Как остановить DDoS-атаку за 5 шагов

Любой веб-мастер стремится поддерживать работоспособность своего сайта во время больших всплесков трафика. Но как убедиться, что эти всплески трафика законны? И, что ещё более важно, как нужно реагировать, когда это не так?

К сожалению, реальность такова, что DDoS-атаки могут представлять угрозу как для крупных, так и для совсем небольших веб-сайтов. В этой статье мы рассмотрим некоторые важные основы того, как остановить DDoS-атаку и предотвратить её возникновение в будущем.

Что такое распределённый отказ в обслуживании?

Распределённая атака типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) — это кибератака, при которой обычный трафик к определенному серверу, службе или сети прерывается потоком интернет-трафика. Эта атака обычно организуется с использованием множества скомпрометированных компьютеров или сетевых ресурсов, включая устройства Интернета вещей (IoT).

Если говорить максимально простым языком, DDoS-атаку можно сравнить с огромной пробкой на шоссе, которая мешает обычным пассажирам — в данном случае посетителям сайта — добраться до желаемого пункта назначения.

Какие бывают DDoS-атаки?

Существует несколько различных типов DDoS-атак. Все они не позволяют законным пользователям получить доступ к веб-сайту, отправляя на сервер поддельные запросы или куда больший объём трафика, чем сервер способен обработать.

Ниже перечислены несколько наиболее распространённых типов DDoS-атак.

Объёмные DDoS-атаки

Такие атаки считаются самыми распространёнными среди DDoS. Их целью является перегрузка пропускной способности веб-сайта или возникновение проблем с использованием центрального процессора, что резко сокращает число операций ввода-вывода в секунду. Если злоумышленник смог перегрузить целевое оборудование, атака прошла успешно.

Некоторые примеры объёмных DDoS-атак включают в себя:

• UDP-флуд. Это атака, при которой злоумышленник отправляет большое количество UDP-пакетов на случайные порты на целевом сервере. Поскольку UDP не требует установления соединения, сервер пытается ответить на каждый запрос, обычно сообщением о недоступности порта. Это перегружает сетевые ресурсы и может привести к отказу в обслуживании.
• ICMP-флуд. Атака, при которой злоумышленник шлёт большое количество ICMP-пакетов (например, пакеты Echo Request, используемые командой ping) на целевую машину. Цель тут — перегрузить сеть и процессорные ресурсы целевого устройства, заставляя его отвечать на каждый запрос.
• Ping-флуд. Это разновидность ICMP-флуда, где атакующий отправляет массовые запросы ping на целевую систему. Если система настроена на ответ на каждый такой запрос, это может быстро исчерпать её сетевые и вычислительные ресурсы.

DDoS-атаки на основе протоколов

Целью DDoS-атаки на основе протокола является использование слабых мест в стеках протоколов 3-го и 4-го уровня для использования ресурсов сервера или сетевого оборудования, что приводит к сбоям в обслуживании.

Если злоумышленник занимает большую пропускную полосу, чем могут обработать сетевые порты, или больше пакетов, чем может обработать сервер, атака увенчалась успехом.

Некоторые примеры DDoS-атак на основе протоколов включают в себя:

• Ping of death. Этот вид атаки заключается в отправке специально сформированных пакетов ping, размер которых превышает максимально допустимый размер IP-пакета (65,535 байт). Такие пакеты могут вызвать переполнение буфера или другие сбои в работе системы, что приводит к её нестабильности или падению.
• SYN-флуд. В этой атаке злоумышленник отправляет большое количество SYN-пакетов (начальный этап установления TCP-соединения) на целевой сервер, не завершая процесс установления соединения. Это приводит к исчерпанию пула доступных для новых соединений ресурсов сервера, что делает невозможным обработку легитимных запросов на установление соединения.

DDoS-атаки на уровне приложений

Цель атаки на уровне приложения — атаковать центральный процессор, память или ресурсы, которые сосредоточены на уровне веб-приложения, включая воздействие на веб-сервер, запуск PHP-сценариев или обращение к базе данных для загрузки только одной веб-страницы.

