Полезные советы для эффективной блокировки вредоносного трафика.
Любой веб-мастер стремится поддерживать работоспособность своего сайта во время больших всплесков трафика. Но как убедиться, что эти всплески трафика законны? И, что ещё более важно, как нужно реагировать, когда это не так?
К сожалению, реальность такова, что DDoS-атаки могут представлять угрозу как для крупных, так и для совсем небольших веб-сайтов. В этой статье мы рассмотрим некоторые важные основы того, как остановить DDoS-атаку и предотвратить её возникновение в будущем.
Распределённая атака типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) — это кибератака, при которой обычный трафик к определенному серверу, службе или сети прерывается потоком интернет-трафика. Эта атака обычно организуется с использованием множества скомпрометированных компьютеров или сетевых ресурсов, включая устройства Интернета вещей (IoT).
Если говорить максимально простым языком, DDoS-атаку можно сравнить с огромной пробкой на шоссе, которая мешает обычным пассажирам — в данном случае посетителям сайта — добраться до желаемого пункта назначения.
Существует несколько различных типов DDoS-атак. Все они не позволяют законным пользователям получить доступ к веб-сайту, отправляя на сервер поддельные запросы или куда больший объём трафика, чем сервер способен обработать.
Ниже перечислены несколько наиболее распространённых типов DDoS-атак.
Объёмные DDoS-атаки
Такие атаки считаются самыми распространёнными среди DDoS. Их целью является перегрузка пропускной способности веб-сайта или возникновение проблем с использованием центрального процессора, что резко сокращает число операций ввода-вывода в секунду. Если злоумышленник смог перегрузить целевое оборудование, атака прошла успешно.
Некоторые примеры объёмных DDoS-атак включают в себя:
DDoS-атаки на основе протоколов
Целью DDoS-атаки на основе протокола является использование слабых мест в стеках протоколов 3-го и 4-го уровня для использования ресурсов сервера или сетевого оборудования, что приводит к сбоям в обслуживании.
Если злоумышленник занимает большую пропускную полосу, чем могут обработать сетевые порты, или больше пакетов, чем может обработать сервер, атака увенчалась успехом.
Некоторые примеры DDoS-атак на основе протоколов включают в себя:
DDoS-атаки на уровне приложений
Цель атаки на уровне приложения — атаковать центральный процессор, память или ресурсы, которые сосредоточены на уровне веб-приложения, включая воздействие на веб-сервер, запуск PHP-сценариев или обращение к базе данных для загрузки только одной веб-страницы.
Некоторые примеры DDoS-атак на уровне приложений включают в себя:
Неподготовленность к DDoS-атакам может привести в лучшем случае к потере трафика на неопределённый период времени, а в худшем к потере репутации и продаж. Такие последствия могут оказать наибольшее влияние на бизнес компании.
Вот несколько вещей, которые следует понимать о DDoS-атаках и которые подчёркивают их воздействие:
Важно регулярно отслеживать пиковый трафик своего сайта, чтобы быстро обнаружить явную аномалию.
Как мы уже разобрались ранее, самыми распространёнными DDoS-атаками считаются объёмные атаки с использованием огромных объёмов трафика, однако далеко не все DDoS-атаки являются объёмными.
Резкое увеличение трафика прямо сигнализирует о потенциальной DDoS-атаке. Инструменты мониторинга активности на сайте необходимо настроить заранее и регулярно их проверять, чтобы в один прекрасный момент с удивлением не обнаружить, что ваш сайт лежит уже несколько часов или дней. Преимуществом подобных инструментов является то, что в них можно настроить оповещения на случай, если пиковый порог запросов будет существенно превышен.
Вот некоторые показатели, которые тоже могут сигнализировать о возможной злонамеренной активности в отношении сайта:
Ждёте ли вы всплеск визитов на свой сайт в 2 часа ночи? Ждёте ли наплыва посетителей из других стран? А может вы продаёте какой-то сезонный товар, по типу новогодних фейерверков — тогда и резкий всплеск активности в зимний сезон будет вполне обоснован.
