Ddos что такое: Что такое DDoS-атака? Распределенная атака типа «отказ в обслуживании»

Содержание

Что такое DDoS-атака – Помощь

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Закажите услугу «Сервер для бизнеса»

Сосредоточьтесь на вашем бизнесе, о хостинге позаботится REG.RU! Закажите мощный облачный сервер с круглосуточным администрированием и бесплатной защитой от низкоуровневых DDoS-атак.

Закажите «Сервер для бизнеса»

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

  • государственных учреждений,
  • крупных корпораций,
  • здравоохранительных организаций,
  • онлайн-школ,
  • игровых сервисов,
  • местных и региональных СМИ,
  • онлайн-кинотеатров,
  • банков,
  • хостинг-провайдеров.

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

  • Низкоуровневая атака — на сетевом и транспортном уровнях (третий и четвёртый уровень модели OSI). На этих уровнях для атаки используются «дыры» в сетевых протоколах. На виртуальном хостинге, VPS и выделенных серверах REG.RU установлена бесплатная защита от данных типов атак.

  • Высокоуровневая атака — атака на сеансовом и прикладном уровнях (пятый и седьмой уровни по модели OSI). Такие атаки схожи с поведением пользователей. В данном случае может помочь тонкая настройка сервера или платная защита от DDoS.

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

  • Ping of death. Это атака, которая заключается в отправке эхо-запроса, который превышает допустимый объём в 65535 байт. Устройство не знает, как обработать такой запрос, и перестаёт отвечать. В настоящее время Ping of death уже не используется — проверка размера при сборке пакета решила проблему. Пакеты, размер которых превышает допустимый, отбрасываются как неверные. Эта атака относится к классу DoS, так как в качестве отправителя выступает один компьютер, а не сеть из разных устройств, как в случае с DDoS.

  • SYN Flood. Клиент отправляет серверу огромное количество SYN-пакетов с поддельным IP-адресом. Сервер отвечает на каждый запрос и ожидает подключения клиента. Клиент игнорирует приглашение и создаёт новые запросы, чем переполняет очередь на подключение. В итоге производительность сервера падает вплоть до полного прекращения работы.

  • HTTP Flood. Каждый участник ботнета генерирует большое количество HTTP-запросов к серверу, за счёт чего сильно повышает нагрузку. Это могут быть как GET, так и POST-запросы. В GET клиент запрашивает самые тяжеловесные части сайта. А в POST-запросах передаёт большие объёмы данных серверу в теле запроса.

  • UDP Flood. Злоумышленник отправляет жертве много UDP-пакетов большого размера на определенные или случайные порты. Получатель тратит ресурсы на обработку запросов и отправку ICMP-ответа, что может привести к отказу в обслуживании.

  • DNS Flood. Это разновидность UDP Flood. Отличается тем, что атаке подвергается DNS-сервер. Сервер не может отличить участника такой атаки от обычного пользователя и обрабатывает все запросы, на что может не хватить ресурсов.

  • VoIP Flood. Снова вариант UDP Flood, цель которой — IP-телефония. Сервер получает запросы с разных IP-адресов, которые приходится обрабатывать вместе с запросами от легитимных клиентов.

  • ICMP Flood. На сервер жертвы отправляется множество ICMP-запросов с разных IP-адресов. Этот вид флуда может использоваться как для перегрузки сервера, так и для сбора информации о сервере при подготовке к другой атаке.

  • DNS-амплификация. Атакующие устройства отправляют небольшие запросы на публичные DNS-серверы. Запросы формируются так, чтобы ответ содержал как можно больше данных. Кроме этого, в запросе подменяется IP-адрес реального отправителя на адрес жертвы, на который DNS-сервер и отправит ответы. В результате жертва получит много больших пакетов данных от DNS-сервера, что вызовет переполнение канала.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

  1. Изучите ПО, которое планируете использовать в вашем проекте или уже используете, на наличие уязвимостей и критических ошибок. Их не должно быть. Выбирайте те инструменты, в которых уверены. Регулярно обновляйте их и делайте резервное копирование.

  2. Используйте сложные пароли для доступа к административным частям вашего ресурса.

  3. Настройте сеть так, чтобы доступ к админке был из только из внутренней сети или через VPN.

  4. Подключите WAF и CDN. WAF — брандмауэр веб-приложений для проверки легитимности трафика и его фильтрации. CDN — сеть доставки контента позволяет распределять нагрузку на серверы и увеличивать скорость загрузки страниц за счёт географически распределённых серверов.

  5. Установите капчу или другие компоненты в форму обратной связи на сайте. Это защитит сайт от спам-ботов.

  6. Распределите ресурсы сайта между несколькими серверами, которые не зависят друг от друга. В случае сбоя одного из серверов, работу обеспечат запасные серверы.

  7. Перенаправьте атаку на злоумышленника. Таким образом вы сможете не только отразить удар, но и нанести ущерб злоумышленнику. Для этого требуются специалисты, но это вполне реально.

  8. Узнайте у вашего хостинг-провайдера, какой уровень защиты он гарантирует для вашего хостинга или VDS. Если хостер не предоставляет защиту, выберите другого провайдера.

Компания REG.RU предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

Защита от DDoS-атак: все, что нужно знать

Защита от DDoS-атак и кибербезопасность

DoS (Denial of Service) означает отказ в обслуживании, расширенной формой которого является DDoS (Distributed Denial of Service) — распределенный отказ в обслуживании. Это часто используемый тип атак в интернете. При данном типе нарушения безопасности в конкретный сервис (YouTube, GitHub, Twitter и т. д.) за короткое время передается бесчисленное количество запросов. В конечном итоге это приводит к перегрузке сервиса, и соответствующая страница становится недоступной для пользователя. Это может нанести значительный финансовый ущерб оператору данного интернет-сервиса. Злоумышленники могут шантажировать операторов с целью получения денег за защиту от таких атак. В этом материале вы сможете более подробно ознакомиться с этой темой и узнать о мерах защиты от DDoS-атак.

DDoS-атака в отсутствии надлежащих мер защиты от DDoS-атак

DDoS-атаки имеют все большее влияние. Они перегружают сервисы постоянно растущими объемами данных. Для защиты от DDoS-атак необходимы средства защиты, позволяющие рассредоточить эти объемы данных. При этом фиксируется все большее количество атак, в которых киберпреступники атакуют только определенные области ИТ-инфраструктуры. Эти атаки, конечно, менее заметны. Чем меньше по размеру приложение или сервис, тем меньший объем данных потребуется для атаки. С другой стороны, DDoS-атаки больше не служат цели вызвать отказ в обслуживании, а все чаще используются в качестве прикрытия кибератак других типов. К последним относятся утечки данных и финансовое мошенничество. Организации должны быть заинтересованы во внедрении инструментов мониторинга и защиты от DDoS-атак, которые обнаруживают и блокируют все потенциальные DDoS-атаки по мере их возникновения. Это позволит им получить исчерпывающее представление о работе своих сетей.

Бот-сети играют решающую роль

Киберпреступники в большинстве видов DDoS-атак используют бот-сети (ботнеты). Злоумышленники заранее захватывают управление чужими компьютерами. Для этого они обычно применяют вредоносные программы, такие как трояны или черви. Они удаленно управляют чужими зараженными компьютерами с помощью C&C серверов (командно-контрольных серверов). В случае DDoS-атак они эксплуатируют уязвимости пропускной способности систем-жертв. Они одновременно отправляют одинаковые запросы на серверы жертв. Эти атаки можно предотвратить с помощью системы защиты от DDoS-атак и реализации надлежащих мер безопасности.

Кэширующий сервер Memcached: кибератаки возможны и без бот-сетей

Захват чужих компьютеров или устройств IoT иногда может быть очень проблематичным для злоумышленников. Именно поэтому в некоторых атаках не используются бот-сети. Достаточно взглянуть на атаку на Github в 2018 году, в которой использовались memcached-серверы. Эти службы кэширования баз данных предназначены для ускорения работы сетей и веб-сайтов. Доступ из интернета к этим серверам возможен без аутентификации; достаточно получить их IP-адрес. Затем злоумышленники отправляют небольшие запросы одновременно на несколько memcached-серверов — около 10 в секунду на сервер. Эти memcached-серверы спроектированы так, чтобы выдавать гораздо больший по объему ответ. Затем они возвращают системе-жертве 50-кратный объем запрошенных данных. Таким образом, можно генерировать запросы данных с частотой несколько терабайт в секунду, а это с легкостью приведет к краху отдельного сервиса. Защита от DDoS-атак также эффективно предотвращает этот тип кибератак.

Защита от DDoS-атак предотвращает атаки с отражением DNS

Точно так же используются DDoS-кибератаки с помощью методов отражения DNS. Злоумышленник делает DNS-запрос, используя IP-адрес жертвы (IP-спуфинг), что успешно выполняется. DNS-сервер передает запрос жертве. Здесь в игру вступает усиление, то есть усиление происходит на следующем этапе.

«Пакеты UDP с DNS-запросами обычно относительно малы (<100 байт). Ответные пакеты значительно больше (<500 байт) в зависимости от запрашиваемой записи. В результате злоумышленник может добиться значительного увеличения атакующей нагрузки на стороне жертвы, если DNS-запрос будет грамотно выбран при сравнительно небольшой пропускной способности; атака таким образом усиливается (усиление).»

Федеральное управление по информационной безопасности (немецкая служба BSI)

Защита от DDoS-атак: решения для защиты от DDoS-атак

Наши инструменты и меры защиты от DDoS-атак:

К ним относятся брандмауэры веб-приложений (сокращенно WAF), которые защищают онлайн-сервисы на уровне приложений. Как правило, они обеспечивают выполнение следующих функций:

  • WAF разрешает входящие соединения только от сервисов, которым разрешен доступ. Для этого используется принцип черных списков (список запрещенных подключений) или белых списков (список разрешенных подключений)
  • То же самое относится и к исходящим соединениям — они возможны только при наличии явного разрешения. Таким образом могут быть парализованы бот-сети, поскольку, например, они больше не смогут связываться с командно-контрольным сервером злоумышленников.

Атаки с усилением через memcached-серверы:

  • Удалите открытые memcached-серверы из интернета и безопасно разверните их за брандмауэрами во внутренних сетях.
  • Фильтры в WAF, которые блокируют memcached-трафик при обнаружении подозрительного количества запросов.
  • Если операторы сети смогут обнаружить используемую команду атаки, они смогут пресечь вредоносный трафик в зародыше, заблокировав все memcached-пакеты известной длины.

