Полное руководство по DDoS-атакам: что это такое и как защитить себя

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка злоумышленника прервать предоставление онлайн-сервиса пользователям. Это можно сделать, заблокировав доступ практически к чему угодно: серверам, сетям, устройствам, услугам, приложениям и даже конкретным транзакциям внутри приложений.

DDoS-атаки можно назвать разновидностью атак типа «отказ в обслуживании» (DoS), где злоумышленник или группа злоумышленников использует несколько устройств для одновременного выполнения DoS-атаки.

Основное отличие между DoS-атаками и DDoS-атаками в том, что в первом случае используется одна система для отправки вредоносных данных или запросов, а DDoS-атака исходит сразу с нескольких систем, что усиливает ее мощь и эффективность.

DDoS-атаки нацелены на жертв на всех уровнях, полностью блокируя им доступ к системам, и даже могут прибегать к вымогательству, чтобы прекратить атаку.

Банки, веб-сайты, интернет-магазины и новостные каналы являются основными целями для атакующих, что делает реальной задачей обеспечение безопасного доступа и публикации конфиденциальной информации.

Обнаружить и заблокировать эти DDoS-атаки сложно, поскольку сгенерированный ими трафик трудно отследить и легко спутать с легитимным трафиком.

Как Работают DDoS-Атаки?

Большинство DDoS-атак осуществляются через так называемые ботнеты — это большие сети умных устройств Интернета вещей, компьютеров, зараженных вредоносным программным обеспечением, и других подключенных к интернету устройств, которыми управляют хакеры.

Злоумышленник командует машинам в ботнете отправить огромное количество запросов на подключение к определенному веб-сайту или IP-адресу сервера.

Это перегружает этот сайт или онлайн-сервис большим количеством трафика, которое сервер или сеть не могут обработать. Итоговым результатом становится недоступность этих веб-сайтов или онлайн-сервисов для пользователей из-за перегруженности интернет-канала, оперативной памяти и процессора.

Воздействие этих DDoS-атак может варьироваться от незначительного раздражения и прерывания услуг до полной недоступности веб-сайтов, приложений или даже целых бизнесов.

Последствия DDoS-атак

DDoS-атаки могут повлиять на жертв разными способами.

• Финансовые потери
• Ущерб репутации
• Потеря данных
• Подрыв доверия клиентов
• Влияние на жизненно важные услуги
• Прямые и косвенные затраты на восстановление систем
• Воздействие на третьи стороны

Основные Типы DDoS-Атак

В общем и целом, DDoS-атаки можно разделить на одну или несколько категорий, при этом некоторые продвинутые атаки комбинируют разные векторы. Вот три основных типа DDoS-атак.

1. Объемные атаки

Это классический тип DDoS-атак, при котором используются методы для генерации больших объемов фальшивого трафика с целью полного засорения канала веб-сайта или сервера. Этот фальшивый трафик делает невозможным нормальное функционирование целевого сайта. К таким атакам относятся атаки через UDP, ICMP и атаки с поддельными пакетами. Размер объемных атак измеряется в битах в секунду (BPS).

2. Протокольные атаки

Эти атаки более фокусированны и используют уязвимости ресурсов на сервере. Они потребляют существующие ресурсы сервера или промежуточное сетевое оборудование, такое как межсетевые экраны и балансировщики нагрузки, и отправляют им большие пакеты данных. К этому типу обычно относятся SYN-атаки, «Пинг смерти», атаки с фрагментированными пакетами, Smurf DDoS и так далее. Их размер измеряется в пакетах в секунду (PPS).

3. Атаки на уровне приложения

Это самый сложный тип DDoS-атак, который нацелен на конкретные веб-приложения. Эти атаки осуществляются путем перегрузки приложений вредоносными запросами. Размер таких атак измеряется в запросах в секунду (RRS).

Стили DDoS-Атак

1. UDP и ICMP-атаки

Эти атаки являются наиболее распространенными и относятся к объемным атакам. UDP-атаки «засоряют» ресурсы хоста пакетами User Datagram Protocol (UDP), а ICMP-атаки делают то же самое с пакетами Internet Control Message Protocol (ICMP), или, проще говоря, «пингами», пока сервис не «лежит».

К тому же, злоумышленники часто используют атаки с отражением, чтобы увеличить разрушительный поток данных. При этом IP-адрес жертвы подменяется, и ответный пакет направляется обратно на сервер, как будто он исходит от жертвы. Таким образом, эти атаки «съедают» как входящую, так и исходящую пропускную способность.

