Нажмите "Enter", чтобы перейти к содержанию

Что такое ddos атака на сайт: Что такое DDoS-атаки и как от них защищаться бизнесу :: РБК Тренды

Содержание

Что такое DDoS-атаки и как от них защищаться бизнесу :: РБК Тренды

«Принцип работы подобного типа атак кроется в их названии — Distributed Denial of Service или «отказ в обслуживании, — рассказывает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. — Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов».

Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.

Схематическое изображение ботнет-сети (Фото: Cloudflare)

«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.

По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.

В чем отличие DoS от DDoS?

В арсенале киберпрестпуников есть еще один вид атаки типа «Отказ в обслуживании» — DoS-атака. Ее главное отличие от DDoS-атаки в том, что для рассылки запросов на сайт используется только одно устройство, а не сеть.

Что такое DDoS-атака. Защита от Ddos атаки. Профессиональный хостинг Hostland

Если Ваш сайт подвергся DDos атаке, то Вам нужен хостинг, который сможет Вам обеспечить защиту от DDos атаки. Свяжитесь с нами, мы сможем Вам помочь

Что такое DDoS-атака.

DDoS-атака (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — атака на систему с целью вывести ее из строя, другими словами, создание условий, при которых пользователи не могут получить доступ к сервисам, которые им необходимы. Ярким примером этого является вывод из строя сайта, который еще вчера радовал Вас своей стабильностью и быстродействием.

Резкий прирост трафика.

Некоторые пользователи иногда путают DDos атаку с резким приростом трафика на сайт (увеличение посещаемости), вызванный будь то продвижением сайта в поисковых системах, или указание ссылки на сайт на каком либо очень высоко посещаемом ресурсе.

Прирост трафика (увеличение посещаемости) означает то, что Ваш сайт посещают «настоящие» пользователи, которые заходят на Ваш сайт целеноправленно, которые заинтересованы в Ваших товарах или услугах (или в информации представленной на сайте). В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера остается неизменным, обычно это соотношение 1/4, т.е. на один мегабайт входящего на сервер трафика, есть четыре мегабайта исходящего трафика с сервера.

Если при приросте посещаемости Ваш сайт начинает работать медленно Вам нужно обратить внимание на несколько вещей:

а) скорость работы Вашего программного обеспечения, т.е. Ваш технический специалист должен найти узкое место в ПО Вашего сайта, и устранить его.

б) скорость работы сервера, на котором размещен Ваш сайт, иногда некоторые т.н. «хостинг провайдеры» размещают сайты не на высоко производительных серверах, а на машинах уровня «desk top», что рано или поздно приведет к проблеме доступности сайта, при более или менее значительном увеличении посещаемости сайта.

DDoS атака.

DDos атака в своем настоящем проявлении — это непрерывные обращения к сайту со многих компьютеров, расположенных в разных частях мира. В основном это так называемые «зазомбированные» компьютеры обыкновенных пользователей (которые даже не подозревают об этом). Эти компьютеры заражены вирусами, которые управляются злоумышленником централизованно. Именно эти компьютеры и рассылают спам, участвуют в DDos атаках, именно с этих компьютеров злоумышленники воруют персональную информацию. В интернет существует целая индустрия («подпольная» индустрия), над этим работают целые команды программистов, которые ищут уязвимости в операционных системах, что бы использовать их в своих целях.

В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера резко меняется: размер входящего трафика на канале резко увеличивается и, порой, достигает максимального значения пропускной способности канала, при этом исходящий трафик с сервера становится мизерным, потому как входящие соединения буквально «забивают» канал своими запросами.

В наших суровых реалиях, данный способ выведения сайта из строя, стал очень распространен, в связи с острой конкуренцией между сайтами в так называемом «ТОПе» поисковых систем Yandex, Google, Rambler. Ведь если вывести из строя сайт, то он будет исключен поисковой системой из выдачи, и его место станет вакантным. Так же эти методы используют люди, которые готовы заплатить деньги, за то, что бы какой либо сайт перестал функционировать (личная неприязнь у злоумышленника к администратору сайта и т.д.)

Для эффективной борьбы с DDos атакой необходимо произвести ряд превентивных мер, произвести специальную настройку программного и сетевого аппаратного обеспечения, установленного на высокопроизводительном сервере. И конечно пользователю необходимо изложить всю необходимую информацию хостинг-провайдеру, когда началась DDos атака, были ли случаи шантажа, есть ли прецеденты по DDos атаке других сайтов смежной тематики и т.д. Только в этом случае возможно быстро и эффективно «отбить» DDos атаку.


