8 (800) 234-44-44

Природа DDoS-атак

15 ноября 2021 г.

Сайт перегружен запросами и перестал отвечать, а нагрузка сервера поднялась до 100% и ни на секунду не ослабевает? Именно так выглядят симптомы классической DDoS-атаки с точки зрения жертвы.

DDoS расшифровывается как Distributed Denial of Service, «распределенный отказ в обслуживании». Общая суть подобных атак заключается в том, что злоумышленник намеренно отправляет на сервер жертвы колоссальное число запросов, с которыми сервер не справляется и перестает обрабатывать обращения.

Первые DDoS-атаки были зафиксированы еще в далекие 1980-е, с появлением первых общедоступных интернет-сетей. На сегодняшний день это проблема глобального масштаба, с которой так или иначе сталкивался всякий бизнес, имеющий корпоративный сайт или предоставляющий своим клиентам некие веб-сервисы.

Причины DDoS-атак

Причины атак могут быть самыми разнообразными, от личной неприязни к компании/частному лицу, владеющему сайтом или веб-приложением, до политически окрашенного мотива. Разберем несколько сценариев, чтобы проиллюстрировать наиболее часто встречающиеся причины атак.

  • Неприязнь к частному лицу или организации
  • Уволенный сотрудник может «заказать» DDoS-атаку на серверы работодателя. Группа лиц, не согласная с действием или бездействием крупной организации может скооперироваться и обрушить ее серверы. Ваше веб-приложение обошло конкурентов по функционалу? Что ж, за такое просто невозможно не отомстить!

    Нельзя нравиться всем и каждому: даже такое крупное государственное учреждение как ФБР, чья деятельность направлена на противодействие организованной преступности, стала жертвой DDoS в конце 1990-х годов. Группа хакеров со всей страны объединилась и «положила» серверы ФБР из-за угрозы преследования ряда заметных деятелей хакерского сообщества.

  • Политические или нравственные мотивы
  • В чем-то этот мотив схож с предыдущим, однако объектом атаки становятся лица и организации, проводящие спорную с точки зрения хакеров политику. Так, в связи с угрозой сноса памятника Воину-освободителю эстонские хакеры начали массированную атаку на серверы госучреждений.

  • Баловство
  • Как ни странно, для кого-то организация и проведение DDoS-атаки, пускай и не слишком серьезной и опасной, может оказаться не более чем развлечением. В современном ИТ-сообществе DDoS ради DDoS’а становится едва ли не трендом среди хакеров-новичков, которые хотят поближе познакомиться с методами защиты от подобного рода атак.

    Чаще всего такие атаки длятся не более нескольких часов, реже — дней, а чтобы справиться с ними, подойдет самый простой фаервол. После первой блокировки атака, как правило, прекращается, и злоумышленник отправляется на поиски новой уязвимой цели.

  • Вымогательство и шантаж
  • Это уже полноценная угроза. Часто злоумышленники связываются через подложные адреса электронной почты с потенциальными жертвами и предлагают за «скромную» сумму избежать падения серверов. На размышления объекту атаки дается 1-3 дня, после чего злоумышленник делает первый пробный «залп». Атака продолжается либо до уплаты «выкупа», либо пока не будет отбита совместными усилиями файрволла и системных администраторов.]

  • Нечестная конкуренция
  • В Черную пятницу и другие подобные «праздники» ретейла риск попасть под DDoS-атаку, заказанную нерадивыми конкурентами, очень высок. В этом случае никакие требования жертвам не выдвигаются, а сразу по истечении распродажи паразитный траффик самостоятельно сходит на нет. Как правило, никаких способов доказать причастность фирмы-конкурента к атаке не существует.

  • Кто может стать жертвой
  • Частично мы ответили на этот вопрос чуть выше: если принять во внимание количество атак, произведенных с целью развлечься, практически каждый сайт рано или поздно столкнется с DDoS.

Но мы хотим поговорить о наиболее серьезных и страшных атаках, ведущих к значительному ущербу.

  • Все чаще хакеры атакуют IoT-устройства, к которым относятся кассы, системы «Умный дом», камеры и т.п.;
  • Банки и иные финансовые организации всегда были лакомым кусочком для хакеров всех мастей;
  • Как ни странно, огромной популярностью у хакеров пользуются медицинские учреждения, как частные, так и государственные. Возможно, это своеобразный способ обратить внимание ИТ-специалистов на очевидные недостатки и лазейки в сайтах и приложениях;
  • Государственные компании и крупные корпорации также часто попадают под прицел хакеров. Мотивы могут быть самыми разнообразными: от банального желания навредить крупной богатой компании до ненависти к её действиям или конкретным лицам.

Суть DDOS-атак

Как известно, любой сервер имеет ограничения на количество одновременно обрабатываемых запросов. Оптимизация нагрузки осуществляется путем ограничения ширины канала между интернетом и сервером. Тем не менее, хакеры способны обойти эти ограничения путем организации так называемого «ботнета» — своеобразной сети, состоящей из множества компьютеров, управляемых вредоносным программным обеспечением.

Суть DDoS-атак, как это происходит

Сами по себе компьютеры, участвующие в ботнете, между собой никак не связаны. Их единственная цель состоит в генерации паразитных и зачастую бессмысленных запросов к серверу, цель которых — вызвать перегрузку атакуемой системы. Стать частью ботнета может практически любой обыватель, не слишком заботящийся о безопасности своего ПК: хакеру достаточно распространить особый вирус-троян, который будет удаленно запускаться и бомбардировать сервер жертвы.

