Современные DDoS‑атаки: как бизнесу защититься от новых типов угроз

DDoS‑атака — одна из наиболее распространённых киберугроз, направленных на нарушение работоспособности бизнеса. По данным StormWall, количество DDoS‑атак в первом полугодии 2024 года в мире увеличилось на 102% по сравнению с аналогичным периодом прошлого года. Ни одна организация — будь то крупный банк или небольшой интернет-магазин — не застрахована от потенциального ущерба.

С развитием технологий меняются и методы злоумышленников. Если раньше DDoS‑атаки были направлены преимущественно на перегрузку сетевой инфраструктуры, то сегодня всё чаще — на уязвимости в приложениях и сервисах.

Какие элементы IT‑инфраструктуры атакуют чащеКакие элементы IT‑инфраструктуры атакуют чаще

Современные DDoS‑атаки нацелены на разные элементы инфраструктуры. Если классифицировать угрозы по модели OSI, то чаще всего злоумышленники атакуют сетевой, транспортный и прикладной уровни (L3, L4 и L7).

Атаки на сетевые уровни (L3, L4): удар по инфраструктуреАтаки на сетевые уровни (L3, L4): удар по инфраструктуре

На уровнях L3 и L4 модели OSI находятся основные сетевые протоколы, которые обеспечивают передачу данных между устройствами. При атаке на эти уровни злоумышленники пытаются перегрузить сетевую инфраструктуру компании, чтобы пропускная способность каналов связи и ресурсы оборудования исчерпались, а новые реальные пользователи не могли подключиться.

Атаки на уровень приложения (L7): скрытые угрозы в легитимном трафикеАтаки на уровень приложения (L7): скрытые угрозы в легитимном трафике

Атаки на уровне L7 становятся всё более распространёнными из-за их эффективности и простоты реализации. Злоумышленники используют легитимные на первый взгляд запросы к веб-сервисам для перегрузки серверов приложений.

Особенности таких атак:

• Имитация поведения реальных пользователей — такие угрозы сложнее обнаружить стандартными методами.

• Эксплуатация уязвимостей в приложениях, включая недостатки в логике работы или ошибки в коде.

• Использование уязвимостей новых протоколов и технологий, таких как HTTP/2, для усиления воздействия.

Атаки на уровне L7 могут оказаться более разрушительными, поскольку нацелены непосредственно на бэкенд приложения и недостатки в бизнес-логике. Это может привести к значительным финансовым потерям и ущербу репутации компании. Если раньше DDoS‑атаки организовывались «энтузиастами» и не воспринимались всерьёз, то в последние годы наблюдается становление рынка DDoS‑услуг разного уровня сложности и стоимости.

Рассмотрим новые виды атак на уровне L7 и методы защиты от них, чтобы компании были готовы к современным угрозам и обеспечивали надёжную работу приложений.

Как выглядят новые угрозы: атака HTTP/2 Rapid Reset и другиеКак выглядят новые угрозы: атака HTTP/2 Rapid Reset и другие

Один из ярких примеров современных атак на уровне приложения — HTTP/2 Rapid Reset. Она использует особенности бинарного протокола HTTP/2, который разработали для ускорения передачи данных и повышения эффективности работы веб-приложений.

Три составляющих атаки HTTP/2 Rapid Reset:

• Множественные потоки: HTTP/2 позволяет устанавливать одно TCP‑соединение и открывать в рамках него множество потоков для передачи данных.

• Быстрый сброс потоков: злоумышленники отправляют запросы и мгновенно сбрасывают их с помощью команды RST_STREAM.

• Перегрузка серверов: серверы и балансировщики вынуждены обрабатывать большое количество открытий и закрытий потоков, что приводит к исчерпанию ресурсов.

Помимо атаки HTTP/2 Rapid Reset, существуют и другие современные методы DDoS-атак:

• Атака через интернет-протокол QUIC: он работает поверх сетевого протокола UDP и шифрует большую часть своих заголовков — это усложняет анализ трафика. Злоумышленники могут использовать эти особенности для проведения сложных для обнаружения и фильтрации DDoS‑атак.

• API DDoS‑атака: отправляется большое количество запросов к ресурсозатратным методам, из-за чего перегружается API‑интерфейс. Это может быстро исчерпать ресурсы сервера и привести к отказу в обслуживании приложения.

