Что такое DDoS атака: типы и методы защиты

DDoS-атака (Distributed Denial of Service, распределённый отказ от обслуживания) — это своеобразная проверка на прочность ИТ-инфраструктуры компании и её сервисов. Киберпреступники используют лавинообразно растущую нагрузку на интернет-ресурс, чтобы помешать либо усложнить пользователю доступ к нужному сервису. Ещё бывает естественный DDoS, когда во время горячего сезона сайты не справляются с наплывом покупателей и «падают» либо работают через раз.

Впервые о такого рода атаках в публичном поле заговорили в 1999 году, когда пострадали сайты Yahoo, eBay, Amazon, CNN. Впоследствии этот вид киберпреступности стал активно развиваться. Появились даже ресурсы, предлагающие услуги DDoS как сервиса. Поэтому современным компаниям важно уметь защищаться от таких атак. В том числе — с помощью облачных провайдеров, предлагающих инфраструктуру по модели IaaS.

DoS vs DDoS: в чём разница

Помимо DDoS, в арсенале злоумышленников есть и другой тип атак. Он называется DoS (Denial-of-Service, отказ в обслуживании). Первым известным случаем DoS считается атака канадского хакера в феврале 2000 года, когда он решил перегрузить веб-сервера Amazon и eBay.

Во время DoS-атаки идёт рассылка запросов с одного устройства, а не сети, и нацелена она конкретный домен или виртуальную машину. Он похож на DDoS, так как в обоих случаях целью является нарушение доступа к сети или интернет-ресурсу. Но у DoS есть свои особенности: 

  • Одиночный вектор атаки. Трафик идёт из одной подсети
  • Заметность. Атака на сайт хорошо видна в системах мониторинга
  • Простота отражения. DoS-атаки без труда блокируются брандмауэром или сетевым маршрутизатором.

Такой тип атак не считается опасным, но требует наличия ПО, способного вовремя распознавать и блокировать угрозу.

Для DDoS характерны другие отличительные черты:

  • Многопоточность. Наличие множества каналов отправки запросов упрощает задачу блокирования атакуемого ресурса, так как быстро отфильтровать все атакующие IP-адреса нереально
  • Незаметность. Атака хорошо маскируется под естественный трафик, постепенно забивая ресурс «мусороными» запросами, поэтому отследить её начало непросто
  • Сложность отражения. Трудность определения времени начала атаки мешает фильтрации атакующих IP-адресов

Как вы понимаете, распределённый отказ от обслуживания работает «эффективнее», поэтому злоумышленники предпочитают этот метод. Тем более что отследить эту атаку и добраться до источника крайне трудно, потому что у неё нет центра.

Причины DDoS-атак

Почему могут атаковать ИТ-инфраструктуру компании? Возможны несколько вариантов:

  • Конфликт, недовольство действиями. На фоне личной неприязни происходит значительная доля кибератак в отношении бизнеса и государственных учреждений. Например, после масштабного рейда ФБР на хакеров в 1999 году было совершено нападение на веб-узлы ФБР. В итоге они несколько недель были нерабочими.
  • Политика. Несогласие с проводимой государством или оппозицией политикой может стать причиной кибератаки. Хактивисты (ИТ-специалисты, радикально подходящие к вопросу) могут поддерживать разные политические силы и выражать свой протест путём DDoS-а.
  • Развлечение. Атакующей стороной могут стать новички-хакеры, ИТ-экспериментаторы и просто люди, которые решили «похулиганить», заказав недолгую, но вредную нагрузку на каком-либо полулегальном ресурсе.
  • Вымогательство. Нередко хакеры перед атакой требуют от компании выкуп за отказ от своих намерений. Суммы бывают самые разные и зависят от аппетитов злоумышленника. При отказе платить следует «наказание».
  • Нечестная конкуренция. Заказной харакетр атаки — далеко не редкость. В «высокий сезон» конкуренты могут пытаться уронить сайты других компаний, чтобы переманить клиентов.
  • Маскировка. Пока вы боретесь с DDoS, то можете не заметить другую атаку. Использование мусорного трафика как прикрытия является эффективной и довольно популярной практикой.

Кто может стать жертвой DoS-атаки

Стать объектом кибератаки может практически любая организация и даже частное лицо. По некоторым данным, каждая шестая российская компания сталкивалась с подобной проблемой.

В группе риска находятся сайты:

  • Крупных предприятий и госучреждений;
  • Банков, управляющих компаний;
  • Медицинских учреждений;
  • Платежных систем;
  • Популярных блогов и СМИ;
  • Интернет-магазинов;
  • Игровых сервисов;
  • Криптовалютных бирж.

Доски объявлений, сайты турфирм тоже сталкиваются с такими атаками, но реже. В августе 2021 года поисковый гигант Яндекс рассказал, что подвёргся крупнейшей в России DDoS-атаке. До этого, в 2020 году, был атакован Сбербанк.

