DDoS атака — что это
Содержание:
Как работает DoS-атака
Одновременно веб-сервер может принять и обслужить ограниченное количество запросов. Канал, соединяющий его с интернетом, тоже обладает определенной пропускной способностью. Когда компоненты инфраструктуры не справляются с потоком запросов, происходит полная остановка работы ресурсов. Это называется DoS — Dental of Service, или «отказ в обслуживании». Даже если работа полностью не останавливается, то сильно замедляется, при этом большая часть запросов остается необработанной. DoS-атаками хакеры могут вызвать искусственную нагрузку на серверы в целях вывода их из строя, а также прикрытия другой мошеннической активности на выбранном веб-ресурсе.
DoS- и DDoS-атака
Во время хакерских атак сайт теряет работоспособность или подменяется нелегитимной копией. Проблемная ситуация длится от нескольких минут до часов. Чтобы свести к минимуму убытки из-за сбоев, необходимо как можно раньше понять причину неработоспособности. Обычную DoS-атаку обнаружить достаточно легко. Хакер действует с одного сервера, выводя из строя отдельный ресурс. При этом его действия ИТ-специалисты могут отследить по информации из лог-файла. Такие атаки давно научились легко блокировать с помощью фаервола или маршрутизатора. Действия злоумышленников не опасны при условии установки на оборудование специализированного ПО.
Гораздо серьезнее ситуация, когда хакеры проводят DDoS-атаки — Distributed Denial of Service, или «распределенный отказ в обслуживании». Они принципиально отличаются от DoS тем, что злоумышленник действует лавинообразно со множества IP-адресов. Сайт-жертва блокируется гораздо быстрее, так как в этом случае практически невозможно отследить и отсечь все айпи, с которых идет атака. Здесь хакеры маскируют свои действия под естественный трафик, забрасывая интернет-ресурс пустыми запросами. Момент начала DDoS-атаки очень сложно определить, и ручное изучение лог-файлов ничего не даст, т. к. невозможно понять, какие из хостов атакующие, а какие — обычные. Ситуацию осложняет то, что хакеры используют в качестве «оружия» (в 90% случаев) зараженные или взломанные реальные сайты, которые постепенно объединяют в сеть «ботнет». Это позволяет усилить мощь проводимой DDoS-атаки.
В чем причина DDoS-атак
Все DDoS-атаки проводятся для достижения одной или нескольких целей:
- Вымогательство. Хакеры требуют от владельца веб-ресурса (или ПК) выкуп за возврат сайту (или Windows) работоспособности.
- Недовольство. Основано на отношениях личного или иного характера. Возмущенные чем-то сотрудники «мстят» своему бывшему либо настоящему руководству.
- Нездоровая конкуренция. Так называемые «партнеры» либо «коллеги» устраняют с рынка мешающего им игрока, создавая для его бизнеса непреодолимые условия.
- Развлечение. Начинающие программисты цинично пытаются показать свои умения друзьям, родственникам, коллегам.
- Хактивизм. Организация громких атак для привлечения внимания общества.
Чем больше появляется незащищенных сайтов и устройств, тем дешевле становится проведение DDoS-атак и, соответственно, увеличивается их количество. Но с развитием контрмер учащаются и случаи успешного противодействия действиям хакеров. На основании всего вышесказанного скажем, что чаще всего злоумышленники атакуют серверы и веб-ресурсы организаций с намерением тайно нанести экономический или репутационный вред, воздействовать на руководство или вызвать резонанс в обществе.
Типы DDoS-атак
При всем многообразии DDoS-атаки делят на 3 главные категории:
- Широкомасштабные. Хакеры перегружают трафик пропускного канала, применяя атаку отражения reflection. Заменив свой IP на адрес сайта-жертвы, отправляют запросы серверам. Последние отсылают в ответ объемные пакеты информации на истинный айпи (тот, на который ведется DDoS-атака). Если таких данных будет слишком много, масштабы последствий достигнут критических значений.
- Протокольные. Находят уязвимости в работе протокола и используют их для истощения ресурсов серверов. Хакер отправляет сайту-жертве запрос на синхронизацию (SYN). Сервер в ответ выделяет часть ресурсов и отвечает, что готов принять пакет данных (SYN ASK). В обычном случае первый IP-адрес должен запустить соединение (ASK), но хакер продолжает отсылать запросы SYN и истощает до нуля возможности сервера по принятию трафика.
- Прикладные. Действуют примерно так же, как и протокольные, но направлены на уязвимости в функционировании приложений. Хакер один за другим отправляет запросы HTTP и не заканчивает их. В результате соединение постоянно открыто, и происходит истощение ресурсов сервера до его полного выхода из строя.
На каждый из множества способов лишения сервера работоспособности существует свой механизм противодействия. Но, т. к. все попытки злоумышленников сводятся к блокировке пропускной способности канала или истощению выделенных ресурсов, то можно обозначить и общие методы защиты.
Как защититься от DDoS-атак
Проблему легче предусмотреть, чем разбираться с ее последствиями. Поэтому в любой организации необходимо иметь подробный план действий на случай, если вдруг сервера «полетят». Даже если вы отдали большое количество функций на ИТ-аутсорсинг, каждый сотрудник должен досконально знать, что ему следует делать до, во время и после DDoS-атаки. Необходимо запросить у провайдера информацию о том, как он обеспечивает противодействие нападениям хакеров. Также желательно с помощью специализированного софта произвести эмуляцию атаки и самостоятельно выявить слабые места. В идеале необходимо иметь дополнительные мощности, чтобы сайт не «лег» окончательно, а оперативно заработал на другом сервере.