В общем, сначала нужно хорошо подумать о возможных причинах увеличения числа запросов и, если таких причин точно нет, можно плотно задуматься о блокировке этого подозрительного трафика.
Примечание. Робот Googlebot может часто повторять запросы на ваш веб-сайт, что на первый взгляд может показаться подозрительным. Однако как Googlebot, так и другие сканеры поисковых систем работают именно по такому принципу, чтобы обеспечить правильное ранжирования веб-сайта в результатах поиска. Соответственно, такой трафик тоже необходимо замерить специализированными инструментами анализа, не путать его с вредоносным и ни в коем случае не блокировать.
На первый взгляд решение очевидно — заблокировать их источник! Однако и тут есть несколько ключевых моментов, с которыми лучше свериться, чтобы случайно не наломать дров.
Далее мы рассмотрим конкретные шаги, которые помогут остановить DDoS-атаку до того, как она повлияет на ваш сайт и его трафик.
1. Определите DDoS-атаку
Раннее обнаружение DDoS-атаки существенно снижает воздействие и время простоя вашего веб-сайта. Если вы используете собственные веб-серверы, убедитесь, что у вас есть службы, которые помогут своевременно отследить начавшуюся DDoS-атаку.
2. Поддерживайте достаточную пропускную способность и ресурсы
Ваш веб-сервер уже должен быть настроен на непредвиденное увеличение трафика, особенно если вы время от времени запускаете рекламные объявления, кампании или специальные предложения. Эти дополнительные ресурсы могут дать вам несколько дополнительных минут времени, чтобы отреагировать на DDoS-атаку до того, как ресурсы сайта будут окончательно перегружены.
3. Защитите периметр своей сети
Если у вас есть собственный веб-сервер, вы можете предпринять несколько шагов, чтобы смягчить последствия DDoS-атаки. Например, вы можете ограничить количество запросов, которые ваш веб-сервер принимает с течением времени, добавить фильтры для отбрасывания пакетов или установить более низкий уровень ICMP-, SYN- и UDP-флуда.
4. Используйте брандмауэр веб-приложений
Брандмауэр веб-приложений (Web Application Firewall, WAF) может помочь противостоять DDoS- и DoS-атакам, угрозам 7-го уровня, плохим ботам и даже вовремя исправлять известные уязвимости веб-сайтов. WAF — это, по сути, уровень защиты, который находится между веб-сайтом и получаемым им трафиком.
Существует несколько решений WAF, которые предлагают автоматическое устранение DDoS-угроз, но один из лучших способов определить, какой WAF лучше всего работает для вашего продукта, — проанализировать, насколько эффективна защита, укладывается ли она в бюджет и сможет ли ваша команда настроить её должным образом.
5. Включите региональную блокировку
Блокировка на уровне страны обычно весьма эффективна для минимизации рисков. Она также может помочь в соблюдении некоторых политик организации, целью которых является блокировка хакеров. Вот несколько вещей, на которые следует обратить внимание:
Это не значит, что региональная блокировка никак не поможет предотвратить DDoS-угрозы, однако важно понимать, что это не панацея, и не стоит блокировать трафик из любой страны кроме своей в целях мнимой безопасности.
В настоящее время большинство ботнетов состоят из тысяч взломанных веб-сайтов, скомпрометированных систем видеонаблюдения, заражённых компьютеров и других устройств Интернета вещей. Атаки распространяются по всему миру, и блокировка по стране действительно может помешать тысячам безмозглых ботов рассылать свой спам. Поэтому данный способ определённо имеет свой плюс.
DDoS-атаки представляют весьма серьёзную угрозу для владельцев веб-сайтов и онлайн-сервисов. Хотя полностью избежать подобных атак невозможно, они могут быть эффективно сдержаны при применении ряда стратегических и технических мер.
Раннее обнаружение атак, поддержание достаточной пропускной способности и применение защитных систем, таких как брандмауэры веб-приложений и региональная блокировка, могут существенно снизить риски и последствия таких атак. А правильно настроенная система мониторинга и чётко разработанный план реагирования на инциденты обеспечат дополнительную защиту и помогут сохранять непрерывность бизнес-процессов в случае атаки.
Спойлер: мы раскрываем их любимые трюки