Природа DDoS-атак

Причины атак могут быть самыми разнообразными, от личной неприязни к компании/частному лицу, владеющему сайтом или веб-приложением, до политически окрашенного мотива. Разберем несколько сценариев, чтобы проиллюстрировать наиболее часто встречающиеся причины атак.

• Неприязнь к частному лицу или организации

Уволенный сотрудник может «заказать» DDoS-атаку на серверы работодателя. Группа лиц, не согласная с действием или бездействием крупной организации может скооперироваться и обрушить ее серверы. Ваше веб-приложение обошло конкурентов по функционалу? Что ж, за такое просто невозможно не отомстить!

Нельзя нравиться всем и каждому: даже такое крупное государственное учреждение как ФБР, чья деятельность направлена на противодействие организованной преступности, стала жертвой DDoS в конце 1990-х годов. Группа хакеров со всей страны объединилась и «положила» серверы ФБР из-за угрозы преследования ряда заметных деятелей хакерского сообщества.

• Политические или нравственные мотивы

В чем-то этот мотив схож с предыдущим, однако объектом атаки становятся лица и организации, проводящие спорную с точки зрения хакеров политику. Так, в связи с угрозой сноса памятника Воину-освободителю эстонские хакеры начали массированную атаку на серверы госучреждений.

• Баловство

Как ни странно, для кого-то организация и проведение DDoS-атаки, пускай и не слишком серьезной и опасной, может оказаться не более чем развлечением. В современном ИТ-сообществе DDoS ради DDoS’а становится едва ли не трендом среди хакеров-новичков, которые хотят поближе познакомиться с методами защиты от подобного рода атак.

Чаще всего такие атаки длятся не более нескольких часов, реже — дней, а чтобы справиться с ними, подойдет самый простой фаервол. После первой блокировки атака, как правило, прекращается, и злоумышленник отправляется на поиски новой уязвимой цели.

• Вымогательство и шантаж

Это уже полноценная угроза. Часто злоумышленники связываются через подложные адреса электронной почты с потенциальными жертвами и предлагают за «скромную» сумму избежать падения серверов. На размышления объекту атаки дается 1-3 дня, после чего злоумышленник делает первый пробный «залп». Атака продолжается либо до уплаты «выкупа», либо пока не будет отбита совместными усилиями файрволла и системных администраторов.]

• Нечестная конкуренция

В Черную пятницу и другие подобные «праздники» ретейла риск попасть под DDoS-атаку, заказанную нерадивыми конкурентами, очень высок. В этом случае никакие требования жертвам не выдвигаются, а сразу по истечении распродажи паразитный траффик самостоятельно сходит на нет. Как правило, никаких способов доказать причастность фирмы-конкурента к атаке не существует.

• Кто может стать жертвой

Частично мы ответили на этот вопрос чуть выше: если принять во внимание количество атак, произведенных с целью развлечься, практически каждый сайт рано или поздно столкнется с DDoS.

Но мы хотим поговорить о наиболее серьезных и страшных атаках, ведущих к значительному ущербу.

• Все чаще хакеры атакуют IoT-устройства, к которым относятся кассы, системы «Умный дом», камеры и т.п.;
• Банки и иные финансовые организации всегда были лакомым кусочком для хакеров всех мастей;
• Как ни странно, огромной популярностью у хакеров пользуются медицинские учреждения, как частные, так и государственные. Возможно, это своеобразный способ обратить внимание ИТ-специалистов на очевидные недостатки и лазейки в сайтах и приложениях;
• Государственные компании и крупные корпорации также часто попадают под прицел хакеров. Мотивы могут быть самыми разнообразными: от банального желания навредить крупной богатой компании до ненависти к её действиям или конкретным лицам.

Как известно, любой сервер имеет ограничения на количество одновременно обрабатываемых запросов. Оптимизация нагрузки осуществляется путем ограничения ширины канала между интернетом и сервером. Тем не менее, хакеры способны обойти эти ограничения путем организации так называемого «ботнета» — своеобразной сети, состоящей из множества компьютеров, управляемых вредоносным программным обеспечением.

Сами по себе компьютеры, участвующие в ботнете, между собой никак не связаны. Их единственная цель состоит в генерации паразитных и зачастую бессмысленных запросов к серверу, цель которых — вызвать перегрузку атакуемой системы. Стать частью ботнета может практически любой обыватель, не слишком заботящийся о безопасности своего ПК: хакеру достаточно распространить особый вирус-троян, который будет удаленно запускаться и бомбардировать сервер жертвы.

В редких случаях хакеры низкой квалификации прибегают к использованию собственных физических и виртуальных машин для проведения DDoS-атаки. Как правило, в этом случае все вредоносные запросы поступают с 1-5 IP-адресов и легко блокируются, после чего атака прекращается.

