Что такое dDOS?

313 просмотров всего, 2 просмотров сегодня

Оглавление

  1. Отказ в обслуживании
  2. Механизм dDOS
  3. Для чего может быть применен ддос?
  4. Виды атак
  5. Как справиться с атакой?
  6. Действуем превентивно
  7. Выводы

Мы уже писали о том, как важно заботиться о безопасности сайта. Но к взлому и заражению вирусами прибавляются еще dDOS атаки, о которых поговорим в этой статье.

Отказ в обслуживании

dDOS (от английского Distributed Denial of Service) переводится как распределенная атака “отказ в обслуживании”. Логика технологии в том, что реальная аудитория компании не может получить доступ к сайту или дождаться обработки своего запроса. Как правило, главной мишенью таких диверсий являются правительственные организации, компании, связанные с интернет-торговлей.

Цель ддосера не взломать сайт, а положить сервер. Результат достигается за счет одновременного направления огромного количества запросов. Если сервер не защищен и не может отсечь запросы, то ему приходится обрабатывать их все. И через какое-то время он перегружается и выходит из строя. Скольких одновременно отправленных запросов достаточно, чтобы положить сервер, зависит от его мощности и пропускной способности канала связи. Для некоторых компаний хватит сотни обращений, а для некоторых потребуется сотня тысяч.

Вообще, DOS — это отказ в обслуживании, т.е. невозможность обработать какой-либо запрос. Ситуация может происходить, если на какой-либо сайт, например, новостной, выкладывается резонансная публикация. Она вызывает у аудитории живой интерес, количество запросов превышает возможности сервера и тогда он отключается. Однако это проблема, которая может возникать сама собой, а не из-за происков злоумышленников.

Ключевое отличие DOS от dDOs в целенаправленности последней, в ее распределенности. Как одновременно отправить столько запросов? Злоумышленники часто используют компьютеры других пользователей, которые даже не подозревают о том, что они попали в сеть, называемую ботнет.

Механизм dDOS

Если злоумышленник задумал использовать бот-сеть, сначала создается троян, который проникает в компьютеры рядовых юзеров. Чаще всего это происходит при переходе по сомнительным ссылкам. Даже если вы получаете их от друга в соцсети, не спешите переходить. Ведь он уже, сам того не зная, мог стать частью ботнета. Подцепив вирус, юзер не догадывается о его наличии, т.к. троян притаился и не вредит компьютеру. Так он обходит антивирус. В назначенное время зараженные компьютеры начинают посылать запросы на сервер жертвы. Такие боты либо ретранслируют запрос, исходящий от компьютера хакера, либо генерируют свой. Ускорить обвал сервера позволяют запросы, на которые необходим развернутый ответ.

Все ответы серверов идут к ботам, или как их еще называют зомби-компьютерам. Поэтому так сложно отследить мошенника. Кроме того, известны случаи, когда хакеры сдавали свой ботнет в аренду.
Получается, главным признаком ддоса является резко возросшее число запросов. Иногда их может быть по несколько тысяч в секунду. Чтобы у вас была цифра для сравнения, рекомендуем выявить среднее число запросов от целевой аудитории при работе сервера в штатном режиме.

Для чего может быть применен ддос?

  • лишение компании прибыли (например, интернет-магазина)
  • стремление мошенника заработать на остановке атаки
  • политическая акция

Предположить возможность такой атаки и продумать методы ее отражения стоит к завершению масштабной рекламной кампании или при выводе нового товара на рынок. Не нужно пренебрегать защитой от dDOS если ваша компания не является крупной. Мошенники могут выбрать любой сайт со стабильным трафиком. Иногда их целью становится даже не получение прибыли, а просто тренировка или демонстрация своих навыков.

Атака может проходить в два этапа. Первый — показательный и второй уже форсированный. В этом случае мошенники попросят деньги за остановку этой бомбардировки. Продолжительность dDOS может быть самой разной. Например, атака может длиться несколько суток. Представьте, сколько за это время потеряет крупный магазин.

Виды атак

Создание ботнета является одним из самых действенных методов ддоса, однако для остановки работы сервера также могут применяться другие технологии.

  • Превышение пропускной способности. Атака нацелена на исчерпание ресурсов сайта, например, памяти.
  • Пинг-флуд. Метод не предполагает использование бот-сети. Бомбардировка идет с одного или нескольких компьютеров, которые посылают эхо-запросы, не требующие больших энергозатрат от сервера.
  • HTTP-флуд предполагает отправку пакетов, на что требуются развернутые ответы. Чтобы не перегрузить собственный компьютер этими ответами злоумышленник использует динамический IP.
  • SMURF-атака — пинг-флуд, усиленный использованием ботнета.
  • Воздействие на недостатки в проблемном коде. Хакеры ищут слабые участки инфраструктуры и перегружают их информацией, заставляют обрабатывать непонятные для них запросы. Такой dDOS может привести к краху всей системы.