Некоторые примеры DDoS-атак на уровне приложений включают в себя:

• Атаки, нацеленные на DNS-сервер. Целью такой DDoS-атаки является перегрузка сервера системы доменных имён (DNS) массовыми запросами. Это приводит к тому, что сервер не может обрабатывать легитимные запросы, что делает невозможным доступ к веб-сайтам и онлайн-сервисам, DNS-записи которых обслуживает атакуемый сервер.
• Обход кэша. Злоумышленник старается отправлять запросы таким образом, чтобы они не могли быть обработаны с помощью кэша. Это могут быть уникальные запросы, которые требуют обработки сервером, например, запросы с уникальными строками запроса или заголовками. Такие атаки увеличивают нагрузку на сервер, поскольку он не может использовать кэшированные ответы и вынужден обрабатывать каждый запрос индивидуально.
• HTTP-флуд. Тут злоумышленник генерирует большое количество HTTP-запросов с целью перегрузить веб-сервер или приложение, находящееся за ним. В отличие от атак нижних уровней, которые фокусируются на сетевой инфраструктуре, HTTP-флуд нацелен на приложение, заставляя сервер тратить ресурсы на обработку каждого из запросов. Эти атаки могут быть маскированы под легитимный трафик, что затрудняет их обнаружение и блокировку.

Влияние и последствия DDoS

Неподготовленность к DDoS-атакам может привести в лучшем случае к потере трафика на неопределённый период времени, а в худшем к потере репутации и продаж. Такие последствия могут оказать наибольшее влияние на бизнес компании.

Вот несколько вещей, которые следует понимать о DDoS-атаках и которые подчёркивают их воздействие:

• для преступников/злоумышленников покупка мощностей для недельной DDoS-атаки обходится всего в 150 долларов;
• небольшая целенаправленная DDoS-атака может стоить злоумышленнику всего 10 долларов;
• ежедневно по всему миру происходит более 2000 DDoS-атак;
• успешная DDoS-атака может привести к баснословным денежным потерям со стороны компании-жертвы.

Как проверить наличие DDoS-атак

Важно регулярно отслеживать пиковый трафик своего сайта, чтобы быстро обнаружить явную аномалию.

Как мы уже разобрались ранее, самыми распространёнными DDoS-атаками считаются объёмные атаки с использованием огромных объёмов трафика, однако далеко не все DDoS-атаки являются объёмными.

Резкое увеличение трафика прямо сигнализирует о потенциальной DDoS-атаке. Инструменты мониторинга активности на сайте необходимо настроить заранее и регулярно их проверять, чтобы в один прекрасный момент с удивлением не обнаружить, что ваш сайт лежит уже несколько часов или дней. Преимуществом подобных инструментов является то, что в них можно настроить оповещения на случай, если пиковый порог запросов будет существенно превышен.

Вот некоторые показатели, которые тоже могут сигнализировать о возможной злонамеренной активности в отношении сайта:

• время суток, когда наблюдается всплеск запросов;
• местоположение, откуда исходят эти запросы;
• время года, в которое они происходят.

Ждёте ли вы всплеск визитов на свой сайт в 2 часа ночи? Ждёте ли наплыва посетителей из других стран? А может вы продаёте какой-то сезонный товар, по типу новогодних фейерверков — тогда и резкий всплеск активности в зимний сезон будет вполне обоснован.

В общем, сначала нужно хорошо подумать о возможных причинах увеличения числа запросов и, если таких причин точно нет, можно плотно задуматься о блокировке этого подозрительного трафика.

Примечание. Робот Googlebot может часто повторять запросы на ваш веб-сайт, что на первый взгляд может показаться подозрительным. Однако как Googlebot, так и другие сканеры поисковых систем работают именно по такому принципу, чтобы обеспечить правильное ранжирования веб-сайта в результатах поиска. Соответственно, такой трафик тоже необходимо замерить специализированными инструментами анализа, не путать его с вредоносным и ни в коем случае не блокировать.

Как правильно противостоять DDoS-атакам?

На первый взгляд решение очевидно — заблокировать их источник! Однако и тут есть несколько ключевых моментов, с которыми лучше свериться, чтобы случайно не наломать дров.

