Что такое DDoS и как от него защититься

Сайт перегружен запросами и перестал отвечать, а нагрузка сервера поднялась до 100% и ни на секунду не ослабевает? Именно так выглядят симптомы классической DDoS-атаки с точки зрения жертвы.

DDoS расшифровывается как Distributed Denial of Service, «распределенный отказ в обслуживании». Общая суть подобных атак заключается в том, что злоумышленник намеренно отправляет на сервер жертвы колоссальное число запросов, с которыми сервер не справляется и перестает обрабатывать обращения.

Первые DDoS-атаки были зафиксированы еще в далекие 1980-е, с появлением первых общедоступных интернет-сетей. На сегодняшний день это проблема глобального масштаба, с которой так или иначе сталкивался всякий бизнес, имеющий корпоративный сайт или предоставляющий своим клиентам веб-сервисы.

Суть DDOS-атак

Как известно, любой сервер имеет ограничения на количество одновременно обрабатываемых запросов. Оптимизация нагрузки осуществляется путем ограничения ширины канала между интернетом и сервером. Тем не менее, хакеры способны обойти эти ограничения путем организации так называемого «ботнета» — своеобразной сети, состоящей из множества компьютеров, управляемых вредоносным программным обеспечением.

Сами по себе компьютеры, участвующие в ботнете, между собой никак не связаны. Их единственная цель состоит в генерации паразитных и зачастую бессмысленных запросов к серверу. Зачем? Вызвать перегрузку атакуемой системы. Стать частью ботнета может практически любой обыватель, не слишком заботящийся о безопасности своего ПК: хакеру достаточно распространить особый вирус-троян, который будет удаленно запускаться и бомбардировать сервер жертвы.

В редких случаях хакеры низкой квалификации прибегают к использованию собственных физических и виртуальных машин для проведения DDoS-атаки. Как правило, в этом случае все вредоносные запросы поступают с 1-5 IP-адресов и легко блокируются, после чего атака прекращается.

Типы DDoS-атак

Несмотря на то, что все атаки похожи, среди них можно выделить несколько наиболее характерных вариантов.

• Атаки на перегрузку брандмауэра, сети или балансировщика и прочие DDoS-атаки транспортного уровня.

Для таких атак характерно использование флуда, состоящего из тысяч «пустых» запросов. Флуд при подобных атаках принято подразделять по следующим типам: HTTP, ICMP, SYN, UDP и MAC.

• На инфраструктурном уровне возможно перегрузить систему чрезмерно сложным и нестандартным запросом, который займет 100% процессорного времени.
• Если хакеру удается обнаружить уязвимость в записи на жесткий диск сервера, он сможет сгенерировать терабайты «мусорных» файлов и переполнить файловую систему.

Побочный эффект от таких запросов, помимо переполнения, состоит в чрезвычайно высоком количестве процессов записи и, соответственно, в невозможности производить на сервере базовые операции ввиду занятости диска.

• Обход квотирования и использование хакером физических ресурсов сервера или ВМ в своих целях.
• Убийственный ping — суть атаки состоит в отправке ICMP-пакетов избыточного объема и, соответственно, в переполнении буфера памяти.
• DNS-атаки, направленные на поиск и эксплуатацию уязвимостей в программном обеспечении DNS-серверов.

Помимо описанных выше типов ддос-атак существуют и другие, более сложные и изощренные, однако помещать их в базовый список вряд ли имеет смысл.

Причины DDoS

Причины атак могут быть самыми разнообразными, от личной неприязни к компании/частному лицу, владеющему сайтом или веб-приложением, до политически окрашенного мотива. Разберем несколько сценариев, чтобы проиллюстрировать наиболее часто встречающиеся причины атак.

Неприязнь к частному лицу или организации

Уволенный сотрудник может «заказать» DDoS-атаку на серверы работодателя. Группа лиц, не согласная с действием или бездействием крупной организации может скооперироваться и обрушить ее серверы. Ваше веб-приложение обошло конкурентов по функционалу? Что ж, за такое просто невозможно не отомстить!