Перспективные DDoS-атаки: о чём нужно знать и как готовиться?

По мере своего роста проекты и организации приобретают новые ресурсы, но и оказываются перед лицом новых угроз. Иногда даже незначительные по масштабу компании становятся жертвами киберпреступников.

Причины атак на цифровые ресурсы могут быть различными — от охоты за ценными сведениями и доступами до намеренного причинения репутационного и финансового ущерба. В любом случае безопасность должна стоять на первом месте.

Облачная инфраструктура, особенно публичные облака, приобрели большую популярность за прошедшие несколько лет. Тысячи компаний по всему миру, от малого бизнеса до настоящих гигантов, полагаются на облачные сервисы. Киберугрозы могут поставить под удар любой онлайн-бизнес, если не предпринимать меры для защиты.

Классификация DDoS-атак

Одной из самых распространнённых киберугроз являются DDoS-атаки, Distributed Denial of Service. Их целью является дословно «Отказ в обслуживании» — то есть такие атаки нарушают работу серверов, сайтов, сервисов посредством избыточного потока запросов.

Не рассчитанные на высокие нагрузки ресурсы просто перестают работать, в результате чего доступа к ним лишаются все пользователи. Также в рамках DDoS-атак используются уязвимости на уровне сетевых протоколов и непосредственно приложений.

Термин «distributed», или «распределённые», применительно к данному виду атак предполагает, что в качестве их источника злоумышленниками скрытно используются целые сети заражённых устройств — ботнеты. Владельцы зачастую не подозревают, что с их устройств и IP-адресов осуществляются атаки. Особенно удачно для таких целей подходят IoT-девайсы, количество которых непрерывно растёт, а защищённость остаётся на низком уровне.

Несмотря на то, что почти половина всех DDoS-атак имеют смешанный характер, выделяют три основные категории.

Volumetric attacks

Объёмные атаки или флуд. Самый распространённый тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети.

Его объём может доходить до нескольких терабит в секунду. В результате, неподготовленная инфраструктура не выдерживает атаки и перестаёт отвечать на запросы.

К типу volumetric attacks относятся такие категории, как, например:

  • DNS amplification (усиление) — к публичному DNS-серверу от имени жертвы (в запросах прописывается IP атакуемого сервера) идут многочисленные запросы, требующие объёмных ответов. Последние, в свою очередь, перенаправляются на сервер жертвы.
  • DNS flood — отправка запросов DNS-серверу с многочисленных IP-адресов. Среди полученных сервером пакетов весьма тяжело обнаружить вредоносные.
  • ICMP flood — ICMP пакеты не требуют подтверждения о получении, поэтому их крайне трудно отделить от вредоносного трафика.
  • SYN flood — отправка избыточного количества запросов на открытие новых сессий с целью исчерпать память таблицы соединений.
Protocol attacks

Существует разновидность атак, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объёмом трафика, сколько точечными действиями, использующими несовершенства сети. В частности, к атакам данного типа относится:

  • POD (ping of death) — пинг сервера с помощью ICMP пакетов, в которых содержимое искажено или объём которых превышает максимально допустимый.
Application layer attacks

Атаки на прикладном уровне, 7 уровень OSI, направлены на веб-сервера и приложения — например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM. Цель может быть достигнута с помощью внешнего HTTP-запроса, в ответ на который система начинает исполнение такого числа внутренних запросов, на которое просто не рассчитана. К атакам на уровне приложений среди прочих относятся:

  • HTTP flood — избыточное количество GET и POST запросов к серверу — например, для получения самых тяжёлых элементов сайта.
  • Slowloris — бот открывает множество сессий на сервере, при этом, не отвечая на них и провоцируя таймаут. В результате, такие поддельные сессии забирают на себя ресурсы сервера и ведут к его недоступности.

Самые перспективные типы DDoS-атак

К некоторым методам злоумышленники проявляют особый интерес ввиду их высокой эффективности. Самые серьёзные инциденты как в настоящем, так и в ближайшей перспективе, связаны с несколькими типами DDoS-атак.

DNS reflected Amplification

Подвид volumetric атак, суть которых — в комбинации двух вредоносных факторов. Во-первых, имитируя запрос с сервера жертвы путём подстановки его IP в запрос, атакующий использует публичный DNS-сервер как рефлектор, то есть, «отражатель». Тот, получив запрос якобы от атакуемого сервера, возвращает ответ ему же, «отражая» запрос.

Более того, запросить можно не только IP-адрес домена, а намного больше данных, в связи с чем ответ DNS-сервера станет гораздо более объёмным. Наконец, трафик можно довести до предела, осуществляя запросы через ботнет. Таким образом, с высокой вероятностью достигается перегрузка пропускной полосы сервера жертвы.

