DDoS-атак становится больше. Увеличивается и количество «умных атак», растёт их продолжительность и мощность. Защитить свои онлайн-ресурсы становится всё сложнее.
В этом материале мы даём рекомендации по эффективной защите от усложняющихся DDoS-атак.
DDoS-атаки — это любые действия злоумышленников, направленные на то, чтобы сделать ваши сервисы недоступными для клиентов. Для этого есть разные способы. Самый распространённый — отправить на сервер огромное количество запросов, чтобы он перестал с ними справляться и либо вообще «упал», либо работал очень медленно. Но есть и другие методы.
Злоумышленники могут атаковать один сайт, приложение или сервер целиком.
Видов DDoS-атак существует очень много. Они могут быть направлены на разные уровни OSI и использовать разные методы.
Во время DDoS-атак преступники находят уязвимые места и могут, например, запустить на сайте вирус, украсть ваши данные или данные ваших клиентов.
Основной вред DDoS-атак состоит в том, что ваши сервисы на какое-то время становятся недоступными. Клиенты не могут зайти на сайт или в приложение, не могут воспользоваться вашими услугами. Из-за этого их лояльность падает.
Хуже всего то, что злоумышленники часто атакуют в самые ответственные моменты. Например, вы запустили акцию в вашем интернет-магазине и ожидаете, что она принесёт вам хороший рост продаж. Но вместо «чистого» трафика на сервер идёт огромное количество запросов от ботов, а реальные люди не могут попасть на сайт и сделать покупку.
Помимо этого, есть и другие негативные моменты:
В начале марта 2018 года на GitHub обрушилась мощнейшая DDoS-атака в истории, установившая новый рекорд: 1,35 Тбит/с, или 126,9 млн пакетов в секунду. Злоумышленники научились использовать для амплификации DDoS-серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз.
Мощная DDoS-атака, продолжавшаяся более недели в феврале 2020 года, полностью парализовала геймплей: любые манипуляции с космическими кораблями, сделки на рынке и общение в чатах были невозможны.
В марте 2020 года была крупная DDoS-атака на сеть доставки еды Takeaway.com. Рестораны могли только принимать заказы, но не могли их обрабатывать.
Злоумышленники хотели получить от компании 2 биткоина за прекращение DDoS-атаки. В этот же день генеральный директор написал пост в Twitter и выложил скриншот их сообщения.
Выкуп Takeaway платить не стали, но сама DDoS-атака нанесла им серьёзный ущерб. Всем пользователям, чьи заказы были оплачены, но не доставлены, пришлось вернуть деньги.
Причины могут быть разными.
Пример мы уже приводили выше. События могут разворачиваться по двум сценариям:
Если от вас требуют «выкуп», ни в коем случае ничего не платите! Преступники решат, что вы легко поддаётесь, и будут делать это снова и снова.
Вы активно развиваетесь, обходите своих конкурентов, и кто-то из них позавидовал вам. Или вы собираетесь выходить на новые рынки, а там есть компании, которым не нужна лишняя конкуренция.
На любом рынке найдутся те, кто не любит играть честно. С помощью DDoS-атак они могут попытаться испортить вам бизнес, заставить отступить от своих планов.
Что делать в этом случае? Опять же не идти на поводу у злоумышленников. Если конкуренты вас бояться и хотят остановить, значит, вы развиваетесь в правильном направлении.
Помимо умышленных атак, бывают ещё и неумышленные:
DDoS-атака обычно бывает неожиданной. У вас нет никаких акций, распродаж, вы ничего не делали, чтобы привлечь клиентов. А на сервер ни с того ни с сего идёт огромное количество запросов. Обычный всплеск трафика, в отличие от атаки, как правило, можно предсказать.
Удостовериться в том, что это именно DDoS-атака, можно, проанализировав логи. Это файлы, которые хранятся на жёстком диске сервера. В них записывается информация о посетителях сайта, переданных данных и сообщения об ошибках.
Доступ к логам обычно предоставляется хостинг-провайдером через панель управления.
Если ваш ресурс атакован, вы наверняка увидите, что с одних и тех же IP-адресов идёт множество одинаковых запросов и пакетов.
Сразу скажем: своими силами организовать полноценную защиту не получится. Нет ни одного бесплатного способа, который гарантированно защитит ваш сайт или приложение. Постоянно появляются новые DDoS-атаки, а старые с каждым днём совершенствуются.
Но кое-что сделать вы всё-таки можете.
Сайт «упал» в самый ответственный момент, во время предновогодней распродажи. А это точно была DDoS-атака?
Если у вас грамотная инфраструктура, предусмотрено равномерное распределение нагрузки, учтены возможные всплески трафика, DDoS-атаки для вас будут уже не так страшны. Не жалейте средств на инфраструктуру. Лучше сделать одно хорошее вложение, чем сэкономить, а потом много раз терпеть убытки.
А если ресурсов на свою инфраструктуру нет, можно купить IT-решение, например подключить CDN — сеть доставки контента.
EdgeЦентр CDN доставляет любой тяжёлый контент по всему миру. Это быстрая и безопасная сеть, вошедшая в Книгу рекордов Гиннесса, с более чем 70 точками присутствия на всех континентах.
