DDoS-атака и защита сервера от DDoS | ISPserver Перейти к основному содержанию

Помощь

DDoS-атака и защита сервера от DDoS

DDoS (Distributed Denial of Service — “Распределенный отказ от обслуживания”) — одна из распространённых проблем владельцев интернет-ресурсов, связанная с техническими неполадками в работе сайта. DDoS-атака позволяет хакерам не просто заблокировать клиентам доступ к интернет-страницам, но также закрыть для посещения сам сервер. В результате — простой веб-ресурсов и, как следствие, финансовые потери. Существует большое число хостинг-провайдеров, предлагающих дополнительную защиту от DDoS-атак.

Суть DDoS заключается в подавлении веб-ресурса или сервера трафиком из огромного количества источников, что делает его недоступным. Злоумышленники создают множество запросов, с которыми сервер не в состоянии справиться, вследствие чего образуется длинная очередь необработанных запросов. При этом под отказом в обработке информации подразумевается не конкретная поломка устройства, а нечто более серьезное — недоступность информационных ресурсов.

Важно. DDoS-атака похожа на другую распространенную веб-угрозу — “Отказ в обслуживании” (Denial of Service, DoS). Отличие между ними заключается в том, что при DoS атака на интернет-ресурс поступает с одного устройства, а при DDoS — осуществляется более масштабно и направлена из разных источников.

Основная цель DDoS-атаки — сделать веб-площадку недоступной для посетителей, заблокировав её работу. Также она может использоваться для отвлечения внимания от других вредительских манипуляций.  К примеру, хакеры могут провести DDoS-атаку при взломе системы безопасности для захвата базы данных организации.

Кто страдает от DDoS-атак?

DDoS-атаки может совершить кто угодно: старшеклассник, возомнивший себя хакером, или же настоящий профессионал, выполняющий чей-то заказ или решивший заработать денег путем шантажа. 

К примеру, перед праздниками некая фирма А планирует получить внушительную прибыль, но у её основного конкурента, фирмы Б, более лояльные условия для клиентов. Заблокировав работу сайта соперника, фирма А получает все заказы, пока фирма Б терпит убытки.

Как показывает практика, в большинстве случаев жертвами DDoS-атак становятся следующие организации:

  • интернет-магазины;
  • казино;
  • букмекерские конторы;
  • игровые сервисы;
  • образовательные учреждения;
  • СМИ;
  • государственные учреждения;
  • онлайн-классы.

Важно. Не стоит путать DDoS-атаку со взломом сайта — это совершенно разные вещи. DDoS-атака никак не внедряется в код сайта, а лишь направляет на него множество обращений, из-за чего сайт не справляется с ними и прекращает полноценно работать.

Признаки DDoS-атаки

При успешном хакерском воздействии в работе сервера и находящегося там портала возникают проблемы, заметить которые можно невооруженным глазом. Однако существуют признаки, по которым можно распознать действия злоумышленников еще на начальном этапе. К ним относятся следующие:

  1. Работа компьютера завершается некорректно, а аппаратная мощность сервера получает большую, ни с чем не связанную нагрузку, которая резко отличается от ежедневных показателей.
  2. Стремительный рост входящего трафика на одном или нескольких портах.
  3. Многократное дублирование однообразных действий клиентов единого портала.
  4. Появление большого количества однотипных запросов целевой аудитории из разных источников.

Виды DDoS-атак

Существует большое количество разнообразных вариаций DDoS-атак. Обычно их классифицируют по типу воздействия на ресурс и нанесённому вреду.

Атака транспортного уровня 

Подобное вмешательство направлено на сетевой уровень веб-ресурса или сервера. Основная задача — обеспечить перегрузку табличного пространства на межсетевом экране со встроенным журналом безопасности (брандмауэре), в центральной сети или в системе, балансирующей нагрузку.

Самый популярный метод DDoS-атак на транспортном уровне — сетевой флуд, при котором на разных уровнях создается огромный поток запросов-пустышек, с которым принимающий узел не в состоянии справиться. Максимально насытив полосу пропускания, флуд забивает все каналы связи.

Разновидности сетевого флуда:

  • HTTP-флуд — при отправке серверу пакета в ответ отправляется пакет гораздо большего размера. В заранее сформированном запросе к серверу хакер заменяет свой IP-адрес на IP устройства внутри сети жертвы.
  • ICMP-флуд — ботнет хакера перегружает хост-машину жертвы служебными запросами, на которые она обязана давать эхо-ответы. Наиболее популярен Ping-флуд — тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. 
  • SYN-флуд — отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения, что влечет за собой создание “полуоткрытых соединений”. Они переполняют очередь подключений, вынуждая сервер отказывать в обслуживании очередным клиентам.
  • UDP-флуд — использование бессеансового режима протокола UDP, при котором отправляется множество UDP-пакетов, ответы на которые перегружают сетевые ресурсы. 
  • MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами.

Атаки прикладного уровня

Атаки прикладного уровня (атаки инфраструктуры) заключаются в отправке огромного количества запросов, требующих большой вычислительной мощности.

Высокоуровневые атаки прикладного уровня нацелены на стирание памяти или информации с диска, “воровство” ресурсов у сервера, извлечение и использование информации из базы данных. Это может привести к значительной нехватке ресурсов для выполнения простейших операций на оборудовании.

Атаки на уровне приложений

Атаки на уровне приложений особенно разрушительны и трудны для выявления, так как могут имитировать легитимный трафик. Они предназначены для перегрузки элементов инфраструктуры сервера приложений и выведения их из строя.

К данному виду можно отнести такую распространенную атаку, как “Ping of death” — тип сетевой атаки, при которой компьютер-жертва получает особым образом подделанный эхо-запрос (ping), после которого он перестает отвечать на запросы вообще.