Самый известный случай применения DNS reflected amplification — атака на github в феврале 2018 — самая крупная из известных DDoS-атак. Поток трафика достигал 1,35 Тб/с, а коэффициент усиления (амплификация) — 51 000.

Generated UDP Flood

Generated UDP Flood сочетает генерацию избыточного объёма трафика и элементы атаки уровня протоколов.

Атака с помощью UDP-пакетов, отправляемых с подставных IP-адресов, направлена на IP-адрес и порт сервера. Правильно подобрав параметры пакетов и интенсивности их отправки, можно сымитировать легитимный трафик. Выявить «мусорные» запросы становится крайне трудно.

Такой атаке подвергся сервер MMORPG Albion Online. В качестве решения для устранения угрозы был выбран программный комплекс G-Core Labs, сочетающий такие методы, как:

  • Rate-limiting — ограничение трафика;
  • Regexp-filtering — фильтрация пакетов, совпадающих с regexp в payload;
  • Whitelisting — добавление IP игрока в белый список при прохождении авторизации;
  • Blacklisting — добавление в чёрный список адресов, не прошедших валидацию;
  • IP Geolocation Filter — блокировка IP-адресов по геолокации;

а также ряд методов, не имеющих аналогов. Например, G‑Core Labs’ Challenge Response (CR) — протокол, интегрируемый на стороне клиента и позволяющий валидировать его IP-адрес.

HTTP GET/POST Flood

Атака уровня приложений. В данном случае на сервер отправляется непрерывный поток GET и POST запросов, легитимных на первый взгляд. Проблема в том, что атакующий не дожидается ответов, а направляет запросы постоянно, вследствие чего ресурсы сервера исчерпываются в процессе их обработки.

Согласно открытым источникам, от подобной атаки в ноябре 2016 пострадали сайты ряда крупных российских банков. HTTP flood использовали в самом начале, чтобы точно определить частоту запросов и объём трафика, необходимый для отказа в обслуживании. Метод выступил как вспомогательный, после чего в ход пошли другие инструменты.

Burst attack (Hit-and-run)

Один из подвидов Volumetric атак, hit and run работает особым образом, непохожим на большинство других атак. Это непродолжительные всплески трафика, объёмом сотни гигабит в секунду, длительностью 20-60 минут, а в ряде случаев — менее минуты. Они многократно повторяются в течение длительных периодов времени — дней и даже недель — с интервалами, в среднем, 1-2 суток.

Подобные атаки стали популярными ввиду своей дешевизны. Они эффективны против защитных решений, активируемых вручную. Опасность hit and run заключается в том, что последовательная защита требует непрерывного мониторинга и готовности систем реагирования.

Основными жертвами атак hit-and-run становятся сервера онлайн-игр и сервис-провайдеры. С ними сталкиваются 42% организаций.

SYN Flood

Очередной пример класса Volumetric атак. Стандартное соединение с сервером по протоколу TCP производится методом трёх рукопожатий. На первом этапе клиент отправляет пакет с флагом SYN для синхронизации. Сервер отвечает пакетом SYN-ACK, уведомляя клиента о получении первого пакета и предлагая отправить завершающий, третий, для подтверждения соединения. Клиент же не отвечает пакетом ACK, продолжая флуд, и, тем самым, перегружая ресурсы сервера.

SYN flood атакам, а также их близким аналогам подвергались крупнейшие компании, такие как Amazon, SoftLayer (IBM), Eurobet Italia SRL, Korea Telecom. Одним из серьёзных инцидентов стало выведение из строя сайта спортивных ставок Eurobet в октябре 2019. Позднее в том же месяце жертвами TCP SYN-ACK reflection стали ряд финансовых и телекоммуникационных компаний в Италии, Южной Корее и Турции.

Slowloris

Представитель DDoS-атак уровня приложений. Session attack или Slowloris нацелена на «изматывание» сервера жертвы. Злоумышленник открывает множество соединений и держит каждое из них открытым как можно дольше до момента таймаута.

Подобные атаки нелегко обнаружить, так как соединение TCP уже установлено, HTTP запросы выглядят легитимными. Через некоторое время такая тактика позволяет занять все соединения, исключив доступ реальных пользователей к серверу.

Slowloris приобрела широкую известность в ходе президентских выборов в Иране, когда атакующие предприняли попытку отключить сайты, принадлежащие правительству страны.