2. DNS-усиление

Как и следует из названия, эти атаки включают в себя множественные DNS-запросы с целью вывести из строя сеть. «Усиление» заключается в том, что исходящий трафик сервера увеличивается до предела.

Это делается путем отправки запросов на сервер, которые в ответе генерируют большое количество данных, и затем этот трафик направляется обратно на сервер, подменяя адрес ответа.

Итак, злоумышленник отправляет множество относительно небольших пакетов на общедоступный DNS-сервер через различные источники ботнета. Все это являются запросами на длинные ответы, например, на поиск DNS-имени. Затем DNS-сервер отвечает на каждый из этих разрозненных запросов пакетами данных, которые во много раз больше, чем исходный запрос, и все это направляется обратно на DNS-сервер жертвы.

3. Пинг смерти

Это еще одна протокольная атака, при которой злоумышленник отправляет несколько вредоносных или искаженных «пингов» на компьютер. Максимальный размер IP-пакета составляет 65 535 байт, но на уровне канала данных существует ограничение на максимальный размер кадра в сети Ethernet.

Поэтому большой IP-пакет разбивается на несколько пакетов (называемых фрагментами), и хост-получатель собирает эти фрагменты в один полный пакет. В случае «Пинга смерти», хост получает IP-пакет больше 65 535 байт при попытке собрать фрагменты вредоносных «пингов». Это приводит к переполнению буфера памяти, выделенного для пакета, и, как результат, к отказу в обслуживании даже законных пакетов данных.

4. SYN-атака

SYN-атака является одной из самых распространенных протокольных атак, которая обходит трехстадийный процесс рукопожатия, необходимый для установления TCP-соединений между клиентами и серверами.

Обычно соединение устанавливается так: клиент отправляет серверу исходный запрос на синхронизацию (SYN), сервер отвечает подтверждением (SYN-ACK), и клиент завершает рукопожатие окончательным подтверждением (ACK).

SYN-атаки работают, отправляя быстро подряд эти исходные запросы на синхронизацию и оставляя сервер «в подвешенном состоянии», так как никогда не отправляют окончательное подтверждение. В итоге сервер вынужден держать открытыми кучу «полуоткрытых» соединений, которые в конечном итоге приводят к перегрузке ресурсов и краху сервера.

5. HTTP-атака

Эти атаки являются одним из наиболее распространенных типов DDoS-атак на уровне приложения. Здесь преступник взаимодействует с веб-сервером или приложением, притворяясь обычным пользователем.

Хотя все эти взаимодействия идут от веб-браузеров и выглядят как обычная пользовательская активность, они организованы так, чтобы потребить как можно больше ресурсов с сервера.

Запрос, сделанный злоумышленником, может включать в себя все что угодно: от вызова URL для документов или изображений с использованием GET-запросов до обработки сервером вызовов к базе данных с использованием POST-запросов.

Услуги DDoS-атак часто продаются на темной площадке.

Как Обнаружить DDoS-Атаку

DDoS-атаки часто маскируются под безобидные события, которые могут создать проблемы с доступностью. Например, они могут выглядеть как сбой сервера или системы, слишком много запросов от реальных пользователей или даже как перерезанный кабель. Поэтому вам всегда нужно анализировать трафик, чтобы понять, что происходит.

Если вы стали жертвой DDoS-атаки, вы заметите резкий рост входящего трафика, из-за которого ваш сервер не выдержит и упадет. Кроме того, если вы посетите сайт, подвергшийся DDoS-атаке, он будет загружаться очень медленно или покажет ошибку 503 «сервис недоступен». Вероятно, вы не сможете получить доступ к этому сайту, пока атака не прекратится.

Симптомы DDoS-атак

Самым очевидным симптомом DDoS-атаки является замедление работы сайта или сервиса. Общие симптомы DDoS-атаки включают в себя:

• Медленный доступ к файлам, расположенным локально или удаленно
• Невозможность доступа к конкретному сайту на длительный период
• Огромное количество трафика с одного конкретного источника или IP-адреса
• Переполнение трафика от пользователей с похожим поведением, типом устройства, веб-браузером и местоположением
• Резкий и необычный рост запросов к странице
• Проблемы с доступом ко всем сайтам
• Большое количество спам-почты
• Прерывание интернет-соединения

Хотя легитимный рост трафика тоже может вызвать проблемы с производительностью, важно провести дополнительное расследование. Особенно это стоит сделать, когда трафик выглядит подозрительным.

Пример: Интернет-магазин испытывает всплеск трафика сразу после распродаж на Черную Пятницу, Рождество и так далее. Помимо вышеупомянутых симптомов, DDoS-атаки имеют специфические симптомы в зависимости от типа атаки.

