Как защититься от DDoS-атак

DDoS-атак становится больше. Увеличивается и количество «умных атак», растёт их продолжительность и мощность. Защитить свои онлайн-ресурсы становится всё сложнее.

В этой статье мы даём рекомендации по эффективным способам защиты от усложняющихся DDoS-атак.

Что такое DDoS-атаки

DDoS-атаки (Distributed Denial of Service, распределённый отказ в обслуживании) — это любые действия, направленные на то, чтобы сделать ваши сервисы недоступными. Для этого есть разные способы. Самый распространённый — сделать сервер недоступным, отправляя на него огромное количество запросов, чтобы он перестал с ними справляться и либо вообще «упал», либо работал очень медленно. Но есть и другие методы.

Злоумышленники способны остановить работу сайта или сервера целиком.

Видов угроз существует очень много. Они бывают направлены на разные уровни OSI и применяют различные инструменты.

Преступники находят уязвимые места и способны, например, запустить вирус, украсть данные.

Как DDoS-атаки вредят бизнесу

Основной вред состоит в том, что сервисы на какое-то время станут недоступными и перестанут отвечать. Браузеры не получают ответы, посетителям не удаётся зайти на веб-ресурс, воспользоваться услугами. Их лояльность падает, страдает ваша репутация.

Хуже всего то, что хакеры часто атакуют в самые ответственные моменты. Например, вы запустили акцию в интернет-магазине и ожидаете, что она принесёт вам хороший рост продаж. Но вместо пользователей приходит огромное число ботов (заражённых устройств), а реальные люди не попадают на веб-сервис и не делают покупки.

Помимо этого, есть и другие негативные моменты:

• Если боты составляют какой-то процент в веб-приложении, оценить их количество будет сложно. Значит, вы не сможете понять, насколько оно привлекательно и удобно для реальных клиентов, насколько часто они туда заходят.
• Боты повышают показатель отказов. Это ухудшает позиции в результатах выдачи поисковиков.
• Если вы используете платный трафик для привлечения, часть его может быть ненастоящей. А значит, и часть бюджета вы тратите впустую.

GitHub

В начале марта 2018 года на GitHub обрушилась мощнейшая DDoS-атака в истории, установившая новый рекорд: 1,35 Тбит/с,126,9 млн пакетов в секунду. Злоумышленники научились использовать для амплификации DDoS-серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз.

EVE Online

Мощная DDoS-атака, продолжавшаяся более недели в феврале 2020 года, полностью парализовала геймплей: любые манипуляции с космическими кораблями, сделки на рынке и общение в чатах были невозможны.

Takeway.com

В марте 2020 года была крупная DDoS-атака на сеть доставки еды Takeaway.com. Рестораны были способны только принимать заказы, но не обрабатывать.

Вымогатели хотели получить от компании 2 биткоина за прекращение. В этот же день генеральный директор написал пост в Twitter и выложил скриншот их сообщения.

 
Выкуп Takeaway платить не стали, но это нанесло им серьёзный ущерб. Всем, чьи заказы были оплачены, но не доставлены, пришлось вернуть деньги.

Зачем преступники проводят DDoS-атаки

Цели DDoS-атак бывают разными.

Вымогательство

Пример мы уже приводили выше. События обычно разворачиваются по двум сценариям:

1. Вы сразу получаете угрозу. Злоумышленник обещает атаковать сайт, если вы до такого-то числа не заплатите определённую сумму.
2. Вас сначала атакуют, а потом на почту приходит сообщение с предложением заплатить за прекращение DDoS-атаки.

Если от вас требуют «выкуп», ни в коем случае ничего не платите! Преступники решат, что вы легко поддаётесь, и будут делать это снова и снова.

Заказ недобросоветсного конкурента

Вы активно развиваетесь, обходите своих конкурентов, и кто-то из них позавидовал вам. Или вы собираетесь выходить на новые рынки, а там есть компании, которым не нужна лишняя конкуренция.

На любом рынке найдутся те, кто не любит играть честно. Они могут попытаться испортить бизнес, заставить отступить от своих планов.

Что делать в этом случае? Опять же не идти на поводу. Если конкуренты вас бояться и хотят остановить, значит, вы развиваетесь в правильном направлении.

