DDoS атака (Denial of Service) — вид вредоносного воздействия на сайт, с целью ограничить ему возможность в обработке пользовательских запросов.
Что называется DDoS-атакой
ДДоС атака - это вид киберпреступления, при котором на сайт поступает колоссальное количество трафика, нарушающее его работу и ограничивающее доступ к нему обычным пользователям.
- Интернет-магазины;
- Сайты, предоставляющие онлайн-услуги.
- Сервисы доставки.
- Онлайн-школы.
- СМИ.
- Видеохостинги и т.д.
О них впервые заговорили в 1999 году, когда сайты крупных западных компаний подверглись массовым нападениям.
Одна из самых известных и масштабных произошла в 2020 году и нацелена была на Amazon Web Services (AWS). Пиковый объем трафика составил 2,3 Тбит/с, несмотря на то, что DDoS атака на сайт была смягчена AWS Shield — сервисом для защиты приложений, работающих на платформе AWS.
Российские компании тоже не защищены от попадания под волну вредоносного трафика. Осенью 2020 года Яндекс подвергся самой крупной в истории Рунета ДДоС-атаке — она составила 20 млн RPS (запросы в секунду).
Как работает DDoS атака
Как понять, что сайт стал жертвой злоумышленников? Если вы следите за трафиком на своем сайте, распознать атаку получится на ранних этапах. В первую очередь значительно повысится входящий трафик, логи начнут набирать вес и возникнут видимые торможения в работе ПО.
Осуществляется она следующим образом: злоумышленник устанавливает вредоносное ПО на компьютеры, подключенные к Интернету. Оно позволяет хакеру удаленно управлять компьютерами и массово атаковать запросами с зараженных машин жертву нападения. Для успешной атаки недостаточно двух, пяти или десяти устройств - нужно гораздо больше. Группа таких устройств называется ботнетом, а устройства - ботами или зомби.
После создания групп (ботнетов) им направляется инструкция и сайт подвергается атаке. Боты направляют IP-запрос на сервер, что приводит к его перегрузке и отказу в обслуживании пользовательского трафика. Чем лучше защищен сервер, тем больше зараженных машин понадобится для атаки.
- Большое количество запросов к одной странице одновременно.
- Трафик от устройств с идентичным пользовательским профилем (геолокация, тип устройства).
- Заходы с одного IP-адреса или группы IP-адресов.
- Определенная модель трафика, например, заходы каждые 5 минут или в нечетные часы.
Это далеко не все признаки, по которым вы сможете узнать, подвергся ли ваш сайт нападению. Каждый тип атаки имеет свои нюансы и особенности. О них поговорим ниже.
Типы DDoS атак
Рассмотрим, как работают ДДоС атаки.
- Protocol attacks (на уровне протокола).
- Application layer attacks (прикладной уровень).
- Volumetric attacks (объемные).
Протокольные атаки
- SYN-флуд - работает путем установления полуоткрытого соединения с узлом. Атакуемый сервер, принимая пакет SYN для синхронизации через открытый порт, в ответ должен получить подтверждение ACK. Но во время атаки этого не происходит, что приводит к полуоткрытому соединению. Эти действия переполняют очередь сервера, ограничивая установление соединения новым пользователям.
- UDP-флуд - при этом виде атаки жертва получает огромное количество пакетов UDP с группы IP-адресов. UDP атака занимает все полосы пропускания и приводит к перегрузке сетевых интерфейсов.
- ICMP-флуд - приводит к большой загрузке каналов сети атакуемого сервера. Принцип воздействия аналогичен UDP-флуду. Одновременно на сервер поступают сотни запросов ICMP и вызывают перегрузку. Эти пакеты не требуют подтверждения при получении, поэтому атаку сложно распознать.
- MAC-флуд - используется реже других видов атак. Он работает по принципу отправки пустых Ethernet-фреймов с большой группы различных MAC-адресов, заполняя память свитча. Это и становится причиной его отключения или отсутствия ответа.
Атаки прикладного уровня
- HTTP POST-флуд - передает на сервер огромное количество POST запросов, которые не успевают обрабатываться. Эта атака приводит к вынужденной остановке сервера.
- HTTP GET-флуд - атака сервера огромным числом запросов с целью нарушения его работоспособности. Сервер не может обрабатывать входящие запросы и становится недоступным.
Объемные атаки
DNS-амплификация - атака, использующая уязвимость в DNS протоколе. Она отправляет ложные запросы о домене, переполняя канал ответами и нарушая его работу. Опасность атаки заключается в том, что распознать ее источник практически невозможно.
