- Что такое DoS-атака
- Использование сети зомби-компьютеров для проведения DDoS-атак
- Что происходит при DDoS-атаке
- Принцип действия DDoS-атаки
- Как проводятся атаки
- Защита от DDoS-атак для сайта
- Сервис CloudFlare
- Некоторые известные типы уязвимостей Отказа в Обслуживании включают:
- Чем грозит DDoS-атака
- Статистика DDoS-атак
- Защита сервера от DDoS-атак
- Заказ DDoS-защиты от хостинг-провайдера
- Использование специальных аппаратных комплексов
- Настройка сетевой подсистемы сервера
- Как происходят DDoS-атаки
- В чем отличие DoS от DDoS?
- Способы нападения и защиты
- Флуд
- Как защититься от флуда
- Перегрузка аппаратных ресурсов
- Как защититься от перегрузки аппаратных ресурсов
- Уязвимости в операционных системах, программном обеспечении, прошивках устройств
- Методы противодействия эксплуатации уязвимостей в софте
- Как предотвратить и уменьшить количество атак?
- Черные списки IP
- Фильтрация
- Файлы cookie SYN
- DoS vs DDoS атака
- SYN флуд
- Природа современных DDoS-угроз
- Что такое DDoS-атака
- Последствия DDoS-атаки
- ICMP флуд
- Основные меры предосторожности
- Симптомы DDoS-атаки
- Главные отличия и цели атак
- Типы атак
- Переполнение канала
- DNS-флуд
- PING-флуд
- UDP-флуд
- Переполнение буфера
Что такое DoS-атака
DoS означает отказ в обслуживании. Атакующий атакует с целью перегрузить подсистему, в которой работает атакованный сервис. Воздействие осуществляется сервером и направлено на конкретный домен или виртуальную машину.
Характеристики DoS-атак:
- Пасьянс: трафик идет из одной подсети.
- Высокая видимость: попытки «поставить» сайт очевидны по содержимому файла журнала.
- Легкость подавления — атаки легко блокируются с помощью брандмауэра.
За последнее также часто отвечает сетевое оборудование, такое как маршрутизатор под управлением «облегченного» Linux или аналогичного программного обеспечения. Этот тип атак уже некоторое время не представляет особой опасности, но влияет на затраты на обслуживание (требует установки специализированных программ).
Использование сети зомби-компьютеров для проведения DDoS-атак
Чтобы отправить очень большое количество запросов к ресурсу жертвы, киберпреступник часто создает сеть из зараженных «компьютеров-зомби». Поскольку злоумышленник отслеживает действия каждого зараженного компьютера в зомби-сети, атака может оказаться слишком мощной для веб-ресурса жертвы.
Что происходит при DDoS-атаке
На атакованном сервере заканчиваются аппаратные ресурсы и ограничения программного обеспечения. В зависимости от конкретного типа DDoS-атаки это могут быть:
- пропускная способность канала связи;
- ограничение на количество установленных подключений;
- физическая память сервера;
- количество процессов веб-сервера;
- перегрузить дисковую подсистему и базу данных.
Сайт, подвергшийся DDoS-атаке, сначала открывается медленно, поэтому он может вообще не открываться из-за ошибки 500 в браузере или просто ошибки о невозможности установить соединение.
Хостинг-провайдер может отреагировать на атаку на конкретный сайт, отключив его на время атаки. В случае непрерывных атак он может попросить пользователя выйти из контракта, так как это помешает работе других сайтов, находящихся на общем хостинге с общим IP-адресом.
DDoS-атака на IP-адрес характеризуется тем, что все интернет-сайты и сервисы на определенном сервере перестают нормально работать. Возможна полная потеря соединения с сервером по SSH или FTP. При DDoS-атаке будет сложно управлять сервером в сети. Доступ к серверу может быть предоставлен только с виртуальной или KVM-консоли, предоставленной провайдером.