Если вас атаковали, а никакой защиты для сайта вы не предусмотрели, есть несколько действий, которые можно предпринять.
1. Забаньте IP-адреса, с которых идёт атака. Их можно найти в логах.
Чтобы не блокировать каждый запрос вручную, можно использовать grep. Это утилита, которая позволяет находить определённые элементы в файле и выполнять с ними простые действия: например, блокировать.
Вам очень повезёт, если атака на сайт была короткой. Тогда вы сможете разом вычислить, откуда идёт «мусорный» трафик, и заблокировать его.
Но такая удача бывает редко. DDoS-атака может длиться несколько дней и идти с тысячи разных IP-адресов. Заблокировать их все, даже при помощи grep, невозможно.
Плюс сама по себе блокировка по IP-адресам при умных атаках не слишком эффективна. Злоумышленники могут использовать динамические IP-адреса — тогда никакая блокировка не спасёт.
2. Заблокируйте запросы по геолокации. Метод подойдёт, только если вы видите, что очень много запросов к сайту идёт из конкретной точки земного шара. Например, ваши пользователи живут в Восточной Европе, а тут внезапно огромное количество трафика пришло из Африки.
Но такая удача — редкость. Сейчас большинство DDoS-атак умные, и атакующие, скорее всего, не дадут вам такой возможности.
3. Заблокируйте тяжёлый участок сайта. Атака может идти не на весь сайт, а на самую уязвимую его часть, например на поиск. Если это не самый важный элемент сайта, можно просто отключить доступ к нему для всех. Пусть клиенты не смогут пользоваться поиском, зато всё остальное будет работать.
Минус этого метода в том, что для большинства атак он окажется бесполезен.
Эти способы помогут остановить некоторые простые типы DDoS-атак. При этом все они рассчитаны на отражение нападения на серверы и никак не избавят вас от ботов на сайте. А ведь они тоже могут доставить большие проблемы.
Например, если у вас ограниченное количество товаров, злоумышленник может запустить ботов, которые добавят весь товар в свои корзины, и реальные пользователи не смогут ничего купить.
Кроме того, даже если вам удастся отразить атаку, вы потратите время на решение проблемы. А это значит, что какой-то период сервисы будут недоступными.
Чтобы не приходилось панически принимать экстренные меры, лучше сразу купить хостинг со встроенной защитой от DDoS-атак или подключить платную защиту от DDoS-атак к своему серверу.
1. Защита на всех уровнях. DDoS-атака может идти на сетевом (L3), транспортном (L4) уровне или уровне приложений (L7). Методы, которые мы перечислили выше, помогут в случае DDoS-атаки на каком-то одном уровне. Но атаки бывают разные. И защитить абсолютно все уровни своими силами крайне сложно.
Профессиональная защита — это грамотно разработанная платформа фильтрации, которая пропускает через себя весь трафик и блокирует подозрительный. «Мусорные» пакеты данных будут остановлены ещё на подходе к ресурсу.
2. Балансировка нагрузки. Хорошая система защиты обычно предусматривает равномерное распределение трафика между узлами. Так преступникам будет сложнее «положить» ваш сайт. Дополнительно это ещё и ускорит загрузку сайта, поможет при естественных скачках трафика.
3. Защита уязвимых мест веб-приложения. У любого сайта и приложения есть слабые места, и злоумышленники активно пользуются этим. Они вычисляют слабости и через них могут получить доступ к конфиденциальным данным пользователей.
Web Application Firewall — это защитный экран, который скрывает слабые места приложения и блокирует подозрительный трафик.
При выборе файрвола важно обратить внимание на то, как он устроен. Лучше выбрать «умный» WAF с алгоритмами самообучения. Такие экраны умеют анализировать содержимое пакетов и не заблокируют реальных клиентов заодно с ботами.
4. Финансовые гарантии. Если вы защищаете сайт подручными средствами, нет никакой гарантии, что эти средства помогут. И даже если ваша собственная защита до сегодняшнего дня более или менее справлялась, то завтра хакеры могут изобрести новый тип DDoS-атаки, и ваши методы окажутся бесполезными.
Если вы покупаете профессиональную защиту, хорошие компании всегда дают гарантии на свои услуги. И если защита не будет работать, вы сможете вернуть деньги.
При этом профессиональные системы постоянно развиваются и учитывают появление новых DDoS-атак.
Мы предлагаем защиту сайтов и приложений от ботов и защищённый хостинг на наших серверах. Также мы можем подключить защиту сервера к вашей собственной инфраструктуре.
В основе решения по защите — собственные центры фильтрации трафика в России и Европе. Суммарная полоса фильтрации — более 1,5 Тбит/с.
Система заблокирует любой трафик ботов, в том числе парсинг и брутфорс.
Блокировка идёт по сессиям, а не по IP-адресам. В платформу встроены алгоритмы самообучения. Она запоминает «благонадёжных» клиентов и при следующих запросах от них не проводит проверку. Коэффициент ложных срабатываний — меньше 0,01%.
Дополнительно с защитой вы можете купить «умный» файрвол для веб-приложения.
Защитите ваши ресурсы комплексным решением и забудьте о DDoS-атаках.