Довольно много людей с головой погружаются в свой новый проект и пытаются создать свои первые веб-сайты, не принимая во внимание все сопутствующие факторы. Безопасность пугающе часто упускается из виду, и в результате слишком много проектов завершаются быстро и полностью предотвратимо.
Например, DDoS-атаки широко распространены и существуют уже много лет. Тем не менее, многие администраторы не имеют даже самого элементарного представления о том, что они из себя представляют и как они работают.
Посмотрим, сможем ли мы это исправить…
Table of Contents
ToggleВ 2017 году исследователи из Мэрилендского университета подсчитали, что во всем мире кибератака в среднем запускается каждые 39 секунд. Скорее всего, сегодня попытки взлома стали еще более частыми.
В 2020 году, в разгар кризиса COVID-19, швейцарские власти сообщили о количестве кибератак, в три раза превышающем обычное. Дело в том, что с глобальной пандемией или без нее киберпреступность — это массовый бизнес, взлом которого приносит много пользы.
Операторы программ-вымогателей шифруют файлы пользователей и организаций и вымогают деньги в обмен на их данные. Вредоносные скрипты криптомайнинга создают огромную нагрузку на ничего не подозревающих жертв и потребляют огромное количество электроэнергии, чтобы набить карманы злоумышленников. Хакеры взламывают деловые организации, чтобы украсть личные и конфиденциальные данные, которые затем передаются через посредников и используются всеми возможными способами.
Вам даже не нужно обладать какими-либо продвинутыми техническими навыками, чтобы нацелить атаку на кого-то. Все, что вам нужно сделать, это зайти на хакерский форум, заплатить кому-нибудь за услугу DDoS и нацелить ее на сайт или сервер по вашему выбору.
Важно различать различные типы кибератак.
Например, цель DDoS-атаки не в том, чтобы изменить внешний вид вашего сайта или украсть пользовательские данные. Усиление пароля администратора вашего сайта или обновление вашей CMS мало что защитит вас от него.
DDoS означает распределенный отказ в обслуживании, и как следует из бита « отказ в обслуживании», целью такой атаки является отказ пользователю в доступе к службе или ресурсу. Другими словами, он должен отключить ваш сайт или, по крайней мере, серьезно нарушить его работу.
Конечная цель DDoS-атаки — перегрузить веб-сайт и базовую инфраструктуру фальшивым трафиком. Проще говоря, злоумышленник отправляет огромное количество запросов на целевой сайт и загружает хост-компьютер. Если нежелательного трафика становится слишком много, сервер изо всех сил пытается обработать все запросы и в конечном итоге отключается.
DDoS — одна из самых дешевых форм киберпреступности, и поскольку атаки не приводят к прямой краже данных, многие люди ошибочно полагают, что они относительно безвредны. В свете этого вы можете быть поражены, узнав, сколько усилий уходит на создание инфраструктуры, поддерживающей DDoS-атаки.
Жизненный цикл DDoS начинается задолго до того, как цель будет идентифицирована.
Во-первых, злоумышленнику необходимо создать ботнет — обширную сеть скомпрометированных компьютеров, серверов и других устройств, подключенных к Интернету. Киберпреступники заражают тысячи узлов (часто называемых зомби ) и контролируют их через сервер Command & Control (C&C).
Вредоносное ПО, которое они используют, обычно довольно скрытное, и пользователи не знают о его существовании. Когда C&C отправляет инструкции, зомби начинает отправлять как можно больше запросов на целевой сервер. Умножьте это на тысячи, и вы получите огромный всплеск трафика. Если цель не подготовлена – у нее нет никаких шансов.
Мотивы DDoS-атак чрезвычайно разнообразны.
Киберпреступники могут использовать DDoS в качестве возмездия, часто используя его, чтобы подчеркнуть или привлечь внимание к конкретной проблеме. Время от времени вы можете обнаружить, что бизнес-организации нацеливают DDoS-атаки на своих конкурентов, особенно в игровом сообществе. Слишком часто киберпреступники могут нанести DDoS-атак на веб-сайт или сервер даже из чистой злобы.
Какими бы ни были мотивы, DDoS представляет собой серьезную угрозу.
Каждая секунда простоя и каждый пользователь, разочарованный работой вашего сайта, стоит вам денег. Частые, длительные или серьезные DDoS-атаки могут нанести серьезный ущерб, поэтому вам необходимо знать об угрозе и знать, что вы можете сделать, чтобы защитить себя.
