Ежегодный ущерб, который DDoS-атаки наносят мировой экономике, оценивается примерно в миллиард долларов. В зависимости от своих масштабов, компании по всему миру теряют в среднем от 50 до 500$ тыс. в результате подобных нападений. Это один из опаснейших видов киберпреступности, поскольку атака проводится из множества источников одновременно. Она непредсказуема, и до сих пор не существует технической возможности полностью уберечь себя от нее. Однако это вовсе не означает, что не нужно пытаться. В статье мы расскажем о том, кто чаще других становится жертвой распределенных кибератак, какими они бывают, к чему могут привести и как можно выстроить от них защиту. Спойлер: без хостера не обойтись.

Кого и зачем атакуют

Существует четыре основные причины, по которым может совершаться атака. Чаще всего DDoS вызывают в целях:

  1. Конкуренции. В данном случае нападение на ИТ-инфраструктуру компании происходит по заказу ее конкурентов. Например, если два интернет-магазина продают одинаковую продукцию, но один из них предлагает более выгодные для клиента условия, второму магазину не обязательно менять маркетинговую стратегию — достаточно заплатить хакеру и заблокировать конкурентный ресурс.
  2. Социального/политического протеста. Если действия организации/государства не вписываются в рамки общественных ценностей (или ценностей отдельной группы людей), ее могут атаковать, чтобы выразить несогласие. Неэтичная кадровая политика, неэкологичные подходы к производству, острые высказывания высокопоставленных чиновников — все это легко может спровоцировать DDoS-атаку на интернет-ресурсы, связанные с соответствующими лицами.
  3. Мошенничества. Нередко такая атака служит для реализации мошеннических сценариев. Злоумышленник блокирует сайт и начинает шантажировать его владельца: требовать «выкуп» за возвращение доступа и прекращение нападения.
  4. Развлечения. Хакеры-новички довольно часто проверяют свои силы, атакуя реальные проекты.

Кроме того, не стоит забывать и о личной неприязни. Люди бывают очень обидчивы и мстительны — настолько, что не жалеют времени и денег на то, чтобы «подгадить» обидчику. Жертвами DDoS-атаки может стать кто угодно: банк, социальная сеть, интернет-магазин, хостинг-провайдер, личный блог, сайт медицинской или некоммерческой организации, интернет-СМИ, игровой сервер и любой онлайн-сервис. Не застрахован никто.

Защита от DDoS-атак на хостинге.

Последствия ДДоС-атак

Distributed Denial of Service attack (DDoS) — это распределенная атака, направленная на то, чтобы вызвать «отказ в обслуживании» у объекта-жертвы. В отличие от однопоточной DoS-атаки, обнаружить зловредный трафик здесь гораздо труднее, поскольку атакующий его распределяет, т. е. отправляет с разных устройств. Это опасно, ведь их количество может достигать сотен тысяч: в сентябре 2021 года Яндекс был атакован ботнетом численностью в 200 000 ботов. Атака была отражена, но это скорее исключение, чем правило. Обычно DDoS приводит к очень плачевным последствиям. Представьте, что к одному компоненту вашей системы единовременно обращаются десятки миллионов пользователей — именно такое количество пакетов (в секунду!) поступало от компьютерной сети, атаковавшей сервера Яндекса. Подобные нагрузки выводят оборудование из строя, а это чревато проблемами для любого бизнеса.

Во-первых, простои в работе коммерческих интернет-проектов — это всегда почти прямые финансовые убытки. Пока онлайн-магазин не функционирует, он не приносит прибыль, но продолжает расходовать средства на обслуживание. Кроме того, денег потребует и восстановление поврежденной инфраструктуры. Главным образом, эта проблема становится актуальна в периоды пиковых продаж.

Во-вторых, DDoS-атаки могут использоваться для прикрытия других киберпреступлений. Например, взлома сайта и кражи конфиденциальной информации. Когда система не справляется с нагрузкой и начинает сбоить, утечка данных — это вполне вероятное последствие. Сюда же можно отнести вымогательство, о котором мы говорили в предыдущем параграфе.

В-третьих, интернет-пользователи крайне избирательны и не будут второй раз обращаться к ресурсу, который тормозит или вовсе не открывается. Из-за DDoS закономерно страдает репутация компании. А потеря доверия и лояльности аудитории быстро переходит в потерю рынка.

Также многопоточная атака косвенно влияет на работу службы поддержки. Если сайт недоступен, посетители массово начинают отправлять жалобы через почту или по телефону. Растет нагрузка на сотрудников поддержки, и все больше человек остаются неудовлетворены. А ведь если рухнувший онлайн-проект сотрудничал с другими бизнесами и они пострадали в результате сбоя, на него, вероятно, будут подавать судебные иски.

Как видите, преднамеренный «отказ в обслуживании» способен негативно повлиять на бизнес-процессы не только «здесь и сейчас», но и в долгосрочной перспективе.

Типы DDoS-атак

Классифицировать все существующие виды DDoS-атак не представляется возможным, поскольку сам принцип такой кибератаки подразумевает большую свободу действий для злоумышленника. «ДДоС» тем и грозен, что имеет великое множество путей для реализации. Тем не менее есть две самых распространенных классификации многопоточных нападений. Первая — по способу взаимодействия. Так, атака может быть осуществлена посредством:

  1. Переполнения канала. Здесь цель состоит в заполнении полосы пропускания ложным трафиком, чтобы пользовательские запросы просто не доходили до жертвы. Все сетевые ресурсы тратятся на обслуживание эхо-запросов, посланных ботнетом, поэтому реальный пользователь не может связаться с нужным сайтом. Сюда относятся DNS-флуд, UDP-флуд, Ping-флуд и т. п.
  2. Использования протокольных уязвимостей. Хакер отправляет некорректные запросы, содержащие ошибки в протоколах, из-за чего сервер не справляется с их обработкой. В эту группу также входят нападения на фаерволы и брандмауэры.
  3. Использования слабых мест приложения. Атака направлена на уязвимости в логике или архитектуре программного обеспечения. Злоумышленник перегружает сервер большим количеством операций, и происходит отказ в обслуживании.

Вторая классификация делит атаки на три группы в соответствии с уровнем OSI (Open System Interconnection), на котором они проходят:

  1. Сетевой уровень (L3). Как следует из названия, в этом случае атаке подвергаются устройства, необходимые для работы сети. Маршрутизаторы, коммутаторы, концентраторы и т. д.
  2. Транспортный уровень (L4). Предполагает, что атаковать будут серверы приложений. Для таких нападений применяют протоколы TCP, UDP, DCCP, RUDP и др.
  3. Уровень приложений (L7). Атакуются непосредственно сами интернет-ресурсы: веб-приложения, сайты, порталы, различные онлайн-сервисы. При этом используют протоколы HTTP, HTTPS, DNS.
Типы DDoS.

Как защититься от DDoS-атак

Как мы уже сказали, универсального средства защиты пока не придумали. Все методы борьбы с DDoS-атаками в итоге сводятся к тому, чтобы злоумышленник счел нападение нерентабельным. Соответственно, защищать свою инфраструктуру необходимо всеми доступными способами. Чем выше уровень безопасности проекта, тем ниже вероятность, что хакер захочет с ним возиться. Поэтому о защите нужно думать не после того, как начнется атака, и даже не во время мероприятий по повышению отказоустойчивости системы, а еще на этапе проектирования самого ПО и выбора площадки для его размещения. Что это значит? Давайте по порядку.

Во-первых, связность системы в данном случае — больше минус, чем плюс. Лучше заранее продумайте, как сбой одного элемента инфраструктуры может повлиять на работу остальных. Стройте распределенную систему: используйте несколько независимых серверов, располагайте определенные части ПО на разных IP-адресах (например, игровой сервер и сайт игры), подключите CDN-сервисы, чтобы распределять запросы и не отрабатывать зловредный трафик.

Во-вторых, внутри вашей сети должны соблюдаться правила информационной безопасности. Внедрите систему контроля доступа, применяйте сложные пароли, установите антивирусы и фаерволы.

В-третьих, тестируйте инфраструктуру на наличие слабых мест. В интернете можно найти онлайн-сервисы, которые предоставляют такую возможность. Кроме того, не забывайте о таких базовых вещах, как тестирование программного кода, своевременное обновление ПО, делайте резервные копии. Разумеется, если вам позволяет бюджет, необходимо использовать и аппаратные средства защиты.

Изложенные рекомендации о том, как защитить сайт от DDoS-атак, могут быть использованы в качестве вспомогательных мер, но не основных. Помните, что для полноценной защиты потребуется помощь профессионалов. Есть немало компаний и сервисов, предоставляющих такие услуги. В том числе хостинг-провайдеры.

Как выбрать хостинг с защитой от DDoS

Хостер является главным защитным рубежом при распределенных нападениях класса «отказ в обслуживании». При выборе провайдера следует уделять особое внимание его возможности защищать клиентские ресурсы от подобной угрозы. Для этого внимательно прочтите соглашение об уровне сервиса (SLA) и условия оказания услуги защиты от DDoS-атак. В этих документах должны быть ответы на следующие вопросы:

  • какие технические ограничения заявляет поставщик;
  • что будет, если заказчик выйдет за пределы этих ограничений;
  • как именно поставщик защищает хостинг от атак.

Если информации об этом нет, стоит либо обратиться к другой хостинг-компании, либо выстроить L3/L4-защиту своими силами через подключение к сетям стороннего провайдера защиты. Если же сведения даны, то изучите их подробно. Главным образом, нужно смотреть на ширину пропускного канала и вычислительную мощность оборудования. Чем выше будут значения, тем большая по масштабу атака может быть отражена.

Заключение

К сожалению, количество DDoS-атак с каждым годом растет почти наполовину. Защищаться от них становится сложнее: появляется все больше сценариев, по которым может вестись атака, увеличиваются размеры ботнетов. Однако специалисты по кибербезопасности тоже не сидят на месте. В проектировании защиты для своей инфраструктуры важно использовать актуальные средства и не пренебрегать базовыми принципами безопасности. Даже если атака будет произведена, вы хотя бы будете к ней готовы.