Здесь приведены одни из самых распространенных технологий dDOS. На самом деле их гораздо больше. Часто на них пробуют свои силы новички, так что придумок в этом направлении хоть отбавляй.

Атаки могут проходить на всех семи уровнях модели OSI.
На каждом уровне модели хакеры добиваются разных результатов.

  • 7 — нехватка системный ресурсов
  • 6 — отказ в приеме SSL соединений, автоматическая перезагрузка сервера
  • 5 — администратор не может управлять свитчем
  • 4 — достижение максимума по ширине канала
  • 3 — снижение пропускной способности системы, перегрузка брэндмауэра
  • 2 — блокировка всех портов
  • 1 — поломка сетевого оборудования

Самыми распространенными являются атаки на 3, 4 и 7 уровнях. На 3 и 4 уровнях это атаки, основанные на мощном потоке данных, флуде, который заполняет канал и оттесняет заинтересованную аудиторию.

На 7 уровне атака подразумевает перегрузку отдельных элементов инфраструктуры. Этот вид dDOS считается одним из наиболее изощренных, т.к. его бывает очень трудно заметить.

Как справиться с атакой?

  • Фильтрация трафика. Входящие запросы будут отсекаться в зависимости от заданных параметров. Для реализации метода применяются списки ACL. Технология подойдет для борьбы с dDOS без ботнета.
  • Обратная атака. Если в программном коде нет ошибок и сервер обладает достаточной мощностью, специалист может перенаправить поток запросов на злоумышленника.
  • Разделяй и властвуй. Необходимо отделить атакуемую точку от других имеющихся ресурсов, которые тоже находятся в потенциальной опасности. Часто применяется разделение на внешние и внутренние ресурсы. Тогда даже при самой мощной атаке злоумышленники не смогут воздействовать на внутреннюю структуру системы.

Это лишь несколько примеров того, как специалисты действуют при ддосе. В каждом случае план мер разрабатывается индивидуально в зависимости от его характера.

При наличии необходимых технических мощностей можно вычислить IP-адреса ботов, задокументировать процесс атаки и затем разослать жалобы провайдерам этих незадачливых пользователей. Главного злоумышленника так не достать, зато вы сможете уменьшить его ботнет.

Действуем превентивно

Как не существует универсальных технологий, чтобы отразить ддос, так и нет подходящих всем методов защиты. Однако несколько манипуляций провести все же стоит. Так вы хотя бы уменьшите риски.
Блокировка подозрительных запросов с помощью .htaccess. Файл позволяет внести ограничения и фильтровать обращения к сайту по заданным параметрам.

Использование PHP-скрипта. Позволяет отслеживать IP-адреса и анализировать частоту поступающих от них запросов. Если интервал нетипичен для человека, тогда IP блокируется.

Включение в систему стороннего DNS-сервера. Изначально все запросы поступают на него, анализируются и после перенаправляются на сервер компании.

Выстраивание дополнительных систем, распределяющих запросы. Пользователь будет обслужен, даже если некоторые части системы будут недоступны из-за атаки. Также возможно создание дублирующей системы. Реализовывая такие проекты, стоит использовать разное серверное оборудование и желательно физически разнести сервера. Если следовать этому методу, архитектура системы значительно усложнится, зато ресурс сможет выдержать практически любую атаку.

С развитием dDOS появились компании, которые предлагают комплексные услуги по защите. Сюда входит и дополнительный сервер, и другие манипуляции. Также появились системы мониторинга, которые позволяют на раннем этапе вычислить нападение и принять меры по защите.

Выводы

Последствия ддоса — это не просто невозможность для клиентов дождаться ответа на свой вопрос. Это целая цепочка неприятных событий, включающая не только потерю прибыли, но и потерю доверия целевой аудитории.

Чтобы полноценно справиться с атакой, минимизировать негатив, который появился у пользователей, потребуются услуги не только технических специалистов, но и кризис-менеджеров. А если вы решите обратиться в правоохранительные органы (что крайне рекомендовано), то и юриста.

Объем ущерба зависит от масштабов компании, характера ее деятельности. Особенно страдают интернет-магазины, не имеющие представительств в оффлайне.

Ддос может сильно различаться по исполнению, так что универсальных мер защиты не найти. Заметив, что ваш сайт ддосят, бросив все свои силы на борьбу с врагом, не забывайте отслеживать все элементы системы. Атака может быть лишь прикрытием для взлома.

О том, как защитить систему от проникновения читайте в нашей статье “Как обеспечить безопасность сайта”.