В современном цифровом мире существуют различные виды сетевых атак нацеленные на веб-приложения и сервисы, целью которых является выведение систем из строя или похищение данных. Одной из самых распространённых сетевых атак является DDoS-атака. Сегодня мы подробно рассмотрим, что представляет собой DDoS-атака, а также способы защиты от неё.
Что такое DDoS-атаки
DDoS-атаки (скоращение от англ. Distributed Denial of Service — распределённый отказ в обслуживании) — это разновидность кибератак, цель которых заключается в выводе из строя серверов, сетей или веб-ресурсов, чтобы сделать их недоступными для пользователей. Злоумышленники используют множество различных устройств, часто объединённых в ботнеты, с целью отправки огромного количества запросов к целевой системе, перегружая её ресурсы. В отличие от других видов атак, цель DDoS состоит не в краже пользовательских данных, а в нарушении работы одного или нескольких сервисов.
Причины и последствия DDoS-атак
Причины использования DDoS-атак могут быть самыми разными: от злонамеренного уничтожения данных (кибервандализм), конкуренции и вымогательства, заканчивая личной местью. Также DDoS-атаки могут использоваться для отвлечения внимания, выступая в роли прикрытия для реализации других кибератак (кража данных и т. д.).
Последствия такой атаки могут быть разрушительными и включают:
Финансовые потери: при недоступности системы пользователи не смогут использовать её функционал. Это можно показать на примере интернет-магазина или веб-сайта по покупке авиабилетов. Все эти случаи приводят к убыткам из-за потери клиентов.
Репутационные риски: если использовать ресурс нельзя, пользователи теряют к нему доверие и переходят на ресурсы конкурентов.
Операционные проблемы: перегрузка и недоступность инфраструктуры может нарушить внутренние процессы компании.
Юридические риски: компании, предоставляющие услуги по договору SLA, могут столкнуться с юридическими претензиями из-за недоступности критически важных услуг и систем.
Последствия такой атаки могут быть разрушительными и включают:
Финансовые потери: при недоступности системы пользователи не смогут использовать её функционал. Это можно показать на примере интернет-магазина или веб-сайта по покупке авиабилетов. Все эти случаи приводят к убыткам из-за потери клиентов.
Репутационные риски: если использовать ресурс нельзя, пользователи теряют к нему доверие и переходят на ресурсы конкурентов.
Операционные проблемы: перегрузка и недоступность инфраструктуры может нарушить внутренние процессы компании.
Юридические риски: компании, предоставляющие услуги по договору SLA, могут столкнуться с юридическими претензиями из-за недоступности критически важных услуг и систем.
Виды DDoS-атак
DDoS-атаки классифицируются по трём основным типам:
Атаки на сетевом уровне (уровни L3-L4): направлены на перегрузку каналов связи или сетевой инфраструктуры. К таким атакам относятся следующие:
Атаки на уровне приложений (уровень L7): направлены на исчерпание ресурсов веб-приложений и сервисов путём имитации реального сетевого трафика. Выделяют такие атаки, как:
Атаки на инфраструктуру: атаки, целью которых является вывод из строя инфраструктурных компонентов. Например:
- по сетевой модели OSI;
- по протоколам;
- по механизму воздействия.
Атаки на сетевом уровне (уровни L3-L4): направлены на перегрузку каналов связи или сетевой инфраструктуры. К таким атакам относятся следующие:
- UDP-флуд — атака, в основу которой заложено использование пакетов протокола UDP. Смысл заключается в том, что происходит отправка большого количества UDP-пакетов на случайные порты, заставляя сервер тратить ресурсы на их обработку.
- ping-флуд — атака, суть которой заключается в перегрузке сервера ping-запросами (пакеты типа ICMP Echo Request), что приводит к его отказу в обслуживании.
- SYN-флуд — атака, основанная на отправке большого количества SYN-запросов за короткое время без завершения соединения, что приводит к исчерпанию ресурсов сервера.
- DNS-усиление — атака, при которой злоумышленник отправляет запрос к публичному DNS-серверу, а полученные данные пересылаются на атакуемый сервер. Особенность заключается в том, что DNS-серверы в качестве ответа возвращают большой объём данных.