Ещё одним сравнительно новым вектором атак стал «интернет вещей» (Internet of Things, IoT). Подключённые к интернету устройства нередко становятся частью ботнет-сети или каналом прослушки.

Как работает DDoS-атака

Принцип работы DDoS кроется в названии: отказ в обслуживании. Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов. И организатор атаки ставит задачу загрузить все каналы до максимума, чтобы реальные пользователи не могли пробиться к сервису из-за огромного количества мусорных запросов.

Для атак используются ботнет-сети: некоторое количество заражённых вирусом устройств, которыми хакеры могут управлять. Их может быть сто, а может — сто тысяч. Во время атаки хакеры отправляют запросы с этих ботов на сайт жертвы. Поскольку каждый компьютер инициирует соединения, которые ничем не отличаются от действий обычного человека, распознать атаку трудно. И только с ростом количества запросов становится заметна нагрузка, которая превышает ожидаемую.

Обычно такие таки длятся несколько часов. Но бывали случаи, когда DDoS вёлся несколько суток.

Сами атаки разделяются по принципу воздействия на три вида:

  1. Переполнение канала. ICMP-флуд, UDP-флуд, DNS-амплификация
  2. Использование незащищенности стека сетевых протоколов. «Пинг смерти», ACK/PUSH ACK-флуд, SYN-флуд, TCP null/IP null атака
  3. Атака на уровне приложений. HTTP-флуд, медленные сессии, фрагментированные HTTP-пакеты

Популярные виды атак

HTTP-флуд — на атакуемый сервер отправляется множество обычных или шифрованных HTTP-сообщений, которые забивают узлы связи.

ICMP-флуд — хост-машина жертвы перегружается служебными запросами, на которые она обязана давать эхо-ответы.

SYN-флуд — используется один из базовых механизмов действия протокола TCP (алгоритм «запрос-ответ»: SYN пакет — SYN-ACK пакет — ACK пакет). На сайт жертвы поступает вал фальшивых SYN-запросов без ответа. Канал забивается очередью TCP-подключений от исходящих соединений, требующих свой ACK пакет.

UDP-флуд — порты хост-машины жертвы нагружаются пакетами по протоколу UDP, ответы на которые перегружает сетевые ресурсы.

MAC-флуд — порты сетевого оборудования забиваются потоками «пустых» пакетов с разными MAC-адресами.

«Пинг смерти» (Ping of death) — массовая отправка компьютеру жертвы ICMP-пакетов большой длины, в результате чего происходит переполнение буфера.

DNS-спуфинг — из-за подмены IP-адреса в кэше сервера пользователь перенаправляется на фейковую страницу. При переходе преступник получает доступ к персональным данным пользователя.

Признаки атаки

Для кибератак подобного рода характерны следующие признаки:

  • Зависания, произвольные завершения сессий и другие сбои в работе серверного ПО и ОС
  • Необычно высокая нагрузка на процессор, оперативную память, диск и другие компоненты сервера
  • Внезапное увеличение количества запросов на порты
  • Одинаковая модель поведения большого количества пользователей
  • Массовые запросы к портам и сервисам, похожие друг на друга

Предотвратить и защититься

Считается, что основной способ защиты — фильтрация трафика на основе его содержимого, IP-адресов и других параметров. Это можно сделать двумя способами:

  • Использовать собственный сервер и ПО. Так можно контролировать свою инфраструктуру, настроить её под собственные нужды
  • Воспользоваться услугой защиты от DDoS. Так компания снижает издержки на закупку и обслуживание оборудования, зарплату специалистам. Вопросами защиты занимается сторонняя организация
Второй способ уже пять лет востребован на рынке. Компаниям проще платить фиксированную сумму за защиту, имея возможность подключать и отключать дополнительные услуги по анти-DDoS.

Не стоит забывать, что атаки часто используют уязвимости в ИТ-инфраструктуре организации. Поэтому важно регулярно обновлять все программные компоненты. Также стоит проверить способность корпоративного сайта и ИТ-сервисов работать даже под высокой нагрузкой.

При сотрудничестве с облачными провайдерами компании могут получить комплексное решение по защите ИТ-инфраструктуры, веб-приложений и онлайн-сервисов от DDoS-атак любого уровня. Провайдеры используют более мощное оборудование и программно-технические решения. А ещё на их стороне большой опыт отражения атак. Они способны быстро восстановить контроль над ситуацией и создать условия, при которых нагрузка не влияет на уровень доступности инфраструктуры, приложений и сервисов.

Решение Cloud4Y легко интегрируется с инфраструктурой клиента, размещенной в облаке, не требует переноса данных и дополнительной настройки, установки ПО или покупки оборудования. Параметры очистки определяются спецификой бизнеса.

Вверх!