Согласно отчетам SecureList количество DDoS-атак за первый квартал 2022 выросло в 4 с половиной раза по сравнению с первый кварталом предыдущего года. Вклад в ситуацию вносит также социально-политическая обстановка в мире. Но, в целом, прослеживается четкая тенденция: с каждым годом количество DDoS-атак растет.

Если деятельность бизнеса связана с интернетом, то владельцам стоит обезопасить свой сайт от DDoS-атак. Прочитав этот материал, вы узнаете, что такое DDoS-атака, какие цели она преследует и как от неё защититься.

Что такое DDoS-атака

DDoS-атака — это один из видов DoS атаки. Прежде, чем перейти непосредственно о DDoS-атаках, расскажем о DoS.

DoS (Denial of Service) — это атака на ресурс с целью вывести его из строя, буквально привести к «отказу в обслуживании». Любой сервер обладает ограниченными ресурсами. Суть DoS-атаки — перегрузить сервер запросами, что приведет к его «лагам» (при наилучшем раскладе) или полностью выведет из строя. 

Предположим, сервер рассчитан обрабатывать 1000 запросов в минуту. Во время атаки на ресурс поступает гораздо больше количество запросов, чем он может обработать. Сервер начинает отвечать на эти запросы, но так как количество запросов находится выходит за пределы рабочей нагрузки, то время обработки увеличивается. У добросовестных пользователей возникают проблемы с сервисом: ответы на запрос приходят дольше или не приходят вовсе.

Кстати, первая DoS-атака была осуществлена в 1974 году 13-летним подростком. Он обнаружил уязвимость в утилите EXT, которая приводила к зависанию терминала, если он не имел периферийных устройств. Эта атака вызвала перебои в работе Лаборатории Компьютерных вычислений Университета Иллинойс.

DoS-атаки осуществляются с одного компьютера, поэтому они просты в исполнении, их легко обнаружить и подавить. DoS-атаки были распространены в 90-е годы и сейчас эволюционировали в DDoS-атаки.

DDoS-атака — это тоже DoS атака, только распределенная. Она осуществляется с нескольких компьютеров, обычно заражённых компьютерным вирусом. С развитием интернета вещей (IoT) к DDoS-атакам подключились и цифровые устройства с доступом в интернет: умные часы, чайники, стиральные машины и другая техника. 

Сложность защиты от DDoS-атак связана с количеством устройств, с которых осуществляется атака. Все устройства объединены в одну сеть — ботнет, которая находится под управлением злоумышленника. Такая структура позволяет злоумышленнику координировать атаку множества устройств. Для сервера трафик во время атаки выглядит как «живой» — ярко выраженный источник запросов, как в случае с DoS-атакой, отсутствует.

Подытожим:

• DDoS-атака — это атака на ресурс с целью вывести его из строя;
• В DDoS-атаке участвует большое количество устройств, причем не только компьютеров;
• DDoS-атаку сложно обнаружить, и, как следствие, подавить.

Цели DDoS-атак

У DDoS-атаки единственная цель — вывести сервис из строя. Другой вопрос состоит в том, какие мотивы могут преследовать злоумышленники, осуществляя DDoS-атаку. Вот перечень возможных причин:

• Недобросовестная конкуренция. Если атакуемый сайт будет недоступен от слишком большого количества запросов, то потенциальный клиент может уйти на сайт конкурента. Если ваш бизнес процветает, то вы должны быть готовы к такому недобросовестному поведению ваших конкурентов;
• Вымогательство. DDoS-атака может является средством вымогательства;
• Неприязнь. DDoS-атака может быть средством выражения личной неприязни к компании или ресурсу, чьи действия расходятся с мнением злоумышленника;
• Политический протест. Различные государственные структуры могут быть подвергнуты DDoS-атакам в качестве политического протеста на те или иные действия государства.
• Ради развлечения.

Как работает DDoS-атака

Зачастую DDoS-атака производится с зараженных вирусами устройств пользователей, которые даже и не в курсе, что поневоле стали участниками. Злоумышленник генерирует большое количество пакетов и запросов к серверу, которые перегружают целевую систему и выводят её из работы.