Как защититься от DDoS атак: 3 составляющих безопасности системы

Очевидно, что кибербезопасность — узкая компетенция и её едва ли удастся закрыть так же легко, как HR или бухгалтерию, какой бы продвинутой ни была компания. Важно заботиться о том, чтобы ваши сервис-провайдеры и поставщики инфраструктуры были глубоко погружены в вопросы кибербезопасности и зарекомендовали себя как настоящие профессионалы.

Надёжная защита обеспечивается соблюдением 3 условий:

  • Использование проверенного решения для непрерывной защиты от DDoS-атак;
  • Разработка плана действий на случай угрозы — DDoS Response Plan;
  • Проведение регулярного healthcheck системы и устранение уязвимостей приложений.
Проверенное решение для защиты от DDoS

Если рассматривать облачную инфраструктуру, то в данной сфере защита требует особого внимания.

Сервер — одна из основ любого веб-сервиса, приложения, сайта. Если на него совершена атака, которая привела к потере доступа пользователей к ресурсам, последствия могут быть плачевными. Это финансовые и репутационные риски, компрометация конфиденциальной информации, уничтожение ценных ресурсов, судебные риски.

Чтобы сохранить активы в безопасности, важно использовать проверенные средства онлайн-защиты. Они должны включать такие элементы, как:

  • Средства непрерывного мониторинга трафика и выявления подозрительной активности;
  • Black- и whitelisting IP-адресов;
  • Систему оповещения об угрозах;
  • Систему нейтрализации атак.

Особенно важно в процессе ликвидации угрозы не заблокировать пользовательский трафик вместе с вредоносным.

Показательным примером эффективной точной настройки служит сервис защиты от DDoS-атак компании G-Core Labs. Этот сервис полезен любому онлайн-бизнесу: медиа-ресурсам, разработчикам и издателям игр, телеком-компаниям, страховому бизнесу и банкам, а особенно — интернет-магазинам.

Интеллектуальная фильтрация трафика на основе анализа статистических, сигнатурных, технических и поведенческих факторов даёт возможность блокировать даже единичные вредоносные запросы, не затрагивая рядовых пользователей.

DDoS Response Plan

План реагирования призван ограничить ущерб, причиняемый DDoS-атакой. Это должна быть чёткая последовательность действий и мер, незамедлительно принимаемых при возникновении угрозы.

Подробный план должен включать, как минимум, такие меры, как:

  • Установление полного перечня ресурсов, подвергшихся атаке;
  • Локализация угрозы и предотвращение её распространения;
  • Оповещение ответственных и заинтересованных лиц об инциденте;
  • Идентификация характера угрозы, обнаружение цифровых следов;
  • Определение методов и средств, лежащих в основе атаки;
  • Полное сканирование IT-инфраструктуры, оценка ущерба;
  • Контроль исходящего трафика и предотвращение утечек информации;
  • Устранение угрозы;
  • Подготовка к противодействию аналогичным атакам в будущем.
Регулярный Healthcheck системы и устранение уязвимостей приложения

Чтобы DDoS-атака не застала врасплох и нанесла минимальный урон, следует постоянно совершенствовать защитные механизмы. Правило касается не только инструментов, предназначенных для отражения атак, но и защищаемой инфраструктуры и приложения.

  • Уязвимости на этапе аутентификации;
  • Вредоносные вставки кода;
  • Cross-site scripting;
  • Уязвимости шифрования;
  • Логические ошибки, несовершенная структура данных;

Всё это перечень потенциальных угроз. Сканирование систем на предмет уязвимостей и постоянное обновление кода приложений поможет поддерживать устойчивость ресурсов компании к большинству известных киберугроз.

Битрикс — Защита от DDoS


Продукт «1С-Битрикс: Управление сайтом» включает 5 лицензий – «Старт», «Стандарт», «Малый бизнес», «Бизнес» и «Энтерпрайз». Посмотрите удобную детальную таблицу сравнения лицензий, в которой наглядно представлен функционал каждой из них.

Общие сведения:

«Старт» позволяет с наименьшими затратами времени и средств создать свой интернет-проект или перевести его на новую систему. С этой лицензией вы можете создавать простые сайты и лендинги без помощи специалистов и управлять ими. Система содержит все необходимые инструменты для базовой настройки и развития ресурса.

«Стандарт» – это набор самых необходимых инструментов для корпоративного портала. Лицензия позволяет создавать неограниченное количество сайтов и лендингов, работать с большим количеством документов и различных страниц, а также отслеживать и контролировать общение посетителей между собой.

«Малый бизнес» содержит в себе базовый модуль «Интернет магазина». Позволяет размещать любое количество товаров в каталоге, управлять заказами, скидками, доставкой, а также интегрировать магазин с «1С» и «Яндекс.Маркет». Лицензия поможет вам запустить полноценный интернет-магазин, управлять контентом сайта, принимать и обрабатывать заказы покупателей.