Атаки с отражением через протокол сетевого времени NTP:

  • Здесь могут помочь брандмауэры веб-приложений и соответствующая существующая сетевая инфраструктура, состоящая из нескольких центров обработки данных.
  • Даже если целью атаки является единственный IP-адрес, можно распределить поток данных с помощью соответствующей функции в брандмауэре. WAF распределяет входящую нагрузку по разным дата-центрам. Таким образом, атакованный сервис по-прежнему будет доступен.

Что такое DDoS: классификация и методы защиты


DDoS-атака (Distributed Denial of Service, распределённый отказ от обслуживания) — это своеобразная проверка на прочность ИТ-инфраструктуры компании и её сервисов. Киберпреступники используют лавинообразно растущую нагрузку на интернет-ресурс, чтобы помешать либо усложнить пользователю доступ к нужному сервису. Ещё бывает естественный DDoS, когда во время горячего сезона сайты не справляются с наплывом покупателей и «падают» либо работают через раз.


Впервые о такого рода атаках в публичном поле заговорили в 1999 году, когда пострадали сайты Yahoo, eBay, Amazon, CNN. Впоследствии этот вид киберпреступности стал активно развиваться. Появились даже ресурсы, предлагающие услуги DDoS как сервиса. Поэтому современным компаниям важно уметь защищаться от таких атак. В том числе — с помощью облачных провайдеров, предлагающих инфраструктуру по модели IaaS.

DoS vs DDoS: в чём разница


Помимо DDoS, в арсенале злоумышленников есть и другой тип атак. Он называется DoS (Denial-of-Service, отказ в обслуживании). Первым известным случаем DoS считается атака канадского хакера в феврале 2000 года, когда он решил перегрузить веб-сервера Amazon и eBay.


Во время DoS-атаки идёт рассылка запросов с одного устройства, а не сети, и нацелена она конкретный домен или виртуальную машину. Он похож на DDoS, так как в обоих случаях целью является нарушение доступа к сети или интернет-ресурсу. Но у DoS есть свои особенности: 


  • Одиночный вектор атаки. Трафик идёт из одной подсети
  • Заметность. Атака на сайт хорошо видна в системах мониторинга
  • Простота отражения. DoS-атаки без труда блокируются брандмауэром или сетевым маршрутизатором.


Такой тип атак не считается опасным, но требует наличия ПО, способного вовремя распознавать и блокировать угрозу.


Для DDoS характерны другие отличительные черты:


  • Многопоточность. Наличие множества каналов отправки запросов упрощает задачу блокирования атакуемого ресурса, так как быстро отфильтровать все атакующие IP-адреса нереально
  • Незаметность. Атака хорошо маскируется под естественный трафик, постепенно забивая ресурс «мусороными» запросами, поэтому отследить её начало непросто
  • Сложность отражения. Трудность определения времени начала атаки мешает фильтрации атакующих IP-адресов


Как вы понимаете, распределённый отказ от обслуживания работает «эффективнее», поэтому злоумышленники предпочитают этот метод. Тем более что отследить эту атаку и добраться до источника крайне трудно, потому что у неё нет центра.

Причины DDoS-атак


Почему могут атаковать ИТ-инфраструктуру компании? Возможны несколько вариантов:


  • Конфликт, недовольство действиями. На фоне личной неприязни происходит значительная доля кибератак в отношении бизнеса и государственных учреждений. Например, после масштабного рейда ФБР на хакеров в 1999 году было совершено нападение на веб-узлы ФБР. В итоге они несколько недель были нерабочими.
  • Политика. Несогласие с проводимой государством или оппозицией политикой может стать причиной кибератаки. Хактивисты (ИТ-специалисты, радикально подходящие к вопросу) могут поддерживать разные политические силы и выражать свой протест путём DDoS-а.
  • Развлечение. Атакующей стороной могут стать новички-хакеры, ИТ-экспериментаторы и просто люди, которые решили «похулиганить», заказав недолгую, но вредную нагрузку на каком-либо полулегальном ресурсе.
  • Вымогательство. Нередко хакеры перед атакой требуют от компании выкуп за отказ от своих намерений. Суммы бывают самые разные и зависят от аппетитов злоумышленника. При отказе платить следует «наказание».
  • Нечестная конкуренция. Заказной харакетр атаки — далеко не редкость. В «высокий сезон» конкуренты могут пытаться уронить сайты других компаний, чтобы переманить клиентов.
  • Маскировка. Пока вы боретесь с DDoS, то можете не заметить другую атаку. Использование мусорного трафика как прикрытия является эффективной и довольно популярной практикой.


Кто может стать жертвой DoS-атаки


Стать объектом кибератаки может практически любая организация и даже частное лицо. По некоторым данным, каждая шестая российская компания сталкивалась с подобной проблемой.


В группе риска находятся сайты:

  • Крупных предприятий и госучреждений;
  • Банков, управляющих компаний;
  • Медицинских учреждений;
  • Платежных систем;
  • Популярных блогов и СМИ;
  • Интернет-магазинов;
  • Игровых сервисов;
  • Криптовалютных бирж.


Доски объявлений, сайты турфирм тоже сталкиваются с такими атаками, но реже. В августе 2021 года поисковый гигант Яндекс рассказал, что подвёргся крупнейшей в России DDoS-атаке. До этого, в 2020 году, был атакован Сбербанк.


Ещё одним сравнительно новым вектором атак стал «интернет вещей» (Internet of Things, IoT). Подключённые к интернету устройства нередко становятся частью ботнет-сети или каналом прослушки.

Как работает DDoS-атака


Принцип работы DDoS кроется в названии: отказ в обслуживании. Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов. И организатор атаки ставит задачу загрузить все каналы до максимума, чтобы реальные пользователи не могли пробиться к сервису из-за огромного количества мусорных запросов.


Для атак используются ботнет-сети: некоторое количество заражённых вирусом устройств, которыми хакеры могут управлять. Их может быть сто, а может — сто тысяч. Во время атаки хакеры отправляют запросы с этих ботов на сайт жертвы. Поскольку каждый компьютер инициирует соединения, которые ничем не отличаются от действий обычного человека, распознать атаку трудно. И только с ростом количества запросов становится заметна нагрузка, которая превышает ожидаемую.


Обычно такие таки длятся несколько часов. Но бывали случаи, когда DDoS вёлся несколько суток.


Сами атаки разделяются по принципу воздействия на три вида:


  1. Переполнение канала. ICMP-флуд, UDP-флуд, DNS-амплификация
  2. Использование незащищенности стека сетевых протоколов. «Пинг смерти», ACK/PUSH ACK-флуд, SYN-флуд, TCP null/IP null атака
  3. Атака на уровне приложений. HTTP-флуд, медленные сессии, фрагментированные HTTP-пакеты

Популярные виды атак


HTTP-флуд — на атакуемый сервер отправляется множество обычных или шифрованных HTTP-сообщений, которые забивают узлы связи.


ICMP-флуд — хост-машина жертвы перегружается служебными запросами, на которые она обязана давать эхо-ответы.


SYN-флуд — используется один из базовых механизмов действия протокола TCP (алгоритм «запрос-ответ»: SYN пакет — SYN-ACK пакет — ACK пакет). На сайт жертвы поступает вал фальшивых SYN-запросов без ответа. Канал забивается очередью TCP-подключений от исходящих соединений, требующих свой ACK пакет.


UDP-флуд — порты хост-машины жертвы нагружаются пакетами по протоколу UDP, ответы на которые перегружает сетевые ресурсы.


MAC-флуд — порты сетевого оборудования забиваются потоками «пустых» пакетов с разными MAC-адресами.


«Пинг смерти» (Ping of death) — массовая отправка компьютеру жертвы ICMP-пакетов большой длины, в результате чего происходит переполнение буфера.


DNS-спуфинг — из-за подмены IP-адреса в кэше сервера пользователь перенаправляется на фейковую страницу. При переходе преступник получает доступ к персональным данным пользователя.

Признаки атаки


Для кибератак подобного рода характерны следующие признаки:


  • Зависания, произвольные завершения сессий и другие сбои в работе серверного ПО и ОС
  • Необычно высокая нагрузка на процессор, оперативную память, диск и другие компоненты сервера
  • Внезапное увеличение количества запросов на порты
  • Одинаковая модель поведения большого количества пользователей
  • Массовые запросы к портам и сервисам, похожие друг на друга

Предотвратить и защититься


Считается, что основной способ защиты — фильтрация трафика на основе его содержимого, IP-адресов и других параметров. Это можно сделать двумя способами:


  • Использовать собственный сервер и ПО. Так можно контролировать свою инфраструктуру, настроить её под собственные нужды
  • Воспользоваться услугой защиты от DDoS. Так компания снижает издержки на закупку и обслуживание оборудования, зарплату специалистам. Вопросами защиты занимается сторонняя организация


Второй способ уже пять лет востребован на рынке. Компаниям проще платить фиксированную сумму за защиту, имея возможность подключать и отключать дополнительные услуги по анти-DDoS.


Не стоит забывать, что атаки часто используют уязвимости в ИТ-инфраструктуре организации. Поэтому важно регулярно обновлять все программные компоненты. Также стоит проверить способность корпоративного сайта и ИТ-сервисов работать даже под высокой нагрузкой.


При сотрудничестве с облачными провайдерами компании могут получить комплексное решение по защите ИТ-инфраструктуры, веб-приложений и онлайн-сервисов от DDoS-атак любого уровня. Провайдеры используют более мощное оборудование и программно-технические решения. А ещё на их стороне большой опыт отражения атак. Они способны быстро восстановить контроль над ситуацией и создать условия, при которых нагрузка не влияет на уровень доступности инфраструктуры, приложений и сервисов.


Решение Cloud4Y легко интегрируется с инфраструктурой клиента, размещенной в облаке, не требует переноса данных и дополнительной настройки, установки ПО или покупки оборудования. Параметры очистки определяются спецификой бизнеса.


что это, как защитить сайт от ДДоС

Английское сокращение DoS означает Denial of Service, то есть отказ обслуживать что-то. Для интернет-ресурса это невозможность обработать слишком большое количество поступающих извне запросов. Каждый интернет-сайт размещен на сервере, куда и обращаются пользователи. Сервер может быть собственностью администратора сайта или хостинг-провайдера. В любом случае у ресурса есть предел информации, которую он может обработать за единицу времени. Лимит зависит от емкости диска, параметров трафика, в меньшей степени от структуры сайта-мишени. Если на него одновременно приходит много запросов, он начинает сначала тормозить, а потом и вовсе становится недоступен, переставая отвечать на запросы. Если сайт размещен на хостинге, то пострадать могут и другие ресурсы, пользующиеся тем же дисковым пространством. Явление DoS достаточно распространено во Всемирной паутине. Публикация животрепещущих новостей часто приводит к временному сбою работы сайтов новостных агентств, телеканалов, а также сайтов известных личностей. Как правило, ничего криминального за этим не стоит, речь идет лишь о несоответствии мощности сервера тому интересу, который проявила публика.

