Что такое DDoS атака и как от нее защититься

Многие компании, в том числе государственные, регулярно сталкиваются с действиями злоумышленников, пытающихся нарушить работоспособность инфраструктуры. Они прибегают к разным приёмам, один из самых распространённых – DDoS атака. Согласно данным аналитиков во втором квартале 2023 года общее число DDoS-атак увеличилось на 40%, более половины из них пришлись на финансовый сектор, на втором месте электронная торговля, на третьем – онлайн-образование.

Как работает DDoS-атака

Термин DDoS-атака расшифровывается как Distributed Denial of Service – распределенный отказ от обслуживания. При проведении атаки задействуют множество устройств, одновременно отправляющих запросы на сервер компании. Это приводит к перегрузке сервера, отказу инфраструктуры, не обеспеченной должной защитой. Причина популярности метода – отсутствие юридически значимых улик. Иногда атака осуществляется из одной подсети, но её легко распознать и заблокировать.

В зависимости от принципа действия DDoS-атаки подразделяются на виды:

• переполнение канала;
• использование защищённости сетевых протоколов;
• действия на уровне приложений.

Низкоуровневые атаки используют несовершенства архитектуры, для защиты необходимо подключить специальную услугу. Защититься от высокоуровневых атак сложнее, необходима настройка сервера. В последние месяцы появился новый тип DDoS-атак, к которому большинство компаний оказались не готовы. Хакеры используют смешанные ботнеты, состоящие из  нескольких вредоносных программ. 

Особенности смешанных ботнетов:

• они объединили различные типы операционных систем и вредоносных программ;
• их сложнее вычислить;
• обходят системы защиты;
• скрывают истинную локацию;
• используют уязвимости в системах безопасности.

На сегодняшний момент это универсальный инструмент киберпреступников.

Причины и мотивы DDoS-атак

Любая DDoS атака приводит к потере легитимного трафика, её целью может стать любая компания, представляющая онлайн услуги – интернет-магазин, виртуальное казино. Также атаки используют в ходе информационной войны. 

Мотивы для применения DDoS-атак:

• экономический – выполнение заказа конкурента; 
• политический – протесты против правительственных организаций, медиа ресурсов, сайтов министерств;
• вымогательство, шантаж – хакер выдвигает условия, которые необходимо выполнить для прекращения атаки;
• личная неприязнь;
• обучение, для приобретения опыта начинающие злоумышленники могут атаковать кого угодно.

Мотивы могут различаться в зависимости от атакующих сторон.

Последствия DDoS-атак

Количество и интенсивность атак постоянно увеличиваются. Успешная DDoS-атака приводит к серьёзным проблемам для бизнеса – потере клиентов, снижению прибыли. Потеря работоспособности сайта особенно важна для компании, веб-сайт которой предоставляет услуги – получение информации, связи, финансовые переводы. 

Следствием атаки могут стать утрата доверия клиента, потеря репутации. Именно поэтому злоумышленники выбирают целью атаки ключевые функции сайта, такие как просмотр каталогов, страницы оплаты. Последствия носят долгосрочный характер, восстановить репутацию сложнее, чем работоспособность сайта.

Аутсорсинговая компания BitRaid предлагает компаниям Санкт-Петербурга комплекс услуг по обеспечению информационной безопасности. Организуем управление учётными записями, антивирусную защиту рабочих мест, почты, интернет-трафика, периметра сети, серверов, осуществим администрирование средств шифрования. Максимальную защиту обеспечивает комбинированная система безопасности. Эти мероприятия помогут защититься от хакерских атак.

Методы защиты от DDoS-атак

Чтобы предотвратить DDoS-атаку, необходимо проанализировать инфраструктуру, разобраться, какие серверы и сервисы вы используете. Определите, какие элементы инфраструктуры должны быть доступны извне, запретите доступ ко всем остальным. Убедитесь, что IP-адреса не скомпрометированы. Если была атака на основной сервис, следующей целью может стать другой элемент инфраструктуры.

Для минимизации риска проделайте следующие действия:

• настройте firewall сервер;
• скройте реальные IP-адреса, регулярно изменяйте их;
• по возможности откажитесь от нешифрованного трафика;
• проверьте бизнес-логику;
• разграничьте физические серверы по ресурсам.

Настройте мониторинг показателей сервера, это поможет выработать методы борьбы с атаками. Каждый системный администратор пытается справиться с атаками собственными силами. Способы защиты: 

1. Действенный способ – модуль testcookie. Он работает как фильтр, отсеивает мусорные запросы. Во время проверки выясняет, тот ли он браузер, за который себя выдаёт. Но testcookie создаёт проблемы с пользователями, не спасает от всех ботов.
2. Код ответа 444 – полезный функционал, фильтрирующий паразитный трафик. Он прекращает передачу данных, снижает нагрузку на сервер.
3. Нейронная сеть (PoC) – математическая модель, учитывающая все основные виды сетевых атак, в том числе DDoS. Образ соединения включает 41 параметр сетевого трафика, каждый из них отмечен как «атака» или «не атака».

Облачные решения помогут подключить защиту от DDoS-атак, наиболее востребованными являются Incapsula, AKAMAI, Cloudflare, SUCURI, Alibaba, MYRA. Расширенную защиту обеспечивает Shield Advanced. Управляемый сервис защищает приложения, производит динамичное обнаружение, сокращает время простоя приложений. 

Можно воспользоваться одним из уровней – Standard и Advanced. Предусмотрены технологии автоматической нейтрализации атак, видимость атак в режиме, приближённом к реальному времени, интеграцию с брандмауэром интернет-приложений. AWS Shield Advance оповещает о DDoS‑атаках, приводит подробные диагностические сведения.

Сотрудничество с провайдерами услуг заключается в том, что оператор предоставляет клиенту ip-адрес собственного reverse-прокси. Заказчику необходимо поменять NS-записи. В этом случае ip-адрес сервера клиента неизвестен никому, кроме штатной службы эксплуатации и провайдера. Весь поступающий из интернета трафик будет проходить через средства фильтрации. Необходимо ограничить публичный доступ к веб-серверу.