Нельзя нравиться всем и каждому: даже такое крупное государственное учреждение как ФБР, чья деятельность направлена на противодействие организованной преступности, стала жертвой DDoS в конце 1990-х годов. Группа хакеров со всей страны объединилась и «положила» серверы ФБР из-за угрозы преследования ряда заметных деятелей своего сообщества.

Баловство

Как ни странно, для кого-то организация и проведение DDoS-атаки, пускай и не слишком серьезной и опасной, может оказаться не более чем развлечением. В современном ИТ-сообществе DDoS ради DDoS’а становится едва ли не трендом среди хакеров-новичков, которые хотят поближе познакомиться с методами защиты от подобного рода атак.

Чаще всего такие атаки длятся не более нескольких часов, реже — дней, а чтобы справиться с ними, подойдет самый простой фаервол. После первой блокировки атака, как правило, прекращается, и злоумышленник отправляется на поиски новой уязвимой цели.

Вымогательство и шантаж

Это уже полноценная угроза. Часто киберпреступники связываются через подложные адреса электронной почты с потенциальными жертвами и предлагают за «скромную» сумму избежать падения серверов. На размышления объекту атаки дается 1-3 дня, после чего злоумышленник делает первый пробный «залп». Атака продолжается либо до уплаты «выкупа», либо пока не будет отбита совместными усилиями файрволла и системных администраторов.

Нечестная конкуренция

В Черную пятницу и другие подобные «праздники» ретейла риск попасть под DDoS-атаку, заказанную нерадивыми конкурентами, очень высок. В этом случае никакие требования жертвам не выдвигаются, а сразу по истечении распродажи паразитный траффик самостоятельно сходит на нет. Как правило, никаких способов доказать причастность фирмы-конкурента к атаке не существует.

Цели DDoS-атак

Стоит признать тот факт, что любой сайт в интернете или устройство, которое «смотрит» в онлайн, рискует столкнуться с DDoS. Однако чаще всего хакеры выбирают конкретные цели.

• IT-устройства, к которым относятся кассы, системы «Умный дом», камеры и т.п.;
• Банки и иные финансовые организации всегда были лакомым кусочком для хакеров всех мастей;
• Как ни странно, огромной популярностью у киберпреступников пользуются медицинские учреждения, как частные, так и государственные. Возможно, это своеобразный способ обратить внимание ИТ-специалистов на очевидные недостатки и лазейки в сайтах и приложениях;
• Разработчики ПО. Особую страсть киберпреступники испытывают к компаниям, которые разрабатывают программное обеспечение для бизнеса. Ведь через одну уязвимость можно атаковать тысячи или десятки тысяч организаций, которые являются конечными пользователями этих программ. Чего только стоила атака на компанию Kaseya, которая разрабатывает ПО для удаленного управления сетью. В результате действий хакеров жертвами группировки киберпреступников стали тысячи бизнесов в 17 странах мира. Для заражения злоумышленники использовали шифровальщик, а в качестве платы за разблокировку требовали 70 миллионов долларов биткоинами.
• Государственные компании и крупные корпорации также часто попадают под прицел хакеров. Мотивы могут быть самыми разнообразными: от банального желания навредить крупной богатой компании до ненависти к её действиям или конкретным лицам.

Как распознать DDoS-атаку на сервер

Перечисленные в начале статьи симптомы атаки далеко не всегда могут быть столь очевидными. К примеру, если разные компоненты веб-приложения (например, посадочная страница, платежный шлюз и основной логический модуль) находятся на разных серверах, атакован может быть только один из них — и далеко не всегда самый заметный.

