Что такое DDoS-атаки и как от них защититься

DDoS-атака (Distributed Denial of Service «распределенный отказ от обслуживания») — это форма кибератаки на веб-системы с целью вывести их из строя или затруднить доступ к ним для обычных пользователей. Атакующие обычно используют распределенную сеть множества устройств, одновременно отправляющих запросы на сервер жертвы, пока он не будет перегружен. Такие кибератаки наиболее распространены, потому что могут довести до отказа любую систему без должной защиты, не оставляя юридически значимых улик.

Метод можно сравнить с ситуацией, когда множество людей толпится в дверях магазина и не дает никому пройти. В результате магазин теряет прибыль и вынужден предпринимать какие-то действия, чтобы их разогнать.

Существует также более простая версия подобных атак — DoS-атаки (Denial of Service). Они отличаются тем, что осуществляются из одной подсети. Современные инструменты защиты могут легко их распознать и заблокировать, поэтому таким атакам подвергаются в основном простые системы и личные компьютеры.

Цели DDoS-атакЦели DDoS-атак

Иногда DDoS-атаки ставят задачей захватить управление серверами, но современные архитектуры редко такое позволяют. Чаще всего целью является попытка помешать продукту работать по одной из следующих причин:

• Экономическая — хакеры выполняют заказ конкурента компании. Эта услуга пользуется большим спросом в даркнете. Атакам могут подвергаться интернет-магазины, банки и другие интересующие организации.
• Политическая — протест против политики какого-либо государства или информационная война. Целью могут быть правительственные организации, сайты министерств, СМИ.
• Вымогательство или шантаж — злоумышленник ставит владельцу сайта условия, после выполнения которых он остановит атаки.
• Личная неприязнь — киберпреступники пытаются создать проблемы сайту или организации, которая чем-то им не нравится. Например, атакам часто подвергаются игровые серверы различных киберспортивных команд.
• Развлечение — начинающие хакеры просто пробуют свои силы. Целью атаки может быть что угодно.

Типы DDoS-атакТипы DDoS-атак

Существует множество видов DDoS-атак, нацеленных на разные уязвимые места жертвы, но все они направлены на снижение пропускной способности сервера или исчерпание ресурсы системы. Среди них:

1. Переполнение канала (flood) — отправка множества запросов к компьютерной системе, чтобы переполнить ее каналы связи. Основные разновидности:

   • HTTP-флуд и ping-флуд — злоумышленник шлет запросы на пакеты больших размеров и подменяет свой IP-адрес, чтобы самому не стать жертвой своей же атаки.

   • Smurf-атака — атакующий рассылает ICMP-пакеты (протокол для передачи сообщений об ошибках) с помощью широковещательного IP-адреса, а затем меняет свой адрес на адрес жертвы. Компьютеры сети начинают отвечать на эти запросы, переполняя трафиком компьютер жертвы.

2. Атака йо-йо — особый вид атак на облачные приложения с автоматическим масштабированием. Злоумышленник атакует систему до того момента, когда она вынуждена будет расшириться. Затем трафик прекращается, оставляя службы перегруженными. Когда масштабирование пойдет в обратном направлении, трафик возобновится.

3. Ошибки программирования — выявление уязвимостей архитектуры системы жертвы и написание программ, которые смогут их эксплуатировать. Среди них:

   • Обработка исключений — атакующий ищет ошибки в коде системы, которые она не умеет обрабатывать, и провоцирует их. Это может вызвать критическую ошибку, которая приведет к отказу системы.

   • Переполнение буфера — злоумышленник эксплуатирует уязвимость системы, входные данные которой недостаточно проверяются. Он отправляет ей пакеты большего объема, чем она готова обрабатывать, в результате чего переполняется буфер и ядро дает сбой.

4. Атака ботнета Mirai — злоумышленник использует множество зараженных устройств интернета вещей, таких как часы с поддержкой Wi-Fi, стиральные машины, камеры слежения и прочих. Подобные устройства слабо защищены, поэтому их легко заразить и заставить отправлять запросы жертве. При достаточном количестве подконтрольных устройств атакующий может навредить даже самым мощным серверам.

5. Маршрутизация и атаки DNS — злоумышленник атакует DNS-сервер жертвы. Бывают двух видов:

   • DoS-атака на уязвимости DNS-сервера — атакующий подменяет IP-адрес DNS-сервера атакуемого, после чего тот либо не может получить нужную HTML-страницу, либо попадает на узел к преступнику, где его данные могут захватить.

   • DDoS-атака на DNS-сервер — злоумышленник при помощи компьютеров-зомби (зараженных вредоносным кодом, позволяющим использовать их ресурсы) перенасыщает полосу пропускания DNS-сервера жертвы.