В редких случаях хакеры низкой квалификации прибегают к использованию собственных физических и виртуальных машин для проведения DDoS-атаки. Как правило, в этом случае все вредоносные запросы поступают с 1-5 IP-адресов и легко блокируются, после чего атака прекращается.

Как распознать DDoS-атаку на сервер

Перечисленные в начале статьи симптомы атаки далеко не всегда могут быть столь очевидными. К примеру, если разные компоненты веб-приложения (например, посадочная страница, платежный шлюз и основной логический модуль) находятся на разных серверах, атакован может быть только один из них — и далеко не всегда самый заметный.

В общем случае симптомами DDoS-атаки могут быть следующие нетипичные проявления:

  • Неожиданные зависания или задержки в работе ПО на сервере — в том числе внезапные завершения сессий или замедление проведения типовых запросов.
  • Нагрузка на CPU, RAM или диск сервера существенно выше средних также могут сигнализировать об атаке — особенно если для повышения органической нагрузки нет никаких внешних поводов.
  • Резкое увеличение числа запросов на открытые порты.
  • Появление большого количества однотипных запросов в логах сервера может оказаться проявлением DDoS, особенно если эти запросы не характерны для типичной аудитории сервиса или веб-приложения.

Типы DDoS-атак

Несмотря на то, что все DDoS-атаки похожи, среди них можно выделить несколько наиболее характерных вариантов.

  • Атаки на перегрузку брандмауэра, сети или балансировщика и прочие DDoS-атаки транспортного уровня.
  • Для таких атак характерно использование флуда, состоящего из тысяч «пустых» запросов, цель которых состоит в том, чтобы перегрузить канал до сервера и сгенерировать такое количество запросов, чтобы физических ресурсов сервера или ВМ не хватило для завершения даже самого первого запроса.

    Флуд при подобных атаках принято подразделять по следующим типам: HTTP, ICMP, SYN, UDP и MAC.

  • На инфраструктурном уровне возможно перегрузить систему чрезмерно сложным и нестандартным запросом, который займет 100% процессорного времени.
  • Если хакеру удается обнаружить уязвимость в записи на жесткий диск сервера, он сможет сгенерировать терабайты «мусорных» файлов и переполнить файловую систему. Побочный эффект от таких запросов, помимо переполнения, состоит в чрезвычайно высоком количестве процессов записи и, соответственно, в невозможности производить на сервере базовые операции ввиду занятости диска.

  • Обход квотирования и использование хакером физических ресурсов сервера или ВМ в своих целях.
  • Убийственный ping — суть атаки состоит в отправке ICMP-пакетов избыточного объема и, соответственно, в переполнении буфера памяти.
  • DNS-атаки, направленные на поиск и эксплуатацию уязвимостей в программном обеспечении DNS-серверов.

Помимо описанных выше типов DDoS-атак существуют и другие, более сложные и изощренные, однако помещать их в базовый список вряд ли имеет смысл.

Как предотвратить или остановить DDoS-атаку

Одним из самых эффективных способов борьбы считается фильтрация подозрительной активности на уровне провайдера связи или хостинг-провайдера. Фильтрация может осуществляться как программно, с помощью ПО маршрутизаторов, так и путем пропускания трафика через аппаратные файрволы.

Тем не менее, этого недостаточно, чтобы полностью защититься от атак любых уровней. В первую очередь администраторам серверов и веб-приложений стоит уделить внимание архитектурным особенностям своих решений, исправить критические ошибки и уязвимости. Ниже мы приведем список базовых мер защиты.

  1. На этапе разработки и тестирования продукта необходимо тщательно проработать логику его работы, отыскать узкие места, участки кода, которые потребляют необоснованно много ресурсов и устранить возможные утечки памяти.
  2. Регулярно обновлять ПО и сетевые службы (как минимум устанавливать обновления безопасности, закрывающие хакерам доступ к уязвимостям прошлых версий) и регулярно актуализировать код приложения. В идеальной ситуации желательно иметь 3 базовых сервера: продуктивный, резервный, для создания бэкапов, и тестовый — для проверки и обкатки нового функционала. Хорошим тоном также считается использование систем для контроля версий. В будущем это позволит без проблем откатиться на более стабильную версию продукта.
  3. Отдельное внимание стоит уделить правам доступа к сетевым службам и организации нескольких уровней доступа к службам на сервере и архивным версиям приложения. Кроме того, если в команде администраторов присутствует ротация, своевременно блокируйте доступ уволившимся сотрудникам — так вы не оставите лазеек для тех, кто по личным причинам захочет произвести глубокую атаку на ваше приложение или сервер.
  4. Регулярно проверяйте систему на наличие известных уязвимостей с помощью (как минимум!) открытых инструментов. Крупным компаниям необходимо регулярно заказывать аудиты безопасности и нанимать агентства, занимающиеся пентестингом (тестированием на возможность проникновения и дестабилизации работы ИТ-ресурсов).
  5. Регулярно очищайте DNS-кеш для защиты от спуфинга.
  6. В ряде случаев, если речь идет о серьезной корпоративной инфраструктуре, имеет смысл обратить внимание на аппаратные средства фильтрации трафика.
  7. Выбирайте надежного провайдера, который способен гарантировать высокий уровень защиты от всех актуальных угроз.
Поделиться

Другие статьи

/ Решим ваши задачи