Когда количество запросов превысит производительность одного из компонентов системы, то система может упасть. Также атака может привести к:

• Увеличению времени ответа на запросы пользователей;
• Отказу в обслуживании части запросов.

Виды DDoS-атак

Методы DDoS-атак можно классифицировать по уровню атакуемого элемента системы:

• Атаки инфраструктурного уровня;
• Атаки уровня приложений.

Атаки инфраструктурного уровня

К атакам инфраструктурного уровня относятся атаки на уровнях 3 и 4 сетевой модели OSI — сетевом и транспортном. Их суть сводится к перегрузке либо пропускной способности сетей либо серверов приложений. Эти атаки распространены и их проще обнаружить из-за наличия определенных признаков. Типичная атака инфраструктурного уровня — это флуд запросами на сайт.

Атаки уровня приложений

Это DDoS-атаки на уровнях 6 и 7 сетевой модели OSI — уровень представления и прикладной. Эти атаки нацелены на определенные сегменты системы, которые под нагрузкой становятся недоступны пользователям. Например, если на сайте есть «дорогие» операции, такие как сложные запросы к большой базе данных без кеширования и индексирования, то злоумышленники могут воспользоваться этим и перегрузить этот узел в системе.

Как обнаружить DDoS-атаку?

Необходимо анализировать трафик и нагрузку на сервер. Со временем вы определите средние значения. Если в какой-то момент трафик или нагрузка на сервер станет аномальна без веских причин (например, таких, как распродажа или период праздников), то скорее всего на ресурс идет DDoS-атака, и нужно принимать оперативные меры.

Как защитить сервер от DDoS-атак

Защита сайта от DDoS-атак сводится к комплексу мер профилактического и оперативного характера.

Снижение количества зон для потенциальной атаки

Одной из мер, позволяющих нейтрализовать DDoS-атаку, является сведение к минимуму площади атаки. Это ограничивает возможности злоумышленников. Необходимо ограничить доступ к элементам системы, которые не должны быть доступны пользователям через порты, протоколы и тому подобное. Сведение к минимуму возможных векторов атаки позволит минимизировать ущерб от атаки.

Производительность

DDoS-атаки направлены на то, чтобы у системы закончились ресурсы или их часть. Одним из способов уберечься от этого — заложить в систему дополнительные ресурсы или возможность увеличить объем ресурсов. Это один из вариантов, как отразить DDoS-атаку. Масштабирование ресурсов можно обеспечить, используя в качестве инфраструктуры масштабируемое облако.

Пропускная способность

Также важно убедиться, что у системы достаточно пропускной способности, которая позволит обрабатывать большие объемы трафика. Цель DDoS-атаки — сделать ресурс недоступным для пользователей. Не лишним будет использовать CDN — сеть доставки контента.

Распределенная инфраструктура

Не стоит класть все яйца в одну корзину. Решение разместить элементы системы на одном сервере может привести к печальному итогу. Стоит разместить элементы инфраструктуры, такие как база данных и сайт, на разных серверах и создать резервную копию системы.

Конфиденциальность

Если в системе есть слабые места, то злоумышленникам не стоит о них знать. 

Развертывание брандмауэров

Против DDoS-атак необходимо развертывать брандмауэры, которые будут анализировать и фильтровать трафик. 

Защита от DDoS-атак Timeweb Cloud

Комплексная защита от DDoS от Timeweb Cloud включает в себя защиту на уровнях L3,L4 и L7. Также в неё входит CDN. Трафик фильтруется в крупнейших дата-центрах мира: в России, Нидерландах, США и т.д.

Дополнительно о защите от DDoS можно почитать в нашей статье «Как защитить сервер от DDoS-атак».

Кстати, в официальном канале Timeweb Cloud собрали комьюнити из специалистов, которые говорят про IT-тренды, делятся полезными инструкциями и даже приглашают к себе работать.