К тому же, если ваш компьютер используется ботнетом для проведения DDoS-атаки, это проявится следующими признаками:

• Резкое снижение производительности
• Системные сбои
• Частые сообщения об ошибках
• Крайне медленная скорость интернета

Как Защитить Себя от DDoS-Атак

Защита от DDoS-атаки — задача не из простых. Организациям нужно хорошо спланировать свои действия, чтобы предотвратить такие атаки.

Определение ваших уязвимостей — это ключевой и первый шаг любой стратегии защиты. Кроме того, приведенные ниже шаги помогут уменьшить риск атаки на организацию и смягчить нанесенный DDoS-атакой ущерб.

1. Действуйте быстро: уведомьте провайдера интернет-услуг, имейте запасного провайдера и перенаправьте трафик.
2. Настройте файерволы и маршрутизаторы, чтобы отфильтровать фальшивый трафик как первый уровень защиты.
3. Защитите отдельные компьютеры, установив антивирус или программное обеспечение безопасности с последними патчами.
4. Проанализируйте архитектуру и реализацию приложения. Приложение должно быть настроено так, чтобы действия пользователей не исчерпывали системные ресурсы и не перегружали компоненты приложения.
5. Мониторьте сетевой трафик, чтобы получать уведомления о неожиданных всплесках. Это поможет определить сетевые DoS-атаки. Дополнительную информацию можно получить, проанализировав источник трафика.
6. Следите за состоянием и отзывчивостью системы, регулярно проводя проверки. Это поможет распознать DoS-атаки, нацеленные на систему.
7. Оцените состояние и отзывчивость приложения, регулярно проводя проверки его компонентов. Это может помочь определить DDoS-атаки, нацеленные на приложение.
8. Создайте план по смягчению последствий. Различные типы DDoS-атак требуют разных стратегий. Многие провайдеры теперь предлагают стратегии и механизмы для предотвращения DDoS-атак. Поэтому подумайте, подходят ли вам предложенные варианты.

К тому же, соблюдение правил безопасного поведения в интернете поможет предотвратить использование ваших устройств в ботнетах.

Используйте сложные пароли

Используйте длинные, уникальные и сложно угадываемые пароли для всех своих аккаунтов. К тому же, можно воспользоваться менеджером паролей для безопасного хранения и синхронизации паролей между устройствами.

Пользуйтесь актуальным программным обеспечением

Устаревшее ПО полно уязвимостей, которые хакеры могут использовать. Поэтому регулярно обновляйте программное обеспечение и как можно быстрее устанавливайте выпущенные производителями обновления и патчи. Они часто созданы для устранения различных уязвимостей.

Будьте осторожны с подозрительными ссылками и вложениями

Киберпреступники пытаются заставить вас скачать их вредоносное ПО, отправляя письма с вредоносными ссылками или вложениями. Поэтому не взаимодействуйте с такими письмами, если не узнаете отправителя. Кроме того, можно использовать инструменты для проверки вложений на наличие вредоносного ПО.

Используйте файервол

Файервол способен блокировать доступ от и к неавторизованным источникам. Более того, умный файервол может предотвратить попытки хакеров взаимодействовать с вашими устройствами, если они попытаются заразить их ботнет-вредоносным ПО.

Заключение

DDoS-атаки предоставляют злоумышленникам возможность сделать сайт или онлайн-сервис недоступным на определенное время или бессрочно.

Они сильно различаются по сложности и могут серьезно повлиять на целевые бизнесы или организации. Поэтому онлайн-бизнесам и организациям следует предпринять все возможные шаги, чтобы снизить риски DDoS-атак и обеспечить безопасность своих систем.

FAQ

Почему профессионалам в области кибербезопасности следует беспокоиться о DDoS-атаках?
DDoS-атаки могут серьезно нарушить доступность критически важных онлайн-ресурсов и служить маскировкой для совершения других незаконных действий в сети.

Почему трудно предотвратить DDoS-атаки, используя традиционные методы фильтрации в области кибербезопасности?

Поскольку DDoS-атаки осуществляются распределенным способом с использованием нескольких систем, сложно блокировать вредоносный трафик, закрывая одну конкретную уязвимость.

Какова роль ботнета в DDoS-атаке?

Ботнеты — это сети зараженных устройств, которыми управляют киберпреступники. Иногда их называют ботами или зомби. Эти зараженные устройства могут включать в себя десктопы, ноутбуки, серверы и устройства IoT. Злоумышленники связываются с этими машинами и объединяют их, чтобы создать распределенные источники вредоносного трафика для перегрузки инфраструктуры компании.