Эксприус

it outsourcing, it обслуживание организаций, администрирование сетей, обслуживание компьютеров и серверов, услуги и цены на ит аутсорсинг спб

DDoS-атака: что такое,типы и способы защиты

Распределённая атака с отказом в обслуживании (DDoS) представляет собой ситуацию, когда информационная система оказывается перегруженной из-за поступления слишком большого числа запросов. Это приводит к блокировке обработки обращений и затрудняет доступ к ресурсам. В данной статье мы более подробно рассмотрим, что собой представляют DDoS-атаки, какие их разновидности существуют, какие причины их возникновения, а также, что наиболее важно, какие методы защиты могут быть применены для противодействия таким атакам.

Сначала стоит отметить, что DDoS-атаки могут иметь разные формы и классификации. Они могут варьироваться по своей природе и технике выполнения. Важно понимать, как именно осуществляются эти атаки, чтобы эффективно разработать меры по их предотвращению.

Причины DDoS-атак могут быть различными, включая конкурентные интересы, политические мотивы или просто желание продемонстрировать технические навыки. Понимание мотивов за такими действиями помогает лучше подготовиться к потенциальным угрозам.

Существует множество способов защиты от DDoS-атак. Эти методы могут включать в себя как технические решения, такие как фильтрация трафика и использование специализированных сервисов, так и организационные меры, направленные на повышение устойчивости систем к подобным угрозам. Эффективная защита требует комплексного подхода и постоянного мониторинга ситуации.

Что такое DDoS-атака

 

Любое оборудование ограничено в своих возможностях по количеству одновременно обрабатываемых запросов и общей пропускной способности. В случае DDoS-атаки, которая представляет собой «отказ в обслуживании», происходит значительная перегрузка сети в результате поступления большого объема флуда или нежелательного трафика. На атакуемый ресурс в одно и то же время направляется огромное количество запросов, что приводит к забиванию всех каналов сервиса и пропускной способности маршрутизатора. Это делает невозможной передачу легитимного трафика на сервер, поскольку его ресурсы исчерпываются, и он вынужден работать в режиме «отказа в обслуживании».

Целью злоумышленников во время DDoS-атаки является выведение из строя инфраструктуры компании и ее клиентского сервиса путем создания лавинообразного увеличения количества запросов. В некоторых случаях можно столкнуться с естественным DDoS, например, во время распродаж, когда интернет-магазин испытывает резкий рост покупателей, и его система не справляется с нагрузкой.

Необходимо отметить, что атакам подвержены любые организации, которые взаимодействуют с пользователями через веб-ресурсы, маркетплейсы и онлайн-ретейлы.

Когда атака осуществляется одновременно с нескольких компьютеров, это называется распределенной атакой (Distributed DoS). В результате массовых запросов к серверу, превышающих допустимые пределы, система становится недоступной для пользователей. Признаки, указывающие на массовую DDoS-атаку, включают:

  • Некорректное функционирование операционной системы и серверного программного обеспечения, проявляющееся в случайных завершениях сессий и зависаниях;
  • Пиковая нагрузка на сервер, превышающая средние показатели, что приводит к повышенной активности ЦП, диска, оперативной памяти и других компонентов;
  • Резкое увеличение количества запросов на различные порты;
  • Однотипное поведение, включая маскировку вредоносного трафика, где алгоритмы программируются на имитацию действий реальных пользователей (например, поисковые запросы, загрузка файлов и тому подобное);
  • Генерация одинаковых массовых запросов к портам и сервисам от пользователей, не похожих на типичную аудиторию, что является важным индикатором атаки.

Жертвы организации DDoS-атак

DDoS-атаки могут привести к значительным убыткам для организаций и компаний, вызванным простоями. К таким потерям относятся снижение трафика, уменьшение числа клиентов, падение доходов, ухудшение позиций в поисковых системах и ущерб репутации.

К числу потенциальных целей DDoS-атак относятся:

1. Финансовые учреждения, включая управляющие и инвестиционные фонды, а также сайты банков и фондовых бирж.

2. Государственные и корпоративные структуры, такие как порталы крупных компаний, маркетплейсы и сайты министерств.

3. Медицинские организации, включая веб-ресурсы крупных клиник и медицинских центров.

4. Устройства Интернета вещей, например, системы «Умный дом».

