Вы можете защитить себя от кражи личности, если позаботитесь о сохранности своего номера социального страхования и других конфиденциальных документов, будете регулярно проверять свои кредитные отчеты, пользоваться...
Распределенная атака типа «отказ в обслуживании» (DDoS) представляет собой попытку нарушить нормальный трафик целевого сервера. Это достигается за счет перегрузки сервера, службы или сети, на которые направлена атака, потоком интернет-трафика, что в конечном итоге приводит к замедлению работы сервера или его полному отказу. Представьте себе дорожную пробку, в результате которой все автомобили замедляются или останавливаются. Вместо того чтобы замедлять или останавливать транспортные средства, DDoS-атака замедляет или останавливает веб-трафик, вызывая медленную работу веб-сайта или приложения или их полный отказ.
Как работают DDoS-атаки?
Сетевые ресурсы могут обрабатывать только ограниченное количество запросов, а серверы имеют ограниченную пропускную способность. Это означает, что уровень обслуживания будет снижаться, если объем трафика превышает предел пропускной способности.
Как правило, конечной целью злоумышленника является полное воспрепятствование нормальной работе веб-источника. Кроме того, злоумышленник также может потребовать заплатить за прекращение атаки. Атака также может быть попыткой дискредитировать или нанести ущерб репутации компании.
DDoS-атаки проводятся с использованием сетей машин, называемых ботами, подключенных к Интернету. Эти сети состоят из компьютеров и других устройств, таких как устройства Интернета вещей (IoT), которые заражены вредоносным ПО. Совокупность ботов называется ботнетом. Создав его, злоумышленник может управлять атакой, отдавая каждому боту команды удаленно.
Когда сервер или сеть становятся мишенью для ботнета, каждый бот посылает запросы на IP-адрес, что и приводит к перегрузке сервера или сети, в результате чего возникает DDoS-атака на обычный трафик. Поскольку каждый бот является законным интернет-устройством, отличить трафик атак от обычного трафика может быть сложно.
Типы DDoS-атак
Хотя большинство DDoS-атак связано с потоком трафика на целевое устройство или сеть, существует три основных типа атак. Внутри каждого типа есть также подтипы.
1. Объемные атаки
Объемная атака пытается превысить пропускную способность сети, отправляя большое количество трафика или запросов на цель. Эти атаки направлены на то, чтобы перегрузить объект атаки и замедлить или полностью остановить его работу. Размер запроса обычно составляет сотни гигабит в секунду (Гбит/с). В последнее время новые атаки достигли уровня более одного терабайта в секунду (ТБ/с).
Объемные атаки являются распространенным явлением из-за более низкого технического барьера для создания избыточного объема запросов. Большую часть времени злоумышленники используют простую тактику усиления. При использовании этого типа тактики трафик поступает из различных источников, таких как IP-адреса или сети, что усложняет ручное устранение последствий объемных атак.
DNS-амплификация
DNS-амплификация — это один из подтипов объемной атаки. При этом типе объемной атаки злоумышленники используют функциональность открытых DNS-серверов. Проникнув внутрь, злоумышленник перегружает целевой сервер или серверы чрезмерным количеством трафика, делая сервер и окружающую его инфраструктуру недоступными.
UDP-флуд
UDP-флуд — это еще один подтип объемной атаки. В ходе этой атаки злоумышленник посылает на целевой сервер огромное количество пакетов протокола пользовательских датаграмм (UDP), стремясь превысить возможности устройства по обработке запросов и предоставлению ответа. Это может привести к перегрузке брандмауэра, защищающего целевой сервер, и отказу в обслуживании законного трафика.
2. Протокольные атаки
Протокольная атака подразумевает использование вредоносных запросов на соединение, которые используют преимущества взаимодействия протоколов для того, чтобы попытаться использовать и исчерпать возможности различных ресурсов сетевой инфраструктуры, включая серверы и брандмауэры.
SYN-флуд
SYN-флуд — это один из подтипов протокольной атаки, цель которой полностью истощить ресурсы сервера, чтобы сделать его недоступным для законного трафика. Злоумышленники могут перегрузить все открытые порты на сервере, часто отправляя пакеты запроса на первоначальное соединение (SYN). В результате целевое устройство реагирует на законный трафик медленно или вовсе не реагирует на него.