Принцип действия DDoS-атаки
Для DDoS-атак хакеры используют ботнеты, которые состоят из устройств Интернета вещей, веб-сайтов и взломанных компьютеров. Устройства отправляют на сервер поддельный трафик, перегружая его. Успешная DDoS-атака может помешать пользователям получить доступ к сайту или замедлить его настолько, чтобы резко увеличить показатель отказов, что приведет к финансовым потерям.
Так ли опасна DDoS-атака? Чтобы измерить степень ущерба, представьте сеть из тысяч ботов, которые опытный хакер может использовать для генерации запросов со скоростью, близкой к 100 Гбит / с. Что делать, если в ботнете 10 000 устройств?
Как проводятся атаки
Принцип действия DoS- и DDoS-атак заключается в отправке на сервер большого потока информации, который максимально (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативную память, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой входящих данных и перестает отвечать на запросы пользователей.
Вот как выглядит нормальная работа сервера, отображаемая в программе Logstalgia:
Эффективность отдельных DOS-атак не очень высока. Кроме того, атака с персонального компьютера подвергает злоумышленника риску быть обнаруженным и захваченным. Распределенные атаки (DDoS) так называемыми зомби-сетями или ботнетами приносят гораздо большую прибыль.
Вот как сайт Norse-corp.com показывает активность ботнета:
Зомби-сеть (ботнет) — это группа компьютеров, которые не имеют физического соединения друг с другом. Их объединяет то, что все они находятся под контролем злоумышленника. Управление осуществляется с помощью троянской программы, которая на данный момент может никак себя не проявлять. Выполняя атаку, хакер приказывает зараженным компьютерам отправлять запросы на сайт или сервер жертвы. И он, не в силах противостоять нападению, перестает отвечать.
Вот как Logstalgia показывает DDoS-атаку:
Любой компьютер может присоединиться к ботнету. И смартфон тоже. Достаточно поймать трояна и вовремя его не обнаружить. Кстати, у крупнейшего ботнета было почти 2 миллиона машин по всему миру, и их владельцы понятия не имели, что они делают.
Защита от DDoS-атак для сайта
При использовании виртуального хостинга ответственность за защиту от DDoS-атак лежит на хостинг-провайдере. Атаки низкой интенсивности автоматически устраняются аппаратным обеспечением хоста и не влияют на работу конкретного сайта.
При сильных атаках страдают все сайты, расположенные на определенном сервере, и часто в такой ситуации провайдер вынужден отключить определенный сайт или перенести его на другой сервер (IP-адрес).
У владельца актива, расположенного на виртуальном хостинге, есть несколько способов защитить себя от DDoS-атак.
Сервис CloudFlare
CloudFlare — это сервис защиты от DDoS-атак. Сервис основан на принципе прокси, то есть те, кто пытается узнать, где находится ваш сайт, видят, что он находится на сервере CloudFlare, а фактическое местоположение сайта скрыто, что защищает его от атак.
Большинство DDoS-атак автоматически фильтруются сервисом. В панели управления есть специальная кнопка для переключения сайта в режим ручного отражения атаки.
Некоторые известные типы уязвимостей Отказа в Обслуживании включают:
Переполнение буфера Самый распространенный тип эксплойта, атака переполнения буфера, основан на отправке большого объема трафика объекту, которого разработчики не ожидали и который не может быть обработан. Этот тип атаки позволяет злоумышленнику вызвать сбой системы или даже контролировать целевой процесс.
Чем грозит DDoS-атака
Злоумышленники используют DDoS-атаки по нескольким причинам:
- Чтобы остановить работу службы, например, чтобы остановить онлайн-лекции или экзамены.
- За вымогательство. «Хакеры рассылают в организации по всему миру письма с требованием выкупа в биткойнах (от 5 BTC до 20 BTC или от 17 миллионов до 70 миллионов рублей по текущему обменному курсу) и угрожают мощной и продолжительной DDoS-атакой в случае неплатеж », — заявил руководитель проекта Kaspersky DDoS Protection Алексей Киселев.
