DDoS-атаки та захист від них

Про принципи роботи DDoS атак і про те, як від них захиститися при хостингу в Україні або іншій країні, ви дізнаєтеся у поданій статті.

Визначення DDoS-атаки

DDoS атака – метод впливу, у якому цільова система отримує безліч запитів від величезної кількості анонімних користувачів чи ботов. Іноді їхня кількість сягає мільйона. Це відрізняє DDoS від звичайної атаки, коли зловмисники використовують один хост. Їхні дії спрямовані на те, щоб сайт став непридатним для клієнтів або не зміг обробляти велику кількість операцій одночасно.

При DDoS-загрозах хакери використовують цільове навантаження. Цей спосіб допомагає зробити протоколи інтернет-служби недоступними. У такий спосіб вони можуть атакувати окремі мережеві компоненти або сервери.

Принцип дії

Метою зловмисників є мережеве обладнання, інфраструктура, служби додатків сайтів та сервісів, що належать великим корпораціям та інтернет-структурам. Їхні дії спрямовані на дестабілізацію роботи цільової системи, яка працює на віртуальному або VPS хостингу в Україні. Для цього вони діють за таким алгоритмом:

1. Збирають дані про об'єкт, щоб виявити та проаналізувати явні та потенційно вразливі місця.


2. На основі оброблених даних вибирають метод атаки.


3. Розробляють шкідливий код на комп'ютерах та пристроях, які підключені до Інтернету та до яких вдалося отримати доступ.


4. З пристроїв, управління над якими вдалося перехопити, генерують великий трафік шкідливих запитів.


5. Аналізують результати операції. Якщо мети не досягнуто, хакери знову збирають дані та підбирають інший метод впливу на цільову систему.

Якщо вразливе місце вибрано правильно, а стратегія виявилася успішною, продуктивність атакованого ресурсу знижується. Результат залежить від його масштабу та специфіки діяльності. Одні сайти перестають справлятися із запитами користувачів, інші – – «зависають», треті – відключаються від інтернету та стають недоступними для клієнтів.

Види DDoS атак

Перший параметр, за яким розрізняються DDoS, – рівень мережевої моделі OSI, де вони проводяться. Ось основні рівні:

1. Level 3. Мережевий рівень. Хакери використовують протоколи IP, IGMP, OSPF та інші. Вони атакують маршрутизатори, комутатори та інше мережеве обладнання.


2. Level 4. Транспортний рівень. Застосовуються протоколи UPD, TCP та деякі підпротоколи. Хакери атакують сервери, ігрові та інші інтернет-сервіси.


3. Level 7. Рівень програм. Зловмисники атакують по DNS, HTTP та іншим протоколам додатків. Їхньою метою є web-додатки, сайти та популярні сервіси.

Окрім рівня мережевої моделі OSI, ще одним критерієм відмінності DDoS атак є спосіб впливу на цільову систему. По-перше, хакери можуть направити на сервіс великий обсяг запитів, який він зможе швидко обробити. По-друге, вони можуть впливати на вразливі місця програм, щоб знизити продуктивність програмного комплексу, підключеного до мережі. По-третє, вони можуть направити ресурс великий обсяг некоректних запитів. У спробі обробити їхню жертву «увійде в ступор», що викличе відмову системи.

Мета зловмисників

У більшості випадків мотивом зловмисника є бажання заробити. Якщо DDoS-атака спонсорується несумлінними конкурентами, їх дії можуть бути регулярними та інтенсивними.

Інші мотиви зловмисників:

• бажання вдосконалити хакерську майстерність;


• славославство;


• шантаж;


• конфлікт переконань та інтересів;


• політичний чи соціальний протест.

Компанія, яка зазнала успішних DDoS-атаків, зазнає як репутаційних, так і фінансових збитків. Вона отримує численні скарги, втрачає клієнтів та контракти, стикається з негативним відгуком у соціальних мережах, недоотримує прибуток.

Іноді DDoS атака – відволікаючий маневр. Поки служба інформаційної безпеки атакованого ресурсу вживає заходів щодо нейтралізації дій ботів, зловмисники в цей час проводять заходи щодо встановлення шкідливих кодів, викрадення конфіденційної інформації або злому сервісу.