Перечисленные в начале статьи симптомы атаки далеко не всегда могут быть столь очевидными. К примеру, если разные компоненты веб-приложения (например, посадочная страница, платежный шлюз и основной логический модуль) находятся на разных серверах, атакован может быть только один из них — и далеко не всегда самый заметный.

В общем случае симптомами DDoS-атаки могут быть следующие нетипичные проявления:

• Неожиданные зависания или задержки в работе ПО на сервере — в том числе внезапные завершения сессий или замедление проведения типовых запросов.
• Нагрузка на CPU, RAM или диск сервера существенно выше средних также могут сигнализировать об атаке — особенно если для повышения органической нагрузки нет никаких внешних поводов.
• Резкое увеличение числа запросов на открытые порты.
• Появление большого количества однотипных запросов в логах сервера может оказаться проявлением DDoS, особенно если эти запросы не характерны для типичной аудитории сервиса или веб-приложения.

Несмотря на то, что все DDoS-атаки похожи, среди них можно выделить несколько наиболее характерных вариантов.

• Атаки на перегрузку брандмауэра, сети или балансировщика и прочие DDoS-атаки транспортного уровня.

Для таких атак характерно использование флуда, состоящего из тысяч «пустых» запросов, цель которых состоит в том, чтобы перегрузить канал до сервера и сгенерировать такое количество запросов, чтобы физических ресурсов сервера или ВМ не хватило для завершения даже самого первого запроса.

Флуд при подобных атаках принято подразделять по следующим типам: HTTP, ICMP, SYN, UDP и MAC.

• На инфраструктурном уровне возможно перегрузить систему чрезмерно сложным и нестандартным запросом, который займет 100% процессорного времени.

Если хакеру удается обнаружить уязвимость в записи на жесткий диск сервера, он сможет сгенерировать терабайты «мусорных» файлов и переполнить файловую систему. Побочный эффект от таких запросов, помимо переполнения, состоит в чрезвычайно высоком количестве процессов записи и, соответственно, в невозможности производить на сервере базовые операции ввиду занятости диска.

• Обход квотирования и использование хакером физических ресурсов сервера или ВМ в своих целях.
• Убийственный ping — суть атаки состоит в отправке ICMP-пакетов избыточного объема и, соответственно, в переполнении буфера памяти.
• DNS-атаки, направленные на поиск и эксплуатацию уязвимостей в программном обеспечении DNS-серверов.

Помимо описанных выше типов DDoS-атак существуют и другие, более сложные и изощренные, однако помещать их в базовый список вряд ли имеет смысл.

Одним из самых эффективных способов борьбы считается фильтрация подозрительной активности на уровне провайдера связи или хостинг-провайдера. Фильтрация может осуществляться как программно, с помощью ПО маршрутизаторов, так и путем пропускания трафика через аппаратные файрволы.

Тем не менее, этого недостаточно, чтобы полностью защититься от атак любых уровней. В первую очередь администраторам серверов и веб-приложений стоит уделить внимание архитектурным особенностям своих решений, исправить критические ошибки и уязвимости. Ниже мы приведем список базовых мер защиты.

1. На этапе разработки и тестирования продукта необходимо тщательно проработать логику его работы, отыскать узкие места, участки кода, которые потребляют необоснованно много ресурсов и устранить возможные утечки памяти.
2. Регулярно обновлять ПО и сетевые службы (как минимум устанавливать обновления безопасности, закрывающие хакерам доступ к уязвимостям прошлых версий) и регулярно актуализировать код приложения. В идеальной ситуации желательно иметь 3 базовых сервера: продуктивный, резервный, для создания бэкапов, и тестовый — для проверки и обкатки нового функционала. Хорошим тоном также считается использование систем для контроля версий. В будущем это позволит без проблем откатиться на более стабильную версию продукта.
3. Отдельное внимание стоит уделить правам доступа к сетевым службам и организации нескольких уровней доступа к службам на сервере и архивным версиям приложения. Кроме того, если в команде администраторов присутствует ротация, своевременно блокируйте доступ уволившимся сотрудникам — так вы не оставите лазеек для тех, кто по личным причинам захочет произвести глубокую атаку на ваше приложение или сервер.
4. Регулярно проверяйте систему на наличие известных уязвимостей с помощью (как минимум!) открытых инструментов. Крупным компаниям необходимо регулярно заказывать аудиты безопасности и нанимать агентства, занимающиеся пентестингом (тестированием на возможность проникновения и дестабилизации работы ИТ-ресурсов).
5. Регулярно очищайте DNS-кеш для защиты от спуфинга.
6. В ряде случаев, если речь идет о серьезной корпоративной инфраструктуре, имеет смысл обратить внимание на аппаратные средства фильтрации трафика.
7. Выбирайте надежного провайдера, который способен гарантировать высокий уровень защиты от всех актуальных угроз.