DDoS-атака позволяет хакеру наводнить сеть или сервер фиктивным трафиком. Слишком большой объем трафика перегружает ресурсы и нарушает связь, не позволяя системе обрабатывать настоящие запросы пользователей. Услуги становятся недоступными, и компания-цель страдает от длительного простоя, потери доходов и недовольных клиентов.
В этой статье рассказывается о том, как компания может предотвратить DDoS-атаки и быть на шаг впереди потенциальных хакеров. Приведенные ниже методы помогут минимизировать последствия DDoS и обеспечить быстрое восстановление после попытки атаки.
Что такое DDoS-атака?
DDoS (Distributed Denial of Service) - это кибератака, целью которой является разрушение сети, сервиса или сервера путем наводнения системы ложным трафиком. Внезапный всплеск сообщений, запросов на соединение или пакетов перегружает инфраструктуру объекта атаки и вызывает замедление работы системы или ее отказ.
Хотя некоторые хакеры используют DDoS-атаки для шантажа компании, чтобы заставить ее заплатить выкуп (подобно ransomware), более распространенными мотивами DDoS являются:
- Нарушить работу служб или коммуникаций.
- Нанести ущерб бренду.
- Получить преимущество в бизнесе, пока сайт конкурента не работает.
- Отвлечь группу реагирования на инцидент.
DDoS-атаки представляют опасность для предприятий всех размеров, от компаний из списка Fortune 500 до небольших электронных магазинов. По статистике, чаще всего хакеры DDoS атакуют:
- Интернет-магазины.
- Поставщики ИТ-услуг.
- Финансовые и финтех-компании.
- Правительственные организации.
- Компании, занимающиеся онлайн-играми и азартными играми.
Злоумышленники обычно используют ботнет для организации DDoS. Ботнет - это связанная сеть зараженных вредоносным ПО компьютеров, мобильных устройств и IoT-гаджетов, находящихся под контролем злоумышленника. Хакеры используют эти "зомби" устройства для отправки чрезмерного количества запросов на целевой веб-сайт или IP-адрес сервера.
Как только ботнет отправляет достаточное количество запросов, онлайн-сервисы (электронная почта, веб-сайты, веб-приложения и т.д.) замедляются или выходят из строя. Согласно отчету компании Radware, вот средняя продолжительность DDoS-атаки:
- 33% делают сервисы недоступными в течение часа.
- 60% - менее одного дня.
- 15% - в течение месяца.
Хотя DDoS, как правило, не приводит к утечке данных, жертва тратит время и деньги на восстановление работоспособности сервисов. Потеря бизнеса, брошенные корзины, разочарованные пользователи и ущерб репутации - обычные последствия неспособности предотвратить DDoS-атаки.
Типы DDoS-атак
Хотя все DDoS-атаки направлены на то, чтобы перегрузить систему слишком большой активностью, хакеры используют различные стратегии, чтобы вызвать распределенный отказ в обслуживании.
Существуют три основных типа атак:
- Атаки на уровне приложений.
- Атаки на уровне протоколов.
- Объемные атаки.
Эти три подхода основаны на различных техниках, но опытный хакер может использовать все три стратегии для поражения одной цели.
Атаки на прикладном уровне
Атака на уровне приложений нацелена на конкретное приложение, а не на всю сеть. Хакер генерирует большое количество HTTP-запросов, которые ограничивают возможности целевого сервера.
Специалисты по кибербезопасности измеряют атаки прикладного уровня в запросах в секунду (RPS). К распространенным целям таких атак относятся:
- веб-приложения.
- Подключенные к Интернету приложения.
- Облачные сервисы.
Попытка предотвратить DDoS-атаки такого типа является сложной задачей, поскольку команды безопасности часто не могут отличить легитимные запросы HTTP от вредоносных. Эти атаки используют меньше ресурсов, чем другие стратегии DDoS, а некоторые хакеры даже могут использовать всего одно устройство для организации атаки на уровне приложений.
Другое распространенное название DDoS на уровне приложений - атака седьмого уровня.
Протокольные атаки
Протокольные DDoS-атаки (или атаки сетевого уровня) используют слабые места в протоколах или процедурах, управляющих интернет-коммуникациями. В то время как DDoS на уровне приложений направлена на конкретное приложение, целью атаки по протоколу является замедление работы всей сети.
Наиболее распространены два типа протокольных DDoS-атак:
- SYN-флуд: Эта атака использует процедуру рукопожатия TCP. Атакующий отправляет TCP-запросы с поддельными IP-адресами на целевую систему. Целевая система отвечает и ждет от отправителя подтверждения рукопожатия. Поскольку атакующий никогда не посылает ответ для завершения рукопожатия, незавершенные процессы накапливаются и в конечном итоге выводят сервер из строя.
