Виды DDoS-атак и способы защиты от них
Заказ конкурентов, шантаж и даже тренировка – хакеры сегодня могут «положить» и выделенный сервер крупного интернет-магазина, и VPS для сайта небольшой компании. Для этого используют так называемый DDoS. Потому к этому нападению надо быть готовым всем, кто заботится о безопасности своего бизнеса. Для этого необходимо знать, что собой представляет DDoS-атака, типы этой «деятельности» злоумышленников, а главное: какая защита сервера от DDoS эффективна – и разобраться с этим поможет наша обзорная статья!
Что такое DDoS?
DDoS – это сокращение от Distributed Denial of Service, «распределенный отказ в обслуживании». Происходит это так: на сервер одновременно поступает слишком много запросов от пользователей, буквально тысячами, и канал переполняется, а оборудование перестает отвечать – «отказывает в обслуживании». Это приводит к снижению трафика, финансовым и репутационным потерям. Важно: DDoS-атака выполняется с множества подконтрольных хакеру реальных, зараженных вирусом устройств в бот-сети (отсюда и дополнение «распределенный», поскольку бывает простой DoS, с запросами от одного компьютера). Это делает нападение более масштабным и усложняет его обнаружение и нейтрализацию.
Типы DDoS-атак
Способов искусственной чрезмерной загрузки чужого сервера много – и они очень разнообразны. Для лучшего понимания ситуации стоит знать хотя бы популярные для DDoS типы атаки:
HTTP-флуд. Простой, но эффективный метод уровня приложений: отправка HTTP-заголовков с указанием требуемого ресурса, данных браузера и т.п., которые сервер должен обработать. Заголовки можно делать разными, что затрудняет идентификацию DDoS, и отправлять по HTTPS, что еще больше нагружает сервер, которому приходится их все сначала расшифровывать.
SYN-флуд. Трафик создается с помощью пакетов синхронизации (или SYN-пакетов), в ответ на которые сервер должен отправлять пакеты подтверждения (SYN+ACK), создать соединение и получить такой же ответ. Однако именно последнего не происходит, из-за чего соединения висят до тайм-аута. А это порождает очередь из ожиданий (по сути уязвимость сетевого протокола).
MAC-флуд. Такая DDoS-атака генерирует много пустых Ethernet-фреймов с разными MAC-адресами. Под каждый из них на свитче выделяются ресурсы – и так до тех пор, пока они не исчерпаются. Из-за этого коммутатор может перестать реагировать на обращения, выключиться и «потерять» таблицы маршрутизации, что остановит целую сеть, а не только одно устройство.
UDP-флуд. Масса UDP-пакетов со случайных и реальных IP может вызвать море проблем – ведь в UDP, в отличие от TCP, нет понятия установления соединения и механизмов проверки сессии. Фильтровать трафик сложно, и нередко защита от DDoS заключается уже в отключении сервера. Подвиды: DNS- и NTP-флуды, направленные на соответствующие серверы.
ICMP-флуд. Поддельные ICMP-пакеты также сложно отличить от реальных, ведь в Internet Control Message Protocol нет требования подтверждения о получении. Атака может использоваться еще для получения информации о сервере для будущего точечного нападения. Отдельный вид: с большими фрагментированными ICMP-пакетами для исчерпания ресурсов сервера.
Важно напомнить: это все – только наиболее частые и понятные типы DDoS-атак, а в реальности их в разы больше, их характер может весьма заметно отличаться. Потому о них можно писать не то что небольшую статью, а как минимум пособие!
Атаки по классификации OSI
DDoS-атаки отличают еще по сетевой модели OSI, Open Systems Interconnection, которая определяет уровни взаимодействия систем. Всего существует 7 уровней, и на каждом возможен свой тип поражения сервера:
Физический уровень с передачей битов, двоичных данных, через протоколы 100 BaseT и 1000 Base-X. По сути атаки на таком базовом слое являются реальным разрушением серверов и связанного с ними оборудования (вроде концентраторов, патч-панелей и т.п.).
Канальный уровень, где данные передаются как кадры по протоколам PPP, IEEE, 802.22 и т.д. В этом слое возможен MAC-флуд, загружающий сетевые коммутаторы. Защита от DDoS заключается в настройке оборудования на MAC-адреса, прошедшие аутентификацию, авторизацию и учет на сервере.
Сетевой уровень с маршрутизацией и передачей уже пакетов. Протоколы: IP, ICMP, ARP и т.д. Соответственно основной способ атаки – ICMP-флуд. Потому стоит ограничивать количество запросов по данному протоколу, что ограничит влияние на фаервол и пропускную способность канала.
Транспортный уровень для передачи сегментов и датаграмм. Его основные протоколы: UDP и TCP. Потому ключевые в DDoS типы – UDP- и SYN-флуд. В борьбе с ними часто применяют фильтрацию blackholing – она уберегает оснащение, хотя сайт будет недоступен даже реальным пользователям.
Сеансовый уровень, работающий уже с данными по протоколам RPC, PAP и L2TP. Для воздействия на него используют уязвимости Telnet-сервера, за счет чего владелец перестает контролировать завязанный на него свитч. А единственным решением выступает регулярная актуализация ПО техники.