Методика атаки DDoS

Совсем другая ситуация возникает, когда к сокращению DoS прибавляется еще одна буква D. Аббревиатура DDoS расшифровывается как Distributed Denial of Service, то есть «распределенный отказ от обслуживания». Распределенный – ключевое слово. Оно подразумевает некую организующую силу, которая направляет внешне хаотичные запросы на ресурс жертвы. Причем таких запросов настолько много, что с ними не справляются не только маломощные серверы небольших компаний, но и машины хостинг-провайдеров с пропускной способностью в тысячи и десятки тысяч мегабит в секунду. Как же злоумышленникам удается создать такой трафик?

На сервер сваливается огромное количество запросов, причем большинство из них совершенно бессмысленно. Но лишенный специальной защиты он вынужден анализировать их все подряд и давать какой-то ответ. Это приводит к перегрузке как самого сервера, так и входящего трафика. Если канал узкополосный, то вывести из строя сервер может и несколько сотен обращений. Если его мощность велика, а канал связи имеет высокую пропускную способность, то нужны либо десятки и даже сотни тысяч обращений, либо так называемые тяжелые запросы, ответ на которые отнимает много времени у процессора.

Как заражаются компьютеры

Сначала хакер создает троянскую программу и с помощью массовых рассылок и размещения на сомнительных ресурсах внедряет троянов на дисковое пространство случайных пользователей, которые посетили сомнительный сайт или перешли по ссылке, пришедшей на электронную почту. Самое любопытное то, что антивирус может даже не отреагировать на заражение, так как троян не проявляет к зараженному компьютеру никакой агрессии – он затаивается в ожидании команды своего хозяина.

Когда у хакера появляется объект для ДДоС-атаки, он рассылает своим агентам влияния, которых может накопиться сотни тысяч по всему миру, зашифрованную команду. В ней указан IP-адрес, подлежащий массовому поражению. Рассеянные по миру боты начинают бомбардировать жертву запросами, которые либо ретранслируются с сайта инициатора атаки, либо генерируются на зараженных компьютерах по изначально заданному алгоритму. Так или иначе, никакой явной связи с компьютером инициатора атаки у запросов нет, все ответы идут на адреса бот-сети. Владельцы этих ПК и смартфонов даже не подозревают, что их оборудование используется для атаки. Чем больше работающих компьютеров в ботнете, тем быстрее атака увенчается успехом. Особенно эффективной считается отправка больших пакетов, обработка которых требует значительного времени, либо отправка запросов, на которые компьютер-жертва должен дать развернутый ответ. В первом случае перегружается процессор, во втором – канал связи. И то и другое приводит к выходу системы из строя и многомиллионным убыткам, как это было, например, при атаках на всемирно известные интернет-магазины Amazon или AliExpress.

Типы DDoS

Приведем наиболее популярные виды DDoS-атак. Ограничимся лишь теми методиками, которые имеют целью вывести из строя сайт-жертву, не внедряясь в его структуру и не пытаясь получить права администрирования.

Пинг-флуд. Самый простой тип атаки, не требующий бот-сети. С одного или нескольких компьютеров жертва атакуется многочисленными эхо-запросами небольшого объема, которые тем не менее пожирают ее оперативные ресурсы. Для создания флуда и привлечения добровольных помощников существуют специальные программы. Бороться с пинг-флудом сравнительно просто, так как источников немного и их можно блокировать (если знать, как это делать). В компьютере можно отключить опцию ответа на ICMP-запросы или установить алгоритм их приоритетности.

HTTP-флуд. Инициаторы атаки шлют жертве небольшой пакет, требующий развернутого ответа. В результате переполняется исходящий трафик сайта. Хакер использует динамический IP-адрес или действует с узлов пользователей, иначе его компьютер сам окажется завален ответным флудом.

SMURF-атака. Тот же пинг-флуд (Ping-Flood), рассылаемый с использованием разветвленной бот-сети, многократно увеличивающей интенсивность ICMP-запросов.

«Осколочная граната» (англ. Fraggle flood). Технология аналогична предыдущей, но вместо эхо-запросов (ICMP) используются запросы по протоколу UPD.

Хакеры постоянно совершенствуют методики DDOS-атак, создают разветвленные ботнеты, без которых атака на серьезно защищенный ресурс не имеет смысла.

Как обезопасить сайт

Блокировка нежелательных запросов через htaccess. Работа с файлом .htaccess дает возможность на уровне сервера управлять доступом к сайту, не затрагивая коды и скрипты, за счет чего он нагружает ресурс очень слабо. При этом защита сайта осуществляется при помощи введений ограничений по IP-адресам и определенным признакам в запросах.

Защита с помощью PHP-скрипта. Каждый поступивший на сайт запрос анализируется, а IP, от которого он исходил, запоминается. Если команды поступают с привычного IP в промежутки, нетипичные для человека, то ему блокируется доступ к странице. К недостатку данного способа можно отнести то, что от работы скрипта нагрузка на сайт может повыситься.

Сервис для очистки от спамного трафика. К доменному имени вашего сайта добавляется DNS-сервер компании, которая предоставляет услуги защиты. В результате все запросы, поступающие на ваш сайт, сначала идут на IP-адрес фильтрующего сервера. Безопасные пакеты направляются на хостинг вашего ресурса, а подозрительные блокируются. В результате всю лишнюю нагрузку берет на себя специальный сервер.

Правовой аспект

В борьбе с «досерами» наработан немалый опыт у профильного управления «К» российского министерства внутренних дел. В случае откровенной атаки, особенно имеющей корыстную подоплеку, смело обращайтесь к представителям правоохранительных органов – у них есть технические и организационные возможности вам помочь. Хакеры обычно сначала проводят демонстрационную атаку на ресурс, после чего обращаются к владельцам с предложением, от которого невозможно отказаться. Фиксируйте переговоры на диктофон, сохраняйте переписку в социальных сетях и в мессенджерах. Это поможет в организации оперативно-разыскных мероприятий и в ходе судебного разбирательства, если до него дойдет. Деятельность хакеров подпадает под действие статьи 273 Уголовного кодекса, предусматривающей лишение свободы до 4 лет.

Как не пополнить армию ботов

Для простого пользователя главное – помнить, что угроза исходит не от самого злоумышленника, а от зараженных компьютеров. Не открывайте сообщения, поступающие из непроверенных источников. Не переходите по сомнительным ссылкам, даже если они пришли от друзей в социальных сетях. Их аккаунты могут быть перехвачены злоумышленниками. Проверяйте безопасность внешних носителей. Установите на устройства последнюю версию антивируса, желательно полную, обычно не бесплатную. Цена вопроса не так уж велика, зато появится гарантия виртуального «здоровья». То же самое касается мобильного телефона – Интернет сегодня буквально наводнен сомнительными ссылками, причем пользователи гаджетов менее осторожны, чем пользователи десктопов и ноутбуков.

что это такое, их виды. Способы остановить и предотвратить DDoS-атаку

Что такое DDoS-атака

Атаки типа «отказ в обслуживании» DoS (Denial of Service) – это перегрузка сети паразитным трафиком (т.н. флуд), когда на атакуемый ресурс отправляется большое количество злонамеренных запросов, из-за чего полностью «забиваются» все каналы сервера или вся полоса пропускания входного маршрутизатора. При этом передать легитимный трафик на сервер становится невозможно. Запросов может быть так много, что сервер не успевает их обрабатывать и переходит в режим «отказа в обслуживании». На жаргоне специалистов это называется «положить сервер».

Если такая атака ведется не от одного компьютера, а от многих, то такая атака называется распределенной атакой DDoS (Distributed DoS).

Схема DDoS-атаки

Виды DDoS-атак

Атаки 3-4 уровня OSI

Это атаки на сетевом и транспортном уровнях. Злоумышленники «забивают» каналы передачи большим количеством передаваемых пакетов. Канал не может справиться с нагрузкой и выдает ошибку «отказ в доступе». DDoS-атаки могут использовать недостатки сетевых протоколов, перегружая сервер, в результате чего сервер перестает отвечать на запросы.

Атаки 7 уровня OSI

Атаки на уровне приложений потребляют не только сетевые ресурсы, но и ресурсы сервера. Сервер не выдерживает нагрузку, что приводит к его недоступности. Атака при этом направлена непосредственно на операционную систему или приложение с целью вынудить их превысить лимит вычислительной мощности сервера. При этом атакам подвергаются конкретные приложения, сервисы и службы. Атаки могут продолжаться длительное время (несколько часов или дней).

Типы DDoS-атак

  • HTTP-флуд: самый простой вид запросов, например, при помощи HTTP-заголовка пакета, который указывает запрашиваемый ресурс сервера. Злоумышленник может использовать сколько угодно заголовков, придавая им нужные свойства. При DDoS-атаке HTTP-заголовки могут изменяться, делая их труднораспознаваемыми для выявления атаки. Кроме того, HTTP-запросы атаки могут передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. При этом «защищенность» идет атакующему только на пользу: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. То есть расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву, что приводит к исчерпанию его вычислительной мощности.
  • SYN-флуд (TCP/SYN): устанавливает полуоткрытые соединения с узлом. Когда сервер-жертва принимает SYN-пакет синхронизации через открытый порт, он должен послать в ответ на сервер-источник запроса пакет подтверждения SYN-ACK и открыть соединение. После этого запроса сервер-источник должен послать на сервер пакет подтверждения ACK, однако злоумышленник не посылает это подтверждение. Соединения остаются полуоткрытыми до истечения тайм-аута. Очередь на подключение на атакуемом сервере переполняется и новые клиенты не могут установить соединение с сервером.
  • MAC-флуд: злоумышленник посылает поток пустых фреймов Ethernet с разными MAC-адресами в каждом. Коммутаторы сети рассматривают каждый MAC-адрес в отдельности и резервируют ресурсы под каждый из них. Когда вся память коммутатора использована, он либо перестает отвечать, либо останавливает работу. Иногда атака MAC-флудом может удалять таблицы маршрутизации на узлах сети, таким образом нарушая работу всей сети, а не только одного сервера.
  • Ping of Death: мастер-бот Ping of Death посылает злонамеренные пинг-запросы через различные IP-протоколы на атакуемый сервер, что приводит к его перегрузке. В настоящее время такие атаки редки. Пропускная способность сетей значительно повысилась, а для таких атак нужно много ресурсов – зараженных ботов.
  • Smurf Attack: разновидность Ping of Death. Этот вид атаки использует протокол Интернет (IP) и протокол управляющих сообщений ICMP (Internet Control Message Protocol), на которых работает зловредная программа Smurf. Она подменяет IP-адрес атакующего и пингует IP-адреса в корпоративной сети, оставляя на них полуоткрытые соединения.
  • Fraggle Attack: использует большие объемы трафика UDP на вещательной сети маршрутизатора. Эта атака работает аналогично Smurf-атаке, но вместо протокола ICMP использует вещательный протокол UDP.
  • Slowloris. Атака Slowloris направлена на веб-сервер. Атакующий сервер подключается к целевому серверу и оставляет это подключение полуоткрытым настолько долго, насколько это возможно, а затем размножает эти полуоткрытые соединения. Закрытие таких соединений атакуемым сервером по таймауту происходит медленнее, чем установка новых соединений. Противодействовать этой атаке довольно сложно, поскольку сложно отследить источник атаки.
  • NTP-усиление. Атака использует серверы протокола сетевого времени NTP (Network Time Protocol), который используется для синхронизации компьютерных часов в сети. Цель атаки – перегрузка трафиком UDP. При этой атаке атакуемый сервер отвечает, посылая UDP-трафик на подмененный злоумышленником IP-адрес. «Усиление» означает, что объем ответного UDP-трафика много больше запроса. Поэтому сеть быстро перегружается бесполезным трафиком, а ее узлы останавливают работу.
  • Pulse Wave. Главная опасность пульсирующих атак Pulse wave заключается в методике периодических всплесков трафика. Обычная DDoS-атака выглядит как постепенно нарастающий поток вредоносного трафика. Pulse wave представляет собой серию коротких, но мощных импульсов, происходящих с определенной периодичностью.

