8 (800) 234-44-44

Природа DDoS-атак

15 ноября 2021 г.

Сайт перегружен запросами и перестал отвечать, а нагрузка сервера поднялась до 100% и ни на секунду не ослабевает? Именно так выглядят симптомы классической DDoS-атаки с точки зрения жертвы.

DDoS расшифровывается как Distributed Denial of Service, «распределенный отказ в обслуживании». Общая суть подобных атак заключается в том, что злоумышленник намеренно отправляет на сервер жертвы колоссальное число запросов, с которыми сервер не справляется и перестает обрабатывать обращения.

Первые DDoS-атаки были зафиксированы еще в далекие 1980-е, с появлением первых общедоступных интернет-сетей. На сегодняшний день это проблема глобального масштаба, с которой так или иначе сталкивался всякий бизнес, имеющий корпоративный сайт или предоставляющий своим клиентам некие веб-сервисы.

Причины DDoS-атак

Причины атак могут быть самыми разнообразными, от личной неприязни к компании/частному лицу, владеющему сайтом или веб-приложением, до политически окрашенного мотива. Разберем несколько сценариев, чтобы проиллюстрировать наиболее часто встречающиеся причины атак.

  • Неприязнь к частному лицу или организации

    • Уволенный сотрудник может «заказать» DDoS-атаку на серверы работодателя. Группа лиц, не согласная с действием или бездействием крупной организации может скооперироваться и обрушить ее серверы. Ваше веб-приложение обошло конкурентов по функционалу? Что ж, за такое просто невозможно не отомстить!

    Нельзя нравиться всем и каждому: даже такое крупное государственное учреждение как ФБР, чья деятельность направлена на противодействие организованной преступности, стала жертвой DDoS в конце 1990-х годов. Группа хакеров со всей страны объединилась и «положила» серверы ФБР из-за угрозы преследования ряда заметных деятелей хакерского сообщества.

  • Политические или нравственные мотивы

    • В чем-то этот мотив схож с предыдущим, однако объектом атаки становятся лица и организации, проводящие спорную с точки зрения хакеров политику. Так, в связи с угрозой сноса памятника Воину-освободителю эстонские хакеры начали массированную атаку на серверы госучреждений.

  • Баловство

    • Как ни странно, для кого-то организация и проведение DDoS-атаки, пускай и не слишком серьезной и опасной, может оказаться не более чем развлечением. В современном ИТ-сообществе DDoS ради DDoS’а становится едва ли не трендом среди хакеров-новичков, которые хотят поближе познакомиться с методами защиты от подобного рода атак.

    Чаще всего такие атаки длятся не более нескольких часов, реже — дней, а чтобы справиться с ними, подойдет самый простой фаервол. После первой блокировки атака, как правило, прекращается, и злоумышленник отправляется на поиски новой уязвимой цели.

  • Вымогательство и шантаж

    • Это уже полноценная угроза. Часто злоумышленники связываются через подложные адреса электронной почты с потенциальными жертвами и предлагают за «скромную» сумму избежать падения серверов. На размышления объекту атаки дается 1-3 дня, после чего злоумышленник делает первый пробный «залп». Атака продолжается либо до уплаты «выкупа», либо пока не будет отбита совместными усилиями файрволла и системных администраторов.]

  • Нечестная конкуренция

    • В Черную пятницу и другие подобные «праздники» ретейла риск попасть под DDoS-атаку, заказанную нерадивыми конкурентами, очень высок. В этом случае никакие требования жертвам не выдвигаются, а сразу по истечении распродажи паразитный траффик самостоятельно сходит на нет. Как правило, никаких способов доказать причастность фирмы-конкурента к атаке не существует.

  • Кто может стать жертвой

    • Частично мы ответили на этот вопрос чуть выше: если принять во внимание количество атак, произведенных с целью развлечься, практически каждый сайт рано или поздно столкнется с DDoS.

Но мы хотим поговорить о наиболее серьезных и страшных атаках, ведущих к значительному ущербу.

  • Все чаще хакеры атакуют IoT-устройства, к которым относятся кассы, системы «Умный дом», камеры и т.п.;
  • Банки и иные финансовые организации всегда были лакомым кусочком для хакеров всех мастей;
  • Как ни странно, огромной популярностью у хакеров пользуются медицинские учреждения, как частные, так и государственные. Возможно, это своеобразный способ обратить внимание ИТ-специалистов на очевидные недостатки и лазейки в сайтах и приложениях;
  • Государственные компании и крупные корпорации также часто попадают под прицел хакеров. Мотивы могут быть самыми разнообразными: от банального желания навредить крупной богатой компании до ненависти к её действиям или конкретным лицам.

Суть DDOS-атак

Как известно, любой сервер имеет ограничения на количество одновременно обрабатываемых запросов. Оптимизация нагрузки осуществляется путем ограничения ширины канала между интернетом и сервером. Тем не менее, хакеры способны обойти эти ограничения путем организации так называемого «ботнета» — своеобразной сети, состоящей из множества компьютеров, управляемых вредоносным программным обеспечением.

Суть DDoS-атак, как это происходит

Сами по себе компьютеры, участвующие в ботнете, между собой никак не связаны. Их единственная цель состоит в генерации паразитных и зачастую бессмысленных запросов к серверу, цель которых — вызвать перегрузку атакуемой системы. Стать частью ботнета может практически любой обыватель, не слишком заботящийся о безопасности своего ПК: хакеру достаточно распространить особый вирус-троян, который будет удаленно запускаться и бомбардировать сервер жертвы.

