DDoS-атаки – одна из самых опасных угроз для компаний, которые предоставляют услуги в интернете. Их легко организовать, они недорого стоят и могут длиться несколько дней (или даже недель), полностью блокируя пользователям доступ к сайту.
В последнем квартале 2021 г. «Лаборатория Касперского» зафиксировала рекордное количество DDoS-атак в истории. Их количество выросло практически в 5 раз по сравнению с IV кварталом 2020 г. И на данный момент нет никаких предпосылок к их снижению.
О том, что представляют собой DDoS-атаки и как с ними бороться, нам рассказал руководитель отдела информационной безопасности компании Softline Belarus Александр Дубина.
Что такое DDoS-атака?
DDoS (от англ. Distributed Denial of Service) – класс атак на сайты и веб-приложения. Дословно название переводится как «распределенная атака, отказ в обслуживании». Любой сайт, будь то интернет-магазин, СМИ, корпоративный портал или онлайн-сервис, имеет пропускную способность. То есть он может выдержать лишь определенное количество обращений пользователей в единицу времени. Если это количество превышает норму, ресурс «ломается» – уменьшается скорость загрузки, появляются лаги, и в конечном итоге сайт падает.
Такие атаки бывают не только преднамеренными, но и естественными, когда сайт оказывается не готов к наплыву пользователей. Например, в 2016 г., во время Всемирного дня шопинга сайт AliExpress объявил масштабные скидки. В итоге желающих воспользоваться акциями оказалось так много, что уже за первые 10 минут ресурс перестал адекватно работать – часть карточек товаров не открывалась, стали отменяться заказы, замедлилась работа всех сервисов. А спустя час сайт и вовсе перестал открываться.
Преднамеренные атаки совершаются не пользователями, а с помощью зараженной техники. Причем это не только персональные компьютеры или мобильные телефоны. Атаковать ваш сайт может практически любая «умная» техника с выходом в интернет – холодильник, пылесос, веб-камера, чайник или фитнес-браслет.
Сегодня DDoS-атаки зачастую используются лишь как отвлекающий маневр. Пока все ИТ-специалисты занимаются восстановлением работоспособности веб-ресурсов и принимают защитные меры для отражения угрозы, злоумышленники воруют конфиденциальную информацию и финансовые данные.
Сложно ли организовать DDoS-атаку?
К сожалению, сегодня провести DDoS-атаку очень просто. В даркнете любой желающий может купить соответствующую услугу. Чем интенсивнее и мощнее должна быть атака, тем больше придется заплатить.
Из-за того, что атака происходит сразу с большого количества источников (может доходить до сотен тысяч устройств), а все сделки заключаются в даркнете и оплачиваются криптовалютой, определить заказчика и даже исполнителя практически нереально. Именно безнаказанность, а также легкость проведения атаки – одни из главных причин их популярности.
Как это работает?
Мы не будем вдаваться в глубокие технические подробности и опишем только суть самых распространенных видов DDoS-атак.
Чаще всего они проводятся с помощью компьютерных сетей, в которые входят зараженные устройства с доступом в интернет. Они называются ботнетами. Управляет ими бот-мастер, по команде которого устройства начинают посылать бесконечные запросы на сайт. В результате успешной атаки либо падает сервер, либо забивается полоса пропускания. В любом случае пользователи начинают испытывать сильные затруднения в доступе к сайту.
Описанный выше вид DDoS-атак один из самых распространенных, но не единственный. Например, если на сайте есть форма обратной связи, в которой пользователь может прикрепить картинку, боты начинают массово отправлять большое количество объемных файлов. В результате диски на сервере быстро переполняются и сайт зависает.
Киберпреступники-профессионалы подходят к этому делу еще тоньше. Они изучают ресурс жертвы, после чего пишут эксплойт – специализированные программы, которые атакуют самые уязвимые места ресурса.
Как защитить свой ресурс?
К сожалению, сегодня не существует 100%-ной защиты от DDoS-атак. Самый эффективный и очень дорогой способ – получить в свое распоряжение настолько широкий канал, чтобы любая DDoS-атака стала бессмысленной. То есть чтобы финансовые затраты на нее были выше, чем итоговый результат. Именно поэтому очень сложно провести эффективные атаки на популярные поисковые системы, википедию или социальные сети. Они имеют слишком большой запас прочности.
Но такие широкие каналы может позволить себе лишь ограниченное число компаний. Остальным рекомендую воспользоваться следующими советами:
- следует ограничить возможность либо вообще запретить пользователям загружать файлы на сайт;
- запас пропускной способности ресурса должен составлять минимум 50% от пиковой нагрузки сайта. Также следует заранее готовиться к большим наплывам посетителей и расширять пропускные возможности, например, перед «черной пятницей»;
- серверы, у которых есть доступ к внешней сети, должны быть готовы к быстрой удаленной перезагрузке;
- ПО, которое используется на сетевом оборудовании и сервере, всегда должно быть обновлено до актуальных версий. Это позволит закрыть все незащищенные лазейки и баги, которыми пользуются злоумышленники;
- на ближайшем к серверу маршрутизаторе должна быть установлена система мониторинга трафика, которая позволит своевременно узнать о начале атаки;
- организуйте распределенную вычислительную сеть, которая состоит из нескольких серверов, дублирующих друг друга. В таком случае, когда мощности одного из них подходят к концу, новые пользователи перенаправляются на следующий. Это дорогой, но эффективный способ противостояния преступникам.
Компании, специализирующиеся на кибербезопасности, имеют свои программные и аппаратные способы защиты от DDoS-атак с разными принципами действия. Отдельные утилиты направлены на автоматическую блокировку IP-адресов или даже региона мира, откуда ведется атака. Другие решения не блокируют, а перенаправляют трафик в «центры очистки», где отсеиваются липовые запросы.
В любом случае, перед выбором решения для защиты рекомендую обратиться к экспертам в сфере кибербезопасности, которые помогут выбрать наиболее эффективный способ защиты.
Горячие темы