- Как инструмент борьбы с конкурентами. Чаще всего их заказывают владельцы нелегального бизнеса, так как их конкуренты не будут обращаться в полицию, а также небольшие нишевые юридические фирмы, желающие немного улучшить свое положение на рынке;
- Чтобы отвлечь внимание, чтобы внедрить вирусы-вымогатели и / или украсть корпоративную информацию на фоне атаки.
Цель злоумышленников — отключить онлайн-ресурс и сделать его недоступным для конечного пользователя.
Эти действия представляют две угрозы для коммерческого сектора:
- упущенная выгода;
- репутационные издержки.
Публичные компании не могут выполнять свои обязательства перед пользователями, например, предоставлять государственные услуги. «DDoS-атака на банк может привести к упущенной выгоде как для самой компании, так и для пользователей. Кроме того, это потеря репутации среди потребителей », — приводит в пример Заикин из КРОК.
Сравнительное количество DDoS-атак в 3 и 4 кварталах 2020 года. Данные за 4 квартал 2019 взяты за 100% (Фото: Kaspersky)
Статистика DDoS-атак
По словам Заикина из КРОК, количество DDoS-атак в 2020 году в среднем увеличилось вдвое. Наиболее значительный рост показали онлайн-магазины и образовательные услуги. «Атаки на банки фиксируются регулярно, но 99% -ная сила таких атак, как правило, не привлекает внимания специалистов по безопасности», — добавляет Цыпко.
В 2020 году DDoS также использовался как инструмент для целевых атак на определенные компании. Кроме того, такие атаки отвлекали от других целей: внедрения вирусов-вымогателей и / или кражи корпоративной информации.
Причин двойного роста несколько:
- Массовый переход к удаленной работе, размытие периметра информационной безопасности и быстрое увеличение количества сотрудников, естественным образом загружающих каналы связи, что упрощает возможную атаку (хакерам нужно меньше устройств).
- Увеличение количества пользовательских устройств, которые гораздо более уязвимы для вредоносных программ, чем корпоративные. Массовое заражение оконечных устройств позволило использовать их для атаки ботнетов.
Защита сервера от DDoS-атак
Если DDoS-атака идет на сайт, который находится на сервере под вашим контролем, вы можете сами выбрать, как защитить себя от DDoS-атак.
Серверы Windows гораздо менее устойчивы к DDoS-атакам, чем серверы Linux, и в обслуживании отказывают гораздо раньше. Защита таких серверов осуществляется с помощью специального оборудования или дополнительных услуг хостинг-провайдеров.
Мы рекомендуем вам использовать уже описанный метод для защиты сайтов, расположенных на сервере, через прокси-службу, такую как CloudFlare для сервера.
Заказ DDoS-защиты от хостинг-провайдера
Многие хостинг-провайдеры предлагают свои решения для защиты сайтов пользователей от DDoS-атак. Например, провайдер thehost.ua предлагает систему AntiDDoS. Для активации услуги необходимо обратиться в службу технической поддержки.
FirstVDS также имеет службу подключения защиты от DDoS-атак. Стоимость услуги зависит от используемого канала связи.
Основным недостатком этого метода защиты, помимо стоимости услуги, является необходимость смены IP-адреса сайта и ожидания вступления изменений в силу, что может занять несколько часов. Чтобы узнать, есть ли у вашего хостинг-провайдера такая услуга, вам следует изучить информацию на его сайте или обратиться в службу технической поддержки.
Есть хостинг-провайдеры, которые позиционируют свои услуги хостинга именно как устойчивые к особым сбоям и максимально защищенные от DDoS-атак. У этих провайдеров защита от DDoS уже включена в список услуг как для виртуального хостинга, так и для хостинга VPS / VDS.
Использование специальных аппаратных комплексов
Чтобы защитить выделенный сервер, вы можете договориться с хостинг-провайдером об установке аппаратного устройства защиты от DDoS-атак вместе с вашим сервером. Оборудование действует как брандмауэр. Только межсетевой экран такого типа — это гораздо больше, чем просто программное обеспечение, защищающее локальную сеть компании или обычный ПК. Для больших сетей уже выделены отдельные серверы для таких аппаратных и программных систем безопасности, которые, действуя как брандмауэры, разрешают или запрещают трафик, отфильтровывая потенциальные угрозы.