Цель и общие принципы всех DDoS-атак могут быть одинаковыми, но методы, технологии и масштабы ущерба сильно различаются. Некоторая классификация DDoS-атак и проблем, которые они вызывают, должна дать вам более четкое представление о том, как работает угроза и на что следует обратить внимание системным администраторам.
Существует три основных категории DDoS-атак:
Это самый распространенный тип DDoS-атаки. Злоумышленник устанавливает большое количество одновременных подключений и отправляет на сервер большой объем пакетов, пытаясь использовать пропускную способность цели, создать чрезмерную нагрузку на аппаратные ресурсы и вызвать сбой сетевого оборудования.
Эти атаки чаще всего нацелены на веб-серверы и веб-сайты. Вместо пакетов и подключений злоумышленник забрасывает цель HTTP-запросами, пытаясь перегрузить веб-сервер и вызвать его сбой.
Это немного другая форма отказа в обслуживании (DoS). В отличие от традиционного DDoS-атак, он пытается использовать недостатки в дизайне и реализации конкретных приложений. Обычно хакеры полагаются на меньшее количество одновременных подключений в этом типе атаки.
В зависимости от используемого протокола выделяют несколько категорий DDoS-атак:
Одна из старейших форм DDoS-атак пытается подавить цель с помощью протокола контрольных сообщений Интернета.
Это еще один способ нацеливания на протокол ICMP. На этот раз злоумышленник подменяет IP-адрес цели и отправляет запрос ICMP, на который отвечают другие устройства в сети и непреднамеренно наводняют цель трафиком.
Атаки SYN Flood используют трехстороннее рукопожатие TCP. Злоумышленник отправляет большое количество поддельных SYN-пакетов, на которые целевой сервер должен ответить.
Как правило, используя поддельный IP-адрес, злоумышленник отправляет множество пакетов UDP на случайные порты целевой системы. Поскольку никакие другие службы не используют указанные порты, сервер отвечает большим количеством ICMP-пакетов, увеличивая нагрузку.
Злоумышленник отправляет множество фрагментированных и слишком больших пакетов TCP/IP, которые старые операционные системы не могут обработать. Часто результатом является мгновенный сбой.
Злоумышленник отправляет запросы во всемирную систему DNS и подделывает их, чтобы они выглядели так, как будто они исходят с IP-адреса цели. Запросы предназначены для инициирования большого ответа от преобразователей DNS, который отправляется жертве.
Session Initiation Protocol (SIP) — это стандартный протокол для связи VoIP. Злоумышленники используют его в своих попытках DDoS, отправляя множество поддельных SIP-сообщений с приглашением.
Некоторые злоумышленники даже нацеливаются на SSL-сертификаты в своих кампаниях, поскольку дополнительная задача по расшифровке обрабатываемой информации потребляет больше ресурсов процессора. Кроме того, некоторые из старых методов защиты не работают с SSL-трафиком.
Поскольку хакеры используют обширные ботнеты устройств, трудно определить, исходит ли конкретный сетевой пакет от законного посетителя или от зомби, которому поручено залить его трафиком.
Что касается вашего сервера, то многие люди одновременно пытаются получить доступ к одному и тому же ресурсу. Несмотря на очевидные проблемы, ваша подготовка и своевременное реагирование жизненно важны для защиты вашего сайта от длительного простоя и необратимого ущерба репутации вашего бренда.
Вот несколько вещей, которые вы можете сделать:
Нелегко точно оценить, какая пропускная способность вам понадобится, особенно если вы начинаете свой первый онлайн-проект. В любом случае, в случае DDoS-атаки все расчеты вылетают в окно. Тем не менее, чем больше пропускная способность у вашей учетной записи хостинга, тем больше времени у вас будет, чтобы отреагировать.
Если вы знаете, сколько трафика регулярно получает ваш сайт, вы будете гораздо лучше подготовлены к обнаружению аномалий и необычных всплесков, которые обычно сигнализируют о начале DDoS-атаки. Обнаружение атаки как можно раньше дает вам больше возможностей для принятия адекватных мер по снижению ущерба.
Если вы размещаете сервер в своей сети, вы можете сделать несколько вещей, чтобы уменьшить ущерб. Например, вы можете установить ограничения скорости на своем маршрутизаторе, добавить фильтры, если источник нежелательного трафика очевиден, настроить сетевое оборудование на отбрасывание искаженных пакетов и снизить ограничения для соединений SYN, ICMP и UDP.