Помимо умышленных вредоносных действий, бывают ещё и неумышленные:

• Вы попали под раздачу. Такое бывает, если ваш хостинг находится на VDS. Цель преступников — владелец соседнего ресурса, но так как DDoS-атака организовывается на сервер целиком, остальные тоже страдают.
• Это вообще была не атака. Вы просто не предусмотрели естественные всплески, например из-за распродаж, и система не выдержала наплыва.

Как определить, что вас атаковали

Обычно всё происходит неожиданно. Нет никаких акций, распродаж, вы ничего не делали, чтобы привлечь клиентов. Но ни с того ни с сего пришло огромное количество запросов. Обычный всплеск, как правило, можно предсказать.

Удостовериться в том, что это именно DDoS-атака, можно, проанализировав логи. Это файлы, которые хранятся на жёстком диске. В них записывается информация о посетителях, переданных данных, сообщения об ошибках.

Доступ к логам обычно предоставляется хостинг-провайдером через панель управления.

Если ваш ресурс атакован, вы наверняка увидите, что с одних и тех же IP-адресов идёт множество одинаковых HTTP-запросов или пакетов (TCP- или UDP-пакетов). Это типичные маркёры атак типа флуд (flood, большой поток пакетов).

Как защититься от DDoS-атак самостоятельно

Сразу скажем: своими силами организовать полноценную защиту не получится. Нет ни одного бесплатного способа, который гарантированно защитит ваш сайт. Постоянно появляются новые DDoS-атаки, а старые с каждым днём совершенствуются.

Но кое-что сделать вы всё-таки можете.

Подготовьтесь к нагрузкам

Веб-ресурс «упал» в самый ответственный момент, во время предновогодней распродажи. А это точно была кибератака?

Если у вас грамотная инфраструктура с достаточным объёмом мощностей, предусмотрено равномерное распределение нагрузки, учтены возможные всплески, киберугрозы для вас будут уже не так страшны. Не жалейте средств на инфраструктуру. Лучше сделать одно хорошее вложение, чем сэкономить, а потом много раз терпеть убытки.

А если ресурсов на свою инфраструктуру нет, можно купить IT-решение, например подключить CDN — сеть доставки контента.

EdgeCDN доставляет любой тяжёлый контент по всему миру. Это быстрая и безопасная сеть.

Вас таткуют прямо сейчас. Что делать?

Есть несколько базовых действий, которые можно предпринять. В зависимости от типа киберугроз, тот или иной способ будет более или менее эффективным.

1. Забаньте атакующие IP-адреса. Их можно посмотреть в логах.

Как быстро защититься от DDoS-атак по IP? Используйте grep. Это утилита, которая позволяет находить определённые элементы в файле и выполнять с ними простые действия: например, блокировать. Это позволит не банить каждый IP-адрес вручную.

Вам очень повезёт, если атака была короткой. Тогда вы сможете разом вычислить, откуда идёт вредоносный трафик, и заблокировать его.

Но такая удача бывает редко. Кибератаки иногда длятся несколько дней и идут с тысячи разных IP-адресов. Заблокировать их все, даже при помощи grep, невозможно.

Плюс сама по себе блокировка по IP-адресам не слишком эффективна. Злоумышленники могут использовать динамические IP-адреса — тогда никакая блокировка не спасёт.

2. Использует блокировку по геолокации. Метод подойдёт, только если вами было установлено, что очень много запросов идёт из конкретной точки земного шара. Например, ваши пользователи живут в Восточной Европе, а тут внезапно огромное число пришло из Африки.

Но такая удача — редкость. Сейчас большинство киберугроз умные, и атакующие, скорее всего, не дадут вам такой возможности.

3. Заблокируйте тяжёлый участок сайта. Атаки часто идут на самую уязвимую часть, например на поиск. Если это не самый важный элемент, можно просто отключить доступ к нему для всех. Пусть юзеры не смогут пользоваться поиском, зато всё остальное будет работать.

Минус в том, что для большинства угроз принятие меры окажутся бесполезны.

Почему эти методы зачастую неэффектвны

Эти способы помогут остановить некоторые простые типы DDoS-атак. Но они рассчитаны на отражение нападения на серверы и не избавят от ботов на веб-сервисе. А ведь они тоже доставляют большие проблемы.

