Так, к сожалению сложилось, что последние
несколько месяцев, имел дело с поддержанием нескольких небольших
Интернет-проектов, которые подвергались массированным DDoS-атакам. Ниже приведённая информация, будет полезна тем,
кто имеет свои небольшие Интернет-проекты, при этом, не является сам
программистом, системным администратором… Потому что, по поводу DDoS-атак, информации в Сети много, но не вся она адекватная
и часто, неопытный человек, после принятия на вооружение «таких советов»,
начинает двигаться совсем не в ту степь, упуская драгоценное время, тратя силы и выбрасывая деньги на ветер.
Материал подготовлен на основе официального блога Лаборатории Касперского:
https://blog.kaspersky.ru
Ниже, приведу небольшую информацию, что такое вообще DDoS-атаки, какими они бывают и главное, как бороться с
серьёзными DDoS-атаками, против которых, написание «скриптиков» – не
поможет, а действенное подавление DDoS-атак,
удовольствие не из дешёвых и требует комплексных мер, с возможным предотвращением
подобных рецидивов в дальнейшем.
Что такое DDoS-атаки и какие они?
DDoS-атака
(Distributed-Denial-of-Service) — один из самых распространенных приемов
киберпреступников. Ее цель — довести информационную систему жертвы (например,
веб-сайт или базу данных) до такого состояния, при котором легитимные
пользователи не могут получить к ней доступ. Мотивы злоумышленников могут быть
разными — хулиганство, конкурентная борьба, вымогательство или даже как не странно — месть.
Современная DDoS-индустрия — это
многоуровневая структура. В нее входят: заказчики атак; создатели ботнетов,
сдающие их в аренду; посредники, занимающиеся организацией атаки и общением с заказчиками,
а также лица, ответственные за монетизацию услуг. В качестве мишени, может быть
выбран любой доступный из Сети Интернет узел — сервер, обслуживающий какой-либо
сервис, сетевое устройство или неиспользуемый адрес в подсети жертвы.
Наиболее распространенных
сценариев DDoS-атак два: запросы от большого количества ботов напрямую к
атакуемому ресурсу или запросы от ботов, усиленные с использованием публично доступных серверов с уязвимым программным обеспечением. В первом случае,
злоумышленники превращают множество компьютеров в удаленно контролируемые
«зомби» (боты), которые затем одновременно по команде хозяина ботнета
отправляют на интернет-ресурс жертвы какие-либо запросы (осуществляют «распределенную атаку»). Иногда, вместо ботнета
используется завербованная хакерами группа пользователей, снабженная
специальными программами для осуществления DDoS-атаки.
При втором сценарии, то есть при
усиленной атаке, вместо ботов, также могут быть использованы арендованные в
дата-центре серверы, а для усиления, как правило, применяются публичные серверы
с уязвимым ПО. В данный момент, распространены два варианта усиления — через
серверы системы доменных имен (DNS) или серверы синхронизации времени (NTP).
Усиление атаки производится за счет подмены обратных IP-адресов и отправки на
сервер короткого запроса, который требует гораздо более объемного ответа.
Ситуация усугубляется и тем, что
в связи с широким распространением вредоносного ПО и ростом количества активных
ботнетов, создаваемых разнообразными хакерскими группами, заказать такую атаку
сегодня, может практически каждый. Киберпреступники рекламируют свои услуги,
обещая всем желающим сделать выбранный сайт недоступным всего за $50 в сутки.
Причем оплата, как правило, производится при помощи криптовалюты, так что
вычислить злоумышленников по финансовым потокам практически невозможно. При
таких расценках и доступности услуги, жертвой DDoS-атаки может стать сайт не
только крупной и известной организации, но и практически любой ресурс. Конечно,
интернет-ресурсам крупных компаний навредить гораздо сложнее, но и ущерб от
простоя в этом случае будет заметно больше. Ведь помимо прямых убытков от
упущенных бизнес-возможностей (например, электронных продаж) компании могут
потерять деньги на штрафах за невыполнение обязательств, а также потратить
значительные средства на принятие экстренных мер по защите от атаки. Не говоря уже
о подрыве репутации и, как следствие, потере существующих и потенциальных
клиентов.
Методы противодействия DDoS-атакам.
Сегодня, на рынке немало
компаний, предлагающих услуги по защите от DDoS-атак. Одни из них предлагают
установку программно-аппаратных комплексов в ИТ-инфраструктуре клиента, другие
используют возможности провайдера интернет-услуг, а третьи перенаправляют
трафик клиента через специальные центры очистки. Однако основной принцип у всех
один — фильтрация «мусорного», то есть сгенерированного злоумышленниками,
трафика. Итак, приступим к обзору нескольких способов.
- Наименее эффективным методом считается установка фильтрующего оборудования на стороне клиента. Для этого, требуется наличие в защищаемой компании специально обученного персонала, который будет обслуживать и корректировать работу оборудования, что влечет за собой дополнительные расходы. Во-вторых, такой метод эффективен только против атак непосредственно на ресурс, и никак не сможет помешать атакам, «забивающим» интернет-канал клиента. Работающий ресурс бесполезен, если к нему нет доступа из Сети, а перегрузить интернет-канал жертвы с помощью технологии усиления DDoS-атаки достаточно просто.
- Фильтрация трафика провайдером более надежна в этом плане, благодаря наличию широкого интернет-канала, который гораздо сложнее вывести из строя. В то же время, поскольку провайдеры не специализируются на услугах по защите, они фильтруют только самый очевидный мусорный трафик, упуская из внимания более изощренные атаки. Для тщательного анализа атаки и оперативного принятия контрмер необходимы соответствующие знания и опыт. Кроме того, такой тип защиты привязывает клиента к конкретному провайдеру, создавая сложности в случае необходимости использования резервного канала связи или при смене провайдера.
- Таким образом, наиболее эффективным решением для нейтрализации DDoS-атак следует считать специализированные центры очистки, комбинирующие различные методы фильтрации трафика.
Материал подготовлен на основе официального блога Лаборатории Касперского:
https://blog.kaspersky.ru