Такое сетевое оборудование предлагают многие производители — от гигантов Cisco и Juniper до малых предприятий. Помимо защиты от DDoS, они также выполняют множество других функций безопасности, таких как:
- защита от взлома и подбора пароля;
- ограничение движения;
- вести статистику;
- следить за доступностью сайтов.
Управление этими устройствами осуществляется через удобный веб-интерфейс, для настройки которого необходимы навыки профессионального сетевого администратора.
Настройка сетевой подсистемы сервера
Эти настройки выполняются специальной утилитой sysctl. Для его использования важно уметь работать с сервером через командную строку.
Оптимизируйте выделение памяти и оптимизируйте тайм-ауты подключения. Для сервера со скоростью 1 Гбит / с рекомендуется использовать настройки в виде следующего сценария Shell:
! / bin / sh
sysctl -w net.core.rmem_max = 8388608
sysctl -w net.core.wmem_max = 8388608
sysctl -w net.ipv4.tcp_rmem = ‘4096 87380 8388608’
sysctl -w net.ipv4.tcp_wmem = ‘4096 65536 8388608’
sysctl -w net.ipv4.tcp_fin_timeout = 10
Сохраните эти строки, каждая из которых представляет собой конфигурацию определенного параметра сетевой подсистемы ядра Linux, в текстовом файле с именем antiDDoS.sh и запустите его с помощью команды:
sh antoDDoS.sh
Кроме того, для отражения DDoS-атак может использоваться межсетевой экран, интегрированный в сетевую подсистему ядра Linux, взаимодействие с которыми обеспечивается утилитой iptables.
Как происходят DDoS-атаки
«Принцип подобных атак заключается в их названии: распределенный отказ в обслуживании или« отказ в обслуживании », — говорит Андрей Заикин, руководитель службы информационной безопасности КРОК. Количество обработанных запросов».
Атака использует так называемые «ботнет-сети» — компьютерные сети, в которых боты работают на устройствах, контролируемых удаленными хакерами. Киберпреступники инициируют запросы с помощью этих ботов, которые получают доступ к сайту целевой жертвы. Ботнеты могут состоять как из зараженных пользовательских устройств (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из устройств Интернета вещей: умных колонок, пылесосов и так далее. Ботнет может включать от десятков до сотен тысяч устройств.
Схематическое изображение ботнета (Фото: Cloudflare)
«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий законных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную », — добавляет Александра Цыпко, руководитель отдела информационной безопасности СКБ-Банка.
По словам Вадима Соловьева, старшего аналитика по информационной безопасности Positive Technologies, услугу DDoS-атак можно заказать через даркнет. Стоимость его составит около 50 долларов в сутки.
В чем отличие DoS от DDoS?
В арсенале киберпреступников есть еще один вид атаки типа «отказ в обслуживании»: DoS-атака. Его главное отличие от DDoS-атаки состоит в том, что для отправки запросов на сайт используется только одно устройство, а не в сеть.
Способы нападения и защиты
Прежде чем инициировать атаку, хакер понимает, как провести ее с максимальной эффективностью. Если у атакованного узла есть несколько уязвимостей, воздействие может быть разнонаправленным, что значительно усложнит ответ. Поэтому важно, чтобы каждый администратор сервера изучил все свои узкие места и, если возможно, усилил их.
Флуд
Попросту говоря, флуд — это информация, не имеющая смысловой нагрузки. В контексте DoS / DDoS-атак флуд — это лавина пустых и бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.
Основная цель использования флуда — полностью забить каналы связи, максимально насытить полосу пропускания.
Виды наводнения:
- MAC-флуд — влияние на сетевые коммуникаторы (блокировка портов с потоками данных).