В общем случае симптомами DDoS-атаки могут быть следующие нетипичные проявления:

• Неожиданные зависания или задержки в работе ПО на сервере — в том числе внезапные завершения сессий или замедление проведения типовых запросов.
• Нагрузка на CPU, RAM или диск сервера существенно выше средних также могут сигнализировать об атаке — особенно если для повышения органической нагрузки нет никаких внешних поводов.
• Резкое увеличение числа запросов на открытые порты.
• Появление большого количества однотипных запросов в логах сервера может оказаться проявлением DDoS, особенно если они не характерны для типичной аудитории сервиса или веб-приложения.

Как защититься от DDoS-атаки

Одним из самых эффективных способов борьбы считается фильтрация подозрительной активности на уровне провайдера связи или хостинг-провайдера. Фильтрация может осуществляться как программно, с помощью ПО маршрутизаторов, так и путем пропускания трафика через аппаратные файрволы.

Тем не менее, этого недостаточно, чтобы полностью защититься от атак любых уровней. В первую очередь администраторам серверов и веб-приложений стоит уделить внимание архитектурным особенностям своих решений, исправить критические ошибки и уязвимости. Ниже мы приведем список базовых мер защиты.

1. На этапе разработки и тестирования продукта необходимо тщательно проработать логику его работы, отыскать узкие места, участки кода, которые потребляют необоснованно много ресурсов и устранить возможные утечки памяти.
2. Регулярно обновлять ПО и сетевые службы (как минимум устанавливать обновления безопасности, закрывающие хакерам доступ к уязвимостям прошлых версий) и регулярно актуализировать код приложения. В идеальной ситуации желательно иметь 3 базовых сервера: продуктивный, резервный, для создания бэкапов, и тестовый — для проверки и обкатки нового функционала. Хорошим тоном также считается использование систем для контроля версий. В будущем это позволит без проблем откатиться на более стабильную версию продукта.
3. Отдельное внимание стоит уделить организации нескольких уровней доступа к службам на сервере и архивным версиям приложения. Кроме того, если в команде администраторов присутствует ротация, своевременно блокируйте доступ уволившимся сотрудникам — так вы не оставите лазеек для тех, кто по личным причинам захочет произвести глубокую атаку на ваше приложение или сервер.
4. Регулярно проверяйте систему на наличие известных уязвимостей с помощью (как минимум!) открытых инструментов. Крупным компаниям необходимо регулярно заказывать аудиты безопасности и нанимать агентства, занимающиеся пентестингом (тестированием на возможность проникновения и дестабилизации работы ИТ-ресурсов).
5. Регулярно очищайте DNS-кеш для защиты от спуфинга.
6. В ряде случаев, если речь идет о серьезной корпоративной инфраструктуре, имеет смысл обратить внимание на аппаратные средства фильтрации трафика.
7. Выбирайте надежного провайдера, который способен гарантировать высокий уровень защиты от всех актуальных угроз.

Что делать во время DDoS-атаки

Если принятые меры по защите от DDoS не оказали требуемого эффекта, можно сыграть в «ждуна». Поставьте на сайт простую заглушку с информацией об атаке и ждите — рано или поздно она закончится. Ведь бюджеты у киберпреступников тоже не бесконечные. Страница-заглушка с фильтром сможет отделить запросы ботов от запросов реальных посетителей, присвоить им cookie и переадресовать на нужную страницу сайта. Увы, этот метод борьбы не подходит интернет-магазинам, банкам и представителям некоторых других отраслей.

Даже во время атаки не поздно обратиться к компаниям, которые специализируются на защите от DDoS. По возможности специалисты помогут минимизировать ущерб, сократить время атаки и провести расследование.

DDoS Protection от #CloudMTS

Сервис Anti-DDoS от #CloudMTS на базе распределенной платформы фильтрации поможет защититься от атак и их последствий в виде репутационного и финансового ущерба.

Система проходит несколько этапов обучения и после этого переходит в режим круглосуточного мониторинга защищаемых ресурсов. В случае обнаружения какой-то аномалии трафик будет перенаправлен в Центр очистки и только после него дойдет до вашего сайта или приложения. Узнать больше о сервисе можно на странице услуги.