Если веб-сайт или приложение вашей компании внезапно отключается из-за большого потока подозрительного трафика, вы можете стать целью распределенной атаки на отказ в обслуживании (DDoS).
Подобных кибератак становится все больше, и они могут иметь разрушительные последствия для вашего бизнеса и репутации бренда, когда они приводят к значительному простою веб-сайтов.
В этом руководстве мы разберем детали DDoS-атак, как их избежать, и что предпринять если вы стали жертвой атаки.
Быстрые ссылки: Часто задаваемые вопросы о DDoS
- Что такое DDoS-атака?
- Различные виды атак
- Первый пример DDoS-атаки
- Кто применяет DDoS-атаки и для чего?
- Кто больше всего подвержен DDoS-атаке?
- Как предотвратить DDoS-атаки
- Что делать, если вы стали жертвой DDoS-атаки
- Как определить, что ваш компьютер был зачислен в ботнет (и что делать)
Что такое DDoS атака?
DDoS расшифровывается как “Distributed Denial-of-Service” (распределенная/ массивная кибератака до отказа в обслуживании).
DDoS-атака происходит, когда хакер отправляет поток трафика в сеть или на сервер, чтобы перегрузить систему и нарушить ее способность работать. Эти атаки обычно используются для временного сбоя работы веб-сайта или приложения и могут длиться несколько дней или даже дольше.
Технический аспект
Мы используем термин Отказ в обслуживании потому что сайт или сервер не сможет обслуживать трафик во время атаки.
И они называются Распределенный отказ в обслуживании потому что несанкционированный трафик исходит от сотен, тысяч или даже миллионов других компьютеров. Когда это исходит из единственного источника, это называется DoS-атака.
Использование ботнета
DDoS-атаки используют ботнет (набор из множества компьютеров или устройств с подключением к интернету, которые были использованы удаленно с помощью вредоносного ПО) для запуска атаки. Они называются “зомби.”
Различные виды атак
Зомби нацелены на уязвимости в разных слоях взаимосвязи открытых систем и обычно делятся на три категории, согласно Cloudflare:
1. Атаки на уровне приложений
Атаки на уровне приложений являются самыми простыми из DDoS-атак; они имитируют обычные запросы к серверу. Другими словами, компьютеры или устройства в ботнете собираются вместе для доступа к серверу или веб-сайту, как обычный пользователь.
Но по мере того, как DDoS-атака расширяется, объем, казалось бы, законных запросов становится слишком большим для сервера, и он падает.
2. Атаки на уровне протоколов
Атаки на уровне протоколов используют информацию о том, как серверы обрабатывают данные, чтобы перегружать намеченную цель.
В некоторых вариантах протокольных атак ботнет будет отправлять пакеты данных на сервер для сборки. Затем сервер ожидает получения подтверждения от исходного IP-адреса, который он никогда не получает. Но он продолжает получать все больше и больше данных для распаковки.
В других вариантах он отправляет пакеты данных, которые просто невозможно собрать, что приводит к перегрузке ресурсов сервера, когда он пытается это сделать.
3. Объемные атаки
Объемные атаки похожи на атаки приложений, но имеют свою особенность. В этом виде DDoS-атаки доступная пропускная способность всего сервера поглощается запросами ботнета, которые каким-то образом были усилены.
Например, ботнеты могут иногда обманывать серверы, отправляя им самим огромные объемы данных. Это означает, что сервер должен обработать получение, сборку, отправку и получение этих данных снова.
Первый пример DDoS атаки
Первая известная DDoS-атака была проведена в 2000 году 15-летним парнем по имени Майкл Кальс, согласно Norton, и использовалась для временного отключения огромных веб-сайтов, таких как Yahoo, CNN и eBay, вызывая сообщение об ошибке, подобное изображению, показанному выше.
С тех пор этот вид атак стал набирать популярность.
Кто применяет DDoS-атаки и для чего?
Хотя DDoS-атаки выросли в их силе и сложности, основные DDoS-атаки могут осуществить практически все. Обычные люди могут платить за DDoS-атаки на цель в интернете или на черном рынке. Они могут даже арендовать существующий ботнет для осуществления своих вредоносных планов.
Ранние DDoS-атаки, такие как первая атака осуществленная Майклом Кальсом (он же “Mafiaboy”) была просто сделана для того, чтобы похвастаться возможностями хакеров. Только потому что он смог.
Те, кто обычно использует DDoS-атаки, и для чего:
- Владельцы бизнеса чтобы опередить конкурентов
- Конкуренты чтобы победить противников
- Активисты чтобы запретить людям доступ к определенному контенту
- Тролли с целью мести
Кто больше всего подвержен DDoS-атаке?
Обычному человеку нечего бояться, ведь главной целью являются гигантские корпорации. Они могут потенциально потерять миллионы или миллиарды долларов в результате простоя, вызванного DDoS-атакой. Владельцы более мелкого бизнеса также могут значительно пострадать.
Для любой организации, присутствующей в интернете, важно быть полностью подготовленной к потенциальной DDoS-атаке в любое время.
Как предотвратить DDoS-атаки
Вы не можете помешать злоумышленнику отправлять волны несанкционированного трафика на ваши серверы, но вы можете заранее подготовиться к тому, чтобы справиться с нагрузкой.
1. Обнаружить это вовремя, отслеживая трафик
Важно иметь хорошее представление о том, что представляет собой нормальный, низкий и большой объем трафика для вашей организации, в соответствии с Amazon Web Services.
Если вы знаете, чего ожидать, когда ваш трафик достигнет своего верхнего предела, вы можете установить ограничение скорости. Это означает, что сервер будет принимать столько запросов, сколько может обработать.