Как остановить DDoS-атаку

Для противодействия DDoS-атаке следует предпринять следующие меры:

  1. Определение вторжения на ранних стадиях. Чем раньше будет идентифицирована DDoS-атака, тем проще её будет остановить, и тем самым минимизировать нанесённый ущерб. Для этого необходимо иметь профиль входящего трафика, чтобы понимать его объем и разновидность. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, и потому важно вовремя распознавать, связаны они с повышенной активностью пользователей или же это начало DDoS-атаки.
  2. Выделение серверу полосы пропускания с дополнительным запасом. Здесь действует простой принцип: чем шире полоса у веб-сервера, тем лучше, так как сервер получает возможность выдерживать неожиданные резкие всплески трафика, например, в ходе рекламной кампании. Подобная мера не убережет от DDoS-атаки, однако даст фору для определения источника и типа атаки, а также для проведения спасательных мер до того, как сервер полностью прекратит свою работу.
  3. Для снижения эффективности DDoS-атаки существуют технические меры, в основе которых лежит регулировка сетевых настроек:
  • снижение скорости маршрутизации для предотвращения остановки сервера;
  • установка фильтров на маршрутизаторе для сброса пакетов от идентифицированного источника атаки;
  • установка таймаута на полуоткрытые соединения;
  • сбрасывание пакетов с измененными IP-адресами и пакетов с необычной структурой;
  • установка более низких порогов броса для SYN-, ICMP- и UDP-флуда.

Приведённые выше меры прекрасно известны хакерам, которые постоянно совершенствуют свои методы атак, а также изобретают новые способы воздействия на ресурсы. Однако эти меры помогут выиграть ценное время для распознавания атаки и принятия мер для минимизации последствий.

Важно. Для оказания экстренной помощи при DDoS-атаке можно обратиться в компании, специализирующиеся на данном вопросе. В их штате работают специалисты по  DDoS-атакам, в распоряжении которых есть различные средства и технологии, обеспечивающие работоспособность сервера.

Способы защиты от DDoS-атак

Наиболее эффективный способ защиты от DDoS-атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг- или интернет-провайдера.

Для минимизации рисков и потерь от DDoS-атак владелец веб-сервиса должен принять следующие меры:

  • Вести контроль версий ПО и сетевых служб. Нужно регулярно обновлять программное обеспечение сетевых служб (СУБД, PHP и пр.),поддерживать код самого продукта в актуальном и стабильном состоянии. Также рекомендуется разворачивать проект на нескольких серверах: продуктовом (боевом), тестовом (для обкатки нового функционала) и бэкап-сервере (для хранения резервных копий и архивов исходников). Нелишним будет использование системы контроля версий (Git) для возможности отката проекта к предыдущей стабильной сборке.
  • Периодически сканировать систему на наличие уязвимостей. Для этих целей можно использовать публичные рейтинги (например, OWASP Top 10) либо инструменты разработчика.
  • Распределять трафик при помощи CDN. За счёт распределённого хранения контента нагрузка на ресурсы сервера оптимизируется, увеличивается скорость обработки трафика и запросов.
  • Для защиты от спуфинга регулярно очищать кэш DNS.
  • Использовать распределённое хранение и бэкапы. При отказе одного или нескольких серверов появится шанс возобновить работу ресурса на другой машине, на которой будет развернута функциональная копия вашего проекта.
  • Использовать защиту от спама, поскольку одним из источников уязвимостей являются формы обратной связи. Хакеры могут запрограммировать своих ботов массово отправлять однотипные данные на сервер. Для фильтрации такого трафика формы нужно переводить на JS-компоненты или оснащать их капчами и другими инструментами проверки.
  • Использовать аппаратные средства защиты от DDoS: Impletec iCore, DefensePro и пр.

Наиболее эффективную защиту от DDoS-атак смогут предоставить хостинг-провайдеры. Существует несколько вариантов подобной услуги:

  1. Reverse proxy (обратное проксирование). Провайдер выдает ресурсу новый IP-адрес, который необходимо внести в А-запись. После корректировки входящий трафик первым делом будет идти по новому IP-адресу на очистку в сеть провайдера, а после этого, уже очищенный, поступать на свой реальный адрес. При этом сам ресурс остается на прежнем хостинге. Это наиболее приемлемый вариант защиты от DDoS, который подходит для сайтов различного уровня посещаемости. Он занимает совсем немного времени и требует от вебмастера минимальных знаний.
  2. Защищенный хостинг (выделенный сервер). Данную услугу предлагают хостеры, серверы которых подключены к системе защиты. Это может быть услуга от компании-партнера или же собственные фильтрующие станции. При аренде выделенного сервера исключается возможность пострадать из-за DDoS-атаки на соседа. Кроме того, все необходимые настройки выполняются специалистами хостинг-провайдера.
  3. Защищенный IP-транзит по виртуальному туннелю. Оптимальный вариант защиты для проектов с большими объемами трафика. Это весьма дорогостоящая услуга, которой пользуются регистраторы доменных имён, ЦОДы, операторы связи, хостинг-провайдеры, не имеющие собственных фильтрующих станций.

На ISPserver защита от DDoS организована на базе геораспределённой сети фильтрации. При подключении услуги мы меняем IP вашего сервера на IP-адрес из защищённой подсети. Фильтруем входящий трафик и блокируем вредоносный. В результате до вашего сайта доходят только реальные клиенты, а злоумышленники не могут получить доступ к ресурсам сервера. Подключить нашу защиту от DDoS можно прямо во время атаки.

В заключение отметим, что не существует единого эффективного средства защиты от DDoS-атак. Хакеры постоянно изобретают новые способы воздействия на ресурсы, поэтому очень важно уделять защитным мерам особое внимание.

Назад к категории