Что такое DDoS-атака и как ее предотвратить

Если web-сайт или приложение вашей компании внезапно отключается из-за большого потока подозрительного трафика, это может значить, что вы стали целью распределенной атаки на отказ в обслуживании (DDoS). Подобных кибератак становится все больше, и они могут иметь разрушительные последствия для вашего бизнеса и репутации бренда, когда они приводят к значительному простою web-сайтов. Сегодня мы разберем нюансы DDoS-атак, выясним, как их избежать и что предпринять если вы стали жертвой подобной атаки.

Что такое DDoS атака?

DDoS расшифровывается как «Distributed Denial-of-Service» (распределенная/ массивная кибератака до отказа в обслуживании). DDoS-атака происходит, когда хакер отправляет поток трафика в сеть или на сервер, чтобы перегрузить систему и нарушить ее способность работать. Эти атаки обычно используются для временного сбоя работы web-сайта или приложения и могут длиться несколько дней или даже дольше. Мы используем термин «Отказ в обслуживании», потому что сайт или сервер не сможет обслуживать трафик во время атаки, и такие атаки называются «Распределенный отказ в обслуживании», потому что несанкционированный трафик исходит от сотен, тысяч или даже миллионов других компьютеров. Когда это исходит из единственного источника, это называется DoS-атака. DDoS-атаки используют ботнет (набор из множества компьютеров или устройств с подключением к интернету, которые были использованы удаленно с помощью вредоносного ПО) для запуска атаки. И как бы это ни было смешно, называются они «зомби».

Различные виды атак

Зомби нацелены на уязвимости в разных слоях взаимосвязи открытых систем и, согласно Cloudflare, обычно делятся на три категории:

1. Атаки на уровне приложений. Подобные атаки являются самыми простыми из DDoS-атак. Они имитируют обычные запросы к серверу. Другими словами, компьютеры или устройства в ботнете собираются вместе для доступа к серверу или web-сайту как обычный пользователь. Но по мере того как DDoS-атака расширяется, объем запросов становится слишком большим для сервера, и он падает.
2. Атаки на уровне протоколов. Такие атаки используют информацию о том, как серверы обрабатывают данные, чтобы перегружать намеченную цель. В некоторых вариантах протокольных атак ботнет будет отправлять пакеты данных на сервер для сборки. Затем сервер ожидает получения подтверждения от исходного IP-адреса, который он никогда не получает. Но он продолжает получать все больше и больше данных для распаковки. В других вариантах он отправляет пакеты данных, которые просто невозможно собрать, что приводит к перегрузке ресурсов сервера, когда он пытается это сделать.
3. Объемные атаки похожи на атаки приложений, но имеют свою особенность. В этом виде DDoS-атаки доступная пропускная способность всего сервера поглощается запросами ботнета, которые каким-то образом были усилены. Например, ботнеты могут иногда обманывать серверы, отправляя им самим огромные объемы данных. Это означает, что сервер должен обработать получение, сборку, отправку и получение этих данных снова.

С первой DDoS-атаки до сегодняшнего дня

Первая известная DDoS-атака была проведена в 2000 году 15-летним парнем по имени Майкл Кальс («Mafiaboy») и использовалась для временного отключения сайтов Yahoo, CNN и eBay, вызывая сообщение об ошибке. С тех пор этот вид атак стал набирать популярность и расти. Например, в III квартале текущего года была зарегистрирована рекордная по размеру своей полосы атака, организованная на одного из клиентов Qrator Labs. Ее скорость составила 903,67 Гбит/с.

Кто применяет DDoS-атаки и для чего?

Хотя DDoS-атаки выросли в их силе и сложности, основные DDoS-атаки могут осуществить практически все. Обычные люди могут платить за DDoS-атаки на цель в интернете или на черном рынке. Они могут даже арендовать существующий ботнет для осуществления своих вредоносных планов. Ранние DDoS-атаки осуществлялись для того, чтобы похвастаться возможностями хакеров, но сегодня ситуация изменилась коренным образом. Сейчас DDoS-атаки используют владельцы бизнеса, чтобы опередить конкурентов, или активисты, чтобы запретить людям доступ к определенному контенту. Немало организаторов подобных атак и среди злоумышленников, пытающихся отомстить кому-то.