- Smurf DDoS: Хакер использует вредоносное ПО для создания сетевого пакета, прикрепленного к ложному IP-адресу (спуфинг). Пакет содержит сообщение ICMP ping, которое просит сеть отправить ответ. Хакер снова отправляет ответы (эхо) на IP-адрес сети, создавая бесконечный цикл, который в конечном итоге выводит систему из строя.
Эксперты по кибербезопасности измеряют протокольные атаки в пакетах в секунду (PPS) или битах в секунду (BPS). Основная причина широкого распространения протокольных DDoS заключается в том, что эти атаки легко обходят плохо настроенные брандмауэры.
Объемные атаки
DDoS-атака на основе объема потребляет доступную полосу пропускания цели с помощью ложных запросов данных и создает перегрузку сети. Трафик атакующего блокирует доступ легитимных пользователей к услугам, препятствуя прохождению трафика внутрь или наружу.
Наиболее распространенными типами объемных DDoS-атак являются:
- UDP-флуд: Эти атаки позволяют хакеру переполнить порты на целевом узле IP-пакетами, содержащими протокол UDP без статических данных.
Усиление DNS (или отражение DNS): Эта атака перенаправляет большое количество DNS-запросов на IP-адрес цели. - ICMP-флуд: Эта стратегия использует ICMP-запросы на ложные ошибки, чтобы перегрузить пропускную способность сети.
Все объемные атаки опираются на ботнеты. Хакеры используют армии зараженных вредоносным ПО устройств, чтобы вызвать скачки трафика и использовать всю доступную пропускную способность. Объемные атаки являются наиболее распространенным типом DDoS.
Лучшие практики для предотвращения DDoS-атак
Хотя невозможно предотвратить попытку хакера вызвать DDoS, правильное планирование и проактивные меры снижают риск и потенциальное воздействие атаки.
Создайте план реагирования на DDoS
Ваша команда безопасности должна разработать план реагирования на инциденты, который обеспечит быстрое и эффективное реагирование сотрудников в случае DDoS. Этот план должен включать в себя:
- Четкие, пошаговые инструкции о том, как реагировать на DDoS-атаку.
- Как поддерживать бизнес-операции.
- Сотрудников и ключевых заинтересованных лиц.
- Протоколы эскалации.
- Обязанности команды.
- Контрольный список всех необходимых инструментов.
- Список критически важных систем.
Обеспечьте высокий уровень сетевой безопасности
Безопасность сети необходима для пресечения любой попытки DDoS-атаки. Поскольку атака имеет эффект только в том случае, если у хакера есть достаточно времени для накопления запросов, способность выявить DDoS на ранней стадии жизненно важна для контроля радиуса поражения.
Вы можете положиться на следующие типы сетевой безопасности для защиты вашего бизнеса от попыток DDoS:
- Брандмауэры и системы обнаружения вторжений, которые действуют как барьеры для сканирования трафика между сетями.
- Антивирусное и антивирусное программное обеспечение, которое обнаруживает и удаляет вирусы и вредоносное ПО.
- Защита конечных точек, которая гарантирует, что конечные точки сети (настольные компьютеры, ноутбуки, мобильные устройства и т.д.) не станут точкой входа для вредоносной активности.
- Средства веб-безопасности, которые устраняют веб-угрозы, блокируют аномальный трафик и ищут известные сигнатуры атак.
- Средства, которые предотвращают спуфинг, проверяя, соответствует ли адрес источника трафика адресам происхождения.
- Сегментация сети, которая разделяет системы на подсети с различными средствами контроля безопасности и протоколами.
Защита от DDoS-атак также требует высокого уровня безопасности сетевой инфраструктуры. Защита сетевых устройств позволяет подготовить оборудование (маршрутизаторы, балансировщики нагрузки, системы доменных имен (DNS) и т.д.) к всплескам трафика.
Иметь избыточность серверов
При использовании нескольких распределенных серверов хакеру сложно атаковать все серверы одновременно. Если злоумышленник запустит успешную DDoS-атаку на одно хостинговое устройство, другие серверы останутся незатронутыми и примут на себя дополнительный трафик до тех пор, пока целевая система не вернется в строй.
Вы должны размещать серверы в центрах обработки данных и колокационных центрах в разных регионах, чтобы исключить узкие места в сети или единые точки отказа. Вы также можете использовать сеть доставки контента (CDN). Поскольку DDoS-атаки работают за счет перегрузки сервера, CDN может распределить нагрузку поровну между несколькими распределенными серверами.