В редких случаях хакеры низкой квалификации прибегают к использованию собственных физических и виртуальных машин для проведения DDoS-атаки. Как правило, в этом случае все вредоносные запросы поступают с 1-5 IP-адресов и легко блокируются, после чего атака прекращается.

Как распознать DDoS-атаку на сервер

Перечисленные в начале статьи симптомы атаки далеко не всегда могут быть столь очевидными. К примеру, если разные компоненты веб-приложения (например, посадочная страница, платежный шлюз и основной логический модуль) находятся на разных серверах, атакован может быть только один из них — и далеко не всегда самый заметный.

В общем случае симптомами DDoS-атаки могут быть следующие нетипичные проявления:

  • Неожиданные зависания или задержки в работе ПО на сервере — в том числе внезапные завершения сессий или замедление проведения типовых запросов.
  • Нагрузка на CPU, RAM или диск сервера существенно выше средних также могут сигнализировать об атаке — особенно если для повышения органической нагрузки нет никаких внешних поводов.
  • Резкое увеличение числа запросов на открытые порты.
  • Появление большого количества однотипных запросов в логах сервера может оказаться проявлением DDoS, особенно если эти запросы не характерны для типичной аудитории сервиса или веб-приложения.

Типы DDoS-атак

Несмотря на то, что все DDoS-атаки похожи, среди них можно выделить несколько наиболее характерных вариантов.

  • Атаки на перегрузку брандмауэра, сети или балансировщика и прочие DDoS-атаки транспортного уровня.

    • Для таких атак характерно использование флуда, состоящего из тысяч «пустых» запросов, цель которых состоит в том, чтобы перегрузить канал до сервера и сгенерировать такое количество запросов, чтобы физических ресурсов сервера или ВМ не хватило для завершения даже самого первого запроса.

    Флуд при подобных атаках принято подразделять по следующим типам: HTTP, ICMP, SYN, UDP и MAC.

  • На инфраструктурном уровне возможно перегрузить систему чрезмерно сложным и нестандартным запросом, который займет 100% процессорного времени.

    • Если хакеру удается обнаружить уязвимость в записи на жесткий диск сервера, он сможет сгенерировать терабайты «мусорных» файлов и переполнить файловую систему. Побочный эффект от таких запросов, помимо переполнения, состоит в чрезвычайно высоком количестве процессов записи и, соответственно, в невозможности производить на сервере базовые операции ввиду занятости диска.

  • Обход квотирования и использование хакером физических ресурсов сервера или ВМ в своих целях.
  • Убийственный ping — суть атаки состоит в отправке ICMP-пакетов избыточного объема и, соответственно, в переполнении буфера памяти.
  • DNS-атаки, направленные на поиск и эксплуатацию уязвимостей в программном обеспечении DNS-серверов.

Помимо описанных выше типов DDoS-атак существуют и другие, более сложные и изощренные, однако помещать их в базовый список вряд ли имеет смысл.

Как предотвратить или остановить DDoS-атаку

Одним из самых эффективных способов борьбы считается фильтрация подозрительной активности на уровне провайдера связи или хостинг-провайдера. Фильтрация может осуществляться как программно, с помощью ПО маршрутизаторов, так и путем пропускания трафика через аппаратные файрволы.

Тем не менее, этого недостаточно, чтобы полностью защититься от атак любых уровней. В первую очередь администраторам серверов и веб-приложений стоит уделить внимание архитектурным особенностям своих решений, исправить критические ошибки и уязвимости. Ниже мы приведем список базовых мер защиты.

  1. На этапе разработки и тестирования продукта необходимо тщательно проработать логику его работы, отыскать узкие места, участки кода, которые потребляют необоснованно много ресурсов и устранить возможные утечки памяти.
  2. Регулярно обновлять ПО и сетевые службы (как минимум устанавливать обновления безопасности, закрывающие хакерам доступ к уязвимостям прошлых версий) и регулярно актуализировать код приложения. В идеальной ситуации желательно иметь 3 базовых сервера: продуктивный, резервный, для создания бэкапов, и тестовый — для проверки и обкатки нового функционала. Хорошим тоном также считается использование систем для контроля версий. В будущем это позволит без проблем откатиться на более стабильную версию продукта.
  3. Отдельное внимание стоит уделить правам доступа к сетевым службам и организации нескольких уровней доступа к службам на сервере и архивным версиям приложения. Кроме того, если в команде администраторов присутствует ротация, своевременно блокируйте доступ уволившимся сотрудникам — так вы не оставите лазеек для тех, кто по личным причинам захочет произвести глубокую атаку на ваше приложение или сервер.
  4. Регулярно проверяйте систему на наличие известных уязвимостей с помощью (как минимум!) открытых инструментов. Крупным компаниям необходимо регулярно заказывать аудиты безопасности и нанимать агентства, занимающиеся пентестингом (тестированием на возможность проникновения и дестабилизации работы ИТ-ресурсов).
  5. Регулярно очищайте DNS-кеш для защиты от спуфинга.
  6. В ряде случаев, если речь идет о серьезной корпоративной инфраструктуре, имеет смысл обратить внимание на аппаратные средства фильтрации трафика.
  7. Выбирайте надежного провайдера, который способен гарантировать высокий уровень защиты от всех актуальных угроз.
Поделиться
Расскажем, что происходит во время DDoS-атак, по каким причинам совершают ДДоС-атаки, как их распознать, что делать в случае нападения и как предотвратить или остановить распределенный отказ в обслуживании.

Другие статьи

/ Решим ваши задачи