Как предотвратить DDoS-атаки

Вы не можете помешать злоумышленнику отправлять волны несанкционированного трафика на ваши серверы, но вы можете заранее подготовиться к тому, чтобы справиться с нагрузкой. Сделать это можно, следуя следующим рекомендациям:

1. Обнаружить это вовремя, отслеживая трафик. Важно иметь хорошее представление о том, что такое нормальный, низкий и большой объем трафика для вашей организации. Если вы знаете, чего ожидать, когда ваш трафик достигнет своего верхнего предела, вы можете установить ограничение скорости. Это означает, что сервер будет принимать столько запросов, сколько может обработать. Наличие актуальных знаний о тенденциях вашего трафика также поможет вам быстро определить проблему. Вы также должны быть готовы к скачкам трафика из-за сезонности, маркетинговых кампаний и многого другого. Много обычного трафика (например, из вирусной ссылки в социальных сетях) может иногда иметь сходный эффект сбоя сервера. И даже при том что трафик идет из законного источника, это может иметь большие последствия для вашего бизнеса.
2. Получите больше пропускной способности. Как только вы получите представление о необходимой вам мощности сервера, исходя из среднего и высокого уровня трафика, вы должны получить его и даже больше. Получение большей пропускной способности сервера, чем вам действительно нужно, называется «избыточным выделением ресурсов». Это даст вам больше времени в случае DDoS атаки до того, как ваш сайт, сервер или приложение будут полностью перегружены.
3. Используйте сеть доставки контента (CDN). Цель DDoS — перегрузить хост-сервер. Таким образом, одним из решений является хранение ваших данных на нескольких серверах по всему миру. Это именно то, что позволяет сеть доставки контента (CDN). CDN обслуживают ваш web-сайт и предоставляют данные пользователям с сервера, который находится рядом с каждым пользователем, для повышения производительности. Использование CDN также означает, что вы менее уязвимы для атаки, потому что если один сервер перегружен, у вас есть еще много других, которые работают нормально.

Что делать, если вы стали жертвой DDoS-атаки

DDoS атаки в наши дни настолько сложные и мощные, что отразить их самостоятельно может быть очень сложно. Вот почему лучшей защитой от атаки будет предпринять правильные меры предосторожности с самого начала. Если же вы уже находитесь под атакой и ваш сервер сейчас отключен, вы можете сделать несколько вещей:

1. Быстро на месте применить защитные меры. Если у вас есть хорошее представление о том, как выглядит обычный трафик, вы сможете быстро определить, когда вы подвергаетесь DDoS-атаке. Вы увидите огромный поток запросов к серверу или web-трафику из подозрительных источников. Но у вас все еще может быть некоторое время, прежде чем ваш сервер полностью станет перегруженным. Установите ограничение скорости как можно скорее и очистите логи сервера, чтобы освободить больше места.
2. Свяжитесь с вашим хостинг-провайдером. Если кто-то еще владеет и управляет сервером, обслуживающим ваши данные, немедленно уведомите их об атаке. Они смогут отбить ваш трафик, пока атака не утихнет. Другими словами, все входящие запросы к серверу будут просто скинуты, не важно санкционированные или нет. Это будет в их интересах сделать, чтобы предотвратить падение серверов других своих клиентов. После этого они, вероятно, смогут перенаправить трафик через фильтр, чтобы избавиться от несанкционированного трафика, и разрешить прохождение нормальных запросов.
3. Свяжитесь со специалистом. Если вы подвергаетесь крупномасштабной атаке или не можете позволить простой в работе вашего web-сайта или приложения, возможно, вы захотите привлечь специалиста по борьбе с DDoS-атаками. Что они могут сделать, так это перенаправить ваш трафик на свои огромные серверы, которые могут справиться с нагрузкой, и попытаться оттуда отфильтровать незаконные запросы.
4. Переждите. Если ваш бизнес не столь критичный, а наем профессионала для перенаправления и очистки вашего web-трафика является дорогостоящим, то имейте в виду, что большинство DDoS-атак заканчивается в течение нескольких дней (хотя в серьезных случаях они могут длиться дольше), поэтому у вас всегда есть возможность просто смириться с потерями и лучше подготовиться в следующий раз.

Как определить, что ваш компьютер стал частью ботнета

Если вы являетесь индивидуальным пользователем, ваш компьютер может быть завербован в ботнет без вашего ведома. Это может быть не сразу заметно, но есть несколько признаков того, что в фоновом режиме на вашем устройстве может происходить вредоносная активность. Например, вы будете сталкиваться с частыми сбоями, более длительным временем загрузки, странными сообщениями об ошибках. Если подобное происходит, то вам нужно будет установить и запустить регулярное сканирование на вирусы с использованием надежного антивирусного программного обеспечения. В большинстве случаев антивирус может удалить вирус. И помните, никогда не загружайте вложения электронной почты или файлы со сторонних сайтов, если вы точно не знаете, что это за файлы и откуда они. Эти попытки фишинга могут установить вредоносное ПО на ваше устройство без вашего ведома.