Причины DDOS-атак

      • Вымогательство представляет собой широко распространенную проблему, когда злоумышленники заставляют владельцев веб-ресурсов платить выкуп, угрожая осуществлением крупномасштабной DDoS-атаки.
      • Конкуренция также может стать причиной подобных атак. Существует вероятность, что инфраструктура крупной компании окажется под угрозой со стороны ее соперников.
      • Личная неприязнь — еще один фактор, способный привести к атакам. Например, IT-специалисты могут целенаправленно спровоцировать сбой серверов определенной организации из-за личных мотивов, таких как стремление к мести или желание избавиться от преследования со стороны властей.
      • Иногда DDoS-атаки происходят без серьезных причин, и их инициаторы просто ищут развлечение. Это может относиться к новичкам в IT-сообществе, которые хотят испытать свои навыки.
      • DDoS-атаки могут служить отвлекающим маневром. В таких случаях злоумышленники пытаются отвлечь внимание, чтобы затем внедрить шифровальщики или украсть важные данные компании.

Виды DDoS-атак

 

Специалисты выделяют два основных типа DDoS-атак, основываясь на уровнях модели OSI.

Первый тип включает атаки на 3-4 уровня, которые происходят на транспортном и сетевом уровнях. Такие атаки характеризуются значительным количеством отправляемых пакетов, что приводит к перегрузке каналов передачи данных. В результате сервер не справляется с нагрузкой и выдает сообщение о «отказе в доступе». Злоумышленники часто используют уязвимости в сетевых протоколах для создания чрезмерной нагрузки на сервер, что в конечном итоге приводит к его недоступности.

Второй тип относится к атакам на 7 уровне OSI, которые целятся на уровень приложений. Эти атаки не только используют сетевые ресурсы, но и истощают ресурсы самого сервера. Они могут длиться от нескольких часов до нескольких дней, в результате чего сервер становится недоступным. Нападения направлены непосредственно на приложения или операционные системы, что приводит к превышению предела вычислительной мощности сервера. Как правило, такие атаки затрагивают конкретные сервисы, приложения и службы.

В зависимости от методов, применяемых злоумышленниками, защита может потребоваться против различных типов DDoS-атак:

1. HTTP-флуд — при этом виде атаки злоумышленники используют разнообразные HTTP-заголовки для создания труднодоступных пакетов. Часто запросы отправляются через защищенный протокол HTTPS, что усложняет их распознавание. Серверу приходится сначала расшифровывать шквал приходящих запросов, что дополнительно нагружает его.

2. NTP-усиление — данная атака использует серверы протокола сетевого времени (NTP) для синхронизации времени. Злоумышленники направляют на сервер UDP-трафик с намерением его перегрузить, что приводит к значительному увеличению объема ответного трафика и перегрузке сети.

3. Pulse Wave — в рамках этой атаки злоумышленники создают периодические всплески трафика. В отличие от обычных DDoS-атак, которые выглядят как непрерывный поток, здесь наблюдаются серии кратковременных, но интенсивных импульсов с регулярной периодичностью.

4. Ping of Death — атака заключается в рассылке пинг-запросов с помощью команды Ping of Death, что приводит к перегрузке сервера. В современных условиях, с увеличением пропускной способности сетей, такие атаки встречаются реже, однако для их осуществления требуется значительное количество зараженных устройств.

5. SYN-флуд — в этом случае злоумышленники инициируют полуоткрытое соединение с сервером. Сервер принимает SYN-пакет и отвечает SYN-ACK, но не получает завершающий пакет ACK, что приводит к увеличению очереди подключений и блокирует возможность новых соединений.

6. MAC-флуд — данная атака состоит в отправке потока пустых фреймов с различными MAC-адресами. Сетевые коммутаторы обрабатывают каждый MAC-адрес независимо, что приводит к быстрому переполнению их памяти и сбою в работе сети.

7. Fraggle Attack — эта атака использует большие объемы UDP-трафика в вещательной сети маршрутизатора.

8. Slowloris — атака направлена на веб-сервер, где злоумышленник устанавливает соединение и удерживает его как можно дольше в состоянии полуоткрытости.

9. APDoS — это усовершенствованный тип атаки, который повторяется в определенные промежутки времени. Она использует стратегии HTTP- и SYN-флуда, а также методы других атак. В ходе APDoS-атаки на сервер поступает до миллиона запросов в секунду, и она может длиться неделями, с изменением тактики злоумышленников.

Защита от DDoS-атак

 

Для эффективной борьбы с DDoS-атаками важнейшей стратегией является фильтрация подозрительной сетевой активности на уровне интернет-провайдеров или хостинг-провайдеров. В этой ситуации можно задействовать специализированное оборудование или сетевые маршрутизаторы.