Пульсирующий трафик атаки Pulse wave (источник: ddos-guard.net)

  • APDoS. Усовершенствованная повторяющаяся DoS-атака APDoS (Advanced Persistent DoS) нацелена на нанесение максимального вреда атакуемому серверу. Он использует механизмы HTTP-флуда, SYN-флуда и других видов атак. При этом посылаются миллионы запросов в секунду. Такая атака может длиться неделями, поскольку злоумышленник все время меняет тактику атаки, типы атаки, чтобы обмануть средства противодействия атакуемой стороны.

Как остановить DDoS-атаку

Для противодействия случившейся DDoS-атаке необходимо принять следующие меры:

  1. Как можно раньше идентифицировать DDoS-атаку. Чем скорее распознан факт атаки, а также ее источник, тем раньше ее можно остановить и минимизировать ущерб. Для этого полезно иметь профиль входящего трафика – какой объем и какого трафика откуда идет. При этом, если происходят отклонение от это этого профиля, это событие может быть автоматически распознано и могут быть приняты превентивные меры. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, поэтому полезно иметь возможность распознать, вызваны ли эти всплески внезапной активностью легитимных пользователей, либо это начало DDoS-атаки.

Например, 6 сентября 2019 года около 21:00 по московскому времени у многих пользователей в Европе и мире перестали открываться сайты Википедии и Викимедии, а средства контроля доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго. Около полуночи того же дня германский сайт Викимедиа сообщил в Твиттере о масштабной DDoS-атаке на свои серверы, которая с перерывами продолжалась до 5:40 утра следующего дня. Источником атаки была ранее неизвестная хакерская группа UkDrillas, которая проводила «натурные испытания» своих методик и средств, а сайт Википедии был выбран ими в качестве «подопытного кролика».

График сетевого трафика при DDoS-атаке на кластер серверов Викимедиа в г. Ашберн (шт. Вирджиния, США), достигавшего почти 3 Гбит/с (источник: ru.wikinews.org)

  1. Однократное выделение серверу полосы пропускания «с запасом». Чем шире полоса у веб-сервера, тем обычно лучше. Таким образом сервер может выдерживать резкие и неожиданные всплески трафика, которые могут быть, например, результатом рекламной кампании. Но даже если заложить запас в 100 %, или 500 %, это вряд ли спасет от DDoS-атаки. Однако это может дать некоторое время на распознавание источника и типа атаки и принятие мер до того, как сервер «ляжет» полностью.
  2. Защита периметра сети. Есть несколько технических мер, которые можно предпринять для частичного ограничения эффекта атаки. Многие из них довольно просты и требуют лишь регулировки сетевых настроек. Например:
  • Ограничить скорости маршрутизатора, чтобы предотвратить остановку сервера.
  • Установить фильтры на маршрутизаторе для сброса пакетов от распознанного источника атаки.
  • Установить таймаут на полуоткрытые соединения (от которых в течение времени таймаута не получен подтверждающий ответ источника запроса).
  • Сбрасывать пакеты с подмененными IP-адресами и вообще пакеты необычной структуры.
  • Установить более низкие пороги сброса для SYN-, ICMP-, и UDP-флуда.

Однако все эти меры хорошо известны и хакерам, и они изобретают все новые способы атак и увеличивают их интенсивность. Но все же эти меры помогут выиграть время на распознавание атаки и принятие мер до наступления фатальной ситуации.

Шансы на предотвращение DDoS-атаки значительно увеличиваются, если веб-сервер расположен в дата-центре, а не в корпоративной сети предприятия. В дата-центрах обычно и входная полоса шире, и имеются мощные маршрутизаторы, которые не всякая организация может себе позволить, а также и персонал имеет больше опыта в предотвращении атак. По крайней мере, другие серверы организации (email, VoIP и пр.) не подвергнутся воздействию атаки.

  1. Обратиться к специалисту по DDoS-атакам. Есть специальные компании, которые специализируются на оказании экстренной помощи организациям, ставшим объектом DDoS-атаки. У таких компаний есть разнообразные технологии и средства, чтобы обеспечить работоспособность сервера под DDoS-атакой.

Работа услуги предотвращения DDoS-атак, предоставляемая хостинг-провайдером (источник: ИКС медиа)

  1. Создать инструкцию по действиям в случае DDoSатаки. В такой инструкции могут быть в доступной форме расписаны действия персонала по предотвращению случившейся DDoS-атаки.

Как предотвратить DDoS-атаку

  1. Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
  2. Резервировать ИТ-инфраструктуру. Чтобы максимально усложнить хакерам задачу DDoS-атаки на сервер, лучше распределить виртуальную серверную инфраструктуру по нескольким дата-центрам с использованием хорошей системы балансировки, которая распределяет трафик между ними. При возможности эти дата-центры должны быть в разных областях и округах страны (или даже в разных странах). Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точке. Таким образом, хакеру, в лучшем случае, удастся атаковать лишь часть серверной инфраструктуры, а остальные части инфраструктуры смогут взять на себя дополнительный трафик или его долю.
  3. Конфигурировать сетевое оборудования так, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
  4. Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
  5. Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
  6. Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.

Заключение

Можно сказать, что не существует какой-то «волшебной таблетки», универсального средства, которые дадут возможность забыть о DDoS-атаках. Хакеры-злоумышленники – народ злобно-изощренный, и они не только изобретают все новые виды, методы и средства DDoS-атак, но также и тщательно изучают доступные на рынке средства противодействия им. Здесь весьма уместна присказка про «болт с резьбой», весьма популярная в среде хакеров.

Какие бы и сколько бы средств какой угодно мощности вы ни установите на свою сеть, это не даст гарантии того, что вы не станете жертвой DDoS-атаки. Поэтому защите от DDoS-атак необходимо постоянно уделять самое пристальное внимание. Не следует ограничиваться только установкой программно-аппаратных средств защиты. Необходимо также проводить образовательную работу среди инженерного персонала.

Как защититься от DDoS-атак | firstvds.ru

Прочитайте: типы DDoS-атак и уровни модели OSI

Что такое DDoS-атака?

DDoS (Distributed Denial of Service) — распределённая атака типа «отказ в обслуживании». Сетевой ресурс выходит из строя в результате множества запросов к нему, отправленных из разных точек. Обычно атака организуется при помощи бот-нетов. Злоумышленник заражает компьютеры ни о чем не подозревающих пользователей Интернета. Такие «зомби» и отправляют бессмысленные запросы на сервер жертвы.

Четко спланированная атака может вывести из строя практически любой незащищенный ресурс: от сайта-визитки до крупного корпоративного портала. Обрабатывая миллионы запросов, сервер сначала «тормозит», а после и вовсе прекращает работать. При атаке на VDS страдают все пользователи физического сервера, так как у всех VDS общий канал связи. При этом дата-центр тоже испытывает огромную нагрузку на сетевые каналы, ведь он пропускает через себя весь паразитный трафик.

Почему мой сайт «ддосят»?

DDoS-атаку можно относительно легко купить на черном рынке и направить на любой сетевой ресурс, который вам чем-либо не угодил.

Не секрет, что чаще всего атаке подвергаются сайты, созданные для того, чтобы зарабатывать деньги. Для интернет-магазина простой в несколько часов — убытки из-за полного отсутствия заказов и прибыли.

Во время рекламной акции, или после того, как вы анонсировали новый продукт, на ваш сайт может обрушиться DDoS-атака. Чаще всего такие атаки — происки конкурентов. Возможны атаки «из мести», из идеологических соображений. Иногда хакеры таким образом вымогают деньги, но это редкие случаи.

Кто виноват?

Сервер «лежит», жертва несет убытки. К сожалению, имена заказчиков DDoS-атаки хостинг-провайдер сообщить не сможет — выяснить их практически невозможно.

Что делать, если мой сайт подвергся DDoS-атаке?

Атаки принципиально отличаются по уровню и способу борьбы с ними:

  • Низкоуровневые — на транспортном и сетевом уровнях (3-4 уровень модели OSI). Такие атаки используют несовершенство применяемой сетевой архитектуры. Самый надежный способ защититься от них — подключить услугу защиты от DDoS. Сервер будет в строю в течение часа-двух.
  • Высокоуровневые — на уровнях 5-7 модели OSI. Такие атаки эмулируют действия обычных пользователей сайта (например, множественные запросы страниц сайта). Отследить и оберечься от таких атак сложнее, обычно требуется специальная настройка сервера. Подробная инструкция для защиты от DDoS.

Если ничего не предпринимать, то обычно атаки прекращаются самостоятельно через сутки-двое.

Подробнее о типах атак

Действия хостинга при DDoS-атаке на клиента

Наша система мониторинга быстро обнаруживает атаку и автоматически отключает IP-адрес сервера, на который идёт атака. Отключение происходит на 24 часа, чтобы предотвратить негативное влияние атаки на других клиентов. При определении атаки учитывается количество и размер пакетов, а также объем входящего трафика.

Если на VDS случилась атака, то вам придет письмо с темой «Ваш VDS заблокирован». В нем вы найдете список IP-адресов, с которых идет наибольшее число пакетов.

