IT-аутсорсинг для поддержки и развития малого и среднего бизнеса
АйТи Спектр

DDoS атака — что это

Опубликовано 10.10.2022
photo
Алексей Прунов
Технический директор компании «АйТи Спектр»
Время прочтения - 5 мин
Задать вопрос

Как работает DoS-атака

Одновременно веб-сервер может принять и обслужить ограниченное количество запросов. Канал, соединяющий его с интернетом, тоже обладает определенной пропускной способностью. Когда компоненты инфраструктуры не справляются с потоком запросов, происходит полная остановка работы ресурсов. Это называется DoS — Dental of Service, или «отказ в обслуживании». Даже если работа полностью не останавливается, то сильно замедляется, при этом большая часть запросов остается необработанной. DoS-атаками хакеры могут вызвать искусственную нагрузку на серверы в целях вывода их из строя, а также прикрытия другой мошеннической активности на выбранном веб-ресурсе.

Хакер

DoS- и DDoS-атака

Во время хакерских атак сайт теряет работоспособность или подменяется нелегитимной копией. Проблемная ситуация длится от нескольких минут до часов. Чтобы свести к минимуму убытки из-за сбоев, необходимо как можно раньше понять причину неработоспособности. Обычную DoS-атаку обнаружить достаточно легко. Хакер действует с одного сервера, выводя из строя отдельный ресурс. При этом его действия ИТ-специалисты могут отследить по информации из лог-файла. Такие атаки давно научились легко блокировать с помощью фаервола или маршрутизатора. Действия злоумышленников не опасны при условии установки на оборудование специализированного ПО.

Гораздо серьезнее ситуация, когда хакеры проводят DDoS-атаки — Distributed Denial of Service, или «распределенный отказ в обслуживании». Они принципиально отличаются от DoS тем, что злоумышленник действует лавинообразно со множества IP-адресов. Сайт-жертва блокируется гораздо быстрее, так как в этом случае практически невозможно отследить и отсечь все айпи, с которых идет атака. Здесь хакеры маскируют свои действия под естественный трафик, забрасывая интернет-ресурс пустыми запросами. Момент начала DDoS-атаки очень сложно определить, и ручное изучение лог-файлов ничего не даст, т. к. невозможно понять, какие из хостов атакующие, а какие — обычные. Ситуацию осложняет то, что хакеры используют в качестве «оружия» (в 90% случаев) зараженные или взломанные реальные сайты, которые постепенно объединяют в сеть «ботнет». Это позволяет усилить мощь проводимой DDoS-атаки.

В чем причина DDoS-атак

Все DDoS-атаки проводятся для достижения одной или нескольких целей:

  • Вымогательство. Хакеры требуют от владельца веб-ресурса (или ПК) выкуп за возврат сайту (или Windows) работоспособности.
  • Недовольство. Основано на отношениях личного или иного характера. Возмущенные чем-то сотрудники «мстят» своему бывшему либо настоящему руководству.
  • Нездоровая конкуренция. Так называемые «партнеры» либо «коллеги» устраняют с рынка мешающего им игрока, создавая для его бизнеса непреодолимые условия.
  • Развлечение. Начинающие программисты цинично пытаются показать свои умения друзьям, родственникам, коллегам.
  • Хактивизм. Организация громких атак для привлечения внимания общества.

Чем больше появляется незащищенных сайтов и устройств, тем дешевле становится проведение DDoS-атак и, соответственно, увеличивается их количество. Но с развитием контрмер учащаются и случаи успешного противодействия действиям хакеров. На основании всего вышесказанного скажем, что чаще всего злоумышленники атакуют серверы и веб-ресурсы организаций с намерением тайно нанести экономический или репутационный вред, воздействовать на руководство или вызвать резонанс в обществе.

Типы DDoS-атак

При всем многообразии DDoS-атаки делят на 3 главные категории:

  1. Широкомасштабные. Хакеры перегружают трафик пропускного канала, применяя атаку отражения reflection. Заменив свой IP на адрес сайта-жертвы, отправляют запросы серверам. Последние отсылают в ответ объемные пакеты информации на истинный айпи (тот, на который ведется DDoS-атака). Если таких данных будет слишком много, масштабы последствий достигнут критических значений.
  2. Протокольные. Находят уязвимости в работе протокола и используют их для истощения ресурсов серверов. Хакер отправляет сайту-жертве запрос на синхронизацию (SYN). Сервер в ответ выделяет часть ресурсов и отвечает, что готов принять пакет данных (SYN ASK). В обычном случае первый IP-адрес должен запустить соединение (ASK), но хакер продолжает отсылать запросы SYN и истощает до нуля возможности сервера по принятию трафика.
  3. Прикладные. Действуют примерно так же, как и протокольные, но направлены на уязвимости в функционировании приложений. Хакер один за другим отправляет запросы HTTP и не заканчивает их. В результате соединение постоянно открыто, и происходит истощение ресурсов сервера до его полного выхода из строя.

На каждый из множества способов лишения сервера работоспособности существует свой механизм противодействия. Но, т. к. все попытки злоумышленников сводятся к блокировке пропускной способности канала или истощению выделенных ресурсов, то можно обозначить и общие методы защиты.

Как защититься от DDoS-атак

Проблему легче предусмотреть, чем разбираться с ее последствиями. Поэтому в любой организации необходимо иметь подробный план действий на случай, если вдруг сервера «полетят». Даже если вы отдали большое количество функций на ИТ-аутсорсинг, каждый сотрудник должен досконально знать, что ему следует делать до, во время и после DDoS-атаки. Необходимо запросить у провайдера информацию о том, как он обеспечивает противодействие нападениям хакеров. Также желательно с помощью специализированного софта произвести эмуляцию атаки и самостоятельно выявить слабые места. В идеале необходимо иметь дополнительные мощности, чтобы сайт не «лег» окончательно, а оперативно заработал на другом сервере.

