6 вопросов о DDoS-атаках: что это такое, кто в зоне риска и как их предотвратить

DDoS-атаки стали уже привычной угрозой в сфере информационной безопасности. Многие компании выработали порядок действий на случай ЧП, а провайдеры облачных услуг могут предложить свои инструменты защиты. Давайте разберёмся, в чём специфика нынешних DDoS-атак, и как правильно обезопасить свои веб-ресурсы.

 

DDoS (Distributed Denial of Service) — это кибератака, суть которой заключается в отправке большого количества запросов на ресурс, что приводит к его перегрузке и блокировке работы. В итоге конечные пользователи не могут воспользоваться, например, сайтом или приложением. Бывают ещё скрытые DDoS-атаки, при которых основные страницы ресурса работают в прежнем режиме, а те, которые связаны, например, с оформлением заказов — намеренно перегружаются. Всё это приводит к неприятным последствиям для бизнеса: упущенной прибыли, репутационным рискам, ухудшению позиций в поисковой выдаче и незапланированным расходам.

 

Количество DDoS-атак в России в 3-м квартале 2024 года выросло на 319% в сравнении с предыдущим годом, зато их интенсивность — снизилась. Жертвами атак в 3-м квартале стали компании из финансового сектора, электронной торговли, а также ИТ и телекоммуникаций — пишет «Коммерсантъ» со ссылкой на отчёт Qrator Labs.

 

Мировая статистика по DDoS-атакам меняется из года в год. Несмотря на это, чаще всего под удар попадают сфера финансов, развлечений, онлайн-торговли, телекоммуникаций и государственный сектор. Это подтверждает годовой отчёт Stormwall за 2023 год и отчёт Stormwall за первое полугодие 2024 года.

 

Источник: Stormwall

 

Источник: Stormwall

 

Можно выделить несколько причин, по которым хакеры стремятся «положить» чей-то сайт или другой веб-ресурс:

 

• Шантаж и требование денег за прекращение атаки. 
• Конкурентная борьба или обида клиента на компанию.
• Геополитические мотивы.
• «Хакерская» тренировка и прокачка навыков.
• Способ отвлечь внимание от других угроз, например, попытки взлома базы данных. Такой тип атак называется «дымовая завеса».

 

DDoS-атаки можно разделить на автоматизированные и неавтоматизированные. 

 

• Автоматизированные DDoS-атаки — это когда множество заражённых вирусами устройств объединяют в единую бот-сеть и производят атаку, причём иногда владельцы гаджетов могут даже не догадываются об этом. 
• Неавтоматизированные DDoS-атаки — это когда запросы отправляются отдельными людьми по предварительному сговору. Такие запросы к серверу довольно сложно отличить от обычных, что не даёт возможности быстро сориентироваться и пресечь атаку в самом начале. 

 

При этом вектор атак может отличаться: страдать могут каналы связи, сетевое оборудование, веб-приложения или их API.

 

При аренде облака или VPS-сервера от Rusonyx все клиенты по умолчанию получают встроенную защиту от DDoS до 4-го уровня и до 7-го уровня — по запросу. Узнайте больше об аренде облака или аренде виртуального сервера.

 

Также DDoS-атаки можно разделить на три большие группы:

 

• Объёмные DDoS-атаки — самый популярный тип атак. Они могут быть выражены в виде DNS Flood, то есть отправки большого количество запросов DNS-серверу с разных IP-адресов. Также могут выражаться в DNS Amplification, то есть в виде массовой рассылки DNS-запросов с поддельным обратным IP-адресом жертвы атаки в заголовках. В результате ответ на запрос отправляется на адрес жертвы, что приводит к ещё большей перегрузке сервера.
• Протокольные DDoS-атаки связаны с отправкой запросов на установку соединения по протоколам TCP/UDP, что приводит к истощению ресурсов памяти и процессора сервера. Среди такого типа атак можно выделить SYN Flood и UDP Flood.
• Прикладные DDoS-атаки — сложный для обнаружения тип атак. Их суть заключается в отправке большого количества HTTP-запросов без завершения, что приводит к перегрузке сервера. Подобные запросы, как правило, непросто отделить от легитимных. К таким атакам можно отнести классический HTTP(S) Flood и TLS Renegotiation с запросами на реинициализацию ключей шифрования.

 

Чтобы остановить DDoS-атаку, которая уже началась, важно понимать её характер и хорошо знать, как устроена ИТ-инфраструктура компании в целом. Во многом остановка действующей атаки сводится к выявлению и блокировке нелегитимных запросов к серверу. А ещё львиная доля успеха в борьбе с DDoS базируется на предварительных мерах защиты, которыми нельзя пренебрегать. 