Получить доступ к серверу можно, подключив к нему дополнительный IP-адрес через личный кабинет (BILLmanager). Для сервера с виртуализацией OpenVZ этого будет достаточно, чтобы подключиться к серверу по FTP или SSH. Для KVM-сервера необходимо обратиться в поддержку с просьбой подключить IP-адрес.

Если вам нужен доступ через панель управления ISPmanager, то следует обратиться в поддержку после подключения нового IP-адреса — сотрудники перенастроят панель для работы по новому IP-адресу.

DDoS-атаки (Distributed Denial of Service)

DDoS-атака (Distributed Denial of Service) — хакерская атака на веб-сайт, главная задача которой — привести к отказу в обслуживании, при котором взаимодействие пользователей с сервисами и сайтами будет затруднено или невозможно. Ее отличие от DoS-атаки — в том, что она проводится сразу со множества устройств и адресов. Для DDoS-атак хакеры собирают ботнеты из зараженных вредоносными программами компьютеров-зомби.

Цель проведения DDoS-атаки — вымогательство денег за ее прекращение и за восстановление доступа к веб-сайту. Чаще всего злоумышленники подвергают таким нападениям сетевые ресурсы электронной коммерции, онлайн-банки, системы бронирования, букмекерские конторы, информационные сервисы, СМИ и другие организации, ведущие свой бизнес в Сети.

Существуют специальные вредоносные программы (боты), которые позволяют формировать ботнеты. Например, интернет-червь Mirai заразил более 500 000 устройств, подключенных к интернету, из которых был сформирован одноименный ботнет для рекордно мощных на тот момент DDoS-атак.

DDoS-атаки обрели первую популярность в 1999 году, когда злоумышленники атаковали веб-сайты крупнейших компаний (Yahoo, eBay, Amazon, E-Trade, CNN и многих других). Спустя год после атак на крупные корпорации была осознана необходимость принять срочные меры для борьбы с появившейся проблемой.

Классификация DDoS-атак

Основные способы DDoS-атак:

  1. HTTP-флуд. Самый распространенный способ, чья основная идея — отправка серверу такого пакета, ответом на который будет пакет гораздо большего размера. В специально сформированном запросе к серверу злоумышленник заменяет свой IP-адрес на сетевой идентификатор машины внутри сети-жертвы.
  2. ICMP-флуд. При этом типе DDoS-атаки хакер отправляет ICMP-пакет (часто — с помощью утилиты ping) усиливающей сети. IP-адрес злоумышленника в этом случае также заменяется целевым, и на сервер-жертву приходит ответ на команду, увеличенный во столько раз, сколько машин содержит усиливающая сеть. Также подобная атака может происходить с помощью UDP-пакетов.
  3. SYN-флуд. Для обмена данными компьютерным системам требуется установка соединения, и при этом на само соединение тоже выделяются компьютерные ресурсы — на которые и нацелен данный вид атак. Отправляя ложные запросы, можно использовать все ресурсы компьютерной системы, которые зарезервированы на установку соединений.  
  4. «Тяжелые пакеты». Для реализации этого метода атаки злоумышленник с помощью ботнета отправляет серверу трудные для обработки пакеты данных, которые не переполняют канал связи, но отнимают ресурсы процессора, что может привести к его перегреву или перегрузке.

Объект воздействия

Цель DDoS-атаки — вывод из строя или недоступность веб-сайта. Однако бывает так, что целью DDoS оказывается DNS-сервер (например, в 2012 году группа Anonymous планировала вывести таким образом из строя 13 корневых DNS-серверов мира, что лишило бы интернета все население Земли). Также целью может стать уязвимое веб-приложение. Отдельные DDoS-атаки организовываются ради развлечения или в знак политического протеста (скажем, акция 2007 года в честь памятника Воину-освободителю в Эстонии). Часто DDoS проводят для шантажа или вымогательства. От этого ежегодно страдает огромное количество компаний и частных лиц, ведь из-за атак их сайты становятся недоступными клиентам и не приносят дохода. Сетевые ресурсы государственных учреждений, сайты СМИ, интернет-магазины и онлайн-банки, порталы коммерческих и некоммерческих организаций — все они являются потенциальными целями DDoS-атак.

В середине 2010-х годов имело место некоторое затишье, но согласно отчету компании Qrator Labs, в 2016 году DDoS-атаки начали снова тревожить корпоративных пользователей. Несмотря на то, что многим провайдерам легко нейтрализовать атаки мощностью до 300 Гбит/с, проблемы все-таки остались. В частности, злоумышленники начали использовать зараженные серверы видеозаписи, веб-камеры, устройства интернета вещей, в которых имеются уязвимости. Из-за распространенности таких устройств атаки стали еще более масштабными.

По мнению Qrator Labs, техническим специалистам необходимо снова обращать внимание на защиту от DDoS-атак. Если прежде наблюдалось линейное увеличение мощности последних, то в 2016 году ситуация резко изменилась. Сегодня атаки могут достигать таких масштабов, что им под силу накрывать целые регионы земного шара, а это напрямую угрожает функционированию работы крупных провайдеров. 

Наибольшее «внимание» киберпреступники уделили следующим отраслям:

  • купонные сервисы,
  • платежные системы,
  • информационные агрегаторы,
  • электронная коммерция,
  • игры и игровые площадки.

Источник DDoS-атак

Источников нападений, направленных на отказ в обслуживании, множество: конкуренты, недоброжелатели, хактивисты и т.д. По данным «Лаборатории Касперского», в 2015 году DDoS-атаке подверглась каждая шестая российская компания. За 2015 год было проведено около 120 000 атак на 68 000 различных ресурсов по всему миру. Мощность потока при этом достигала 450 Гбит/с. Чаще всего DDoS-атакам подвергается крупный бизнес (20%).

Анализ риска

Противостояние DDoS-атакам — сложная задача, запросы к сайту поступают со многих направлений. От слабых DDoS-атак можно защититься: например, от HTTP-флуда поможет установка лимита подключений, от ICMP-флуда — отключение ответов на все запросы ECHO или правильно настроенный WAF, от UDP-флуда — отключение от интернета UDP-сервисов и установка лимита обращений к DNS-серверу. Однако против большинства атак, организованных профессиональными киберпреступниками и нацеленных на максимально возможный объем трафика, настройка веб-сервера ничего не даст, так как будет «забит» сам канал связи. В этом случае смогут помочь только специальные сервисы защиты.

 

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика | Блоги McAfee Что такое DDoS-атака и как она работает?

Что такое DDoS-атака и как защитить себя от схем вредоносного трафика

Представьте, что вы едете по шоссе, чтобы добраться до работы. На дороге есть и другие машины, но в целом все движутся плавно, с четким, законным ограничением скорости. Затем, когда вы приближаетесь к въездной рампе, к вам присоединяются другие машины.А потом еще, и еще, и еще, пока внезапно трафик не замедлился до ползания. Это иллюстрирует DDoS-атаку.

DDoS означает «распределенный отказ в обслуживании», и это метод, при котором киберпреступники наводняют сеть таким объемом вредоносного трафика, что она не может работать или взаимодействовать, как обычно. Это приводит к остановке обычного трафика сайта, также известного как законные пакеты. DDoS — это простой, эффективный и мощный метод, который основан на небезопасных устройствах и плохих цифровых привычках.К счастью, с помощью нескольких простых настроек ваших повседневных привычек вы можете защитить свои личные устройства от DDoS-атак.

Количество DDoS-атак растет

Расширение 5G, распространение Интернета вещей и интеллектуальных устройств, а также переход большего числа отраслей, переводящих свои операции в онлайн, открыли новые возможности для DDoS-атак. Киберпреступники пользуются этим, и в 2020 году были зафиксированы два самых крупных DDoS-нападения за всю историю. В 2020 году были запущены амбициозные атаки на Amazon и Google.Для киберпреступников нет слишком большой цели.

DDoS-атаки

— одна из наиболее проблемных областей в кибербезопасности, потому что их невероятно сложно предотвратить и смягчить. Предотвратить эти атаки особенно сложно, потому что вредоносный трафик не исходит из единого источника. По оценкам, 12,5 миллиона устройств уязвимы для использования злоумышленником DDoS.

Персональные устройства становятся бойцами DDoS-атак

Атаки

DDoS довольно просты в создании.Все, что нужно, — это два устройства, которые координируют свои действия для отправки поддельного трафика на сервер или веб-сайт. Вот и все. Например, ваш ноутбук и ваш телефон могут быть запрограммированы на формирование собственной сети DDoS (иногда называемой ботнетом, подробнее ниже). Однако даже если два устройства направят всю свою вычислительную мощность на атаку, этого все равно недостаточно для отключения веб-сайта или сервера. Сотни и тысячи скоординированных устройств необходимы, чтобы остановить целого поставщика услуг.

Чтобы создать сеть такого размера, киберпреступники создают так называемый «ботнет» — сеть скомпрометированных устройств, которые координируются для выполнения конкретной задачи.Ботнеты не всегда должны использоваться в DDoS-атаках, и при DDoS-атаках не обязательно иметь ботнет для работы, но чаще всего они работают вместе, как Бонни и Клайд. Киберпреступники создают бот-сети довольно типичными способами: заставляя людей скачивать вредоносные файлы и распространять вредоносное ПО.

Но вредоносное ПО — не единственное средство вербовки устройств. Поскольку многие компании и потребители используют неверные пароли, злоумышленники могут сканировать Интернет в поисках подключенных устройств с известными заводскими учетными данными или легко угадываемыми паролями (например, «паролем»).После входа в систему киберпреступники могут легко заразить устройство и завербовать его в свою кибер-армию.

Почему запуск DDoS-атак часто бывает успешным

Эти завербованные кибер-армии могут бездействовать, пока им не будет отдан приказ. Здесь в игру вступает специализированный сервер, называемый сервером управления и контроля (обычно сокращенно «C2»). Получив указание, киберпреступники приказывают серверу C2 выдавать инструкции скомпрометированным устройствам. Затем эти устройства будут использовать часть своей вычислительной мощности для отправки поддельного трафика на целевой сервер или веб-сайт и, , вуаля, ! Так запускается DDoS-атака.

DDoS-атаки обычно успешны из-за их распределенного характера и сложности различения между законными пользователями и поддельным трафиком. Однако они не являются нарушением. Это связано с тем, что DDoS-атаки подавляют цель, чтобы вывести ее из строя, а не украсть у нее. Обычно DDoS-атаки используются в качестве ответных мер против компании или службы, часто по политическим причинам. Однако иногда киберпреступники используют DDoS-атаки в качестве дымовой завесы для более серьезных компромиссов, которые в конечном итоге могут привести к полномасштабному взлому.