Об'єкти DDoS-атак

Зазвичай DDoS-атаки про існують проти компаній e-commerce, ігрових сервісів, фінансових та урядових установ. У 2020 р., коли багато хто перейшов на віддалення, дії зловмисників стали частіше фіксувати на освітніх платформах, розважальних та медійних сайтах, онлайн-кінотеатрах та сервісах, що організовують відеоконференції. Ще одними популярними об'єктами атаки ботів є банківські ресурси та сайти компаній, які організовують вибори. І це незважаючи на наявність у них сертифікатів безпеки SSL.

Пристрій DDoS-атак

Дії зловмисників завжди викликають приблизно однакову картину, а перевантаження атакованого ресурсу розвивається за одним і тим самим сценарієм. Зазвичай об'єктом атаки ботів є або інфраструктура, або програми.

Вплив на інфраструктуру цільової системи

Найпоширенішим видом DDoS атаки є атака рівня інфраструктури – L3 та L4. Зазвичай зловмисники користуються UPD-флудом, тобто зв'язками користувача дейтаграмних пакетів, і SYN-флудом, тобто синхронізованими потоками. При цьому жертва протягом тривалого часу отримує великий обсяг трафіку, який перевантажує її пропускну здатність та сервери. Цей тип впливу має характерні ознаки, за якими його легше виявити та нейтралізувати.

Вплив на рівні додатків

До цього типу відносяться атаки на рівнях L6 і L7. Вони досить складні, не такі об'ємні і не такі поширені. Їхнє завдання – закрити користувачам доступ до дорогих частин програми.

Способи захисту від DDoS атак

Перед тим як запустити сайт або інтернет-магазин, власник повинен перевірити домен та підвищити стійкість сервісу до атак зловмисників. Ці заходи вимагають мінімум часу та ресурсів. Щоб бути впевненим, що сайт або інтернет-магазин захищений, потрібно:

• збільшити обсяг інформації, що надається anti-DDoS інструменту;


• зменшити обсяг інформації, яка може потрапити зловмиснику;


• підвищити стійкість цільової системи до атак;


• задіяти ефективні інструменти фільтрації загроз.

Захистом від масових атак ботів потрібно займатися ще під час проектування архітектури сайту. У майбутньому це підвищить його стійкість до різних видів хакерських загроз.

Інструменти захисту інтернет-сервісів бувають локальними, хмарними та комбінованими. У свою чергу локальні рішення бувають апаратними та програмними. Їх встановлення може проводитися як провайдерами, так і користувачами. Локальні anti-DDoS рішення – прерогатива інтернет-провайдерів, хмарних сервісів та data-центрів. Останні мають власну службу інформаційної безпеки і пропонують користувачам ресурси для захисту від атак, потужність яких може досягати сотні Гб.

Хмарними рішеннями зазвичай користуються провайдери хмарних сервісів. Вони пропонують користувачам:

• технічну підтримку;


• інформаційний та технічний супровід під час хакерських атак;


• захист ресурсу від хакерських загроз.

Комбінований захист поєднує інструменти локальних та хмарних рішень. У цьому випадку хмарні anti-DDoS інструменти підключаються відразу після того, як зловмисники починають атакувати цільову систему. Такий підхід привабливий тим, що не має обмеження щодо атак, як локальні рішення, і наділений перевагами хмарних рішень. Його використовують дрібні інтернет-провайдери та компанії, які взаємодіють із клієнтами переважно в онлайн-форматі.

Для захисту сервісів використовують симетричні та несиметричні алгоритми. У першому випадку фільтри аналізують вихідний та вхідний трафік, у другому – тільки вхідний.

Висновок

Кількість сайтів та інтернет-магазинів постійно зростає, а пропускна спроможність мереж збільшується. Це створює ідеальне середовище для зловмисників. Експерти впевнені, що до 2025 р. кількість DDoS-атак також збільшиться. Це з тим, що з організації та проведення хакерам не потрібна спеціальна підготовка. При цьому ефект їхнього впливу призводить не тільки до фінансових та витрат, але й до руйнування цілих компаній. У найближчому майбутньому DDoS-атаки стануть інструментом кібертерористів, які бажають впливати на економічні інтернет-структури та корпорації. Запобігти цьому можна, тільки якщо вчасно вживати заходів щодо захисту ресурсів, своєчасного виявлення та нейтралізації загроз.