Ключевым методом защиты от DDoS-атак является сокращение зоны, подверженной атакам. Это позволяет сосредоточить защитные меры и создать более надежную оборону. Необходимо обеспечить, чтобы доступ к ресурсам или приложениям не был открыт для тех протоколов, портов или приложений, которые не используются. Чем меньше уязвимых точек, тем проще будет предотвратить последствия DDoS-атаки, если она произойдет. В некоторых случаях могут оказаться полезными списки контроля доступа и брандмауэры, которые помогут управлять входящим трафиком. Далее будет рассмотрено, какие действия можно предпринять в ходе атаки, а также какие превентивные меры могут снизить риск DDoS-атак.

Дополнительные рекомендации во время атаки:

Первостепенной задачей является быстрая идентификация DDoS-атаки и ее источника. Для этого необходимо создать профиль входящего трафика, который позволит отслеживать объем и происхождение трафика. Важно отметить, что атаки часто начинаются с кратковременных всплесков трафика.

Для того чтобы сервер мог справляться с резкими колебаниями трафика, следует обеспечить ему достаточную пропускную способность. Чем больше пропускная способность, тем лучше. Хотя даже 100% резерв не гарантирует полной защиты от DDoS-атаки, он даст время для анализа источника атаки и определения необходимых мер для поддержания работоспособности сервера.

Необходимо организовать защиту периметра сети, внедрив комплекс технических решений для снижения ущерба от атак. Для этого следует выполнить следующие настройки сети:

      • Установить фильтры на маршрутизаторе для блокировки пакетов от атакующих источников.
      • Ограничить скорость маршрутизатора, чтобы избежать его перегрузки.
      • Настроить тайм-ауты для полуоткрытых соединений.
      • Блокировать пакеты с аномальной структурой или подменными IP-адресами.
      • Установить низкие пороги сброса для SYN-, ICMP- и UDP-флуда.

В качестве меры противодействия, при поступлении вредоносного трафика можно рассмотреть возможность его перенаправления на сеть злоумышленника. Это временно отвлечет его и позволит сохранить доступность сервера.

Предотвращение DDoS-атак

 

Для эффективной борьбы с DDoS-атаками важнейшей стратегией является фильтрация подозрительной сетевой активности на уровне интернет-провайдеров или хостинг-провайдеров. В этой ситуации можно задействовать специализированное оборудование или сетевые маршрутизаторы.

Ключевым методом защиты от DDoS-атак является сокращение зоны, подверженной атакам. Это позволяет сосредоточить защитные меры и создать более надежную оборону. Необходимо обеспечить, чтобы доступ к ресурсам или приложениям не был открыт для тех протоколов, портов или приложений, которые не используются. Чем меньше уязвимых точек, тем проще будет предотвратить последствия DDoS-атаки, если она произойдет. В некоторых случаях могут оказаться полезными списки контроля доступа и брандмауэры, которые помогут управлять входящим трафиком. Далее будет рассмотрено, какие действия можно предпринять в ходе атаки, а также какие превентивные меры могут снизить риск DDoS-атак.

Дополнительные рекомендации во время атаки:

Первостепенной задачей является быстрая идентификация DDoS-атаки и ее источника. Для этого необходимо создать профиль входящего трафика, который позволит отслеживать объем и происхождение трафика. Важно отметить, что атаки часто начинаются с кратковременных всплесков трафика.

Для того чтобы сервер мог справляться с резкими колебаниями трафика, следует обеспечить ему достаточную пропускную способность. Чем больше пропускная способность, тем лучше. Хотя даже 100% резерв не гарантирует полной защиты от DDoS-атаки, он даст время для анализа источника атаки и определения необходимых мер для поддержания работоспособности сервера.

Необходимо организовать защиту периметра сети, внедрив комплекс технических решений для снижения ущерба от атак. Для этого следует выполнить следующие настройки сети:

      • Установить фильтры на маршрутизаторе для блокировки пакетов от атакующих источников.
      • Ограничить скорость маршрутизатора, чтобы избежать его перегрузки.
      • Настроить тайм-ауты для полуоткрытых соединений.
      • Блокировать пакеты с аномальной структурой или подменными IP-адресами.
      • Установить низкие пороги сброса для SYN-, ICMP- и UDP-флуда.

В качестве меры противодействия, при поступлении вредоносного трафика можно рассмотреть возможность его перенаправления на сеть злоумышленника. Это временно отвлечет его и позволит сохранить доступность сервера.