 

Что помогает снизить риск DDoS-атак:

 

Анализ ИТ-инфраструктуры. Важно чётко определить, какие серверы и сервисы вы используете, и что из этого должно быть доступно извне — для всего остального доступ нужно ограничить. 

 

Настройка фильтрации трафика — один из наиболее популярных способов защиты. Фильтры анализируют входящий трафик и блокируют подозрительные запросы, например, слишком большое количество пакетов от одного IP-адреса или аномальные типы запросов. 

 

Обязательно создайте несколько списков для фильтрации трафика:

 

• Черный список IP, который запрещает доступ к ресурсу с определенных IP-адресов, если они подозреваются в участии в атаке.
• Белый список IP, который разрешает доступ только определенным доверенным IP-адресам.
• Rate Limiting, который ограничивает количество запросов от одного источника за определенный промежуток времени.

 

Балансировка нагрузки. Используйте специальные сервисы, которые помогут распределить трафик между несколькими серверами — это позволит избежать перегрузки одного узла при DDoS-атаке. Если один сервер становится недоступным, нагрузка автоматически перераспределяется на другие узлы.

 

Защита на уровне приложений (WAF – Web Application Firewall). Firewall анализирует HTTP/HTTPS-трафик и блокирует вредоносные запросы до того, как они достигнут сервера, что является отличной защитой от DDoS.

 

Использование CDN (Content Delivery Network). Обычно этот сервис используют для повышения производительности сайтов и увеличения скорости доставки контента. Однако благодаря принципу распределения трафика через глобальную сеть серверов можно снизить нагрузку на сеть во время DDoS-атаки.

 

Узнайте больше о CDN от Rusonyx: 30 точек присутствия на 5 континентах, 11 000 партнёров по пирингу, защита от DDoS и техподдержка 24/7

 

Одна из главных задач облачных провайдеров — поддерживать высокую доступность и производительность сайтов клиентов в сети, а значит защите от DDoS уделяется большое внимание. Провайдеры во многом используют те же инструменты защиты, что описаны выше, например, файрволы, CDN и другие инструменты, но на более высоком уровне.

 

Дополнительные меры по защите от провайдеров:

 

Фильтрация трафика на уровне сети. Провайдер может внедрить механизмы фильтрации трафика на своём оборудовании, которое находится ближе всего к источнику атаки. Это позволяет заблокировать подозрительный трафик ещё до того, как он достигнет конечного сервера клиента.

 

Анализ и мониторинг трафика. Провайдеры могут использовать специализированные системы мониторинга, которые отслеживают аномалии в трафике и сигнализируют о начале возможной DDoS-атаки. Если провайдер обнаружит подозрительную активность, то тут же начнёт принимать меры по её блокировке.

 

Отказоустойчивая архитектура. Провайдеры могут предлагать отказоустойчивую инфраструктуру, включающую резервирование ресурсов и автоматическое переключение на резервные каналы связи в случае сбоя основного канала.

 

Распределенная система защиты (DPS). DPS представляет собой сеть устройств, расположенных в разных точках мира, которая позволяет перехватывать и обрабатывать подозрительный трафик до того, как он дойдет до целевого ресурса. Эта технология особенно эффективна против крупных DDoS-атак.

 

Поддержка протоколов безопасности. Провайдеры могут поддерживать современные протоколы безопасности, такие как TLS 1.3, которые обеспечивают шифрование данных и защиту от перехвата трафика злоумышленниками.

 

При аренде облака или VPS-сервера в Rusonyx вы получаете встроенную защиту от DDoS-атак до 4-го уровня по умолчанию и до 7-го уровня — по запросу. Мы разместим ваши проекты на отказоустойчивом оборудовании, настроим мониторинг трафика и поможем в решении форс-мажоров. Оставьте заявку на бесплатное тестирование ресурсов: перейти к облаку или перейти к VPS.

 

1. DDoS-атака — это кибератака, которая приводит к перегрузке сервера и блокировке работы сайта или приложения.
2. Чаще всего жертвами ддос-атак становятся компании из сферы финансов, развлечений, интернет-торговли, телекоммуникаций, а также госсектор.
3. Для защиты от DDoS-атак важно проанализировать ИТ-инфраструктуру, настроить фильтрацию трафика, использовать балансировщик нагрузки, CDN и файрвол.
4. Провайдеры применяют усиленные методы защиты: фильтрацию трафика на уровне сети, мониторинг трафика, отказоустойчивую инфраструктуру, поддержку протоколов безопасности.