Руководство по DDoS-атакам

Руководство по DDoS-атакам

DDoS или распределенные атаки типа «отказ в обслуживании» — это разновидность кибератаки, которая основана на использовании различных методов, чтобы помешать конечному пользователю получить доступ к веб-сайту или онлайн-сервису. В последнее время DDoS-атаки становятся все более популярными, поскольку все больше организаций поддаются их воздействию. DDoS-атаки теперь актуальны не только для крупнейших предприятий. Малый и средний бизнес и даже некоторые частные лица, например, онлайн-стримеры, являются популярными объектами таких атак. Сегодня мы рассмотрим, что такое DDoS-атаки, как они могут повлиять на вас и как их можно предотвратить.

Что такое DDoS-атака?

 

Вашу рекламу скликивают конкуренты?

Подключите защиту по ссылке и экономьте ваш рекламный бюджет!

DDoS-атака осуществляется с помощью множества устройств, которые наводняют сеть или сервер трафиком настолько, что они становятся неработоспособными. Такие атаки обычно начинаются с того, что вредоносные агенты компрометируют несколько IoT-устройств (сюда входят такие объекты, как ПК, маршрутизаторы и т.д.) и заражают их вредоносным ПО. После того как устройство заражено таким образом, и хакеры получили достаточный контроль над конечным устройством, они могут подготовиться к DDoS-атаке. Такое скопление зараженных устройств называется ботнетом. Затем ботнет используется для многократной отправки сигналов в конечную сеть. Это перегружает ресурсы оперативной памяти и процессора целевой сети или сервера. В лучшем случае это приводит к засорению, в худшем — к полному отключению.

Как долго может длиться DDoS-атака?

DDoS-атака может длиться от нескольких минут до целых недель. Некоторые виды DDoS-атак требуют определенного времени, чтобы собрать достаточно большой ботнет, способный захлестнуть сеть. Другие виды могут сделать это быстро, однако они, как правило, длятся недолго. Компания Radware отмечает, что около 30% всех кибератак длятся менее одного часа. Однако DDoS-атаки, по имеющимся данным, длятся до 330 часов, или 14 дней. Это означает, что существует множество вариаций при определении продолжительности DDoS-атаки.

Какие существуют виды DDoS-атак?

Вообще говоря, существует два различных вида DDoS-атак:

  • Уровень приложений Эти атаки направлены на программное обеспечение, предоставляющее определенную услугу, например, сервер APache. Кроме того, эти атаки могут быть направлены на любое приложение, предоставляемое облачным провайдером. Эти атаки являются наиболее распространенным видом DDoS-атак и также называются атаками седьмого уровня.
  • Протокольная/объемная Этот вид DDoS-атаки предназначен для выкачивания ресурсов сервера или сетевого устройства. Когда эти устройства перегружены, нагрузка ложится на их балансировщики. Эти атаки предполагают вмешательство в работу сетевого и транспортного уровня в OSI/RM (или уровней 3 и 4). Это 2-й наиболее часто встречающийся вид DDoS-атаки.

Эти атаки направлены на разные уровни OSI/RM, что означает, что они совершенно разные по структуре, а также по тому, как они скрыты и как с ними бороться. DDoS-атаки также можно разделить на две категории по продолжительности:

  • Долгосрочная. Долгосрочная DDoS-атака длится несколько часов или дней. Примером может служить 3-дневная атака на AWS, которая привела к ущербу в миллионы долларов.
  • Burst. Burst DDoS-атаки более распространены и длятся гораздо меньше времени — несколько минут или даже секунд.

Как правило, долговременные атаки гораздо сложнее провести, чем внезапные. Кроме того, разрывные атаки гораздо сложнее отследить, поэтому они встречаются гораздо чаще, чем долгосрочные.

Как DDoSеры избегают обнаружения?

Одна из причин, по которой DDoS-атаки являются столь распространенной формой кибератак, заключается в том, что их очень трудно обнаружить. Злоумышленники могут легко спрятаться между тысячами запросов, посылаемых их ботнетом. Однако умные злоумышленники используют другие тактики, чтобы избежать поражения.