«Бизнес» – лицензия для интернет-магазинов с дополнительными возможностями развития онлайн-продаж, повышения конверсии и доходности. В дополнение к преимуществам лицензии «Малый бизнес», вы получите возможность построения дилерских продаж, продаж электронных товаров, инструменты увеличения среднего чека (наборы и комплекты), запустить программу лояльности и аффилиатские программы, использовать расширенную отчетность.

«Энтерпрайз» – лицензия с максимальной функциональностью для средних и крупных интернет-магазинов, региональных и федеральных сетей. Позволяет выстраивать онлайн-продажи во всех каналах присутствия с единым центром управления, масштабировать бизнес без ограничений, встраивать интернет-магазин в инфраструктуру компании для лучшей интеграции и наивысшего качества сервиса. Энтерпрайз — это высокопроизводительное и отказоустойчивое решение для работы онлайн-бизнеса 24/7 с VIP-поддержкой от 1С-Битрикс.

Оцените свои потребности и выбирайте лицензию с необходимыми параметрами.

Если вы сомневаетесь в том, какую лицензию вам выбрать – обращайтесь к нашим партнерам. Они всегда будут рады помочь вам сделать правильный выбор:
— Вы можете выбрать партнера самостоятельно из списка.
— Оставить заявку на нашем сайте и выбрать из тех, кто откликнется.

Как понять, что на сайт идет DDoS-атака

Понять, что на сайт идет DDoS-атака, не всегда просто. Нету какой то четкой грани или определенного параметра — нужно смотреть на ситуацию целиком. Атака может происходить разными способами, а иногда и их комбинациями. Возможные варианты:

  1. Сайт работает в какой то степени, но открывается или очень очень медленно, либо открывается только в части случаев (типичные ошибки — 503 Service Unavailable, 504 Gateway Timeout). Типичная ситуация, когда атака не очень интенсивная, но ее хватает, чтобы полностью загрузить сервер с сайтом. Если зайти на сервер по SSH, то можно увидеть, что нагрузка в разы выше положенного (Load Average существенно выше обычно. Обычно в десятки раз).
  2. Сайт не открывается совсем. В некоторых случаях может выводится «заглушка» хостинга о том, что «сайт временно заблокирован» или подобное. Такое возможно, когда служба поддержки хостинга «видит» атаку и, чтобы не пострадали другие клиенты, блокирует атакуемый сайт (есть разные варианты блокировок — зависит от фантазии хостинга). Обычно владельцу сайта при этом отправляется письмо о том, что сайт под атакой, и необходимо воспользоваться сервисом по защите от DDoS-атаки. Если при этом зайти по SSH на сервер, то нагрузка будет около нулевой, т. к. весь трафик фильтруется хостингом. Самый простой для обнаружения вариант — владелец сайта поставлен в известность техподдержкой хостинга. Такой вариант характерен для относительно мало-интенсивной атаки, при которой инфраструктура хостинга в целом продолжает работать (обычно это атака на уровне L7 OSI — HTTP-flood и подобное).
  3. Не работает как ваш сайт так и сайт хостинг-провайдера. Атака такой интенсивности, при котором полностью «забиты» каналы данного оператора. Такой сценарий сложно отличить от какой то не штатной ситуации у хостинг-провайдера (сетевые проблемы — обрыв связи и подобное). Обычно, владельца сайта попытаются уведомить о проблемах. Это самый сложный вариант — сложно диагностируется и сложно устраняется. Атака серьезного уровня. Есть большая сложность воспользоваться каким-либо сервисом фильтрации DDoS, т. к., при отсутствии актуальных резервных копий, могут быть проблемы с доступом к серверу даже по FTP или SSH (может не получится скачать файлы сайта, чтобы перенести к другому оператору или AntiDDoS-сервису).

В целом, обнаружение DDoS-атаки может вызвать сложности у неподготовленного человека. Если у Вас есть подозрения, что вас атакуют — напишите нам [email protected], мы вынесем свой вердикт и предложим способы решения.

Перебор, DoS и DDoS-атака – в чем разница? – WordPress security plugin, malware removal, and anti-spam

English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


Атака методом «грубой силы» – это метод проб и ошибок, используемый хакерами для подбора учетных данных или зашифрованных данных, таких как логин, пароли или ключи шифрования, посредством исчерпывающих усилий (с использованием грубой силы) с надеждой в конечном итоге угадать правильно. Атака грубой силой до сих пор остается одним из самых популярных методов взлома паролей для взлома WordPress сегодня.

