DDOS атака и защита от нее

DDOS — это Distributed Denial of Service. Другими словами, это распределенная нагрузка на систему, которая приводит к отказу в работе. Сайт начинает зависать, показывает ошибки, а бизнес в это время теряет деньги. К компании пропадает доверие, клиенты уходят к конкурентам, потому что никто не захочет ждать и постоянно проверять работоспособность ресурса. Хорошая новость, что с этой проблемой можно и нужно бороться. Рассказываем, что делать, если ваш сайт подвергся DDOS.

Как работает DDOS

Ни один сервер не сможет обрабатывать одновременно бесконечное число запросов от пользователей. При превышении их лимита произойдет максимальная нагрузка на систему, что может привести к снижению скорости обработки запросов или полное отключение сервера. Кроме того, трудности могут возникнуть из-за небольшой пропускной способности шлюза, который устанавливает устойчивое соединение сервера с интернетом.

В результате DDOS создается искусственная нагрузка на сервер с помощью ботнетов или зомби-ферм. При этом сеть компьютеров, которые получают команду, в одно и то же время отправляют запросы к определенному ресурсу. Особенность таких атак в том, что они распределенные. Воздействие на сервер происходит не из одной точки, а из нескольких, которые расположены по всему миру.

Атака на смартфоны или компьютеры происходит после заражения устройства троянской программой, которую рассылают в виде ссылок вместе со спамом или рассылками. В момент открытия ссылки злоумышленник получает полный контроль над устройством и может отдавать ему любые приказы. Нередко атакуют умные холодильники, роботы-пылесосы, стиральные машины и т.д. Устройство такой техники имеет слабые места, поэтому ее легко взломать.

В отдельных ситуациях нагрузка на сайт может быть естественной. Например, компания купила рекламу у блогера, после нее на сайт резко увеличился наплыв посетителей, но сервер не был готов к такому количеству трафика.

Виды DDoS

Существуют разные виды DDOS. Самые популярные из них:

1. Ping of death

Данный вид угрозы уже неактуален. Он представлен в виде отправки запроса с превышающим лимит объемом в байтах. В настоящее время при сборке запросов слишком объемные помечаются неправильными и отклоняются.

2. SYN Flood

Формирование ненастоящих SYN-пакетов, направленных на связь с сервером. Пользовательский IP получает ответ, но игнорирует его, отправляя при этом новый запрос. На сервер поступает огромный поток необработанных запросов, он начинает работать медленнее и вскоре перестает функционировать.

3. HTTP Flood

При этой атаке на сервер отправляется большое количество HTTP-запросов GET и POST типа. При этом, обычно они отправляются к самым объемным частям сайта.

4. UDP, DNS и VoIP Flood

Отправка множества запросов через UDP-пакеты, DNS-сервер или IP-телефонию. К сайту поступает огромное количество обращений, которые он не в силах обработать.

5. DNS-амплификация

Атака на сервер через общедоступные DNS-серверы. Во время работы с такими серверами, IP адрес отправителя подменяется на адрес атакуемого ресурса. В результате этого, на сайт в одно и то же время поступает много ответных запросов от публичных серверов.

Атаки на уровне инфраструктуры

Заполнение памяти «мусором»

Выделенная память на сервере искусственно переполняется ненужными данными — информация о работе сайте, левые комментарии и отзывы. Так злоумышленник может забить весь диск, если у вас нет ограничения на объем поступающих данных.

Взлом CGI скриптов

Общий интерфейс шлюза нередко подвергается атакам хакеров. Если человек получает доступ к Common Gateway Interface, то может переписать программный код сервера. При он легко сделает так, чтобы ресурсы сайта расходовались впустую, например, происходило заполнение выделенной памяти или тратилось время на обработку запросов.

Отправление ложных сигналов об опасности

Если система получит ложное сообщение об опасности, то произойдет временная блокировка сайта.

Некачественная проверка поступающей информации

Если принимаемые пакеты данных проверяются недостаточно хорошо, то происходит искусственная перегрузка системы.

DNS-атаки

Также хакеры часто атакуют серверы, которые связывают IP-адрес сайта с его URL. Если в их работе происходит сбой, то пользователи не могут попасть на сайт.