  • Подделка IPv4 и IPv6 обычно не имеют возможности аутентификации или отслеживания трафика до его источника. В случае сетей IPv4 очень легко подделать адрес источника и назначения и замаскировать атаку таким образом. DDoS-специалисты используют это для подделки пакетов с нелепым адресом источника. Благодаря этому злоумышленникам довольно просто обмануть реальные устройства, заставив их отвечать на эти пакеты.
  • Отражение Злоумышленник хочет скрыть свою причастность к DDoS-атаке даже после ее завершения. Обычно они делают это, обманывая онлайн-сервисы так, что сами сервисы скрывают свою личность. Для этого они используют один из сотен доступных серверов DNS (Domain Name System), SNMP (Simple Network Management) или NTP (Network Time Protocol).
  • Поскольку эти службы могут не только передавать трафик, но и еще больше затруднять отслеживание злоумышленника из-за того, что большинство серверов не ведут тщательный журнал использующих их служб, отражение является сложной тактикой для борьбы с ними.
  • Усиление Ιnvolves генерирует большое количество трафика, используя преимущества множителя источников, а не ботнета. Такие атаки посылают один поддельный пакет и обманывают надежную службу, заставляя ее отправить тысячи ответов выбранной ими жертве. В этих случаях важно понимать, что для проведения атак используются обычные интернет-операции. Вредоносные агенты просто нашли метод, с помощью которого они могут использовать это обычное поведение.

Мотивы, стоящие за DDoS-атаками

Для того чтобы разработать стратегии противодействия DDoS-атакам, крайне важно знать мотивы, стоящие за этими атаками.

  • Финансовые DDoS-атаки часто сочетаются с выкупными программами. Злоумышленник отправляет сообщение (обычно анонимно), в котором сообщает своей жертве, что прекратит атаку, если она заплатит ему определенную сумму денег. Обычно такие атаки проводятся в составе преступной организации, хотя в наши дни она может состоять всего из десятка человек. Иногда это делают конкурирующие предприятия по отношению к другим предприятиям.
  • Идеологические Этот вид атак мотивирован идеологией и используется для поддержки политических, религиозных или культурных интересов. Как правило, они используются против правительств протестующими.
  • Иногда DDoS-атаки используются для того, чтобы запутать военные или гражданские организации во время политических волнений.
  • Бизнес Бизнес-мотивированные DDOS-атаки проводятся с целью получения информации или нанесения ущерба определенной отрасли или сектору экономики. Атака на несколько компаний в одной отрасли может привести к тому, что клиенты потеряют доверие к отрасли в целом.

Борьба с DDoS-атаками

Основная причина эффективности DDoS-атак заключается в том, что предприятия не уделяют достаточно времени для ознакомления с тем, как они работают и как с ними бороться. Если вы ведете бизнес с высокой репутацией, вы почти гарантированно столкнетесь с DDoS-атакой в какой-то момент.

Обнаружение DDoS-атак

Первым шагом в борьбе с DDoS является способность обнаруживать DDoS-атаки на ранних стадиях. Наличие хороших возможностей распознавания шаблонов и обнаружение повторений, которые сигнализируют о DDoS-атаке, очень полезно. ИИ и облачные сервисы часто используются для помощи в обнаружении DDoS-атак, однако ни один из них не может заменить квалифицированного ИТ-специалиста. Обычно о DDoS-атаке можно узнать по следующим признакам:

  • Устройства снижения нагрузки, такие как балансировщики нагрузки или другие службы, показывают вам критический отчет
  • Клиенты сообщают о медленном или недоступном обслуживании
  • Сотрудники сталкиваются с проблемами подключения и скорости
  • Большое количество запросов на подключение, поступающих с одного IP-адреса в короткий промежуток времени
  • Ошибка 503 выскакивает, когда вы не выполняете техническое обслуживание
  • Ping-запросы затягиваются из-за TTL (Time to Live)
  • Чрезвычайно большие скачки трафика

Смягчение последствий DDoS-атаки

Смягчение последствий DDoS-атак сильно отличается от большинства кибератак. Обычно смягчением последствий DDoS-атак занимаются автоматизированные устройства, созданные специально для этой цели. Примером могут служить балансировщики нагрузки, которые могут находить шаблоны DDoS-атак и вмешиваться в них. При смягчении последствий атаки DDoS следует сосредоточиться на том, чтобы ваши службы и устройства находились в нужном месте. Поскольку злоумышленники получают DDoS-трафик, пользуясь доверенными системами, атаке могут подвергнуться все подключенные серверы и устройства, поскольку они не всегда будут распознаны. Существует ряд шагов. Типичные шаги по реагированию на DDoS-атаку включают:

  • Обнаружение DDoS-атаки на ранних стадиях является большим подспорьем в борьбе с ней. Стоит отметить, что обнаружение на основе скорости в целом устарело, поскольку большинство современных DDoS-атак обходят его.
  • Фильтрация Наличие системы фильтрации может помочь вам отсеять нежелательный трафик, генерируемый DDoS-атакой. Для этого большинство предприятий используют сложные настройки правил на своих сетевых устройствах.
  • Перенаправление Перенаправление трафика таким образом, чтобы он не влиял на ваши важнейшие ресурсы, — это отличный помощник при DDoS-атаке. Перенаправление трафика в центр очистки или «воронку» может помочь избежать этого. В это время вы должны уведомить своих работников и клиентов, что им не нужно изменять свое поведение в соответствии с замедлением.
  • Анализ Выяснение места возникновения DDoS-атаки может оказать огромную помощь при борьбе с DDoS-атакой и помочь вам защититься от будущих атак. Хотя вы, возможно, захотите преследовать ботнет, это может быть невыполнимо с логистической и юридической точки зрения.
  • Альтернативные методы доставки Для открытия новых сетевых соединений можно использовать альтернативные ресурсы, которые практически мгновенно реагируют на DDoS-атаку.

Как это делается

В теории все эти методы защиты от атак звучат просто, однако все они требуют сотрудничества между различными подразделениями вашей компании, а также наличия надежной инфраструктуры для подготовки к атаке.

Обнаружение. Для обнаружения атак 7-го уровня требуется сочетание усилий квалифицированного ИТ-специалиста, например, аналитика по безопасности, и тестирования на проникновение. Как правило, пен-тестер имитирует DDoS-атаку, а аналитик прослушивает их, чтобы найти необходимые идентификаторы. Наконец, использование преимуществ облачной службы защиты, которая имеет защиту от DDoS, может помочь сэкономить ценные трудовые ресурсы.

Фильтрация и перенаправление. Используя преимущества центров очистки и подобных служб, вы можете перенаправлять или сдерживать DDoS-трафик. Зачастую это такие функции, как CAPTCHA или вызов cookie. Они предназначены для того, чтобы убедиться, что запрос на подключение исходит от реального пользователя. Вы также можете переслать соответствующие пакеты аналитику по безопасности, чтобы он нашел закономерности и рекомендовал дальнейшие шаги по снижению последствий атаки. Зачастую те же серверы балансировки нагрузки, которые используются для надлежащего управления законным трафиком, могут также использоваться для борьбы с DDoS-атаками. ИТ-специалисты могут использовать балансировщики нагрузки для отклонения трафика, поступающего из определенных источников, и остановить DDoS-атаку еще на начальном этапе. Устройства очистки облака помещаются между вредоносным трафиком и сетью. Затем этот трафик направляется в другое место, чтобы изолировать ущерб. Затем центр очистки сохраняет весь подлинный трафик и пропускает его к месту назначения. Одними из самых популярных центров очистки являются Radware и Cloudflare.

Альтернативная доставка. Использование сети доставки контента (CDN) может иметь большое значение во время DDoS-атаки. Это поможет вам увеличить время работы, пока вы отвлекаете свои ресурсы на борьбу с атакой. При этом устаревшие или ненастроенные устройства снижения риска могут стать частью проблемы во время атаки. Поскольку DDoS-атаки часто направлены на одного провайдера, некоторые компании предпочитают иметь несколько соединений с провайдерами, чтобы иметь возможность просто переключиться на другого, если один из них станет мишенью.

Заключительные слова

DDoS-атаки — это постоянная угроза в современном мире, все больше зависящем от Интернета. Предприятия, которые не готовы к ним, могут понести огромный ущерб. Это далеко не все, что вам нужно знать о DDoS-атаках, поскольку существует множество специализированных инструментов и методов, и в одной статье не хватит места, чтобы охватить все. Учитывая это, изучение принципов того, что такое DDoS-атаки, какие бывают виды, почему злоумышленники их совершают и как с ними бороться, имеет решающее значение для обеспечения безопасности вашего бизнеса. Отдавая приоритет кибербезопасности, вы инвестируете в будущее своего бизнеса. И хотя она может не понадобиться вам немедленно, вы будете безмерно благодарны за ее наличие, когда произойдет атака.

Наш проект поддержало государство в виде гранта на развитие алгоритмов!
This is default text for notification bar

Конкуренты скликивают рекламу?

Подключите защиту бесплатно и проверьте, сколько ботов кликают на вашу контекстную рекламу Яндекс.Директ и оцените потери вашего бюджета. Никаких финансовых обязательств.