Атака « отказ в обслуживании» (DoS) – это атака, направленная на закрытие веб-сайта, делая его недоступным для предполагаемых пользователей из-за переполнения его бесполезным трафиком (нежелательные запросы). Иногда DoS-атаки используются для разрушения систем защиты компьютера. Некоторые функции WordPress могут быть использованы в качестве вектора атаки. Например, CVE-2018-6389 .

DDoS-атака – это сокращение от распределенной DoS-атаки. Такие атаки выполняются путем заполнения целевого веб-сайта бесполезным трафиком с нескольких устройств или ботнета. Ботнет – это сеть компьютеров, зараженных вредоносным программным обеспечением (вредоносным ПО) без ведома пользователя, организованная в группу и контролируемая киберпреступниками. Современные бот-сети могут содержать десятки тысяч скомпрометированных мобильных устройств или настольных компьютеров. Из-за своей природы современные DDoS-атаки являются дорогостоящими и требуют большого количества ресурсов. Обычно это означает, что у вас есть сильный враг, у которого достаточно серых денег, чтобы заказать такую атаку. Очень часто выполняющие DDoS-атаки заказывают недобросовестные конкуренты или политические оппоненты.

Так в чем же разница?

Технически они выглядят по-разному, но с точки зрения владельца сайта, разница только в цели атаки .

Обе атаки, DoS и DDoS, имеют одну и ту же цель. И эта цель состоит в том, чтобы оттеснить жертву , целевой веб-сайт или веб-сервер и получить прибыль от этого. Иногда DDoS-атака разрушает систему защиты и получает административный доступ.

Цель атак методом перебора – получить административный доступ к целевому веб-сайту для выполнения незаконных действий, которые хочет совершить злоумышленник или хакер. Их типичные виды деятельности:

  • Кража личных данных из базы данных клиентов
  • Перенаправление законных пользователей на фальшивые сайты, чтобы украсть там свои личные данные
  • Установка бэкдоров и троянов на веб-сервере для его долгосрочного использования
  • Установка вредоносного программного обеспечения для заражения компьютеров администратора и клиентов
  • Добавление ссылок на зараженные сайты в контент сайтов

Эти атаки действительно влияют на WordPress?

По умолчанию WordPress разрешает неограниченные попытки входа в систему через форму входа в систему, XML-RPC или путем отправки специальных файлов cookie аутентификации. Это позволяет сравнительно легко взломать пароли с помощью вышеупомянутой атаки методом перебора.

Как защитить WordPress и смягчить эти атаки

Обе атаки грубой силы и DoS могут быть успешно устранены с помощью программного обеспечения безопасности, установленного на веб-сайте. В обоих случаях вам не нужно быть ботаником и вы можете получить эту защиту бесплатно.

  1. Атаки грубой силы на WordPress могут быть успешно смягчены с помощью бесплатного плагина WP Cerber. Помимо других функций безопасности, он имеет защиту для интерфейсов API XML-RPC и REST.
  2. DoS-атаки могут быть смягчены с помощью специальной конфигурации веб-сервера. Вы не можете добиться этого, установив плагин безопасности. Лучшая практика – использование правил ограничения скорости NGINX. Ознакомьтесь с нашими рекомендациями: Превратите свой WordPress в Fort Knox .

К сожалению, DDoS-атаки не могут быть смягчены на уровне веб-сервера или с помощью какого-либо плагина WordPress. DDoS-атаки могут быть успешно устранены только с помощью специального оборудования, установленного в сети хостинг-провайдера. Из-за смягчения DDoS-атак требует много ресурсов, это стоит денег и предоставляется в качестве услуги от хостинг-провайдеров на основе подписки. В отличие от атак методом перебора и DoS, нет гарантии, что все атаки DDoS будут успешно смягчены. Все зависит от того, насколько мощной является атака и насколько мощной является система защиты от DDoS, предоставляемая хостинг-провайдером, и какой объем имеет хостинг-провайдер.

Одним из самых доступных решений для защиты WordPress от DDoS-атак является использование сервиса Cloudflare. Но есть и небольшие недостатки. Эти парни будут контролировать все ваши записи DNS, входящий и исходящий веб-трафик на ваш сайт и с него, потому что весь трафик проходит через серверы Cloudflare. Некоторые пользователи сообщали, что у Cloudflare даже были проблемы с владельцами, заблокированными на их сайтах. Поэтому, если у вас нет проблем с DDoS, как у многих из нас, нет причин добавлять еще один слой, который может вызвать дополнительную боль в шее.