Наличие актуальных знаний о ваших тенденциях трафика также поможет вам быстро определить проблему.
Вы также должны быть готовы к скачкам трафика из-за сезонности, маркетинговых кампаний и многого другого. Много обычного трафика (например, из вирусной ссылки в социальных сетях) может иногда иметь сходный эффект сбоя сервера. И даже при том, что трафик идет из законного источника, это может иметь большие последствия для вашего бизнеса.
2. Получите больше пропускной способности
Как только вы получите представление о необходимой вам мощности сервера, исходя из среднего и высокого уровня трафика, вы должны получить его и даже больше. Получение большей пропускной способности сервера, чем вам действительно нужно, называется “избыточным выделением ресурсов.”
Это даст вам больше времени в случае DDoS атаки до того, как ваш сайт, сервер или приложение будут полностью перегружены.
3. Используйте сеть доставки контента (CDN)
Цель DDoS – перегрузить хост-сервер. Таким образом, одним из решений является хранение ваших данных на нескольких серверах по всему миру.
Это именно то, что позволяет сеть доставки контента (CDN).
CDN обслуживают ваш веб-сайт и предоставляют данные пользователям с сервера, который находится рядом с каждым пользователем, для повышения производительности. Использование CDN также означает, что вы менее уязвимы для атаки, потому что, если один сервер перегружен, у вас есть еще много других, которые работают нормально.
Что делать, если вы стали жертвой DDoS-атаки
DDoS атаки в наши дни настолько сложные и мощные, что решить их самостоятельно может быть очень сложно. Вот почему лучшей защитой от атаки будет предпринять правильные меры предосторожности с самого начала.
Но если вы уже находитесь под атакой и ваш сервер сейчас отключен, вы можете сделать несколько вещей:
1. Быстро на месте применить защитные меры
Если у вас есть хорошее представление о том, как выглядит обычный трафик, вы сможете быстро определить, когда вы подвергаетесь DDoS-атаке.
Вы увидите огромный поток запросов к серверу или веб-трафику из подозрительных источников. Но у вас все еще может быть некоторое время, прежде чем ваш сервер полностью станет перегруженным.
Установите ограничение скорости как можно скорее и очистите логи сервера, чтобы освободить больше места.
2. Свяжитесь с вашим хостинг-провайдером
Если кто-то еще владеет и управляет сервером, обслуживающим ваши данные, немедленно уведомите их об атаке.
Они смогут отбивать ваш трафик, пока атака не утихнет. Другими словами, все входящие запросы к серверу будут просто скинуты, не важно санкционированные или нет. Это будет в их интересах сделать это, чтобы предотвратить падение серверов других своих клиентов.
После этого они, вероятно, смогут перенаправить трафик через фильтр чтобы избавиться от несанкционированного трафика, и разрешить прохождение нормальных запросов.
3. Свяжитесь со специалистом
Если вы подвергаетесь крупномасштабной атаке или не можете позволить себе простой в работе вашего веб-сайта или приложения, возможно, вы захотите привлечь специалиста по борьбе с DDoS-атаками.
Что они могут сделать, так это перенаправить ваш трафик на свои огромные серверы, которые могут справиться с нагрузкой, и попытаться оттуда отфильтровать незаконные запросы.
4. Переждать
Наем профессионала для перенаправления и очистки вашего веб-трафика является дорогостоящим.
Большинство DDoS-атак заканчиваются в течение нескольких дней (хотя в серьезных случаях они могут длиться дольше), поэтому у вас всегда есть возможность просто смириться с потерями и лучше подготовиться в следующий раз.
Как определить, что ваш компьютер был зачислен в ботнет (и что делать)
Если вы являетесь индивидуальным пользователем, ваш компьютер может быть завербован в ботнет без вашего ведома.
Признаки
Это может быть не сразу заметно, но есть несколько признаков того, что в фоновом режиме на вашем устройстве может происходить вредоносная активность, например:
- Частые сбои
- Более длительное время загрузки
- Странные сообщения об ошибках
Что с этим делать
Если вы считаете, что ваш компьютер ведет себя странно, лучше всего принять меры. Вам нужно будет установить и запустить регулярное сканирование на вирусы с использованием надежного антивирусного программного обеспечения, такого как эти рекомендуемые для Windows, Mac, и Linux.
Полное сканирование должно помочь определить, если есть вредоносные программы на вашем компьютере. В большинстве случаев антивирус может удалить вирус. Быстрая онлайн проверка на вирусы также не помешает.
И помните, никогда не загружайте вложения электронной почты или веб-файлы, если вы точно не знаете, что это за файлы и откуда они. Эти попытки фишинга могут установить вредоносное ПО на ваше устройство без вашего ведома.
Будьте подготовлены
Ваша организация должна быть готова и иметь возможность обрабатывать гораздо большие объемы веб-трафика или запросов к серверу, чем вам действительно необходимо. Просто чтобы обезопасить себя.
Лучшее возможное решение – это предотвратить риск DDoS-атаки, установив хороший антивирус чтобы защитить вас от вредоносных программ. Использование CDN и настройка ограничения скорости на основе нормального трафика – еще одна отличная профилактическая мера.
Предотвращение лучше, чем лечение, потому что после того, как DDoS-атака уже началась, а ваш сервер отключен, восстановление его нормальной работы может быть дорогостоящим – неработающий сайт может повлиять как на продажи вашего бизнеса, так и на репутацию. Поэтому убедитесь, что ваш бизнес готов к любым атакам в любое время.