Що таке DDOS-атака?

DDOS розшифровується як Distributed Denial-Of-Service. Це різновид кіберзлочинності, коли одна або кілька сторін намагаються перервати трафік сервера чи веб-сайту. Щоб бути ефективними, вони використовують для атаки не лише один комп’ютер, а часто цілу мережу.

Але це не лише машини зловмисника – існують види шкідливих програм і вірусів, які можуть вплинути на комп’ютер звичайного користувача та перетворити його на частину атаки. Навіть пристрої IoT не безпечні – якщо у вас вдома є розумний пристрій, теоретично його можна використовувати для такої атаки.

Як це працює?

Найпростіший спосіб пояснити DDOS-атаки — порівняти їх із заторами. Звичайний транспортний потік переривається, тому що десятки (або сотні, тисячі тощо) несподіваних автомобілів зливаються з головною дорогою, не пропускаючи інших автомобілів.

Збої, що з’являється, заважає звичайним водіям досягти своєї мети – у випадку DDOS це буде сервер або веб-сайт, який вони шукають.

Існують різні типи атак, спрямовані на різні елементи звичайного зв’язку клієнт-сервер.

Атаки прикладного рівня намагаються виснажити ресурси цілі, змушуючи її багаторазово завантажувати файли або запити до бази даних – це уповільнює роботу сайту і в крайніх випадках може викликати проблеми з сервером, перегріваючи його або збільшуючи споживання енергії. Від цих атак важко захиститися, оскільки їх важко помітити – нелегко сказати, чи сплеск використання пов’язаний із збільшенням справжнього трафіку чи зловмисною атакою.

Атаки HTTP Flood здійснюються шляхом постійного оновлення сторінки браузера – за винятком мільйонів разів. Цей потік запитів до сервера часто призводить до того, що він буде перевантажений і більше не відповідає на (справжні) запити. Захист включає наявність серверів резервного копіювання та достатньої потужності для обробки запитів. Наприклад, така атака майже точно не спрацює проти Facebook, оскільки їхня інфраструктура настільки сильна, що може впоратися з такими атаками.

Атаки протоколу намагаються виснажити сервер, споживаючи всю потужність, яку мають такі речі, як веб-додатки, тобто повторюючи запити до елемента сайту або служби. Це призведе до того, що веб-додаток перестане відповідати. Часто використовуються фільтри, які блокують повторні запити з одних і тих самих IP-адрес, щоб запобігти атакам і підтримувати роботу служби для звичайних користувачів.

Атаки SYN Flood здійснюються, по суті, шляхом багаторазового запиту сервера отримати елемент, а потім не підтверджувати його отримання. Це означає, що сервер утримує елементи й чекає квитанції, яка ніколи не приходить – доки він не зможе більше утримуватись і не почне скидати їх, щоб забрати більше.

Volumetric Attacks намагаються штучно створити перевантаження, спеціально займаючи всю пропускну здатність сервера. Це подібне до атак HTTP Flood, за винятком того, що замість повторних запитів на сервер надсилаються дані, що робить його занадто зайнятим, щоб відповідати на звичайний трафік. Для здійснення цих атак зазвичай використовуються ботнети – вони також часто використовують розширення DNS.

Порада: посилення DNS працює як мегафон – менший запит або пакет даних представляється набагато більшим, ніж він є. Це може бути зловмисник, який запитує все, що може запропонувати сервер, а потім просить повторити все, що просив зловмисник – відносно невеликий і простий запит в кінцевому підсумку займає багато ресурсів.

Як захиститися від DDOS-атак?

Перший крок до боротьби з цими атаками — переконатися, що вони дійсно відбуваються. Помітити їх не завжди легко, оскільки стрибки трафіку можуть бути нормальною поведінкою через часові пояси, випуски новин тощо. Щоб змусити свої атаки спрацювати, зловмисники DDOS намагаються максимально приховати свою поведінку в звичайному трафікі.

Інші процедури для пом’якшення DDOS-атак – це чорні діри, обмеження швидкості та брандмауери. Чорні діри є досить крайнім заходом – вони не намагаються відокремити справжній трафік від атаки, а перенаправляють кожен запит із сервера, а потім відкидають його. Це можна зробити, наприклад, під час підготовки очікуваного нападу.

Обмеження швидкості є трохи менш грубим для користувачів – воно встановлює штучне обмеження для кількості запитів, які буде приймати сервер. Цього ліміту достатньо для проходження звичайного трафіку, але занадто багато запитів автоматично перенаправляється та відкидається – таким чином сервер не може бути перевантажений. Це також ефективний спосіб зупинити спроби злому пароля методом грубої сили – скажімо, після п’яти спроб IP-адреса просто блокується.

Брандмауери корисні не лише для захисту вашого власного комп’ютера, а й на стороні сервера від веб-трафіку. Між Інтернетом і сервером, зокрема, встановлюються брандмауери веб-додатків – вони захищають від кількох різних типів атак. Хороші брандмауери також здатні швидко налаштувати індивідуальні реакції на атаки, коли вони відбуваються.

Порада: якщо ви хочете захистити свій сайт або сервер від якоїсь атаки DDOS, вам знадобиться набір різних рішень (скоріше за все, включаючи брандмауер). Найкращий спосіб зробити це – проконсультуватися з консультантом з кібербезпеки та попросити його розробити індивідуальний план, який відповідає вашим потребам. Універсального рішення не існує!