Догнать злоумышленника

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

Вы можете легко определить физический источник атаки – компьютер, мобильное устройство и т. Д.

Если у вас установлен WP Cerber Security & Antispam, прочтите этот пост: Узнайте больше об IP-адресе злоумышленника . Самое разочарование заключается в том, что подавляющее большинство этих атак невозможно отследить до настоящего исполнителя или мастера. Каждая попытка отследить их заканчивается набором зараженных домашних ПК или мобильных устройств, которые используются в качестве марионеток, промежуточных точек для атаки.

Возможно, однажды анонимный доступ к Интернету не будет и любой человек в мире будет нести ответственность за весь исходящий трафик со своих подключенных к Интернету устройств, но на данный момент все сайты находятся под давлением хакерской активности ,

Как «заказывают» DDos-атаки: история из жизни

Ниже история о том, как на клиента Космоновы, e-commerce платформу заказали DDos-атаку, исполнители решили больше «заработать» — известили жертву, запросили больше денег. После того как не договорились — началась атака, а потом “случайно” пришло еще одно письмо с предложением по “защите” от DDos-атак, подробнее о том, как у нас «заказывают» сайты.

*В целях конфиденциальности все личные данные скрыты

Эта эпичная история началась с письма, в котором администрация сайта извещалась о том, что конкуренты заказали на них DDos-атаку.

Администрация, естественно, пыталась договорится с хакерами чтобы выяснить — кто “заказал” атаку? Ответа на письмо не последовало, т.е. договорится с хакерами не удалось. Эта переписка происходила 17 октября 2016 в конце рабочего дня – первое письмо об атаке пришло около 16:00. 

На следующий день начались атаки, вначале это была атака по сценарию UDP флуд, для разминки так сказать. После того как эта атака была отбита, последовала вторая волна атак по сценарию HTTP флуд. Но все атаки были отбиты самим провайдером (e-commerce платформа размещена в датацентре Cosmonova).

Для справки:

UDP-флудсетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть. Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимность 

HTTP-флуд — это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов. Данная flood атака может быть нацелена как на корень сервера, так и на его скрипт, занятый выполнением ресурсоемких задач. Распознание данной атаки возможно путем выявления быстрого роста количества запросов к одному или нескольким скриптам на сервере и быстрому росту логов сервера.

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Целью «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Маленький штрих: вишенка на торте!

Но вот еще что интересно, 17 октября, за день до атаки, через час после первого письма о готовящейся атаке (в 17:08), “случайно” пришло письмо с предложение о защите от DDoS:)

Как говорится «Совпадение? – не думаем!». Навряд ли хакеры и «спецы по безопасности» – одна и таже компания, так как не просто совмещать сразу 2 роли — и «взломщика» и «специалиста по безопасности», продающего решение от DDos-атак. Но тот, кто послал письмо, скорее всего, знал о готовящейся атаке от самих же хакеров и решил еще и заработать на уязвимом положении жертвы будущей атаки (мы не знаем этого наверняка, поэтому скрыли все контакты «специалиста по безопасности»).

Мораль сей басни такова, что лучше не тратить деньги и время на атаки конкурентов, а гораздо выгоднее вложить эти средства в развитие/продвижение собственного сайта/сервиса.

Суть DDos-атак не изменилась, но нужно защищаться

ИТ-сфера развивается, усложняется, поэтому и усложняются атаки. Технически, DDos-атака как была так и осталось комплексом действий, где цель — “забить” канал связи, при котором будет недоступен сайт/сервис. Это возможно при разных сценариях. Из-за усложнения ИТ-инфраструктуры меняются составляющие “архитектуры” через которые идет атака. Раньше для этого взламывались рабочие компьютеры – но это затратно и не так эффективно. Последний тренд, о котором сообщают ИТ-инженеры по кибер-безопасности — атака через элементы виденаблюдения. Взламываются регистраторы и IP-камеры так как чаще всего эти устройства работают на Open Source решениях и уязвимы для злоумышленников. Затем эта ботнет-сеть начинает атаковать какой-то адрес. Такой распределенной сетью, которая атакует (шлет запросы) могут быть любые «вещи с подключением к интернету» ведь той же IP-камере, или холодильнику с подключением к сети, все равно куда слать запрос. Также сейчас массово взламываются роутеры, которые есть почти в каждом домохозяйстве и они также используются в distributed (распределенной) атаке DoS. Таким образом «интернет вещей», который сулит блага цивилизации может обернуться уязвимостью всей огромной современной ИТ-инфраструктуры.

Масштаб и сценарий атаки зависит от цели. Кибер-атака — это целый комплекс мероприятий, который требует тщательной подготовки: социнженерия, сканирование сети, выявление слабых мест. 