Отдельно можно вынести APDoS атаку. Работает APDoS следующим образом - она посылает миллионы запросов в секунду в течение долгого времени — нескольких дней или недель. Причем, тактика атаки постоянно меняется из-за большой вариативности типов воздействия.
Все вышеперечисленные атаки воздействуют на разные уровни модели OSI. Разберем подробнее, какие они бывают.
- Прикладной уровень (7). На уровне 7 происходит работа протоколов RDP, HTTP, POP, SMTP и т.д. Здесь осуществляется реализация конкретных действий, маршрутизация происходит на более низких уровнях.
Атака на 7 уровень вызывает нехватку ресурсов сервера, из-за чего он становится недоступным.
- Уровень представления (6). На этом уровне осуществляется передача данных от источника к получателю путем шифрования данных EBCDIC, MPEG, JPEG, ASCII.
Атака на 6 уровень приводит к тому, что системы перестают принимать SSL.
- Сеансовый уровень (5). Уровень для управления сеансами связи, их синхронизацией, завершением и установкой через протоколы PPTP, L2TP.
Атака на 5 уровень делает свитч недоступным для администратора.
- Транспортный уровень (4). Протоколы UDP и TCP на этом уровне отвечают за связь между приложениями и доставку данных.
Атака на 4 уровень приводит к нарушению количества доступных подключений, что, в свою очередь, приводит к сбою в работе оборудования.
- Сетевой уровень (3). На данном уровне основным протоколом является IP. Этот протокол отвечает за маршрутизацию данных.
Атака на 3 уровень вызывает перегрузку брандмауэра за счет уменьшения пропускной способности.
- Канальный уровень (2). Уровень отвечает за доставку кадров с помощью MAC адресов. Работает в рамках одного сетевого сегмента.
Атака на 2 уровень блокирует данные, отправляемые пользователю.
- Физический уровень (1). Здесь происходит передача двоичных данных, единицей измерения являются биты.
Атака на 1 уровень вызывает сбои в работе сетевого оборудования.
Причины и потенциальные жертвы
- Мошенничество и шантаж. Злоумышленники получают доступ к компьютеру жертвы и ограничивают работоспособность системы и ПО. Затем они выдвигают условия для восстановления работы — чаще всего это некоторая сумма денег.
- Конкуренция на рынке. Такой тип DDoS атак осуществляется в рамках конкуренции “на заказ”. Одна из конкурирующих фирм может заплатить хакерам, чтобы те провели атаку на серверы конкурента, парализуя их работу и нанося убытки.
- Развлечение. Такие атаки проводят просто ради забавы. Иногда атакующие хотят узнать, что такое ддосить на собственном опыте.
В первую очередь жертвами DDoS атак становятся фирмы, чья работа зависит от онлайн-трафика. Еще DDoS нападениям подвергаются интернет-магазины, СМИ и даже обычные пользовательские блоги.
Способы защиты от DDoS атак
- Сервисы защиты. Многие крупные компании предлагают пользователям сервисы для временной или постоянной защиты от ДДоС атак. Вот несколько из них:
- Alibaba Anti-DDoS. Сервис от Alibaba, позволяющий блокировать атаки до 2 Тбит/с. Поддерживает протоколы 4-7 уровней модели OSI.
- Cloudflare. Один из самых популярных и известных сервисов для защиты от DDoS атак. Имеет бесплатную версию, предоставляющую базовую защиту. Платная версия поддерживает защиту на уровнях 3,4,7. Этот сервис способен отражать объемные атаки.
- Qrator — российский ресурс, способный отражать атаки любых уровней. Является платным, но при этом имеет функционал автоматической настройки в зависимости от типа проводимой атаки.
- Устранение уязвимостей подразумевает устранение технических ошибок в работе ПО, установку обновлений на операционные системы и т.д. Важно не использовать простые пароли и установить капчу от спам-ботов.
- Профилактика. Позаботьтесь о том, чтобы доступ к административной панели был исключительно через внутреннюю сеть. При защите от ДДоС атак сервера поможет распределение данных между несколькими серверами. В случае атаки на основной, дополнительные независимо продолжат свою работу.
- Ответный удар. При наличии в штате опытного специалиста можно перенаправить атаку злоумышленников и нанести ответный урон.
Подведем итог
В статье мы рассмотрели методы воздействия DDoS атак и несколько механик, которые помогут от них защититься. Большинство из типов атак не требует значительных ресурсов, поэтому стать жертвой злоумышленников достаточно просто. Не преуменьшайте их опасность. Предупреждайте нападения с помощью профилактических мер и используйте специализированные сервисы для защиты.
