По оценкам экспертов, в 2023 году по всему миру хакеры совершили более 15 млн DDoS-атак. В первую очередь — на правительственные, банковские и телекоммуникационные сервисы. Прогнозы неутешительны: в 2024-м аналитики ожидают 15% прирост числа кибератак со средней стоимостью утечки данных в 4,5 млн долларов. Таким образом, защита от DDoS атак становится одной из ключевых для предприятий, чья деятельность связана с интернетом. В статье разберём, как именно злоумышленники нарушают работу серверов или интернет-служб, а также рассмотрим способы борьбы с такими киберпреступлениями.
Как проводят DDoS-атаку
Распределенные атаки типа «отказ в обслуживании» (DDoS) происходят, когда злоумышленники используют большое количество устройств, чтобы перегрузить ресурс и запретить к нему доступ. Как правило, DDoS-атаки используют против веб-сайтов, приложений или интернет-служб. Однако бывают случаи, когда хакеры атакуют отдельные устройства пользователей, шлюзы или внутренние сетевые ресурсы.
По своей направленности DDoS-атаки разделяют на три категории: объёмные, на протоколы и на приложения.
Объемные DDoS-Атаки
Такие атаки перегружают емкость ресурса запросами, трафиком или вызовами. Например, в случае с интернет-ресурсами DDoS-атака забивает полосу пропускания так, что сайт «падает» от наплыва трафика.
Приведем несколько примеров объемных DDoS-атак:
UDP-Flood-атака — протокол пользовательских дейтаграмм (UDP) не устанавливает двусторонний сеанс с сервером. Вместо этого UDP просто отправляет пакеты данных без ответа.
CharGEN Flood — злоумышленники подделывают IP-адрес целевого сервера и отправляют поток запросов на подключенные к интернету устройства, на которых работает CharGEN (протокол для отладки и тестирования), например принтеры. Затем эти устройства отвечают на запрос и бомбардируют сервер трафиком TCP-порта.
ICMP (Ping) Flood — хакеры используют большое количество устройств, чтобы загружать серверы поддельными пинг-пакетами, не дожидаясь ответов.
Протокольные DDoS-атаки
Такие атаки направлены на уязвимости в сетевых протоколах, чтобы перегрузить сервер, брандмауэры или балансировщики нагрузки.
Примеры протокольных DDoS-атак:
IP Null-атака — устанавливает нулевое значение для заголовков пакетов по протоколу 4 версии, которые должны указывать на тип транспортного протокола. В результате сервер использует свои ресурсы, чтобы определить, как доставить «пустые» пакеты.
TCP-Flood-атака — перегружает ресурсы через подмену или искажение пакетов по протоколам TCP
Slowloris — использует ресурсы сервера при пустом обмене данными. Злоумышленники отправляют частичные HTTP-запросы на веб-сервер, чтобы держать открытыми как можно больше сеансов. Эти атаки используют очень небольшую пропускную способность, из-за чего их трудно обнаружить.
DDoS-атаки веб-приложений
Такие атаки нацеливаются на уязвимости в приложениях и вызывают в них сбой. Например, хакеры атакуют сложные в вычислительном отношении процессы — добавление товара в корзину или переход к оформлению заказа. Множество одновременных запросов нарушают ограничения программы, что перегружает сервер, на котором находятся ресурсы приложения.
Примеры DDoS-атак приложений:
HTTP-Flood атака — злоупотребляет командами http и пытается перегрузить серверы, на которых размещены веб-приложения.
ReDoS — замедляет приложение через использование регулярных выражений (шаблонов для фильтрации текста). Такая атака запрашивает алгоритмически сложные шаблоны поиска, которые тратят ресурсы или даже вызывают сбои в системе.
Способы борьбы с DDOS
Перечислим наиболее эффективные средства защиты от DDoS атак, которые можно комбинировать для постоянного доступа легальных пользователей к вашем серверу, сайту или приложению:
Увеличить пропускную способность
Это поможет сделать вашу хостинговую инфраструктуру устойчивой к DDoS. Это означает, что вы готовите достаточную пропускную способность для обработки всплесков трафика, которые могут быть вызваны кибератаками.
Внедрить CDТ или VPN
Сети доставки контента автоматически фильтруют вредоносные запросы, нацеленные на уровни L3/L4. Это помогает сбалансировать трафик и обеспечить DDOS-защиту сервера. А благодаря частной виртуальной сети контент распределяется на нескольких серверах по всему миру. Это снижает нагрузку на ваш сервер и ускоряет загрузку страниц веб-сайта или приложения.
Использовать защиту от DDoS на уровне сервера
Некоторые веб-хосты включают в свои предложения инструменты, которые предотвращают DDoS-атаки на уровне сервера. Здесь важно уточнить у провайдера, входят ли эти средства защиты в бесплатный или платный пакет услуг.
Подготовиться к DDoS-атакам
С помощью решений RuSIEM можно подготовить ИТ-систему к киберугрозам. Мы предлагаем специализированные инструменты для мониторинга и управления информационной безопасностью, а также глубокой аналитики данных в реальном времени из нескольких источников.
Перейти на гибридное или облачное решение
Когда вы переключитесь на использование гибридных или облачных сервисов, скорее всего, вы получите доступ к неограниченной пропускной способности. Многие веб-сайты, пострадавшие от DDoS, работают с ограниченными ресурсами. Переход на облачное решение может помочь вам обезопасить себя.
Надежная конфигурация вашего сетевого оборудования
Например, вы можете настроить свой брандмауэр или маршрутизатор так, чтобы он отбрасывал входящие пакеты ICMP или блокировал ответы DNS вне вашей сети. Это поможет защититься от некоторых объемных атак DNS и Ping.
Количество DDoS-атак значительно увеличивается. Каждая каждая атака иметь разрушительные последствия для бизнеса, независимо от его размера и масштаба. Поэтому важно как можно раньше подумать о тактике смягчения последствий DDoS. Приведенные выше советы помогут вам повысить безопасность ваших ИТ-ресурсов и защитить их от кибератак.