Что такое DDoS-атака и как ее предотвратить

DDoS-атака — это нападение на сервис, сайт или приложение. Её цель состоит в нарушении стабильной работы за счёт повышения нагрузки на отдельные участки инфраструктуры. Обычно в результате нападения пропадает доступ к сайту или приложению. Рассказываем, что это за атаки, зачем их проводят, как это делают, и как от них защищаться.

Что такое DDoS-атака

DDoS расшифровывается как Distributed Denial of Service. Главная цель такой атаки — отключить доступ реальным пользователям к сервису компании. Для этого злоумышленники одновременно отправляют огромный поток запросов или вредоносного трафика с множества устройств. В результате серверы перегружаются и перестают отвечать, блокируя доступ.

Как распознать DDoS-атаку

Есть несколько признаков, связанных со стабильностью работы. Самые очевидные — резкое и необъяснимое замедление работы сайта или полное прекращение доступа к нему. Пользователи жалуются, что не могут открыть страницы, оформить заказ или воспользоваться вашими онлайн-сервисами. Также могут наблюдаться проблемы с доступом к внутренним ресурсам компании или критичным бизнес-приложениям, если они затронуты атакой.

В чём различие DoS- и DDoS-атак

Отличие — в масштабе и источнике. DoS-атака проводится с одного источника, например, одного компьютера. Её проще остановить, заблокировав этот источник. При DDoS запросы идут с тысяч или даже миллионов устройств.

Мотивы DDoS-атак: кто и почему становится целью

Атакам подвергаются самые разные организации и учреждения — и, что интересно, по разным причинам. Обычно злоумышленники хотят добиться каких-то конкретных целей, но иногда делают это без чётко выраженного мотива, «ради веселья».

• Хакеры могут атаковать с целью получения выкупа.
• Конкуренты могут саботировать работу сервиса компании-жертвы, чтобы её бизнес простаивал и не получал доходы.
• Сотрудники или активисты могут мстить компании за её действия.
• Атака может быть отвлекающим манёвром, пока злоумышленники готовят более серьёзные атаки. 
• Иногда DDoS-атаку совершают случайно, перебирая пароли к серверу.

Для бизнеса DDoS — это прямой удар по доходам, репутации и лояльности клиентов.

Последствия DDoS-атак для бизнеса

DDoS-атака может нанести ущерб в самых разных сферах. Рассматриваем в подробностях все потенциальные виды потерь.

Финансовые потери

DDoS-атака может нанести финансовый ущерб компании разными путями:

• Потери продаж из-за недоступности сервиса или сайта для клиентов приведут к прямому снижению прибыли.
• Снизится производительность у отделов, работа которых завязана на сервисах.
• Появятся незапланированные траты на защиту.
• Придётся платить неустойки, если бизнес предоставляет услуги по SLA.
• В случае, если DDoS-ом прикрывали более серьёзную атаку, могут возникнуть траты на восстановление системы.

Репутационный ущерб

Нестабильная работа сервисов бьёт по бренду, лояльности клиентов и партнёров. Для большинства людей не имеет значения, почему возникли проблемы. Чем регулярнее и серьёзнее эти проблемы, тем больше шансов потерять репутацию.

Юридические последствия

DDoS-атака может сорвать договорённости с клиентами и партнёрами, а также привести к ущербу для них. Если же атака нужна была для отвлечения внимания от ударов по другим уязвимостям, то возможна потеря конфиденциальных данных.

Нарушение бизнес-процессов

DDoS-атака парализует операционную деятельность, что может привести к потерям данных и срыву сроков. Всё это приведёт к необходимости перестроить процессы, заново их отладить. Только после этого получится вернуться к штатной работе.

Как работает DDoS-атака

Чтобы эффективно защищаться от DDoS-атак, важно понимать механику их работы. Сама по себе она проста — сервер «забивается» запросами от фальшивых посетителей.

Процесс и этапы атаки

Всего можно выделить 4 этапа.

1. Подготовка ботнета. Вначале злоумышленники собирают свою «армию» — ботнет. Это сеть из уже взломанных устройств: компьютеров, смартфонов, IoT-устройств. Владельцы устройств чаще всего даже не догадываются, что их техника заражена и используется для атаки.
2. Команда к атаке. Когда ботнет готов, хакеры, управляющие им, отправляют команду всем зараженным устройствам. Эта команда указывает цель и тип атаки.
3. Запуск атаки. По сигналу ботнет одновременно начинает генерировать огромный поток запросов к инфраструктуре жертвы. Эти запросы могут быть разного типа: от попыток установить многочисленные соединения до отправки некорректных данных или использования уязвимостей.
4. Отказ в обслуживании. Ресурсы системы — пропускная способность канала, процессорное время, оперативная память — быстро исчерпываются. Система перестаёт отвечать на запросы настоящих пользователей, а сайт или сервис становится недоступным.