3 способа предотвратить использование ваших устройств

DDoS-атаки возможны только потому, что устройства могут быть легко скомпрометированы. Вот три способа предотвратить участие ваших устройств в DDoS-атаке:

  1. Защитите свой маршрутизатор: Маршрутизатор Wi-Fi является шлюзом в вашу сеть. Защитите его, изменив пароль по умолчанию. Если вы уже выбросили инструкции для своего маршрутизатора и не знаете, как это сделать, обратитесь к Интернету, чтобы узнать, как это сделать для вашей конкретной марки и модели, или позвоните производителю.И помните, что защита может запускаться и внутри вашего маршрутизатора. Такие решения, как McAfee Secure Home Platform, встроенная в отдельные маршрутизаторы, помогают легко управлять сетью и защищать ее.
  2. Изменить пароли по умолчанию на устройствах IoT: Многие устройства Интернета вещей (IoT), интеллектуальные объекты, которые подключаются к Интернету для повышения функциональности и эффективности, поставляются с именами пользователей и паролями по умолчанию. Первое, что вам следует сделать после извлечения своего IoT-устройства из коробки, — это изменить эти учетные данные по умолчанию.Если вы не знаете, как изменить настройку по умолчанию на своем IoT-устройстве, обратитесь к инструкциям по настройке или поищите информацию в Интернете.
  3. Используйте комплексную безопасность: Многие ботнеты координируются на устройствах без какой-либо встроенной защиты. Комплексные решения безопасности, такие как McAfee Total Protection , могут помочь защитить ваши самые важные цифровые устройства от известных вариантов вредоносного ПО. Если у вас нет пакета безопасности, защищающего ваши устройства, найдите время, чтобы провести исследование и выбрать решение, которому вы доверяете.

Теперь, когда вы знаете, что такое DDoS-атака и как от нее защититься, вы лучше подготовлены, чтобы хранить свои личные устройства в безопасности.

Что такое DDoS? — Reblaze Wiki

DDoS означает распределенный отказ в обслуживании. Как следует из названия, это атака DoS (отказ в обслуживании), которая исходит из нескольких источников одновременно.

DoS-атака (отказ в обслуживании) — это попытка заставить целевую систему перестать отвечать на запросы предполагаемых пользователей.В первые дни Интернета веб-сайты существовали на отдельных хостах, и DoS-атаки с одним источником могли быть эффективными. Сегодня это гораздо менее вероятно; сайты размещаются в облаке и / или в нескольких центрах обработки данных, интегрированы с CDN и т. д. Даже с использованием таких методов, как усиление и отражение, атаке из одного источника очень сложно получить достаточную пропускную способность, чтобы перегрузить ресурсы современного сайта.

В результате злоумышленники сегодня распределяют свои атаки по множеству источников.Это позволяет им мобилизовать потенциально огромный пул ресурсов для своих атак, что сделало DDoS серьезной проблемой сегодня.

Масштаб современных DDoS

DDoS может быть самой драматичной формой кибератаки. Ресурсы, доступные современным злоумышленникам, могут позволить совершать массовые нападения.

Текущий рекорд размера DDoS — это атака в марте 2018 года, максимальная скорость которой составила 1,7 терабит в секунду (Тбит / с). Это побило рекорд всего пятью днями ранее: 1.Атака 35 Тбит / с на GitHub.

Измерить влияние DDoS-атаки сложнее, чем измерить ее размер. Вероятно, худшим с точки зрения воздействия DDoS-атак был DDoS-атаки на Dyn в октябре 2016 года. Когда этот DNS-провайдер подвергся массированной атаке (крупнейшей из когда-либо существовавших на тот момент), клиенты в Северной Америке и Европе потеряли доступ к услугам. В список затронутых компаний входят AirBnB, Twitter, Zillow, правительство Швеции и многие другие.

Среди других заметных атак за последние годы:

  • Атака PopVote 2014 (500 Гбит / с), направленная на массовое движение в Гонконге, известное как Occupy Central.Движение выступало за более демократическую систему голосования.
  • Атака 2014 г. на Cloudflare (400 Гбит / с)
  • Атака 2013 г. на Spamhaus (300 Гбит / с).
  • Серия атак 2012 г. на несколько банков США (60 Гбит / с). Среди жертв были крупные национальные учреждения: Bank of America, JP Morgan Chase, U.S. Bancorp, Citigroup и PNC Bank.

В 2017 году Cisco прогнозировала, что к 2021 году количество DDoS-атак, превышающих 1 гигабит в секунду, возрастет до 3.1 миллион. Это в 2,5 раза больше, чем в 2016 году.

Масштаб — не единственная проблема

DDoS может быть очень драматичным, как видно из перечисленных выше инцидентов. Конечно, большинство DDoS-атак намного меньше этих.

Но это не означает, что руководители могут расслабиться и игнорировать угрозу DDoS. Чтобы атака была эффективной, не обязательно, чтобы ее масштаб был рекордным. Просто он должен быть достаточно большим, чтобы преодолеть защиту вашего сайта.

Сегодняшние злоумышленники имеют доступ к множеству дешевых и доступных ресурсов DDoS.Успешные атаки становятся еще проще благодаря различным типам DDoS-атак, которые используют усиление и отражение для увеличения своего воздействия.

Кто подвержен риску

У злоумышленников сегодня есть разные мотивы для проведения DDoS-атак. Мотивы включают:

  • Прямая денежная выгода (обычно от вымогательства DDoS: начало и поддержание атаки до тех пор, пока не будет выплачен выкуп).
  • Косвенная денежная выгода (например, сайт розничной торговли атакует конкурента во время сезона праздничных покупок, чтобы украсть часть его продаж).
  • Политические мотивы (например, правительственные DDoS-атаки на СМИ, которые оно считает враждебными, или политические активисты, которые они считают опасными).
  • Месть.
  • Троллинг (скриптовые детишки атакуют просто ради развлечения).
  • И другие.

Список жертв DDoS включает сайты любого размера и типа. Если на ваш сайт в последнее время не попадали, скорее всего, скоро это случится.

Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка вывести из строя веб-сервер или онлайн-систему, перегружая ее данными.DDoS-атаки могут быть простыми озорством, местью или хактивизмом и могут варьироваться от незначительного раздражения до длительного простоя, приводящего к потере бизнеса.

хакеров поразили GitHub DDoS-атакой со скоростью 1,35 терабайта данных в секунду в феврале 2018 года. Это масштабная атака, и сомнительно, что она станет последней в своем роде.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защитная работа.”

В отличие от программ-вымогателей или атак со стороны APT-групп, которые имеют финансовую мотивацию, DDoS-атаки более разрушительны и раздражают. Насколько плохо это может быть? Тысячи заядлых игроков не смогли попасть в Classic WoW из-за DDoS-атаки! Дело в том, что злоумышленники не зарабатывают на DDoS-атаках — они просто делают это, чтобы причинить боль.

Как работает DDoS-атака?

DDoS-атаки чаще всего работают через бот-сети — большую группу распределенных компьютеров, которые действуют согласованно друг с другом, одновременно рассылая спам веб-сайта или поставщика услуг с запросами данных.

Злоумышленники используют вредоносное ПО или незащищенные уязвимости для установки программного обеспечения Command and Control (C2) в системы пользователя для создания ботнета. DDoS-атаки полагаются на большое количество компьютеров в ботнете для достижения желаемого эффекта, и самый простой и дешевый способ получить контроль над этим количеством машин — использовать эксплойты.

Атака DYNDNS использовала камеры WIFI с паролями по умолчанию для создания огромного ботнета. Когда ботнет готов, злоумышленники отправляют команду запуска на все свои узлы ботнета, а затем ботнеты отправляют свои запрограммированные запросы на целевой сервер.Если атака преодолевает внешнюю защиту, она быстро разрушает большинство систем, вызывает сбои в обслуживании, а в некоторых случаях приводит к сбою сервера. Конечным результатом DDoS-атаки является в первую очередь потеря производительности или прерывание обслуживания — клиенты не видят веб-сайт.

Хотя это может показаться безобидным, стоимость DDoS-атаки в 2017 году составила в среднем 2,5 миллиона долларов. Kaspersky сообщает, что DDoS-атаки обходятся малым предприятиям в 120 000 долларов, а предприятиям — в 2 000 000 долларов. Хакеры используют DDoS-атаки для чего угодно — от детских розыгрышей до мести бизнесу и выражения политической активности.

DDoS-атаки являются незаконными в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях. Запуск DDoS-атаки на сеть без разрешения обойдется вам до 10 лет тюрьмы и до 500000 долларов штрафа.

В чем разница между DoS-атакой и DDoS-атакой?

Атака отказа в обслуживании (DoS) включает в себя множество видов атак, каждая из которых предназначена для нарушения работы служб. В дополнение к DDoS вы можете использовать DoS на уровне приложений, расширенный постоянный DoS и DoS как услугу. Компании будут использовать DoS как услугу для стресс-тестирования своих сетей.

Короче говоря, DDoS — это один из типов DoS-атаки, однако DoS также может означать, что злоумышленник использовал один узел для инициирования атаки вместо использования ботнета. Оба определения верны.

Что означает DDoS-атака для моей безопасности?

Вам необходимо подготовиться и спланировать управление DDoS-атакой на ваши системы. Вам необходимо отслеживать, генерировать оповещения и быстро диагностировать текущую DDoS-атаку. Следующим шагом будет быстрое прекращение атаки, не затрагивая ваших пользователей.Вы можете заблокировать IP-адреса с помощью межсетевого экрана нового поколения или закрыть входящий трафик целевой системы и переключиться на резервную копию. Есть и другие планы реагирования, которые вы можете реализовать, убедитесь, что они у вас есть.

Распространенные типы DDoS-атак

Существует несколько различных способов, с помощью которых злоумышленники могут продолжить DDoS-атаку. Вот некоторые из наиболее известных:

Атаки на уровне приложения

DDoS-атаки на уровне приложений направлены на исчерпание ресурсов цели и нарушение доступа к веб-сайту или службе цели.Злоумышленники загружают ботов сложным запросом, который взимает плату с целевого сервера, когда он пытается ответить. Запрос может потребовать доступа к базе данных или больших загрузок. Если цель получит несколько миллионов таких запросов за короткое время, она может очень быстро перегрузиться и либо замедлиться до обхода, либо полностью заблокироваться.

Атака HTTP Flood, например, представляет собой атаку уровня приложения, которая нацелена на веб-сервер на цели и использует множество быстрых HTTP-запросов для остановки сервера.Думайте об этом как о нажатии кнопки обновления в режиме быстрой стрельбы на игровом контроллере. Такой трафик сразу со многих тысяч компьютеров быстро затопит веб-сервер.