Атаки на уровне приложений (уровень L7): направлены на исчерпание ресурсов веб-приложений и сервисов путём имитации реального сетевого трафика. Выделяют такие атаки, как:
- HTTP-флуд — осуществляется путём массовой генерации HTTP-запросов типа GET и POST, которые приводят к перегрузке сервера.
- Slowloris — злоумышленник инициализирует множество HTTP-соединений и "удерживает" их как можно дольше, при этом отправляя частичные запросы и заголовки HTTP, но запросы остаются незавершёнными. Это приводит к тому, что сервер "держит" соединения открытыми, его пул соединений заканчивается, и к серверу не могут подключиться пользователи.
- DNS флуд — атака, осуществляемая на DNS-сервера. При осуществлении DNS-флуда на DNS-сервер отправляется большое количество DNS-запросов. При этом сервер не может определить, какой из пакетов пришёл от реального клиента, а какой нет, и отвечает на все запросы подряд. Как итог, все сетевые ресурсы и ширина канала DNS-сервера перегружены, что приводит к выходу из строя.
Атаки на инфраструктуру: атаки, целью которых является вывод из строя инфраструктурных компонентов. Например:
- Атака с усилением через NTP — принцип воздействия точно такой же, как и DNS-усиления, но DNS заменён на NTP-серверы. Злоумышленник отправляет запрос к NTP-серверу, далее, полученные данные пересылаются на атакуемый сервер. В качестве ответа возвращается большой объём данных.
- SSDP-атака — в качестве источника атаки используются уязвимые UPnP (Universal Plug and Play) устройства, которые генерируют сетевой трафик. Этот трафик переполняет ресурсы атакуемого сервера и приводит к его отказу.
- SNMP Reflection — эксплуатация сетевых устройств с поддержкой протокола SNMP (Simple Network Management Protocol). В процессе атаки злоумышленник отправляет большое количество SNMP-запросов на подключённые устройства, используя поддельный IP-адрес. Объём атаки постепенно увеличивается из-за большого количества устройств, пока сеть не выйдет из строя из-за перегрузки.
Как распознать DDoS атаку?
Среди признаков возникновения DDoS-атаки выделяют следующие:
- Снижение производительности включающее медленную работу сайта или его полную недоступность.
- Резкий рост входящего трафика, исходящий от подозрительных IP-адресов.
- Высокая загрузка процессора или памяти сервера.
- Жалобы пользователей на невозможность доступа к ресурсу.
Как защититься от DDoS-атак
Для защиты от от DDoS-атак используют специализированные инструменты и фильтрацию сетевого трафика.
Эффективные инструменты защиты
- WAF (Web Application Firewall — Файрвол веб-приложений): обнаруживает и фильтрует HTTP-запросы, блокируя вредоносный трафик на уровне приложений (уровень L7).
- IDS/IPS (Intrusion Detection/Prevention Systems — система обнаружения вторжений/система предотвращения вторжений): программные или аппаратные средства, которые обнаруживают и блокируют аномальный трафик в режиме реального времени.
Облачные сервисы для защиты
Помимо использования собственных ресурсов и средств для защиты от DDoS-атак, можно воспользоваться облачными сервисами, которые представляют собой готовые решения. Среди таких решений можно выделить решения от компаний:
Настройка серверного файрвола
Настройка серверного файрвола включает в себя шаги:
- блокировка подозрительных IP: использование черных списков (IP blacklists) для фильтрации трафика;
- блокировка портов: подразумевает закрытие неиспользуемых портов с целью предотвращения сетевых атак на уровне протоколов;
- точечная настройка: ограничение числа SYN-пакетов, ограничение количества одновременных соединений, настройка таймаутов для соединений.
Преимущества защиты от DDoS-атак
Использование эффективных методов защиты от DDoS атак позволяет предотвратить множество проблем и обеспечивает такие преимущества как:
- Непрерывность бизнеса: обеспечение доступности сервисов даже во время возникновения атак.
- Снижение финансовых затрат: минимизируются убытки от простоев.
- Повышение доверия клиентов: стабильная и бесперебойная работа сервиса укрепляет репутацию.
- Экономия ресурсов: использование автоматизированных решений снижает нагрузку на IT-отдел.