Например, если у вас ограниченное количество товаров, хакер способен запустить ботнет, который добавит весь товар в свои корзины, и реальные пользователи не смогут ничего купить.

Кроме того, даже если вам удастся предотвратить действия злоумышленников, вы потратите время на решение проблемы. А это значит, что какой-то период сервисы будут недоступными.

Чтобы не приходилось панически принимать экстренные меры, лучше сразу купить хостинг, защищённый от DDoS-атак, или позаботиться о подключении платной защиты.

Преимущества использования специального сервиса от DDoS-атак

1. Безопасность на всех уровнях. Кибератаки бывают на сетевом (L3), транспортном (L4) уровне или уровне приложений (L7). Методы, которые мы перечислили выше, помогут на каком-то одном уровне. Но угрозы бывают разные. И защитить абсолютно всё своими силами крайне сложно.

Профессиональная система — это грамотно разработанная системная платформа фильтрации, которая пропускает через себя весь входящий трафик и блокирует подозрительный. «Мусорные» пакеты будут остановлены ещё на подходе к ресурсу.

2. Балансировка нагрузки. Хорошая система обычно предусматривает равномерное распределение нагрузки между узлами. Так преступникам будет сложнее «положить» веб-приложение. Дополнительно это ускорит загрузку, поможет при естественных скачках.

3. Защита уязвимых мест веб-приложения. У любого приложения есть слабые места, и злоумышленники активно пользуются этим. Они вычисляют слабости и через них получают доступ к конфиденциальным данным пользователей.

Web Application Firewall — это защитный экран, который скрывает слабые места приложения и блокирует подозрительную активность.

При выборе файрвола важно обратить внимание на то, как он устроен. Лучше выбрать «умный» WAF с алгоритмами самообучения. Такие экраны умеют анализировать содержимое сообщений и не заблокируют реальных клиентов.

4. Финансовые гарантии. Если вы защищаетесь подручными средствами, нет гарантии, что эти средства помогут. Даже если собственные инструменты до сегодняшнего дня справлялись, завтра хакеры изобретут новый тип угроз, и методы окажутся бесполезными.

Если вы покупаете профессиональную защитную платформу, хорошие компании всегда дают гарантии на свои услуги. И если что-то не будет работать, вы сможете вернуть деньги.

При этом современные профессиональные системы постоянно развиваются и учитывают появление новых киберугроз.

Как EdgeЦентр защищает своих клиентов

Мы предлагаем веб-защиту и защищённый хостинг. Также возможно подключить защитные инструменты к вашему собственному оборудованию.

В основе решения по защите — собственные центры фильтрации в России. Суммарная пропускная способность центров фильтрации — более 1,5 Тбит/с.

Как это работает

Центры фильтрации пропускают через себя весь трафик и анализируют его.

• Проверяются не только пакеты, но и поведенческие факторы. Например, учитывается, сколько времени пользователь провёл на сайте, промежутки между подзапросами.
• Эти данные сравниваются с параметрами, по которым запрос можно считать нелегитимным. Проще говоря, система вычисляет, пришёл реальный человек или нет.
• Если запрос кажется подозрительным, он блокируется.

Система заблокирует любых ботов, в том числе парсинг и брутфорс, и обеспечит высокую безопасность.

Блокировка идёт по сессиям, а не по IP-адресам. В платформу встроены алгоритмы самообучения. Она запоминает «благонадёжных» юзеров и при следующих посещениях не проводит проверку. Коэффициент ложных срабатываний — меньше 0,01%.

Преимущества EdgeSecurity

• Блокируем вредоносный трафик мгновенно.
• Обеспечиваем балансировку нагрузки.
• Вы платите только за легитимный трафик. При этом мы не учитываем 5% скачков — не придётся платить за естественные всплески, например, в период акций.
• Предоставляем отчёты.
• Гарантируем доступность на 99,5%. Вернём деньги, если не будет работать.
• Для подключения потребуется лишь настроить DNS-запись.

Ещё мы предлагаем дополнительный «умный» файрвол для веб-приложения.

Защитите ваши ресурсы комплексным решением и забудьте о DDoS-атаках.