Все это важные моменты, которые следует учитывать, особенно если вы собираетесь самостоятельно выполнять большинство задач по управлению сервером. Тем не менее, большинство людей не хотят выполнять всю работу самостоятельно и вместо этого полагаются на своего хоста, который защитит их в случае чрезвычайной ситуации DDoS.
Вы можете легко понять, почему…
Если вы подверглись DDoS-атаке, ваш хостинг-провайдер хочет остановить ее так же, как и вы. Это стоит им слишком дорого пропускной способности, а потенциальные сбои могут привести к тому, что они не смогут гарантировать бесперебойную работу. Если это произойдет – полагается дорогостоящая компенсация. Ущерб репутации может быть даже больше, чем финансовый, особенно если атака начнет затрагивать других клиентов.
Если объем DDoS-атаки слишком велик, хост в конечном итоге перенаправит запросы на ваш сайт. Это означает, что все поступающие на него пакеты будут отброшены до того, как они достигнут пункта назначения, и ваш сайт станет недоступным. Это наихудший сценарий, которого все хотят избежать.
Для этого хостинг-провайдеры предпринимают ряд мер безопасности:
По сути, сценарий DDoS — это план реагирования на инциденты. Это пошаговое руководство о том, кто и что должен делать при DDoS-атаке.
Распространенность DDoS-атак открыла бизнес-нишу для служб защиты от DDoS-атак. Во время атаки служба защиты от DDoS-атак использует множество различных факторов для фильтрации вредоносного трафика и поддержания сайта в сети для законных пользователей. Ваш хост должен перенаправить трафик через него.
Список контроля доступа (ACL) — это набор правил, которым должен следовать каждый пакет, если он хочет достичь пункта назначения в сети. Хост может реализовать ACL в брандмауэре, маршрутизаторе и даже коммутаторе.
Одноадресная переадресация по обратному пути ограничивает вредоносный трафик, проверяя, доступен ли исходный IP-адрес. Если нет — сервер сбросит пакет. Это помогает сетевым администраторам свести к минимуму количество пакетов от поддельных исходных IP-адресов.
Брандмауэр является наиболее часто используемым устройством для фильтрации трафика, входящего и исходящего из сети. Современные брандмауэры предлагают функцию глубокой проверки пакетов, которая подробно изучает каждый запрос и отбрасывает те, которые выглядят подозрительно.
Этот список далеко не обширен, но все же описывает некоторые основные меры предосторожности, которые хосты должны принимать для защиты своих серверов от DDoS-атак.
Современный ландшафт кибербезопасности позволяет практически любому запустить атаку, которая приведет к выходу из строя всего сервера. Услуги DDoS легко доступны на подпольных рынках, и их использование не требует никаких технических знаний.
Между тем, ущерб от DDoS-атак может быть довольно разрушительным как для владельцев веб-сайтов, так и для хостинг-провайдеров. К счастью, подготовка к отражению таких угроз с самого начала может легко обеспечить вам комфорт в сети на долгое время.
В разных странах действуют разные законы, но DDoS-атаки повсеместно признаны формой киберпреступности. Такие хакерские попытки считаются незаконными в США и могут считаться федеральным преступлением в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (CFAA).
DDoS-атак можно использовать для чего угодно — от дружеской шутки до саботажа глобальной организации. DDoS-атаки часто используются хактивистами, которые хотят привлечь внимание к той или иной проблеме, и бизнес-организациями, которые хотят поразить своих конкурентов.
DDoS-атака направлена на то, чтобы вывести из строя веб-сайт или онлайн-сервис, заполнив хост-сервер и его сеть трафиком. Чтобы достичь объема трафика, необходимого для отключения веб-сайта, преступники используют ботнеты — обширные сети зараженных компьютеров, серверов и других устройств, разбросанных по всему миру.
Хостинг-провайдеры и владельцы веб-сайтов могут принимать определенные меры для фильтрации и блокировки ненужного трафика, но они не могут ничего сделать, чтобы остановить ботнет от отправки волн за волнами новых запросов. Вот почему DDoS-атака может длиться столько, сколько пожелает злоумышленник (и у него есть необходимые ресурсы) — мы видели, как некоторые угрозы исчезают в течение часа, а для устранения некоторых требуются дни.