• Контрольный список защитных систем. Заранее разработайте полный список активов и инструментов, которые необходимо внедрить в вашу сетевую инфраструктуру, чтобы обеспечить правильное выявление и предотвращение DDoS-атак.
Составьте чёткий план реагирования. Заранее определите обязанности ключевых членов своей команды безопасности, чтобы обеспечить организованное реагирование на атаку.
• Определите альтернативные методы или решения. Убедитесь, что члены вашей команды точно знают, к кому обращаться, если атака превысит разумные пределы, и с ней не получится справится стандартными методами.
• Сообщите об ожидаемом простое. Если у вас есть клиенты, которые регулярно пользуются вашим сайтом, стоит заранее обеспокоиться вопросом их экстренного информирования о временной недоступности сайта или снижению его производительности.

Как остановить DDoS-атаку

Далее мы рассмотрим конкретные шаги, которые помогут остановить DDoS-атаку до того, как она повлияет на ваш сайт и его трафик.

1. Определите DDoS-атаку

Раннее обнаружение DDoS-атаки существенно снижает воздействие и время простоя вашего веб-сайта. Если вы используете собственные веб-серверы, убедитесь, что у вас есть службы, которые помогут своевременно отследить начавшуюся DDoS-атаку.

2. Поддерживайте достаточную пропускную способность и ресурсы

Ваш веб-сервер уже должен быть настроен на непредвиденное увеличение трафика, особенно если вы время от времени запускаете рекламные объявления, кампании или специальные предложения. Эти дополнительные ресурсы могут дать вам несколько дополнительных минут времени, чтобы отреагировать на DDoS-атаку до того, как ресурсы сайта будут окончательно перегружены.

3. Защитите периметр своей сети

Если у вас есть собственный веб-сервер, вы можете предпринять несколько шагов, чтобы смягчить последствия DDoS-атаки. Например, вы можете ограничить количество запросов, которые ваш веб-сервер принимает с течением времени, добавить фильтры для отбрасывания пакетов или установить более низкий уровень ICMP-, SYN- и UDP-флуда.

4. Используйте брандмауэр веб-приложений

Брандмауэр веб-приложений (Web Application Firewall, WAF) может помочь противостоять DDoS- и DoS-атакам, угрозам 7-го уровня, плохим ботам и даже вовремя исправлять известные уязвимости веб-сайтов. WAF — это, по сути, уровень защиты, который находится между веб-сайтом и получаемым им трафиком.

Существует несколько решений WAF, которые предлагают автоматическое устранение DDoS-угроз, но один из лучших способов определить, какой WAF лучше всего работает для вашего продукта, — проанализировать, насколько эффективна защита, укладывается ли она в бюджет и сможет ли ваша команда настроить её должным образом.

5. Включите региональную блокировку

Блокировка на уровне страны обычно весьма эффективна для минимизации рисков. Она также может помочь в соблюдении некоторых политик организации, целью которых является блокировка хакеров. Вот несколько вещей, на которые следует обратить внимание:

• Физическое местоположение не имеет никакого значения для компьютеров, его всегда можно подделать. Брандмауэр веб-сайта, в свою очередь, может видеть только IP-адреса, местоположение которых определяется специальными большими таблицами, данные в которых со временем могут устаревать.
• Обойти региональные системы блокировки довольно просто для злоумышленников. Достаточно использовать ту или иную форму анонимного прокси или же настроить проксирование за пределами списка заблокированных стран.

Это не значит, что региональная блокировка никак не поможет предотвратить DDoS-угрозы, однако важно понимать, что это не панацея, и не стоит блокировать трафик из любой страны кроме своей в целях мнимой безопасности.

В настоящее время большинство ботнетов состоят из тысяч взломанных веб-сайтов, скомпрометированных систем видеонаблюдения, заражённых компьютеров и других устройств Интернета вещей. Атаки распространяются по всему миру, и блокировка по стране действительно может помешать тысячам безмозглых ботов рассылать свой спам. Поэтому данный способ определённо имеет свой плюс.

Заключение

DDoS-атаки представляют весьма серьёзную угрозу для владельцев веб-сайтов и онлайн-сервисов. Хотя полностью избежать подобных атак невозможно, они могут быть эффективно сдержаны при применении ряда стратегических и технических мер.

Раннее обнаружение атак, поддержание достаточной пропускной способности и применение защитных систем, таких как брандмауэры веб-приложений и региональная блокировка, могут существенно снизить риски и последствия таких атак. А правильно настроенная система мониторинга и чётко разработанный план реагирования на инциденты обеспечат дополнительную защиту и помогут сохранять непрерывность бизнес-процессов в случае атаки.