Определение начала DDoS-атаки

От начала атаки до обнаружения первых ее признаков может пройти несколько часов, и сисадмин не сразу узнает о грозящей опасности. Но, пока сервер еще сохраняет работоспособность, можно увидеть некоторые симптомы:

  1. Подвисание и работа с ошибками серверных приложений или ОС.
  2. Резкое возрастание нагрузки на ЦП, ОЗУ и накопитель информации.
  3. Огромное увеличение объема трафика.
  4. Многократность запросов к некоторым ресурсам (открытие одной веб-страницы, загрузка одного файла).
  5. Наличие в лог-файлах значительного количества однообразных запросов с разных айпи, направленных на отдельный сервис или порт.

Эти симптомы не говорят на 100% о начале атаки, но сисадмин должен обратить на них внимание и включить защитные механизмы (или проверить их работу). Обычно хакеры начинают свои действия с серии коротких воздействий, и администратор может заранее увидеть слабые места сервера.

Защита от DDoS-атак

Итак, чтобы иметь надежную защиту от DDoS-атак, необходимо применять различные механизмы в совокупности. Здесь и бдительность сисадмина и других пользователей, и различные технические меры по блокировке деятельности хакеров, и предупредительные действия. К последним можно отнести:

  • Увеличение пропускной способности. Это достаточно сложная, но выполнимая задача для провайдера, когда злоумышленник атакует его мощности. Вариант позволяет успешно отразить нападение, если только хакер в ответ не увеличит мощность попыток вывести серверы из строя.
  • Заключение предприятиями договоров с аутсорсерами либо поставщиками интернет-услуг. Партнеры переориентируют возросший трафик на свои ресурсы и разгрузят сервера организаций. Заключать договоры необходимо до начала атаки.
  • Создание отказоустойчивой сети, где нет узких опасных мест, а прокси-серверы географически распределены и принадлежат разным провайдерам.
  • Использование облачной архитектуры. Созданные в облаке системы можно легко включить и выключить, а также увеличить либо уменьшить на них нагрузку.
  • Обновление аппаратной части. От многих давно известных видов DDoS-атак можно защититься при помощи современного оборудования, которое отслеживает нежелательные изменения в системе и закрывает нестабильные соединения.

Нельзя недооценивать опасность DDoS-атак. Их последствия непредсказуемы. Злоумышленники способны создавать и использовать очень мощные ботнеты, состоящие из огромного количества зараженных устройств и способные нанести громадный ущерб. Поэтому каждая компания должна заранее принять различные меры по предотвращению DDoS-атак.

Безопасность

Заключение

При любом хакерском нападении главная цель «жертвы» — сделать так, чтобы все мощности продолжали сохранять свою доступность вне зависимости от внешних воздействий. Для достижения этого необходимо применять комплекс мер, разрабатываемый грамотными ИТ-специалистами. Если у вас нет своих надежных айтишников, обратитесь в компанию «АЙТи Спектр». Мы разработаем четкий алгоритм на случай неожиданного выхода ресурсов из строя и ознакомим с ним сотрудников вашей организации. Также грамотно минимизируем последствия DDoS-атак и осуществим поддержку серверов.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 4 / 5. Количество оценок: 1

Оценок пока нет. Поставьте оценку первым.

9 комментариев
  • Да, ddos-атаки это очень серьезная штука. Нам конкуренты 2 раза ложили сайт. Оба раза нас ждали серьезные убытки, и финансовые, и репутационные. Так что здесь лучше предусмотреть побольше моментов и не экономить на защите.

  • Плохо то, что в большинстве случаев действительно не понимаешь, что мошенники уже начали ддос-атаку. Мы тоже не стоим на месте, но они постоянно оказываются впереди нас. Только мы закроем все лазейки, они либо мощность усиливают, создавая широкомасштабный ботнет, либо еще дополнительные ходы придумывают…

    • Да, правильно настроенный брандмауэр или специализированное ПО на роутере блокируют простейшие DoS- или DDoS-атаки. Но, к сожалению, этих возможностей недостаточно, если на ваш компьютер или сайт будет грамотно произведена сложная DDoS-атака.

  • А как я смогу понять, орудует ли какой-либо бот на моем компе? Это вообще возможно?

    • Действие ботов почти невозможно отследить, т. к. операционная система при заражении действует практически на такой же скорости. Но несколько фактов укажет на присутствие вредоносных кодов:

      • фаервол или антивирус сигнализируют о том, что неизвестные приложения стараются автономно выйти в интернет;
      • интернет-трафик резко увеличивается, хотя обычно он не показывает таких значений;
      • в перечне системных процессов обнаруживаются новые, которые пытаются замаскироваться под стандартные процессы Windows путем замены букв в названии или перестановки их местами. Например, не настоящий svchost.exe, а поддельный scvhost.exe.

      Обращайте внимание на такие факторы и, возможно, сможете обнаружить ботов и принять меры.

  • А какие еще бывают ддос атаки? Вы ведь привели самую общую классификацию?

    • Совершенно верно, в рамках этого материала мы дали общую классификацию DDoS-атак. На каждом уровне модели OSI злоумышленники действуют разными методами. Вы можете найти подробную информацию об этом в интернете.

  • Руководители нашей организации очень серьезно относятся к кибербезопасности, и мне нравится, как у нас все поставлено. Конечно, нас заставляют учить все инструкции и проводят тренировки, но, я думаю, в экстренных случаях мы сработаем единой командой и сможем противостоять хакерам.

Оставить комментарий