- ICMP Flood: наводнение жертвы служебными эхо-запросами с использованием зомби-сети или путем отправки запросов «от имени» атакованного хоста, чтобы все участники ботнета отправляли им эхо-ответ одновременно (атака Smurf). Особым случаем ICMP-лавинной рассылки является ping-лавинная рассылка (отправка ping-запросов на сервер).
- SYN flood — отправка нескольких SYN-запросов жертве, заполнение очереди TCP-соединений, создание большого количества полуоткрытых соединений (ожидающих подтверждения от клиента.
- UDP flood — работает по схеме атаки Smurf, при которой вместо ICMP-пакетов отправляются дейтаграммы UDP.
- HTTP-флуд — наводнение сервера многочисленными HTTP-сообщениями. Более сложным вариантом является поток HTTPS, в котором передаваемые данные предварительно зашифрованы и должны расшифровать их до того, как атакованный хост обработает их.
Как защититься от флуда
- Настройте проверку и фильтрацию MAC-адресов на сетевых коммутаторах.
- Ограничьте или запретите обработку эхо-запросов ICMP.
- Блокирует пакеты с определенного адреса или домена, что вызывает подозрение в ненадежности.
- Установите ограничение на количество полуоткрытых соединений с адресом, уменьшите время их хранения, удлините очередь TCP-соединений.
- Отключите службы UDP от приема трафика извне или ограничьте количество подключений UDP.
- Используйте CAPTCHA, задержки и другие методы защиты от ботов.
- Увеличьте максимальное количество HTTP-соединений, настройте кеш запросов с помощью nginx.
- Расширьте полосу пропускания сетевого канала.
- Если возможно, выделите отдельный сервер для обработки шифрования (если применимо).
- Создайте резервный канал для административного доступа к серверу в экстренных ситуациях.
Перегрузка аппаратных ресурсов
Существуют типы флуда, которые влияют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по максимуму и вызывая их зависание или сбой. Например:
- Создание сценария, который будет размещать огромное количество бессмысленной текстовой информации на форуме или сайте, где пользователи имеют возможность оставлять комментарии, пока не будет заполнено все место на диске.
- То же самое, только логи сервера будут заполнять диск.
- Загрузка сайта, на котором выполняется преобразование введенных данных путем непрерывной обработки таких данных (отправка так называемых «тяжелых пакетов).
- Загрузка процессора или памяти путем выполнения кода через интерфейс CGI (поддержка CGI позволяет запускать любую внешнюю программу на сервере).
- Триггер безопасности, делающий сервер недоступным извне и т.д.
Как защититься от перегрузки аппаратных ресурсов
- Увеличьте производительность оборудования и дискового пространства. Когда сервер работает в обычном режиме, не менее 25-30% ресурсов должны оставаться свободными.
- Используйте системы для анализа и фильтрации трафика перед его передачей на сервер.
- Ограничьте использование аппаратных ресурсов компонентами системы (установите квоты).
- Храните файлы журнала сервера на отдельном диске.
- Распределите ресурсы по нескольким независимым серверам. Так что если одна часть выйдет из строя, остальные останутся в рабочем состоянии.
Уязвимости в операционных системах, программном обеспечении, прошивках устройств
Вариантов проведения подобных атак неизмеримо больше, чем использование флуда. Их реализация зависит от навыков и опыта злоумышленника, от его способности находить ошибки в программном коде и использовать их в своих интересах и во вред владельцу ресурса.
После того, как хакер обнаруживает уязвимость (программную ошибку, которая может быть использована для взлома системы), все, что ему нужно сделать, это создать и выполнить эксплойт, программу, которая использует эту уязвимость.
Использование уязвимостей не всегда направлено только на отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над активом и получить этот «подарок судьбы» на свое усмотрение. Например, его можно использовать для распространения вредоносных программ, кражи и уничтожения информации и т.д.
Методы противодействия эксплуатации уязвимостей в софте
- Оперативно устанавливайте обновления, закрывающие уязвимости в операционных системах и приложениях.
- Изолирует все административные службы от доступа третьих лиц.
- Использовать средства постоянного мониторинга работы серверной операционной системы и программ (поведенческий анализ и т.д.).