• Атака с использованием ботнетов IoT‑устройств: злоумышленники заражают миллионы слабо защищённых устройств интернета вещей, превращая их в источники DDoS‑атак. Высокая масштабируемость таких ботнетов позволяет генерировать огромные объёмы трафика.

• Атака на уровень DNS: атакующие используют открытые DNS‑серверы для усиления трафика, отправляя небольшие запросы с поддельным IP‑адресом жертвы и вызывая ответы на её адрес. Это позволяет генерировать значительный объём трафика с минимальными усилиями.

Как противостоять HTTP/2 Rapid Reset: опыт ЯндексаКак противостоять HTTP/2 Rapid Reset: опыт Яндекса

В сентябре 2023 года в Яндексе столкнулись с попытками проведения атак типа HTTP/2 Rapid Reset. Злоумышленники пытались перегрузить инфраструктуру, используя уязвимость в протоколе HTTP/2.

Команда информационной безопасности компании заранее подготовилась, чтобы минимизировать влияние на сервисы, и обеспечила стабильную работу для пользователей.

Как выглядела подготовка:

• Проведение аудита инфраструктуры: заранее выявили потенциальные уязвимости и установили необходимые ограничения.

• Настройка лимитов: установили ограничения на количество одновременных потоков и соединений, что значительно затруднило злоумышленникам проведение атаки.

• Мониторинг трафика: внедрили системы, способные в реальном времени анализировать трафик и выявлять аномальные паттерны. Среди них — сервис Yandex Smart Web Security, который позволяет постоянно мониторить входящий трафик и автоматически блокировать подозрительные запросы на ранних стадиях атаки.

• Обновление программного обеспечения: оперативно применили все необходимые патчи и обновления для устранения известных уязвимостей.

• Интеграция интеллектуальных WAF: для защиты на уровне приложения использовали современные файрволы с возможностями поведенческого анализа.

Этот кейс показывает, что предварительная подготовка и наличие комплексных мер защиты помогают отражать даже новые и неожиданные виды атак. Поэтому важно регулярно обновлять инфраструктуру и применять современные методы анализа и фильтрации трафика.

Как усилить защиту от новых типов атак: рекомендации для компанийКак усилить защиту от новых типов атак: рекомендации для компаний

• Проводите регулярный аудит инфраструктуры: оценивайте настройки сетевых устройств и серверов. Чем раньше выявить уязвимость, тем проще будет предотвратить возможные атаки.

• Внедряйте многослойную защиту: используйте комбинацию различных методов и инструментов безопасности. Совмещение WAF и поведенческого анализа трафика повышает эффективность защиты. Интеграция сервисов вроде Yandex Smart Web Security обеспечивает всестороннюю защиту от различных типов атак.

• Обновляйте программное обеспечение: следите за выходом обновлений и патчей для всех компонентов инфраструктуры, особенно для критически важных систем.

• Обучайте персонал: информируйте сотрудников о новых типах угроз и методах их предотвращения. Регулярные тренинги повышают общий уровень кибербезопасности в организации.

• Используйте облачные решения для защиты: они дают инструменты для быстрого масштабирования защиты и использования передовых технологий без значительных финансовых вложений.

• Разрабатывайте план реагирования на инциденты: чёткий план действий в случае кибератаки — ключевой фактор быстрого восстановления и минимизации ущерба.

• Распределяйте нагрузку и ресурсы: использование современных балансировщиков нагрузки помогает равномерно распределять трафик и повышает устойчивость к всплескам нагрузки. Так, сервис Yandex Application Load Balancer не только распределяет нагрузку, но и обеспечивает защиту от DDoS-атак, фильтруя вредоносный трафик на ранних этапах.

• Внедряйте механизмы верификации пользователей: защита от автоматизированных атак без ухудшения пользовательского опыта — важный аспект безопасности. Так, сервис Yandex SmartCaptcha использует машинное обучение для определения ботов и защищает от автоматизированных атак без потери скорости отклика.

Бизнесу важно подходить к защите комплексноБизнесу важно подходить к защите комплексно

В эпоху цифровой трансформации кибербезопасность становится одной из ключевых задач для любого бизнеса. DDoS-атаки продолжают эволюционировать, и противостоять им можно только с помощью современных технологий и комплексного подхода к защите.

Интеграция инструментов безопасности в инфраструктуру, использование передовых сервисов и сотрудничество с надёжными облачными провайдерами позволяют эффективно противостоять этим угрозам и обеспечивать стабильную работу критически важных сервисов.