Протокол атак

DDoS-атаки по протоколу

нацелены на сетевой уровень целевых систем. Их цель — перегрузить табличные пространства основных сетевых служб, брандмауэра или балансировщика нагрузки, который перенаправляет запросы к цели.

Как правило, сетевые службы работают с очередью «первым пришел — первым вышел» (FIFO).Приходит первый запрос, компьютер обрабатывает запрос, а затем он идет и получает следующий запрос в очереди и так далее. Теперь в этой очереди есть ограниченное количество мест, и при DDoS-атаке очередь может стать настолько большой, что у компьютера не будет ресурсов для обработки первого запроса.

Атака SYN-флуда — это атака определенного протокола. В стандартной сетевой транзакции TCP / IP есть трехстороннее рукопожатие. Это SYN, ACK и SYN-ACK. SYN — это первая часть, которая представляет собой какой-то запрос, ACK — это ответ от цели, а SYN-ACK — это исходный запросчик, говорящий: «Спасибо, я получил запрошенную информацию.«При атаке SYN-флуда злоумышленники создают SYN-пакеты с поддельными IP-адресами. Затем цель отправляет ACK на фиктивный адрес, который никогда не отвечает, а затем сидит там и ждет, пока все эти ответы истекут, что, в свою очередь, истощает ресурсы для обработки всех этих поддельных транзакций.

Объемные атаки

Цель объемной атаки — использовать ботнет для генерации большого объема трафика и блокирования работ на цели. Думайте об атаке HTTP Flood, но с добавленным компонентом экспоненциального ответа.Например, если вы и 20 ваших друзей позвонили в одну и ту же пиццерию и одновременно заказали 50 пирогов, эта пиццерия не сможет выполнить эти запросы. Объемные атаки работают по тому же принципу. Они запрашивают у цели что-то, что значительно увеличивает размер ответа, а объем трафика резко возрастает и забивает сервер.

DNS Amplification — это разновидность объемной атаки. В этом случае они атакуют DNS-сервер напрямую и запрашивают обратно большой объем данных с DNS-сервера, что может вывести DNS-сервер из строя и нанести вред любому, кто использует этот DNS-сервер для служб разрешения имен.

Как предотвратить DDoS-атаки?

Как GitHub пережил эту массовую DDoS-атаку? Конечно же, планирование и подготовка. После 10 минут периодических отключений серверы GitHub активировали свою службу защиты от DDoS-атак. Служба смягчения последствий перенаправила входящий трафик и очистила вредоносные пакеты, и примерно через 10 минут злоумышленники сдались.

Помимо оплаты услуг по предотвращению DDoS-атак от таких компаний, как Cloudflare и Akamai, вы можете использовать стандартные меры безопасности конечных точек.Исправьте свои серверы, отключите серверы Memcached от открытого Интернета и обучите пользователей распознавать фишинговые атаки.

Вы можете включить Black Hole Routing во время DDoS-атаки, чтобы отправить весь трафик в бездну. Вы можете установить ограничение скорости, чтобы ограничить количество запросов, которые сервер получает за короткий промежуток времени. Правильно настроенный брандмауэр также может защитить ваши серверы.

Varonis контролирует ваши DNS, VPN, прокси-серверы и данные, чтобы помочь обнаружить признаки надвигающейся DDoS-атаки на вашу корпоративную сеть.Varonis отслеживает модели поведения и генерирует предупреждения, когда текущее поведение соответствует модели угрозы или отклоняется от стандартного поведения. Это может включать атаки вредоносных ботнетов или значительное увеличение сетевого трафика, указывающее на DDoS-атаку.

DDoS-атак сегодня

Как и все остальное в вычислительной технике, DDoS-атаки развиваются и становятся все более разрушительными для бизнеса. Размеры атак увеличиваются: со 150 запросов в секунду в 1990-х годах, что привело бы к отказу серверов той эпохи, до недавней атаки DYNDNS и атаки GitHub на уровне 1.2 ТБ и 1,35 ТБ соответственно. Целью обеих этих атак было подорвать два основных источника производительности по всему миру.

В этих атаках использовались новые методы для достижения огромной пропускной способности. Атака Dyn использовала эксплойт, обнаруженный в устройствах Интернета вещей (IoT), для создания ботнета, который называется атакой Mirai Botnet. Mirai использовала открытые порты Telnet и пароли по умолчанию, чтобы захватить камеры с поддержкой WiFi для выполнения атаки. Эта атака была детской шуткой, но представляла собой серьезную уязвимость, которая связана с распространением устройств IoT.

Атака GitHub использовала многие тысячи серверов, на которых запущена Memcached в открытом Интернете, система кэширования памяти с открытым исходным кодом. Memcached с радостью отвечает огромными объемами данных на простые запросы, поэтому оставлять эти серверы в открытом Интернете категорически запрещено.

Обе эти атаки показывают значительный риск будущих эксплойтов, особенно по мере того, как вселенная Интернета вещей продолжает расти. Насколько весело было бы, если бы ваш холодильник стал частью ботнета? С другой стороны, атака даже не остановила GitHub.

Более того, выполнение DDoS-атак никогда не было таким простым. Имея несколько доступных вариантов DDoS-as-a-Service, злоумышленники могут заплатить символическую плату за «аренду» ботнета зараженных компьютеров для выполнения DDoS-атаки против выбранной ими цели.

В сентябре 2019 года злоумышленники поразили как Википедию, так и классический World of Warcraft с помощью DDoS-атак. В настоящее время нет никаких признаков того, что эти атаки являются новой технологией, но следите за обновлениями.

Часто задаваемые вопросы о DDoS-атаках

Краткий обзор ответов на часто задаваемые вопросы о DDoS-атаках.

Q: Что происходит во время DDoS-атаки?

A: Во время DDoS-атаки распределенные компьютеры — ботнет — рассылают цели как можно больше запросов данных.

Q: Являются ли DDoS-атаки незаконными?

A: Да, незаконно использовать методы DDoS для нарушения работы цели без разрешения. Рекомендуется организовать тренировку по DDoS-атакам, чтобы вы могли практиковать свой план реагирования на инциденты для DDoS-атак, которые являются законным использованием DDoS.

Вопрос: Какой канал связи обычно используется для организации атаки при DDoS-атаке?

A: Запросы HTTP, DNS и TCP / IP — распространенные протоколы, используемые для DDoS-атак.

DDoS-атаки могут быть разрушительными, поэтому используйте упреждающий подход и создайте план реагирования на инциденты, чтобы быстро реагировать. Уникальное сочетание возможностей мониторинга и обнаружения угроз Varonis дает вам преимущество в реализации стратегии DDoS.

Посетите веб-семинар Live Cyber ​​Attack Demo, чтобы увидеть Varonis в действии.

Что такое DDoS — программа Check Point

DDoS-угроз

DDoS-инцидентов тесно связаны с ботнетами, когда хакеры берут на себя управление и контроль над тысячами подключенных к Интернету устройств, а затем при скоординированных атаках направляют все эти устройства для одновременной отправки запросов к цели.Однако в последние годы группы хактивистов и преступные организации все чаще стали использовать инструменты атак, которые легко получить и которые просты в использовании. Эти приложения для DDoS-атак, такие как WebHive LOIC, возникли как инструменты для профессионалов в области кибербезопасности, позволяющие проводить «стресс-тестирование» на веб-сайтах. В автономных случаях они не способны провести серьезную DDoS-атаку. Однако, когда несколько приложений stresser скоординированы вместе, будь то через ботнет или через облачную службу, эти инструменты атаки могут отключать большие коммерческие веб-сайты на длительные периоды времени.

Ключевые выводы

Слишком часто серьезные изменения в политике происходят только тогда, когда произошла катастрофа; только тогда будет достаточно общественного спроса, безотлагательности и политической воли, чтобы пойти на уступки и добиться реальных изменений. Решение глобальных распределенных атак типа «отказ в обслуживании» может быть достигнуто до того, как разразится такая катастрофа.Как описано здесь, смягчение многих серьезных DDoS-атак возможно за счет практического сотрудничества всего нескольких глобальных сторон. Что еще более важно, это может быть упражнение в решении простой проблемы, работая вместе, а не стоя в одиночестве.

Создание архитектуры безопасности, которая позволяет обнаруживать, предотвращать DDoS-атаки и реагировать на них, является критическим шагом в любом эффективном плане кибербезопасности. DDoS-атаки (распределенный отказ в обслуживании) представляют собой растущую угрозу.Массовые перебои в обслуживании розничных продавцов известных брендов и крупных финансовых организаций по-прежнему привлекают наибольшее внимание средств массовой информации. Однако факт в том, что хакеры обычно нацелены на организации в правительстве, образовании, сфере туризма и гостеприимства, в сфере технологий, коммунальных услуг и других секторах с менее интенсивными DDoS-атаками, которые труднее обнаружить и устранить.

Что такое DDoS? Определение и часто задаваемые вопросы

Определение DDoS

DDoS расшифровывается как «распределенный отказ в обслуживании», злонамеренная попытка злоумышленника запретить законным пользователям доступ к серверу или сетевому ресурсу путем перегрузки его искусственным трафиком.

Часто задаваемые вопросы

Что такое DDoS?

Распределенный отказ в обслуживании (DDoS) — это результат кибератаки, при которой сервер или сетевой ресурс становятся недоступными для легитимного пользовательского трафика. Отказ в обслуживании происходит в результате атаки — преднамеренного прерывания работы целевого хоста, подключенного к Интернету, злоумышленником (злоумышленником).

Что такое DDoS-атака и как она работает?

DDoS — это тип атаки типа «отказ в обслуживании» (DoS), при которой злоумышленник злонамеренно пытается нарушить нормальный трафик целевой сети или сервера, затопляя окружающую инфраструктуру Интернет-трафиком.Обычно это связано с кооптированием большого количества клиентских устройств с троянским вирусом и их координацией для одновременной отправки запросов к одному и тому же ресурсу. Популярные для хакеров из-за своей простоты, DDoS-атаки также могут быть доступными, если не прибыльными, побуждая злоумышленников или «хактивистов» обратиться к этой форме кибератак.

Как правило, DDoS-атака злонамеренно наводняет IP-адрес тысячами сообщений с использованием распределенных (управляющих) серверов и ботнетов.Жертвы атаки не могут получить доступ к системам или сетевым ресурсам для выполнения законных запросов из-за нежелательного трафика, снижающего производительность сети.

Типы DDoS-атак

Типы DDoS-атак варьируются от тех, которые приводят к сбою сервисов, до тех, которые наводняют сервисы. Сегодняшние три основные категории DDoS-атак: объемных атак, , ориентированных на пропускную способность сети, атак по протоколу, , направленных на ресурсы сервера, и атак приложений, , направленных на веб-приложения.Некоторые из наиболее распространенных инструментов DDoS включают:

• SYN Flood — синхронизированный (SYN) Flood использует слабые места в последовательности TCP-соединения, также известной как трехстороннее рукопожатие.