По уровню модели OSI DDoS-атаки делятся на три вида:

• Атака на прикладном уровне (Layer 7) — хакер отправляет HTTP-запросы на генерацию веб-страниц. Например, HTTP-флуд, Slowloris (попытка открыть множество подключений и не прекращать их).
• Атака на транспортном уровне (Layer 4) — злоумышленник пытается переполнить каналы доставки данных. Например, Smurf-атака, SYN-флуд (поток TCP или SYN-пакетов) и другие.
• Атака на сетевом уровне (Layer 3) — атакуются сетевые протоколы и оборудование. Например, IP-флуд и ICMP-флуд, ставящие целью перегрузить пропускную способность целевой сети.

Примеры DDoS-атакПримеры DDoS-атак

Первая DoS-атака произошла в 1996 году, когда интернет-провайдер Panix вынужден был отключить сервисы на несколько дней, пока не будет придумана защита. С тех пор между хакерами и интернет-ресурсами происходила «гонка вооружений». Современные DDoS-атаки способны навредить даже транснациональным корпорациям, которые всегда используют новейшие технологии защиты.

Так, в 2016 году DDoS-атака на сетевые сервисы провайдера Dyn на несколько часов привела к отказу более 70 популярнейших интернет-платформ в мире, среди которых Netflix, Amazon, Airbnb, GitHub, HBO, CNN и другие.

Злоумышленники генерировали трафик с помощью устройств интернета вещей из ботнета Mirai, которым удалось достичь нагрузки до 1,2 ТБ/с. Атака началась в 7:00 утра, а закончилась в 18:00 вечера, но успела привести к финансовым потерям в размере $ 110 000 000.

Крупнейшей на сегодняшний день DDoS-атаке подвергся Google в 2017 году — пиковый объем трафика составлял 2,54 ТБ/с. На втором месте — атака на Amazon в 2020 году с пиковым объемом 2,3 ТБ/с. Для таких корпораций DDoS-атаки редко приводят к серьезным последствиям, но существенно замедлить или ненадолго вывести из строя сервера они способны.

Методы защиты от DDoSМетоды защиты от DDoS

Если атака уже происходит, а у сервера нет должной защиты, то быстро что-то предпринять, вероятно, не удастся. Нужно иметь запасной сервер, возможность перенастроить DNS, ограничить скорость или уметь выявлять аномальный трафик. Также злоумышленники зачастую заранее проверяют защиту жертвы непродолжительными атаками. Если вовремя это распознать, можно заранее предпринять какие-то действия.

Надежные методы защиты носят в основном проактивный характер:

• Разработайте план действий на случай атаки. Например, приобретите резервные серверы.
• Выявите уязвимости системы раньше, чем это сделает атакующий. Можно использовать программы, имитирующие DDoS-атаку, например LOIC, HULK, DDOSIM Layer 7.
• Соблюдайте интернет-гигиену, поддерживайте ПО в актуальном состоянии.
• Пользуйтесь средствами защиты. Прежде всего, это SSL, но для продвинутой защиты также можно использовать файрвол веб-приложений и другие инструменты.
• Не держите в открытом доступе ваши реальные IP-адреса и периодически меняйте их.
• Попробуйте облачные технологии. Провайдеры имеют более высокие мощности и сами заботятся о безопасности клиентов.

DDoS-атаки — одна из главных угроз для интернет-бизнеса, а убытки от них на мировом рынке исчисляются миллионами долларов, поэтому лишней не будет любая защита.

Тенденции и будущее DDoS-атакТенденции и будущее DDoS-атак

В начале распространения интернета мощными DDoS-атаками считались нападения всего с нескольких десятков компьютеров и с объемом трафика, исчисляемым мегабитами. Сегодня сеть ботов может насчитывать сотни тысяч устройств, а атаки с трафиком до 400 Гбит/с можно заказать по цене смартфона среднего сегмента.

Можно с уверенностью сказать, что эти цифры будут только расти в будущем. Кроме того, развитие интернета вещей, повсеместное внедрение машинного обучения и появление 5G-сетей также означает, что атаки будут ужесточаться. Однако принципиально новых видов DDoS-атак ждать не стоит: они не появлялись уже несколько лет и пока нет причин полагать, что это изменится.

По словам экспертов по защите от кибератак, пока затраты на проведение DDoS-атак покрываются потенциальной выгодой, их количество и мощность будет расти. Однако развиваются и технологии защиты, поэтому, чтобы пополнить ряды успешных киберпреступников, придется значительно сильнее стараться.

Инструменты и технологии для борьбы с DDoS-атаками от Yandex CloudИнструменты и технологии для борьбы с DDoS-атаками от Yandex Cloud

Yandex Cloud предлагает широкий пул средств для борьбы с DDoS-атаками:

1. Сервис для защиты приложений Yandex DDoS Protection;

2. L7-балансировщик с защитой от DDoS-атак Yandex Application Load Balancer.

3. Сервис для управления облачными сетями с возможностью защиты от DDoS-атак Yandex Virtual Private Cloud.

4. Файрволы веб-приложений:

   • Валарм WAF (BYOL);
   • SolidWall WAF;
   • Nemesida AI MLC;
   • Nemesida WAF WEB;