Что такое DDoS-атаки и как с ними бороться?

Данный совет, применим для всех типов операционных систем, семейства Windows и ОС семейства Linux. 
 
Так, к сожалению сложилось, что последние несколько месяцев, имел дело с поддержанием нескольких небольших Интернет-проектов, которые подвергались массированным DDoS-атакам. Ниже приведённая информация, будет полезна тем, кто имеет свои небольшие Интернет-проекты, при этом, не является сам программистом, системным администратором… Потому что, по поводу DDoS-атак, информации в Сети много, но не вся она адекватная и часто, неопытный человек, после принятия на вооружение «таких советов», начинает двигаться совсем не в ту степь, упуская драгоценное время, тратя силы и выбрасывая деньги на ветер. 
   Ниже, приведу небольшую информацию, что такое вообще DDoS-атаки, какими они бывают и главное, как бороться с серьёзными DDoS-атаками, против которых, написание «скриптиков» – не поможет, а действенное подавление DDoS-атак, удовольствие не из дешёвых и требует комплексных мер, с возможным предотвращением подобных рецидивов в дальнейшем. 

Что такое DDoS-атаки и какие они?
   DDoS-атака (Distributed-Denial-of-Service) — один из самых распространенных приемов киберпреступников. Ее цель — довести информационную систему жертвы (например, веб-сайт или базу данных) до такого состояния, при котором легитимные пользователи не могут получить к ней доступ. Мотивы злоумышленников могут быть разными — хулиганство, конкурентная борьба, вымогательство или даже как не странно месть.
   Современная DDoS-индустрия — это многоуровневая структура. В нее входят: заказчики атак; создатели ботнетов, сдающие их в аренду; посредники, занимающиеся организацией атаки и общением с заказчиками, а также лица, ответственные за монетизацию услуг. В качестве мишени, может быть выбран любой доступный из Сети Интернет узел — сервер, обслуживающий какой-либо сервис, сетевое устройство или неиспользуемый адрес в подсети жертвы. 
   Наиболее распространенных сценариев DDoS-атак два: запросы от большого количества ботов напрямую к атакуемому ресурсу или запросы от ботов, усиленные с использованием публично доступных серверов с уязвимым программным обеспечением. В первом случае, злоумышленники превращают множество компьютеров в удаленно контролируемые «зомби» (боты), которые затем одновременно по команде хозяина ботнета отправляют на интернет-ресурс жертвы какие-либо запросы (осуществляют «распределенную атаку»). Иногда, вместо ботнета используется завербованная хакерами группа пользователей, снабженная специальными программами для осуществления DDoS-атаки.
   При втором сценарии, то есть при усиленной атаке, вместо ботов, также могут быть использованы арендованные в дата-центре серверы, а для усиления, как правило, применяются публичные серверы с уязвимым ПО. В данный момент, распространены два варианта усиления — через серверы системы доменных имен (DNS) или серверы синхронизации времени (NTP). Усиление атаки производится за счет подмены обратных IP-адресов и отправки на сервер короткого запроса, который требует гораздо более объемного ответа.
   Ситуация усугубляется и тем, что в связи с широким распространением вредоносного ПО и ростом количества активных ботнетов, создаваемых разнообразными хакерскими группами, заказать такую атаку сегодня, может практически каждый. Киберпреступники рекламируют свои услуги, обещая всем желающим сделать выбранный сайт недоступным всего за $50 в сутки. Причем оплата, как правило, производится при помощи криптовалюты, так что вычислить злоумышленников по финансовым потокам практически невозможно. При таких расценках и доступности услуги, жертвой DDoS-атаки может стать сайт не только крупной и известной организации, но и практически любой ресурс. Конечно, интернет-ресурсам крупных компаний навредить гораздо сложнее, но и ущерб от простоя в этом случае будет заметно больше. Ведь помимо прямых убытков от упущенных бизнес-возможностей (например, электронных продаж) компании могут потерять деньги на штрафах за невыполнение обязательств, а также потратить значительные средства на принятие экстренных мер по защите от атаки. Не говоря уже о подрыве репутации и, как следствие, потере существующих и потенциальных клиентов. 

Методы противодействия DDoS-атакам.
   Сегодня, на рынке немало компаний, предлагающих услуги по защите от DDoS-атак. Одни из них предлагают установку программно-аппаратных комплексов в ИТ-инфраструктуре клиента, другие используют возможности провайдера интернет-услуг, а третьи перенаправляют трафик клиента через специальные центры очистки. Однако основной принцип у всех один — фильтрация «мусорного», то есть сгенерированного злоумышленниками, трафика. Итак, приступим к обзору нескольких способов.
  • Наименее эффективным методом считается установка фильтрующего оборудования на стороне клиента. Для этого, требуется наличие в защищаемой компании специально обученного персонала, который будет обслуживать и корректировать работу оборудования, что влечет за собой дополнительные расходы. Во-вторых, такой метод эффективен только против атак непосредственно на ресурс, и никак не сможет помешать атакам, «забивающим» интернет-канал клиента. Работающий ресурс бесполезен, если к нему нет доступа из Сети, а перегрузить интернет-канал жертвы с помощью технологии усиления DDoS-атаки достаточно просто.
  • Фильтрация трафика провайдером более надежна в этом плане, благодаря наличию широкого интернет-канала, который гораздо сложнее вывести из строя. В то же время, поскольку провайдеры не специализируются на услугах по защите, они фильтруют только самый очевидный мусорный трафик, упуская из внимания более изощренные атаки. Для тщательного анализа атаки и оперативного принятия контрмер необходимы соответствующие знания и опыт. Кроме того, такой тип защиты привязывает клиента к конкретному провайдеру, создавая сложности в случае необходимости использования резервного канала связи или при смене провайдера.
  • Таким образом, наиболее эффективным решением для нейтрализации DDoS-атак следует считать специализированные центры очистки, комбинирующие различные методы фильтрации трафика. 
   Лично мой выбор, был остановлен на Kaspersky DDoS Prevention. Хоть это решение совсем не из дешёвых, оно работает более надёжно и, что самое главное, можно заключить договор на услугу по требованию, что значительно экономит средства в дальнейшем. Что также, является немаловажным, так это то, что при необходимости, можно организовать расследование инцидента. В моём случае, это помогло выйти на исполнителей и даже на самих заказчиков. Далее, компания может организовать судебный иск и предоставить всю необходимую поддержку, в ходе судебного разбирательства. Это, в свою очередь, позволит получить денежную компенсацию, восстановить репутацию и будет хорошим уроком на будущее, Вашим потенциальным конкурентам. Поэтому, если у вас, есть Интернет-проект, стоит подумать, о достойной защите, ведь потери, всегда обходятся дорого. Скупой, платит не дважды, а трижды. Принимайте это за рекламу, дело ваше. В Сети Интернет, есть много подобных услуг, главное, не ошибитесь в выборе. И да минуют мимо нас DDoS-атаки.

Материал подготовлен на основе официального блога Лаборатории Касперского:
https://blog.kaspersky.ru

Отправить комментарий

Новые Старые