• HTTP Flood — отправляет искусственные запросы GET или POST для максимального использования ресурсов сервера.

• UDP Flood — атака по протоколу пользовательских дейтаграмм (UDP) нацелена на случайные порты компьютера или сети с UDP-пакетами.

• Атака Smurf — этот тип атаки использует IP и протокол управляющих сообщений Интернета (ICMP) с помощью вредоносной программы smurf.

• Fraggle Attack — аналогично атаке smurf, Fraggle-атака применяет большие объемы UDP-трафика к широковещательной сети маршрутизатора с использованием UDP, а не ICMP.

• Shrew Attack — атакует TCP с помощью коротких синхронизированных пакетов трафика по одному и тому же каналу.

• Ping of Death — манипулирует IP, отправляя вредоносные эхо-запросы в систему.

• Slowloris — использует минимальные ресурсы во время атаки, ориентируясь на веб-серверы аналогично HTTP-лавинной рассылке, сохраняя соединение с целью открытым как можно дольше.

• Атаки на уровне приложений — устраняют определенные слабые места в приложениях, а не на сервере в целом.

• NTP Amplification — использует серверы Network Time Protocol (NTP) с помощью усиленной атаки отражения.

Как остановить DDoS-атаку

Важно установить лучшую защиту от DDoS-атак для вашего бизнеса, чтобы предотвратить DDoS-атаки, которые могут поставить под угрозу данные и интеллектуальную собственность вашей компании. Защита от DDoS-атак, также известная как предотвращение DDoS-атак, имеет решающее значение для компаний, поскольку количество угроз DDoS растет.Средняя недельная DDoS-атака стоит менее 200 долларов, и более 2000 из них происходят по всему миру каждый день. Фирмы часто платят небольшую часть стоимости услуг по предотвращению DDoS-атак по сравнению с ущербом, который несут жертвы атаки.

Если у вас в настоящее время нет плана по предотвращению DDoS-атак, сейчас хорошее время для начала. Защита от DDoS-атак включает несколько различных подходов, таких как решения для самостоятельной работы, локальные инструменты и облачные решения.

Защита от DDoS-атак своими руками

Этот метод является наименее дорогим, но часто считается слабым и неадекватным для онлайн-бизнеса с приличным трафиком.Основная цель большинства самодельных средств защиты — остановить атаки флуда путем реализации пороговых значений трафика и правил занесения в черный список IP-адресов.

Эти настройки защиты от DDoS-атак являются реактивными по своей природе, обычно срабатывают после первоначальной атаки. Хотя такой подход может помешать будущим атакам, большинство злоумышленников могут адаптировать и модифицировать свои методы. Более того, ограничения пропускной способности сети с решениями DIY обычно оказываются неэффективными, поскольку компаниям не хватает масштабируемости для защиты от атак.

Локальная защита от DDoS-атак

Этот подход добавляет дополнительный уровень аппаратных устройств, развернутых на месте в центрах обработки данных клиентов, вместе с другим сетевым оборудованием и серверами.Локальная защита часто может быть дорогостоящим вариантом защиты от DDoS-атак.

Преимущества расширенной фильтрации трафика, предлагаемой локальными решениями для защиты от DDoS-атак, включают низкую задержку, контроль данных и соответствие строгим нормам в определенных отраслях. К недостаткам относятся более высокая стоимость защиты от DDoS-атак, необходимость ручного развертывания в случае атаки и ограничения доступной полосы пропускания.

Защита облачного сервера от DDoS атак

Внешние облачные решения — это аутсорсинговые сервисы, которые требуют меньше инвестиций в управление или обслуживание, чем другие сервисы предотвращения DDoS-атак, и при этом обеспечивают эффективную защиту от угроз как на уровне сети, так и на уровне приложений.Эти службы развертываются как постоянно работающие или по запросу и могут эластично масштабировать ресурсы для противодействия DDoS-атакам. Такие службы, как сеть доставки контента (CDN), могут направлять трафик, фильтруя трафик, выгружая вредоносные запросы и отправляя на веб-сайт только трафик, который определен как «безопасный».

Always-on services включает перенаправление DNS-сервера, уделяя особое внимание смягчению атак на уровне приложений, которые истощают ресурсы сервера. Опция по требованию смягчает атаки сетевого уровня, нацеленные на основные компоненты сетевой инфраструктуры, такие как UDP-лавин, за счет эластичного масштабирования услуг.

DoS против DDoS

DoS-атака — это атака типа «отказ в обслуживании», при которой один или несколько компьютеров используются для наводнения сервера пакетами TCP и UDP, чтобы перегрузить мощность целевого сервера и сделать его недоступным для обычных пользователей. DDoS-атака — один из наиболее распространенных типов DoS-атак, использующий несколько распределенных устройств для нацеливания на одну систему. Этот тип атак часто более эффективен, чем другие типы DoS-атак, поскольку злоумышленник может использовать больше ресурсов, что усложняет восстановление.

Предлагает ли Avi защиту от DDoS-атак?

VMware NSX Advanced Load Balancer от Avi Networks защищает и смягчает DDoS-атаки, выявляя угрозы, информируя администраторов и автоматически защищаясь от этих атак. Некоторые из функций, которые используются для этого, — это защита от переполнения TCP SYN, защита HTTP от DDoS, фильтрация URL-адресов, ограничение скорости подключения для каждого клиента, ограничение скорости подключения для клиентов, определенных пользователем, ограничение максимальной пропускной способности для VS, ограничение максимального количества одновременных подключений для VS и Ограничение максимального количества одновременных подключений на сервере.

Кроме того, эластичные сервисы приложений Avi обеспечивают автоматическое масштабирование сервисов по требованию во время атаки, что дает администраторам время, необходимое для работы по смягчению последствий атаки при сохранении качества обслуживания. Узнайте об автомасштабировании Avi’s Software Load Balancer здесь.

Что такое DDoS-атака? Распределенный отказ в обслуживании

Как долго длится DDoS-атака?

Продолжительность DDoS-атаки может быть разной. Такие атаки, как «Звон смерти», могут быть короткими.Приступ Slowloris развивается дольше. Согласно отчету Radware, 33% DDoS-атак длятся час; 60 процентов длится менее одного дня; а 15 процентов — до месяца.


Зачем кому-то проводить DDoS-атаку?

Существует множество мотивов для DDoS-атак, от нарушения работы служб до шпионажа и кибервойны. Вот некоторые общие мотивы:

  • Сделать политическое заявление (хактивизм)
  • Нарушение связи и основных услуг
  • Получите конкурентное преимущество
  • Получать финансовую выгоду путем вымогательства, воровства и т. Д.
  • Нанести ущерб бренду / репутации
  • Украсть или уничтожить конфиденциальную информацию или интеллектуальную собственность
  • Запустить атаку программы-вымогателя
  • Вести кибервойну

Какие отрасли становятся объектами атаки и почему?

В то время как DDoS-атаки представляют собой угрозу для всех предприятий и всех отраслей, DDoS-атаки чаще всего нацелены на следующие:

  • Онлайн-игры и азартные игры : для получения конкурентного преимущества или финансовой выгоды.
  • Поставщики услуг : для кражи данных, подслушивания, нарушения работы основных служб или нанесения ущерба репутации.
  • Облачные сервисы (AWS, Azure и т. Д.): Для кражи данных, подслушивания, нарушения работы основных служб или нанесения ущерба репутации.
  • Правительства : для кражи интеллектуальной собственности, нарушения работы, подслушивания, шпионажа или получения конкурентного преимущества.
  • Финансовые услуги : для получения финансовой выгоды, нанесения ущерба репутации, доступа к конфиденциальным данным или нарушения работы.
  • Интернет-магазины : для нарушения работы, получения конкурентного преимущества, нанесения ущерба репутации или кражи интеллектуальной собственности.

Пять шагов к защите вашей организации от DDoS-атак

DDoS — Что это такое и как защитить себя

DoS против DDoS

Отказ в обслуживании (DoS) может исходить из одного источника. С другой стороны, DDoS-атака исходит от десятков, сотен или даже тысяч отдельных устройств (обычно без ведома их владельцев).

Два типа DDoS-атак

Существует два основных типа DDoS-атак. Это:

  • Объемные атаки — это включает отправку большого количества нежелательных данных на заданный IP-адрес. Он настолько велик, что подключение к Интернету не может принять его.
  • Атаки на приложения — это означает исчерпание ИТ-резервов интернет-приложения (например, вычислительной мощности или памяти). Этот тип DDoS-атаки намного опаснее, потому что его сложнее обнаружить из-за действия, напоминающего «настоящие» задачи, которые человек выполняет для приложения.

Что делать, если вы стали жертвой DDoS-атаки?

Прежде всего, стоит помнить, что то, что ваш сайт работает немного медленнее, не всегда означает, что произошла DDoS-атака. Часто это происходит просто из-за увеличения посещаемости сайта. Однако если ситуация повторяется слишком часто, стоит предпринять соответствующие шаги.

В такой ситуации позвоните в компанию, у которой размещен ваш сервер. Таким образом, вы сможете подтвердить, что DDoS-атака произошла.Если нападение действительно произошло, сообщите об этом в полицию, чтобы установить личность преступника. Конечно, для этого вам понадобятся доказательства, поэтому убедитесь, что у вас есть подготовленные журналы сервера.

Защита от DDoS-атак

Существует несколько методов защиты от DDoS-атак. Это может включать блокировку регионов, из которых можно получить доступ к веб-сайту (есть определенные регионы, откуда происходят больше атак).

Еще один, лучший способ защиты от DDoS — это использование правильного программного обеспечения.Для этого есть интегрированные функции в межсетевые экраны или UTM (для небольших объемов данных), собственные устройства DoS для очень больших объемов данных и центры обработки данных или даже облачные службы, где доступ к веб-серверу направляется в центр обработки данных оператор и связь с сервером компании происходит только в фоновом режиме. Таким образом, вы переносите уязвимость из своей собственной структуры в большую распределенную с большей вычислительной мощностью и более быстрым подключением к Интернету. В этом случае очень много помогает! Хорошая программа также должна генерировать отчеты и статистику, которые еще больше повышают эффективность защиты.ТАКЖЕ, вместе с компетентными ИТ-партнерами на месте, оказывает поддержку в выборе подходящей программы.

DDoS-атаки могут случиться со всеми компаниями. Однако стоит знать об угрозе и быть готовым предпринять соответствующие шаги в случае атаки. Итак, помните не только о том, чтобы как следует защитить себя, но и о том, чтобы подготовить план действий в случае возникновения проблемы.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *