DDoS-атака проти вас: що таке і як боротися

«DDoS-атака? Ні не чув. Та й чого турбуватися, адже мій сайт зовсім мааааленький », – приблизно так міркують деякі власники невеликих інтернет-проектів.

Під загрозою хакерського нападу знаходиться будь-який мережевий ресурс – не тільки сайт або веб-додаток, а й … звичайний домашній комп’ютер, смартфон, телевізор з доступом в Інтернет і т. д. Отже, що таке DDoS атака і чим вона може нашкодити особисто вам.

Що таке DDoS-атака?

Поняття DDoS або Distributed Denial of Service означає «розподілена відмова в обслуговуванні» – зловмисний напад на мережевий ресурс з метою довести його до стану, коли він не зможе обробляти вхідні запити. І не як-небудь, а шляхом завалювання його величезною кількістю таких запитів.

Зрозуміло, щоб звалити якийсь сервер, запитів з одного комп’ютера явно недостатньо. Тому хакери використовують зомбі-мережі (ботнети), що складаються з мережевих пристроїв (ПК, смартфонів, планшетів, смарт ТВ, розумної побутової техніки), заражених троянською програмою, яка надає зловмисникові функції віддаленого контролю.

Троянець може ніяк не видавати своєї присутності на зараженій машині, поки не отримає команду від хакера. Ось тоді і починається DDoS-атака – безліч пристроїв одночасно звертаються до сервера-жертви і тим самим виводять його з ладу.

Розподілена відмова в обслуговуванні (DDoS-атака) проводиться за допомогою комп’ютерних пристроїв, розміщення яких виходить за межі однієї локальної мережі. Цим вона відрізняється від DoS-атак (Denial of Service), де бере участь тільки один комп’ютер або одна локальна мережа.

Великі зомбі-мережі налічують мільйони заражених девайсів. Власники останніх часто не підозрюють, що їх техніка живе таємним життям і комусь шкодить. І навіть дізнавшись, хтось думає про це так: «раз мені не заважає, то нехай хлопці користуються». Однак це дуже небезпечна безтурботність, адже DDoS-трояни часто мають і інші «корисні» (не вам, зрозуміло) функції: віддалений доступ до системи зараженого пристрою, збір конфіденційних даних (логінів, паролів, номерів банківських карт), розсилку спаму з електронних скриньок власника, майнінг криптовалют і т. д.

Але навіть якщо вам дістався «чистий» троянець, здатний тільки на проведення атак, шкоди від нього теж буде чимало. Адже він використовує апаратні ресурси вашого обладнання і забиває мережевий канал, що знижує продуктивність і швидкість з’єднання з Інтернетом в рази.

Хто, кого і навіщо

DDoS-атака – це вплив, спрямований на конкретний мережевий ресурс, яке переслідує цілком певну мету – паралізувати роботу, завдати матеріальної шкоди, дискредитувати власника в очах клієнтів і партнерів. Нерідко такі напади – частина складного ланцюжка кіберзлочинів, кінцева мета яких – злом сервера з подальшою крадіжкою або знищенням даних.

Потужні і тривалі – високорівневі атаки DDoS – задоволення не з дешевих. Вони відбуваються нечасто, але з шумом і освітленням в пресі, а проводять їх добре оснащені кіберзлочинці-професіонали і хакерські співтовариства. Цілями таких нападів зазвичай стають великі заможні компанії, а ініціаторами – або конкуренти і вороги останніх, або самі зловмисники заради відкупу за припинення впливу. Нерідко цей інструмент використовують як знаряддя політичних акцій, наприклад, щоб привернути увагу або чинити тиск на впливових осіб.

Середні і малопотужні DDoS-атаки – явище куди більш поширене. Їхньою жертвою може стати будь-який доступний з Інтернету ресурс – сайт, корпоративний сервер і навіть чийсь особистий комп’ютер. Замовниками та виконавцями подібних акцій теж стають конкуренти і здирники, але можуть бути і просто цікаві експериментатори з числа нудьгуючих школярів.

Втім, проблем від викрутасів «мамкіних хакерів» нітрохи не менше, ніж від профі: якщо їм вдається досягти поставленої мети, жертва неминуче зазнає збитків і витрачає сили на усунення наслідків. Але найнебезпечніше те, що роботою недоучок можуть скористатися їх більш просунуті «колеги» і спробувати, наприклад, проникнути на атакуємий ресурс.

«ПоДДосить» невеликий сайт або сервер дрібного підприємства варто цілком доступних грошей. Зловмиснику навіть не потрібно мати свій ботнет – послуги проведення DDoS-атак сьогодні пропонуються майже легально. І не де-небудь в даркнетах, а у відкритій Всесвітній павутині. Ну а особливо допитливі можуть просто завантажити програму з інструкцією і зробити все «як треба» своїми руками. До їх радості, ПО для проведення DDoS теж можна знайти у вільному доступі.

Професійні масштабні напади ведуться з командних центрів, розташованих в різних країнах світу. Центри часто ніяк не пов’язані ні з географією зомбі-мереж, якими керують, ні з місцезнаходженням самих кіберзлочинців. А це створює певні труднощі в нейтралізації подібної діяльності.

Навпаки, відповідальність за «аматорські» атаки частіше лежить на тих, хто має або раніше мав пряме відношення до жертви. Вони, як правило, не володіють ресурсами, здатними забезпечити їм належний рівень захисту, і легко попадаються. Так що якщо вашому бізнесу намагаються шкодити за допомогою DDoS, не забувайте звертатися в правоохоронні органи.

Типи і тривалість DDoS-атак

Методик проведення DDoS досить багато, тому більшість атак можна віднести до одного конкретного варіанту. Зазвичай вони мають складний, комбінований характер. Але частіше за інших зустрічається такі типи нападів:

• Volumetric  (об’ємні) – пов’язані з переповненням і вичерпанням пропускної здатності мережі.
• Рівня додатків – пов’язані з вичерпанням ресурсів сервера або конкретного серверного додатка, що створюється інтенсивним обчислювальним навантаженням або незавершеними запитами.
• Рівня протоколів – пов’язані з експлуатацією уразливості мережевих протоколів і спрямовані на вичерпання обчислювальних можливостей мережі і проміжних вузлів (фаєрволів).

Атаки типу Volumetric проводяться шляхом відправки на випадкові порти сервера величезної кількості пакетів UDP або луна-запитів ICMP (UDP і ICMP-флуд). При отриманні того чи іншого атакуюча система повертає відправникам відповіді, що тільки підсилює забивання мережевого каналу.

Атаки рівня додатків (найпоширеніші) полягають у відправці серверним програмам надмірної кількості пакетів HTTP / HTTPS / SNMP, які тим доводиться обробляти, або незавершених запитів HTTP (HTTP-флуд), щоб сервер простоював в очікуванні отримання їх відсутніх частин.

Атаки рівня протоколів проводяться шляхом «бомбардування» сервера-жертви незавершеними запитами SYN (SYN-флуд), щоб створити велику кількість напіввідкритих (непідтверджених) TCP-з’єднань і тим самим заблокувати можливість обробки легітимних підключень. Інший різновид нападу цього типу полягає у відправці фрагментованих або надлишково-великих пакетів ICMP, щоб зайняти серверні ресурси приведенням їх до стандартного вигляду.

При DDoS-атаках використовуються і інші види флуду, наприклад, MAC-флуд, який призначений для виведення з ладу мережевих комутаторів, DNS-флуд, застосовуваний для нейтралізації серверів DNS і т.д.

Яким би не був спосіб нападу, в його основі завжди лежить одне – вичерпання ресурсів вузла, що атакується.

Тривалість дії на жертву обмежується тільки можливостями і бажанням нападника. Більше половини DDoS-атак триває менше доби. Приблизно третина – менше години. Решта тривають від двох днів до декількох тижнів і найменша частина – більше одного місяця.

Як визначити, що ваш сервер або сайт піддався нападу

Від початку дії до моменту, коли атакований ресурс перестає відповідати на запити, найчастіше (але не завжди) проходить кілька годин. Якщо встигнути прийняти захисні заходи, серйозних наслідків можна уникнути. Але для цього необхідно знати, якими бувають неявні ознаки нападу.