Сложности защиты

Чтобы защититься от атак, нужно научить фильтровать запросы, и в этом — главная сложность. Ведь:

• Атаки адаптивны. Если защита срабатывает, хакеры могут сменить интенсивность атаки и её вид (о них мы расскажем в следующем разделе).
• Атаки можно маскировать. Хакеры используют множество адресов и регулярно совершенствуют алгоритмы атак — а потому системе трудно распознавать, насколько запросы реальны.
• Атака может быть отвлекающей. Пока специалисты отражают массовую атаку, злоумышленники могут попытаться проникнуть в сеть или украсть данные.

Виды DDoS-атак

Злоумышленники используют разнообразные техники, чтобы выводить из строя сервисы и сайты. Эти атаки различаются по цели и уровню, на котором они воздействуют на инфраструктуру.

Атаки на сетевом уровне (L3): ICMP-флуд и UDP-флуд

Эти атаки перегружают интернет-канал, создавая что-то вроде «пробки» на дороге, где таких пробок обычно нет. В таких атаках легитимный трафик просто не может пройти на сайт.

Типичные примеры таких атак — UDP-флуд или ICMP-флуд. В них серверы бомбардируются огромным количеством бесполезных пакетов данных.

Атаки на транспортном уровне (L4): SYN-флуд и ACK-флуд

Эти атаки перегружают сам сервер. 

Во время таких атак заражённые устройства отправляют множество запросов, которые они не завершат. В такой ситуации даже сервер, способный обработать десятки тысяч запросов в секунду, «зависает». Ведь он ждёт, когда одни запросы завершатся, чтобы перейти к следующим, а завершения на деле нет и не предвидится.

Атаки на уровне приложений (L7): HTTP-флуд и Slowloris

Эти атаки более нацелены на конкретные уязвимости или ресурсоёмкие функции вашего приложения или сайта. Например, атакующие могут многократно запрашивать сложные для обработки страницы, выполнять много запросов на поиск, оформлять заказы без оплаты или использовать формы обратной связи. 

Цель таких атак — исчерпать ресурсы самого приложения, базы данных или веб-сервера. В результате приложение начнёт работать очень медленно, выдавать ошибки или полностью «падать» — и при этом для самих специалистов по безопасности всё будет выглядеть нормально.

Атаки на инфраструктуру — DNS-серверы, CDN и облачные сервисы

Эти атаки направлены на ключевые компоненты структуры в целом. Если один из базовых элементов инфраструктуры перестанет работать, то это «обрубит» весь доступ к сервису. Часто это достигается сложными, многовекторными атаками, использующими комбинации методов.

Атаки с усилением (Amplification Attacks)

Это не отдельный вид атаки, а скорее техника, которая значительно увеличивает мощность любого из перечисленных выше видов. Злоумышленники используют открытые сервисы в интернете (например, DNS-серверы, NTP-серверы) как «усилители». Они отправляют небольшой запрос на такой сервис, подменяя свой IP-адрес на IP-адрес жертвы. Сервис отвечает гораздо большим объёмом данных, чем были в запросе. Таким образом, небольшой поток вредоносного трафика превращается в лавину данных, через которую злоумышленники эффективно атакуют ресурс.

Методы предотвращения и защиты от DDoS-атак

Чтобы выстроить эффективную защиту, нужен комплексный, многоуровневый подход.  И даже так бизнес не сможет полностью защитить себя — но значительно снизит риски и минимизирует последствия.

Обнаружение и реагирование

• Мониторинг трафика поможет заметить аномальные всплески или необычные паттерны, указывающие на начало атаки. Для этого нужно мониторить и анализировать логи.
• Системы обнаружения вторжений (IDS) отследят подозрительную активность в сети и оповестят вас о ней.
• План реагирования на инциденты поможет быстро выполнить все нужные действия для защиты от DDoS-атаки.

Смягчение последствий

Когда атака обнаружена, нужно отфильтровать вредоносный трафик, пропуская при этом легитимных пользователей. С этим могут помочь разные сервисы и услуги.