«Пинг смерти»
Еще один подтип протокольной атаки называется «пинг смерти». При этом типе атаки злоумышленник отправляет на целевой сервер большой пакет с вредоносными данными, используя простой запрос пинга. Объем отправляемых сообщений значительно превышает объем информации, которую может обработать сервер, что приводит к сбою, дестабилизации или зависанию.
3. Атаки на уровне приложений
Цель атаки на уровне приложений — исчерпать ресурсы объекта атаки, чтобы вызвать отказ в обслуживании. Эти атаки направлены на уровень, на котором создаются веб-страницы на сервере. Стоимость обработки одного HTTP-запроса на стороне клиента невелика, но стоимость ответа на стороне целевого сервера может быть высокой. Это связано с тем, что для создания веб-страницы сервер часто загружает несколько файлов и запросов к базам данных. С атаками на уровне приложений сложно бороться, поскольку трудно отличить вредоносный трафик от законного.
HTTP-флуд
Атака HTTP-флуд — это подтип атаки на уровне приложений, целью которой является перегрузка целевого сервера HTTP-запросами. Отказ в обслуживании происходит, когда объект атаки перегружается запросами и больше не может реагировать на законный трафик.
Медленные атаки малого объема
Медленные атаки малого объема (также известные как «Low-and-slow») представляют собой еще один подтип атак на уровне приложений. Это скрытая атака на целевой сервер, которая посылает кажущийся легитимным трафик с чрезвычайно низкой скоростью, что делает его трудноотличимым от обычного трафика, в результате чего этот тип атаки часто остается незамеченным в течение длительного времени.
Выявление DDoS-атаки
Хотя злоумышленники иногда отправляют угрозы целевым объектам перед началом DDoS-атаки, зачастую она происходит без предупреждения. Кроме того, между моментом обнаружения DDoS-атаки сотрудниками службы безопасности и моментом ее нейтрализации может пройти несколько часов. Это может привести к многочасовым задержкам или сбоям в работе сайта или приложения, что может существенно повлиять на посещаемость и продажи.
Вот некоторые признаки, предупреждающие о том, что может начаться DDoS-атака.
- Анализ журналов показывает необычные скачки трафика, но вы не можете найти для них правдоподобных объяснений.
- Вы получаете или начинаете получать сообщения о низкой производительности сайта от клиентов. Кроме того, если вы используете то же самое соединение для внутренней сети, сотрудники также начнут замечать проблемы со скоростью.
- Ваш сервер отвечает ошибкой 503 — сервер недоступен. При снижении объема трафика эта ошибка обычно исчезает. Если через некоторое время она не исчезнет, значит возникла проблема.
- Некоторые IP-адреса неоднократно запрашивают большое количество соединений за короткий промежуток времени.
- Внутренние пользователи сообщают о медленном доступе к файлам или об отсутствии доступа.
- Ваша почтовая система перегружена спам-сообщениями.
Как устранить DDoS-атаки
Различие между вредоносным и законным трафиком является ключевым фактором при борьбе с DDoS-атакой. Вот несколько способов смягчения DDoS-атак.
Разработка плана реагирования на DDoS-атаки
Подготовившись к DDoS-атаке до ее начала, вы будете точно знать, что делать в случае ее возникновения. В плане реагирования на DDoS-атаки необходимо предусмотреть контрольный список со всеми шагами, контактами и инструментами, которые следует использовать. Ваш план реагирования должен также включать обязанности каждого сотрудника в команде. Заблаговременное распределение обязанностей позволит всем членам вашей команды понимать, что делать в случае обнаружения DDoS-атаки. Наличие разработанного плана ответных действий может смягчить последствия DDoS-атаки до того, как организации будет нанесен необратимый ущерб.
Мониторинг трафика
DDoS-атаки нарушают трафик сервера-мишени, перегружая его потоком интернет-трафика. Постоянно контролируя трафик сервера или сети с помощью средств мониторинга, вы можете определить, когда трафик достигает определенного порога, получив предупреждение или уведомление. Этот инструмент позволяет не только выявлять DDoS-атаки на ранних стадиях, но и смягчать последствия.
Ограничение скорости
Поскольку в DDoS-атаках используются ботнеты для перегрузки целевого сервера, лимитирование скорости полезно для ограничения количества запросов, которые может сделать пользователь или бот, путем измерения времени между каждым запросом, сделанным с каждого IP-адреса. Если с одного IP-адреса производится слишком много запросов за определенный промежуток времени, программа ограничения скорости их блокирует.