценку репутации IP-адреса, с которого исходит большая часть трафика. Если он откуда-то необычный или заведомо вредоносный, это может указывать на атаку — в то время как другой способ заключается в поиске общих шаблонов, связанных с вредоносным трафиком, часто на основе того, что было извлечено из предыдущих инцидентов.
После того, как атака будет признана законной, служба защиты от DDoS-атак начнет реагировать, максимально поглощая и отклоняя вредоносный трафик. Этому способствует маршрутизация трафика на управляемые блоки, которые упростят процесс смягчения последствий и помогут предотвратить отказ в обслуживании.
Как выбрать службу защиты от DDoS-атак?
Как и в случае любой ИТ-закупки, выбрать службу защиты от DDoS-атак не так просто, как просто выбрать первое появившееся решение.Организации должны будут выбрать услугу в зависимости от своих потребностей и обстоятельств. Например, у малого бизнеса, вероятно, не будет никаких причин раскошелиться на возможности предотвращения DDoS-атак, необходимые глобальному конгломерату.
Однако, если организация, ищущая услугу защиты от DDoS-атак, представляет собой крупный бизнес, то они, вероятно, правы, рассматривая большие возможности переполнения, чтобы помочь смягчить атаки. Глядя на сеть, пропускная способность которой в два или три раза превышает емкость самых крупных известных на сегодняшний день атак, должно быть более чем достаточно, чтобы поддерживать работу в сети даже во время крупной DDoS-атаки.
Хотя DDoS-атаки могут вызвать сбой из любой точки мира, география и местоположение поставщика услуг по предотвращению DDoS-атак могут иметь решающее значение. Европейская компания может иметь эффективного поставщика защиты от DDoS-атак в США, но если у этого поставщика нет серверов или центров очистки, расположенных в Европе, задержка времени отклика может стать проблемой, особенно если она вызывает проблемы для перенаправление трафика.
Поэтому, выбирая поставщика услуг, организации должны учитывать, будет ли сеть защиты от DDoS-атак эффективной в их регионе мира.Например, европейской компании, вероятно, следует рассмотреть вопрос о поставщике средств защиты от DDoS-атак с европейским центром очистки, чтобы как можно быстрее удалить или перенаправить вредоносный трафик.
Однако, несмотря на все способы потенциально предотвратить DDoS-атаку, иногда злоумышленники все равно добиваются успеха — потому что, если злоумышленники действительно хотят отключить службу и имеют достаточно ресурсов, они сделают все возможное, чтобы добиться успеха.