Определение начала DDoS-атаки
От начала атаки до обнаружения первых ее признаков может пройти несколько часов, и сисадмин не сразу узнает о грозящей опасности. Но, пока сервер еще сохраняет работоспособность, можно увидеть некоторые симптомы:
- Подвисание и работа с ошибками серверных приложений или ОС.
- Резкое возрастание нагрузки на ЦП, ОЗУ и накопитель информации.
- Огромное увеличение объема трафика.
- Многократность запросов к некоторым ресурсам (открытие одной веб-страницы, загрузка одного файла).
- Наличие в лог-файлах значительного количества однообразных запросов с разных айпи, направленных на отдельный сервис или порт.
Эти симптомы не говорят на 100% о начале атаки, но сисадмин должен обратить на них внимание и включить защитные механизмы (или проверить их работу). Обычно хакеры начинают свои действия с серии коротких воздействий, и администратор может заранее увидеть слабые места сервера.
Защита от DDoS-атак
Итак, чтобы иметь надежную защиту от DDoS-атак, необходимо применять различные механизмы в совокупности. Здесь и бдительность сисадмина и других пользователей, и различные технические меры по блокировке деятельности хакеров, и предупредительные действия. К последним можно отнести:
- Увеличение пропускной способности. Это достаточно сложная, но выполнимая задача для провайдера, когда злоумышленник атакует его мощности. Вариант позволяет успешно отразить нападение, если только хакер в ответ не увеличит мощность попыток вывести серверы из строя.
- Заключение предприятиями договоров с аутсорсерами либо поставщиками интернет-услуг. Партнеры переориентируют возросший трафик на свои ресурсы и разгрузят сервера организаций. Заключать договоры необходимо до начала атаки.
- Создание отказоустойчивой сети, где нет узких опасных мест, а прокси-серверы географически распределены и принадлежат разным провайдерам.
- Использование облачной архитектуры. Созданные в облаке системы можно легко включить и выключить, а также увеличить либо уменьшить на них нагрузку.
- Обновление аппаратной части. От многих давно известных видов DDoS-атак можно защититься при помощи современного оборудования, которое отслеживает нежелательные изменения в системе и закрывает нестабильные соединения.
Нельзя недооценивать опасность DDoS-атак. Их последствия непредсказуемы. Злоумышленники способны создавать и использовать очень мощные ботнеты, состоящие из огромного количества зараженных устройств и способные нанести громадный ущерб. Поэтому каждая компания должна заранее принять различные меры по предотвращению DDoS-атак.
Заключение
При любом хакерском нападении главная цель «жертвы» — сделать так, чтобы все мощности продолжали сохранять свою доступность вне зависимости от внешних воздействий. Для достижения этого необходимо применять комплекс мер, разрабатываемый грамотными ИТ-специалистами. Если у вас нет своих надежных айтишников, обратитесь в компанию «АЙТи Спектр». Мы разработаем четкий алгоритм на случай неожиданного выхода ресурсов из строя и ознакомим с ним сотрудников вашей организации. Также грамотно минимизируем последствия DDoS-атак и осуществим поддержку серверов.
Да, ddos-атаки это очень серьезная штука. Нам конкуренты 2 раза ложили сайт. Оба раза нас ждали серьезные убытки, и финансовые, и репутационные. Так что здесь лучше предусмотреть побольше моментов и не экономить на защите.
Плохо то, что в большинстве случаев действительно не понимаешь, что мошенники уже начали ддос-атаку. Мы тоже не стоим на месте, но они постоянно оказываются впереди нас. Только мы закроем все лазейки, они либо мощность усиливают, создавая широкомасштабный ботнет, либо еще дополнительные ходы придумывают…
То есть обычный брандмауэр может защитить от простых DoS-атак?
Да, правильно настроенный брандмауэр или специализированное ПО на роутере блокируют простейшие DoS- или DDoS-атаки. Но, к сожалению, этих возможностей недостаточно, если на ваш компьютер или сайт будет грамотно произведена сложная DDoS-атака.
А как я смогу понять, орудует ли какой-либо бот на моем компе? Это вообще возможно?
Действие ботов почти невозможно отследить, т. к. операционная система при заражении действует практически на такой же скорости. Но несколько фактов укажет на присутствие вредоносных кодов:
Обращайте внимание на такие факторы и, возможно, сможете обнаружить ботов и принять меры.
А какие еще бывают ддос атаки? Вы ведь привели самую общую классификацию?
Совершенно верно, в рамках этого материала мы дали общую классификацию DDoS-атак. На каждом уровне модели OSI злоумышленники действуют разными методами. Вы можете найти подробную информацию об этом в интернете.
Руководители нашей организации очень серьезно относятся к кибербезопасности, и мне нравится, как у нас все поставлено. Конечно, нас заставляют учить все инструкции и проводят тренировки, но, я думаю, в экстренных случаях мы сработаем единой командой и сможем противостоять хакерам.