Отже, у чому проявляється DDoS-атака:

• Вхідний, а іноді і вихідний мережевий трафік вузла, що атакується збільшується в рази і має тенденцію до подальшого зростання. Помітно зростає обсяг трафіку на певні порти.
• По наростаючій збільшується навантаження на процесор і оперативну пам’ять.
• В роботі серверних додатків виникають різні помилки – від «вильоту» окремих функцій до повної неможливості запуску.
• Основна маса клієнтів звертається до одних і тих же функцій програми або сайту, наприклад, відкриває певну сторінку.
• На сайті що атакується повільно вантажаться сторінки, не виконуються окремі функції, виникають помилки. Іноді при ознаках атаки сайт блокує хостинг-провайдер, щоб захистити від впливу ні в чому не винних сусідів.
• В логах атакуємого сервера і мережевих пристроїв велика кількість однотипних запитів від клієнтів, географічно віддалених один від одного (зомбі-мережі заражених комп’ютерів).
• До сайту, традиційно має аудиторію, об’єднану за конкретною ознакою, наприклад, мови або місця розташування (міський портал), масово звертаються клієнти, які не мають цієї ознаки. Наприклад, з інших міст і країн.

Ці симптоми, крім двох останніх, зустрічаються не тільки при нападах хакерів, але і при інших неполадках мережевих ресурсів. Єдина ознака – привід посилити увагу. Але якщо їх два або більше, пора вживати захисних заходів.

Як запобігти і зупинити DDoS напад, якщо він вже почався

Багато власників сайтів переконані, що одноразову атаку, якщо вона вже в ходу, простіше і дешевше перечекати, адже найчастіше вони короткочасні. Зазвичай це так, але якщо примудрився потрапити під вплив високого рівня, який триває кілька днів, боротьба буде нелегкою і витратна:

• Якщо сайт розміщений на віртуальному сервері, перенесіть його на виділений. Можливо, атака спрямована не на вас, а на один з сусідніх сайтів.
• Підключіть служби, в арсеналі яких є спеціальні апаратні комплекси захисту від DDoS, так як тільки програмні методи в таких випадках малоефективні.

Середньо- і малопотужні впливу (флуд) можна спробувати відбити своїми силами шляхом відстеження і блокування джерел запитів. Однак часу на це піде не набагато менше, ніж триває напад.

Набагато правильніше приділити трохи уваги налаштування мережевих ресурсів до того, як вас атакують.

Ось приблизний список того, що слід зробити в першу чергу:

• Встановіть на сайті захист від ботів, де це можливо.
• Проаналізуйте логи, визначте неблагонадійні адреси і домени і заблокуйте їм доступ до вашого ресурсу назавжди.
• Забороніть обробку запитів ICMP. При неможливості заборони – обмежте.
• Використовуйте фільтри і аналізатори мережевого трафіку до того, як він потрапить на сервер.
• Відмовтеся від використання на сервері потенційно уразливого ПО, а те, що встановлено, підтримуйте в актуальному стані.
• Підключіть засоби контролю стану системи і програм.
• Встановіть квоти на використання апаратних ресурсів. Збільште пропускну здатність мережі і виділіть окремий канал для адміністративного доступу.
• Збільште ліміт на максимальне число з’єднань HTTP.
• Скоротіть максимум одночасних напіввідкритих з’єднань TCP з одним клієнтом і час їх утримання.
• Ізолюйте служби, призначені для адміністрування, від доступу ззовні.
• Використовуйте готові рішення захисту від DDoS, якими володіє ваш хостинг-провайдер і сторонні комерційні компанії.

І якщо є можливість, розподіліть найбільш важливі веб-ресурси з різних, не пов’язаних один з одним серверів. Щоб у разі атаки на один, інші залишалися доступні.

Можливо, ці заходи не забезпечать вам стовідсоткового захисту від загроз, але точно знизять їх ймовірність в десятки разів.

Успіху і безпеки!

Блогун — реклама в социальных сетях, блогах и сообществах