• Брандмауэры веб-приложений (WAF) заблокируют подозрительные запросы, что защитит от атак на уровне приложений (Layer 7).
• Ограничение скорости запросов (Rate Limiting) отсечёт ботов, привязанных к одному IP-адресу. 
• Расширение пропускной способности временно затруднит атаку, заставляя бросать на неё больше ресурсов — а это даст какое-то время для разворота других средств защиты.
• Географически распределённая инфраструктура с копиями сервиса в разных дата-центрах поможет сохранить работоспособность даже в случае успешной атаки по одному из узлов инфраструктуры.
• DDoS-защита как сервис (DDoS Protection as a Service) фильтрует весь трафик — сперва он попадает на сервера другой компании, та его очищает, а после перенаправляет серверам компании уже «очищенный» трафик.

Резервное копирование и восстановление

Чтобы быстро восстановить работу в случае, если компанию атаковали успешно, ей стоит воспользоваться следующими инструментами.

Регулярное резервное копирование на нескольких изолированных носителях поможет восстановить работу, даже если злоумышленник всё уничтожит.

План аварийного восстановления (Disaster Recovery Plan, DRP) поможет быстрее и надёжнее «поднять» систему после атаки, если прописать его достаточно подробно. Это детальный набор инструкций и процедур для восстановления всех систем и данных после крупного инцидента. В нём должны быть прописаны шаги по переключению на резервные системы, восстановлению из бэкапов и проверке целостности данных.

Примеры известных атак

Рассказываем, с какими проблемами сталкивались разные крупные компании.

Атака на Dyn в 2016 году — сила IoT-ботнета Mirai:

Американский провайдер Dyn обеспечивал работу сразу многих сервисов — Twitter, Netflix, Spotify, Amazon и других. Атака ботнета, состоящего из сотен тысяч устройств, парализовала его работу — и уничтожила доступ сразу ко всем обслуживающим сервисам.

Примечательно, что в атаке использовались «умные» видеокамеры, роутеры и другие устройства. Взломать их намного проще, чем телефон или компьютер, при этом сам взлом могут не обнаруживать десятилетиями — ведь устройство работает штатно и без проблем.

Следующие атаки ботнета Mirai

Dyn был первой жертвой этого ботнета. Эта атака стала максимально громкой — но обеспечить себе стопроцентную защиту от последующих атак никто не мог. Люди не стали проверять, используют ли их устройства для таких атак, а потому ботнет остался слишком мощным для того, чтобы его могли сдержать стандартными методами.

В ноябре 2016 года Либерия полностью лишилась интернета на несколько суток, а соцсети Mail.Ru Group регулярно «ложились». В конце месяца «упал» Deutsche Telekom. После этого создателя поймали — но на основе Mirai уже начали создавать новые ботнеты.

Атака на Яндекс в 2021 году

Во время этой атаки использовали Meris, который действовал на «открытых» Mirai принципах — но использовал уже сетевое оборудование. За счёт этого ботнет генерировал намного больше запросов и объёмов трафика, а потому в ходе атаки Яндекс получал до 21,8 миллиона запросов в секунду.

Решения Servercore по защите от DDoS

Мы предоставляем инфраструктуру, которая уже защищена от DDoS-атак на разных уровнях.

Наши облачные серверы защищены от DDoS-атак на уровнях L3-L4. Весь входящий трафик фильтруется, и мы не берём за это доплату. Аналогичная базовая защита предусмотрена в выделенных серверах.

Managed Kubernetes также включает защиту от DDoS-атак. Этот сервис упрощает развёртывание, масштабирование и обслуживание контейнерных приложений. Для повышения надёжности мы используем отказоустойчивую архитектуру кластера и предоставляем SLA 99,98%.

Заключение

DDoS-атаки — реальный вызов для любого современного бизнеса. Из-за них компании теряют деньги и репутацию, причём целью может быть и небольшой онлайн-магазин, и крупная корпорация. 

Злоумышленники постоянно совершенствуют средства атаки. То, что в 2016 создало относительные небольшие проблемы для Mail.Ru, в 2021 году создало большие проблемы для Яндекса просто потому что в ботнет включили устройства нового типа. 

Для защиты нужен комплексный подход — современное обнаружение угроз, своевременное реагирование, использование специализированных сервисов по защите атак и планы восстановления на случай успеха атаки.