Кто может стать жертвой и почему

Хакеры атакуют сайты по нескольким причинам:

Происки конкурентов

Атаку на ваш ресурс могут заказать конкуренты. Если он выйдет из строя на какое-то время, для ближайших конкурентов это будет большим плюсом.

Политика

Часто атакуют ресурсы политической направленности. Обычно нападение на них заказывают организации, которые имеют противоположные взгляды.

«Спортивный» интерес

Нередко отдельные хакеры или целые группы хакеров атакуют сайты, чтобы повеселиться или доказать кому-то свой профессионализм.

Попытка заработать

На ресурс могут напасть, чтобы потребовать деньги за восстановление доступа или за остановку атаки.

Конфликт

Возможно, у вас был конфликт с какой-то организацией, и она заказала атаку вашего ресурса с целью отомстить. В некоторых случаях нападение происходит и на государственные сайты.

Чаще всего взламывают такие ресурсы:

• криптовалютные платформы;
• большие интернет-магазины;
• сайты крупных клиник;
• ресурсы государственных организаций;
• финансовые корпорации;
• масштабные СМИ.

Можно ли определить, что на сайт напали?

Когда сайт атакуют, он падает не сразу. Поэтому вебмастер может заметить проблему и предпринять необходимые действия.

Признаки DDOS атаки:

1. Частые небольшие сбои в работе сервера;
2. Большой прирост трафика без причины. Например, вы не давали рекламу, но количество посетителей сайта резко увеличилось. Также должно насторожить появление трафика со всего мира.
3. Однотипные запросы на сетевые устройства, которые поступают из множества точек одновременно.
4. Посетители сайта совершают различные операции на ресурсе: отправляют запросы, заполняют формы и т.д.
5. Система безопасности реагирует на слишком большую активность и дает сигнал.

Последствия атаки

Серьезность последствий зависит от размера бизнеса. Если компания большая, то она может потерять не только десятки или сотни тысяч долларов, но и свою репутацию. Если пользователь не сможет своевременно получить доступ к ресурсу, то в дальнейшем может обратиться к конкурентам, а не к вам. Можно сказать, при DDOS атаке бизнес страдает значительно больше, чем при взломе конфиденциальной информации компании.

Как избежать распределенной атаки?

Следующие меры помогут предотвратить атаку хакеров на ваш сервер:

1. Не позволяйте входить в административную панель из внешней сети. Доступ должен быть только из внутрикорпоративной сети или с помощью VPN.
2. Устанавливайте только надежные ПО, в которых нет слабых мест.
3. Своевременно обновляйте ПО, чтобы минимизировать риск взлома.
4. Позаботьтесь о безопасности корпоративных ресурсов. Устанавливайте надежные пароли для входа, предоставляйте доступ только тем, кому это действительно нужно и т.д.
5. Регулярно проверяйте работоспособность и актуальность системы безопасности.
6. Пользуйтесь брандмауэром для контроля за входящим трафиком.
7. Используйте captcha или reCaptcha на своих ресурсах.
8. Интересуйтесь у вашего хостинг-провайдера, как он защищается от хакерских атак.
9. Удаляйте кэш.
10. Старайтесь проверять DNS-сервера, чтобы выявлять подозрительную активность.
11. Для хранения данных используйте несколько отдельных серверов. Это поможет восстановить работоспособность ресурса при атаке на один из серверов.
12. Используйте достаточно ресурсов для обработки запросов. Лучше если они будут превышать средний объем запросов.
13. Настройте систему, чтобы она наносила ответный удар при атаке.

Заключение

Распределенные атаки — это серьезная угроза крупным компаниям. В настоящее время есть множество способов защититься от них, но даже при этом хакеры находят лазейки и атакуют серверы. Важно надежно защитить IT-инфраструктуру компании, чтобы не потерять прибыль и доверие клиентов. Часто кибератаки происходят на интернет-магазины, финансовые организации, государственные и политические структуры.

Если нападут на ваш сайт, то оперативно обратитесь в техническую поддержку хостинг-провайдера или к штатному сисадмину. Они смогут быстро принять меры, которые остановят атаку и восстановят доступ к сайту.