- Откажитесь от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
- Используйте готовые средства защиты систем от DoS- и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.
Как предотвратить и уменьшить количество атак?
Было разработано несколько мер безопасности для противодействия перегрузке ИТ-систем посредством DoS- и DDoS-атак. Отправные точки предлагают идентификацию критических IP-адресов и устранение известных дыр в безопасности. Также важно предоставить аппаратные и программные ресурсы, которые можно использовать для компенсации незначительных атак.
Черные списки IP
Черные списки позволяют идентифицировать критические IP-адреса и напрямую удалять пакеты данных. Эта мера безопасности может быть реализована вручную или автоматически с использованием динамически создаваемых черных списков через брандмауэр.
Фильтрация
Чтобы отфильтровать наблюдаемые пакеты данных, вы можете определить ограничения на объем данных за определенный период времени. Однако следует отметить, что прокси-серверы иногда заставляют множество клиентов с одним и тем же IP-адресом регистрироваться на сервере и, возможно, блокируются без уважительной причины.
Файлы cookie SYN
Файлы cookie SYN предназначены для устранения дыр в безопасности при установлении TCP-соединения. Если эта мера безопасности используется, информация о SYN-пакетах больше не сохраняется на сервере, а отправляется клиенту в виде криптографических файлов cookie. Атаки SYN flood используют вычислительную мощность, но не загружают память целевой системы.
DoS vs DDoS атака
Еще один похожий термин, с которым вы, скорее всего, столкнетесь, — это DDoS-атака, что означает распределенную атаку типа отказ в обслуживании. Разница между DoS- и DDoS-атаками заключается в том, что во время DDoS-атаки многие вредоносные машины нацелены на ресурс. Распределенная атака отказа в обслуживании (DDoS) намного эффективнее при уничтожении цели, чем DoS-атака с одним источником. Злоумышленники также предпочитают этот метод, поскольку отследить источник атаки гораздо сложнее, поскольку она исходит из нескольких мест.
SYN флуд
SYN flood отправляет запрос на соединение на веб-сервер, но не полностью аутентифицирует соединение. Затем он переходит ко всем другим открытым портам на выбранном веб-сервере, пока не замедлится.
Природа современных DDoS-угроз
В первой половине 2000-х такая криминальная деятельность была обычным явлением. Однако количество успешных DDoS-атак сокращается. Вероятно, это связано со следующими факторами:
- Полицейские расследования, приведшие к аресту преступников по всему миру
- Успешно применены технические меры противодействия DDoS-атакам
Что такое DDoS-атака
DDoS означает распределенный отказ в обслуживании. Атака реализована немного иначе, чем DoS: ключевое отличие заключается в использовании нескольких хостов одновременно. Сложность защиты от этого типа атак зависит от количества машин, с которых отправляется трафик.
Характеристики DDoS-атак:
- Многопоточный характер: такой подход упрощает задачу блокировки сайта, поскольку практически невозможно быстро удалить все атакующие IP-адреса.
- Высокая невидимость: грамотный дизайн атаки позволяет маскировать ее начало как естественный трафик и постепенно «засорять» веб-ресурс пустыми запросами.
- Сложность подавления: проблема заключается в том, чтобы определить, когда началась атака.
Ручная проверка лог-файлов здесь ничего не дает, отличить атакующие хосты от «нормальных» практически невозможно. Ситуация усугубляется тем, что в 9 из 10 случаев источником являются «обычные сайты», ранее зараженные вирусом или взломанные вручную. Постепенно они образуют единую сеть, называемую ботнетом, и увеличивают силу атаки.
Последствия DDoS-атаки
Любой неактивный ресурс наносит ущерб компании. С помощью поддельных запросов хакеры могут отключить весь сервер или его отдельные ресурсы — процессор, память. Персональные компьютеры можно использовать для майнинга, а устройства Интернета вещей (камеры, телевизоры, холодильники) можно отключить.