Вы можете ознакомится с нашей статьей Установка сайта за Cloudflare
Обращайте внимание на предупреждающие признаки
Если ваша служба безопасности сможет быстро определить признаки DDoS-атаки, вы сможете принять своевременные меры и уменьшить ущерб.
Общими признаками DDoS являются:
- Плохое соединение.
- Медленная производительность.
- Высокий спрос на одну страницу или конечную точку.
- Сбои.
- Необычный трафик, поступающий с одного или небольшой группы IP-адресов.
- Всплеск трафика от пользователей с общим профилем (модель системы, геолокация, версия веб-браузера и т.д.).
Помните, что не все DDoS-атаки сопровождаются большим трафиком. Атаки с небольшим объемом трафика и короткой продолжительностью часто остаются незамеченными как случайные события. Однако такие атаки могут быть проверкой или отвлекающим маневром для более опасного нарушения (например, ransomware). Поэтому обнаружение малочисленных атак так же важно, как и выявление полномасштабных DDoS.
Подумайте об организации программы повышения осведомленности о безопасности, в рамках которой весь персонал будет ознакомлен с признаками DDoS-атаки. Таким образом, вам не придется ждать, пока один из сотрудников службы безопасности заметит предупреждающие признаки.
Непрерывный мониторинг сетевого трафика
Использование непрерывного мониторинга (CM) для анализа трафика в режиме реального времени является отличным методом обнаружения следов DDoS-активности. Преимущества CM следующие:
- Мониторинг в реальном времени позволяет обнаружить попытку DDoS до того, как атака достигнет своего полного размаха.
- Команда может получить представление о типичной сетевой активности и структуре трафика. Зная, как выглядят повседневные операции, команда легче выявляет странные действия.
- Круглосуточный мониторинг гарантирует обнаружение признаков атаки, происходящей в нерабочее время и в выходные дни.
В зависимости от настройки, инструмент CM либо связывается с администраторами в случае возникновения проблемы, либо выполняет инструкции по реагированию из заранее заданного сценария.
Ограничьте широковещательную рассылку по сети
Хакер, осуществляющий DDoS-атаку, скорее всего, отправит запросы на каждое устройство в вашей сети, чтобы усилить воздействие. Ваша команда безопасности может противостоять этой тактике, ограничивая сетевое вещание между устройствами.
Ограничение (или, если возможно, отключение) широковещательной переадресации - эффективный способ пресечь попытку DDoS-атаки большого объема. По возможности, вы также можете проинструктировать сотрудников об отключении служб echo и chargen.
Использование облачных технологий для предотвращения DDoS-атак
Хотя использование локального оборудования и программного обеспечения для противодействия угрозе DDoS является жизненно важным, облачные средства защиты не имеют таких же ограничений по мощности. Облачная защита может масштабироваться и легко справляться даже с крупными объемными DDoS-атаками.
У вас есть возможность передать защиту от DDoS на аутсорсинг облачному провайдеру. Вот некоторые из ключевых преимуществ работы со сторонним поставщиком:
- Облачные провайдеры предлагают всестороннюю кибербезопасность, включая лучшие брандмауэры и программное обеспечение для мониторинга угроз.
- Общедоступное облако имеет большую пропускную способность, чем любая частная сеть.
- Центры обработки данных обеспечивают высокую избыточность сети за счет копий данных, систем и оборудования.
При установке облачной защиты от DDoS у компании обычно есть два варианта:
- Облачная защита от DDoS-атак по требованию: Эти услуги активируются после того, как внутренняя команда или провайдер обнаруживают угрозу. Если вы подвергаетесь DDoS, провайдер перенаправляет весь трафик на облачные ресурсы, чтобы сохранить работоспособность сервисов.
- Постоянная защита от DDoS в облаке: Эти услуги направляют весь трафик через облачный центр очистки (ценой небольшой задержки). Этот вариант лучше всего подходит для критически важных приложений, которые не могут позволить себе простои.
Если ваша внутренняя команда обладает необходимыми ноу-хау, возможно, вам не придется полагаться только на облачного провайдера для защиты от DDoS в облаке. Вы можете создать гибридную или мультиоблачную среду и организовать трафик так, чтобы получить тот же эффект, что и при защите от DDoS по требованию или всегда включенной защите.
Не упускайте из виду угрозу DDoS
DDoS-угрозы не только становятся все более опасными, но и увеличивают количество атак. По прогнозам экспертов, к 2023 году среднее число ежегодных попыток DDoS-атаки вырастет до 15,4 миллиона. Это число указывает на то, что почти каждая компания в какой-то момент столкнется с DDoS, поэтому подготовка к этому типу атак должна быть на первом месте в вашем списке дел по обеспечению безопасности.