Представительский уровень для трансляции данных получателю. А для их сжатия и кодирования используют протоколы ASCII и EBCDIC. В атаках на 6-м уровне применяют подложные SSL-запросы. Лучшая защита сервера от DDoS этого типа – грамотное распределение SSL-инфраструктуры.
Прикладной уровень для данных в «пользовательских» протоколах: HTTP, SMTP, FTP, POP3. Соответственно, основная опасность – это HTTP-флуд в любом из его проявлений. Бороться с ним можно при помощи мониторинга ПО для поиска уязвимостей приложений и отслеживания начала атак.
Как несложно догадаться по двум вышеприведенным спискам: самые частые типы DDoS-атак по OSI – это 3-й, 4-й и 7-й уровни.
Исполнение DDoS
Стоит отметить, что массированные нападения на серверы и сайты возможно еще разделить по способу воздействия на «жертву». Вариантов тут три:
Стандартная DDoS-атака. Поток трафика из ботнета злоумышленников растет постепенно, выходя на максимумы не сразу – и долго там остается. Обнаружить его вовремя сложно, зато потом ситуация вполне понятная.
Pulse Wave. «Пульсирующая волна» выглядит как серия резких и мощных, но коротких всплесков запросов к серверу. Эти атаки опасны именно своей непредсказуемостью, их периодичность в онлайн крайне сложно угадать.
APDoS. Эта аббревиатура расшифровывается как Advanced Persistent DoS, усовершенствованная постоянная DoS. Защита от DDoS этого типа крайне сложна – стратегия тут очень вариативная: меняет типы и их длительность.
Как защититься от DDoS?
Противодействие распределенным нападениям хакеров на серверы должно быть по-настоящему комплексным. Потому работу следует разделить на два равных по важности направления.
Предотвращение атаки
Любую проблему легче обойти, чем исправлять. И хотя уберечься от нападения невозможно, но снизить вероятность или последствия – реально. Для этого нужно:
Иметь резервы. Парализовать можно любые канал и сервер, но запас по пропускной способности полосы и мощности техники будет нелишним – это поможет выгадать время в начале атаки. Еще стоит разделить виртуальную серверную инфраструктуру по нескольким дата-центрам с распределением трафика – так загрузить всю систему будет сложнее.
Настроить оборудование. Для защиты серверов от DDoS крайне важна правильная конфигурация маршрутизаторов, фаервола и т.д. Вариантов тут много, они зависят от особенностей построения вашего проекта. Например, можно блокировать ответы DNS-сервера вне вашей сети или же установить сброс входных пакетов по протоколу ICMP.
Использовать анти-DDoS. Это могут быть системы как аппаратного, так и программного уровня, сетевые файрволы и файрволы веб-приложений, а также балансировщики нагрузки и средства, направленные на конкретные угрозы (допустим, ограничивающие количество открытых SYN-соединений в единицу времени для каждого IP-адреса).
Применять специальные программы. На рынке немало разработанных крупными международными компаниями систем, которые помогают быстро распознать и заблокировать популярные типы DDoS. При этом в их основе обычно положен принцип искусственного интеллекта, который анализирует сигнатуры входящего трафика.
Противодействие атаке
Нельзя описать универсальные для всех способы борьбы с нападением на сайт, сервер или корпоративную сеть – все индивидуально. Но общие принципы есть:
Подготовить персонал. Технические и остальные связанные с работой сетевой инфраструктуры сотрудники должны четко понимать, что делать в случае DDoS-атаки. Для этого следует разработать пошаговые инструкции их возможных действий и провести ряд специальных обучающих тренингов, которые подготовят их к таким ситуациям.
Отслеживать входящий трафик. Первый шаг в противодействии любой искусственной перегрузке сервера – как можно быстрее обнаруживать такие попытки. Для этого необходимо настроить автоматический мониторинг всех подключений, их количества, объема и локаций – с уведомлением о начале странных всплесков и запуске первых средства анти-DDoS.
Защищать периметр. Чтобы минимизировать эффект перегрузки, можно поиграть с настройками вашей сети. К примеру, стоит ограничить скорость маршрутизатора и установить фильтр сброса пакетов от уже вычисленного источника «вредного» трафика, снизить пороги отказов UDP-, ICMP- и SYN-флуда, уменьшить до предела тайм-аут полуоткрытых соединений и т.п.
Обратиться за помощью. Необходимо четко осознать: простые решения работают только против простых атак. Уровень хакеров растет, они знают о способах борьбы с ними и разрабатывают более сложно распознаваемые скрипты. Потому для защиты от DDoS часто требуется специализированная поддержка со стороны хостинг-провайдера или независимых компаний.
Последний пункт максимально важен для защиты от злоумышленников – причем уже на уровне аренды VPS-серверов или выделенных серверов. Нужно быть уверенным в надежности и стабильности оборудования и в квалификации и доступности техподдержки. Потому вам лучше обратиться в компанию HostZealot! Мы предложим широкий выбор разных серверных решений с выгодной тарифной сеткой и обеспечим вам круглосуточный, оперативный и внимательный сервис в любой ситуации – будь то выбор VDS, его настройка или защита. Ведь у нас есть грамотные и опытные компании-партнеры, которые помогут справиться со всеми типами DDoS-атак хакеров.