ICMP флуд
Атака ICMP flood нацелена на неправильно настроенное устройство в целевой сети, вынуждая машину распространять поддельные пакеты на каждый узел (компьютер) в целевой сети, а не только на один узел, тем самым перегружая сеть. Эту атаку часто называют «пинговой смертью» или «атакой смурфа».
Основные меры предосторожности
Как эффективно защититься от DDoS-атаки? Есть несколько основных способов обеспечения безопасности:
- Межсетевой экран. Брандмауэр защищает сайт от вредоносного трафика, анализирует запросы и типы входящих и исходящих данных.
- Профилактический блок. Если ресурс уже подвергся DDoS-атаке, вы можете заблокировать запросы из страны происхождения трафика. Проблема в том, что одной из «опасных» стран является Россия, если заблокировать доступ на уровне страны, целевые пользователи смогут только просматривать контент, но не смогут покупать в интернет-магазинах или оставлять комментарии форумы.
- Мониторинг трафика. Постоянно отслеживая трафик, вы можете блокировать вредоносные запросы, как только они начнутся.
Симптомы DDoS-атаки
Как понять, что вы стали жертвой хакеров:
- сайт не отвечает на запросы или работает намного медленнее, чем обычно;
- пользователи жалуются, что не могут получить доступ к сайту;
- интернет часто отключается без видимой причины.
Главные отличия и цели атак
Самая частая причина, по которой кто-то решает «поставить» веб-ресурс, — это вымогательство. Система похожа на заражение локальных компьютеров вирусами-вымогателями, при активации которых они начинают требовать от владельца выкуп, чтобы Windows вернулась к работе. То же самое и с сайтом: хакер отправляет владельцу письмо с требованиями.
Есть и другие причины:
- Недобросовестная конкуренция: «коллеги» пытаются занять свою нишу, вытесняя других игроков рынка.
- Развлечения: молодые программисты устраивают атаки, чтобы похвастаться перед друзьями, знакомыми и коллегами.
- Неприязнь личного и политического характера: причиной становится несогласие с политикой правительства, той или иной организации.
Также могут возникать проблемы, связанные с тем, что недовольные сотрудники уходят или продолжают работать, но готовы испортить своего работодателя.
Типы атак
Определенную сложность в определении типа воздействия и способов защиты составляет разница в вариантах кибератак. Существует более десятка способов снизить производительность сервера, и каждый из них требует отдельного механизма противодействия. Например, широко распространены UDP-флуды, а также запросы доступности сайта и блокировка хоста DNS.
Переполнение канала
На сервер отправляется поток эхо-запросов с задачей полностью «забить» аппаратные ресурсы ПК (физической или виртуальной машины). Все провайдеры предоставляют пользователям ограниченные каналы связи, поэтому достаточно наполнить их фейковым трафиком, что сделает невозможным открытие сайта обычным запросом.
DNS-флуд
Целью атаки является DNS-сервер, привязанный к «жертве». В этом случае владелец сайта не получает никаких сообщений от хостинг-провайдера. Единственный способ вовремя «увидеть» проблему — подключить сторонние системы типа Яндекс.Вебмастера, которые по кругу проверяют доступность домена, скорость соединения и т.д.
PING-флуд
Воздействие на хост сопровождается многочисленными запросами без ожидания ответа от сервера. В результате веб-ресурс начинает терять реальные пакеты данных, скорость открытия страниц падает до полной недоступности. Пользователи будут видеть попытки открытия, но результат в виде странички не дождется.
UDP-флуд
По аналогии с предыдущим вариантом на сервер жертвы отправляется большой объем пакетов формата дейтаграммы. Сервер должен ответить каждому, чтобы отправить ответ в форме пакета ICMP, что означает, что «пункт назначения недоступен». В результате вся емкость виртуальной машины будет занята пустыми задачами.
Переполнение буфера
Популярный метод DoS-атаки. Хакер пытается вызвать ошибки в программах, установленных на атакуемом сервере. Например, перегрузка буфера памяти, выделенного для приложения. Такие попытки легко блокируются, но только при использовании специальных программ или роутеров с функцией безопасности.