DDoS-атаками называются нападения на интернет-ресурсы с целью лишить их возможности обработки запросов пользователей. В результате сетевой ресурс какой-нибудь гос. организации или крупной компании начинает работать с перебоями – пользователи не могут получить нужные данные, услуги, заказать товары и так далее.
На английском название такой угрозы звучит как Distributed Denial of Service, что в переводе на русский язык означает «распределенный отказ от обслуживания».
Причины таких нападений на веб ресурсы могут быть разными: личная неприязнь, политический протест, стремление поразвлечься, шантаж, конкуренция. Атакам могут подвергнуться как крупные информационные порталы, так и небольшие сайты блогеров. Поэтому важно знать, как распознать угрозу и как защититься от нее.
Механизм работы
Во время Ddos-атаки сервер буквально засыпается запросами пользователей. Но возможности веб-серверов по количеству запросов, которые они могут обработать одновременно, и показатели пропускной способности канала ограничены – это ведет к перебоям в работе интернет-ресурса.
Эффект достигается при помощи специального вредоносного ПО – зомби-сетей или ботнеров. Оно рассылается вместе с какой-нибудь безобидной программой по разным каналам – электронной почте, социальным сетям, сайтам. И встраивается в компьютеры пользователей, которые имели неосторожность скачать «троян», часто просто открыв электронное письмо или кликнув по интересной ссылке.
При желании организовать DDoS-атаку ее организатор (хакер) дает команду компьютерам, зараженным вредоносным ПО, отправлять запросы на определенный сервер. И он буквально захлебывается в этом потоке, его работа тормозится, а то и вовсе замирает. Мишенью чаще всего становятся DNS-сервер, его пропускной канал и интернет-соединение.
И пока сотрудники пострадавшей организации заняты восстановлением нормальной работы сервера, злоумышленники могут попытаться взломать базу данных. Частота таких атак за несколько последних лет увеличилась в два с половиной раза.
Признаки DDoS-атаки
Понять, что сервер атакуют, можно по нескольким признакам.
- Возникают сбои в функционировании программного обеспечения сервера, и они учащаются. Сервер зависает, резко некорректно завершает работу и так далее.
- Входящий трафик молниеносно растет – на нескольких портах или на одном.
- Аппаратные мощности сервера начинают испытывать нагрузки, которые в десятки, а то и сотни раз превышают обычные.
- Появляется много похожих запросов пользователей, которые не относятся к целевой аудитории ресурса.
- Действия пользователей одного типа много раз дублируются: закачиваются файлы, совершается переход на сайт и так далее.
Классификация типов DDoS-атак
Такие массированные нападения в зависимости от уровня, на котором они происходят, делятся на несколько основных видов.
- Протокольные – транспортные, направленные на сетевой уровень веб-ресурса или сервера с целью перегрузить табличное пространство межсетевого экрана – брандмауэра. К наиболее частым типам атак относится сетевой флуд, при котором формируется массированный поток пустых запросов, буквально забивающий каналы связи.
- На инфраструктурном уровне работают прикладные атаки. Они используются для захвата и выведения из строя аппаратных ресурсов сервера – памяти (физической или оперативной), процессорного времени. Для этого на ресурс отправляются «тяжелые» пакеты: процессор не справляется со сложными вычислениями, начинает работать с перебоями, посетители не могут попасть на сайт.
- На уровне приложений ddos-атаки работают за счет ошибок, допущенных, когда создавался программный код. Сюда относятся Ping of death, когда отправляются длинные пакеты, что приводит к переполнению буфера.
Более сложной конструкцией обладают DNS-атаки, когда заменяется IP-адрес в кеше сервера – и пользователи идут на подставную страницу.
Предотвращение и защита от DDoS-атак
Защититься можно, используя несколько способов в комплексе.
- Специальные фильтры. Их устанавливает провайдер интернета на каналах, где есть большая пропускная способность.
- Вторая необходимая мера – установка исключительно качественного ПО. Любые упущения при его написании могут стать лазейкой для вредоносных атак. Кроме того, программное обеспечение требуется регулярно обновлять.
- Третий рецепт – ограничивать доступ к возможностям администрирования сервером или сайтом. Для этого важно защитить аккаунт при помощи сложных паролей, которые стоит часто менять.
- Четвертое – выполнять сканирование системы на уязвимости, для чего использовать брандмауэры для приложений.
- Пятое – использовать CDN, сеть, доставляющая контент через распределенные сети. Сортировка трафика по разным серверам позволяет уменьшить задержки в их работе, когда идет большое число запросов.
- Шестое – отслеживать входящий трафик, используя контроль списка доступа лиц – ACL.
- Седьмое – регулярно чистить кеш DNS-сервера.
- Восьмое – применять защиту от спам-ботов.
- Девятое – размещать свои ресурсы не на одном, а нескольких серверах, которые не зависят друг от друга.
- Десятое – пользоваться защитными аппаратными средствами: Impletec iCore, DefensePro и другими.
Используйте надежный хостинг WEBNAMES, в котором уже произведены все необходимые меры по защите от ddos-атак.
Самое страшное в DDoS-атаках
Главная опасность – в возможности совершения таких атак против любых программ, у которых есть выход в сеть. Этого достаточно, чтобы направлять «ядовитые» запросы, блокирующие работы сервера. При желании атаковать небольшой интернет-сервис хватит обычного, не самого мощного, ноутбука.
Каждый день в мире проводится около двух тысяч атак, малый и средний бизнес теряет за одно такое нападение в среднем 50 тысяч долларов, а крупный – полмиллиона и более.
Что делать во время DDoS-атаки
Когда атака уже началась, можно заблокировать трафик, идущий от источников запросов. Для этого используются межсетевые экраны или списки ACL.
Можно направить трафик на самого злоумышленника, создав таким образом встречную атаку.
Как защищают сервисы
Защититься от Ddos-атак возможно, если использовать сразу несколько инструментов и постоянно помнить о риске таких нападений.
Наиболее эффективным способом является перенаправление всего интернет-трафика, который приходит на сайт, на сервер специального программно-аппаратного комплекса. Здесь трафик очищается – и лишь после этого направляется клиенту. Для исходящего потока используются другие серверы. Постоянно ведется мониторинг и используется выделенный IP-адрес, что позволяет скрыть реальный.
Стоят такие услуги недешево, но зато помогают эффективно защититься от Ddos-атак и не допустить сбоев в работе сервер или сайта.
29/06/2021
Полезные статьи