В случае с сайтом этого клиента целью атаки был недельный (!) перерыв в доступе к сайту – чтобы вышибить сайт из поискового индекса. На восстановление  прежних, до атаки, позиций сайта в поисковиках у администраторов сайта ушло бы до 1 месяца или больше, что для клиента равносильно катастрофе.

Также никто не может исключать человеческий фактор, сводящий на нет все усилия по защите ИТ-периметра. Иногда причина пробелов в ИТ защите не в качестве решений по безопасности, а в правильном их использовании и настройке. Другими словами, даже приобретя хорошее дорогостоящее решение по защите, сам по себе инструмент должен использоваться в правильном варианте ИТ-инфраструктуры. Нужной компетенцией в правильной настройке защиты ИТ обладают провайдеры. 

Основные виды защиты от DDos

Если раньше атаковались сервера, находящиеся у клиента, теперь атакуются мощности провайдеров. Но у провайдеров (ЦОДов) гораздо больше возможностей защиты. Провайдеры могут предоставлять разные уровни защиты своих клиентов от DDos-атак на их сайты/сервисы/данные. Датацентры, для которых сохранение и защита данных клиентов – кровная забота, могут по разному защищаться от атак на своих клиентов, вот несколько возможных вариантов разных по уровню и глубине защиты. 

Первый уровень защиты: блокировка IP адреса, на который идет атака. При этом варианте происходит полная блокировка всего трафика на конкретный клиентский IP — сайт клиента будет недоступен до того как получит защиту, или до завершения атаки. Но другие IP адреса клиентской инфраструктуры подхватывают работу и полностью восстанавливают доступ к сайту/сервису/данным клиента.  

Второй вариант защиты: блокировка всего трафика на конкретный клиентский IP по конкретному порту/портах. Эта услуга удорожает стоимость канала связи для клиента, жертва атаки не будет доступна со всего интернета по запрещённому  порту. Но порты, которые используются для сервисов, продолжают свою нормальную работу. 

И, наконец третий и самый продвинутый вариант: специальные программно-аппаратные решения анализируют входящие запросы для распознавания атаки. На первом этапе происходит фильтрация запросов, которые не проходят алгоритм авторизации браузера. Затем включается множественные алгоритмы различной проверки входящего трафика. Эти устройства ставятся в разрыв сети, которые без задержек анализируют трафик. При этом такая защита прозрачно пропускает поисковых ботов и заявленные скрипты автоматизации. Естественно этот вариант защиты у провайдеров является самым дорогим.

Все атаки были отбиты, но администрация ecommerce платформы приобрела у провайдера в датацентре Космонова самую продвинутую защиту от DDos, и, очевидно, не жалеет об этом.

Космонова – компания предоставляющая комплексные ИТ решения для бизнеса: — интернет для бизнеса (собственная опто-волоконная сеть), — собственный Датацентр, — облако в Европе, — облако в Украине.

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика | Блоги McAfee Что такое DDoS-атака и как она работает?

Что такое DDoS-атака и как защитить себя от схем вредоносного трафика

Представьте, что вы едете по шоссе, чтобы добраться до работы. На дороге есть и другие машины, но в целом все движутся плавно, с четким, законным ограничением скорости. Затем, когда вы приближаетесь к въездной рампе, к вам присоединяются другие машины.А потом еще, и еще, и еще, пока внезапно трафик не замедлился до ползания. Это иллюстрирует DDoS-атаку.

DDoS означает «распределенный отказ в обслуживании», и это метод, при котором киберпреступники наводняют сеть таким объемом вредоносного трафика, что она не может работать или взаимодействовать, как обычно. Это приводит к остановке обычного трафика сайта, также известного как законные пакеты. DDoS — это простой, эффективный и мощный метод, основанный на небезопасных устройствах и плохих цифровых привычках.К счастью, с помощью нескольких простых настроек ваших повседневных привычек вы можете защитить свои личные устройства от DDoS-атак.

Количество DDoS-атак растет

Расширение 5G, распространение Интернета вещей и интеллектуальных устройств, а также переход большего числа отраслей, переводящих свои операции в онлайн, открыли новые возможности для DDoS-атак. Киберпреступники пользуются этим, и в 2020 году были зафиксированы два крупнейших DDoS-нападения за всю историю. В 2020 году масштабные атаки были запущены на Amazon и Google.Для киберпреступников нет слишком большой цели.

DDoS-атаки

— одна из наиболее проблемных областей в кибербезопасности, потому что их невероятно сложно предотвратить и смягчить. Предотвратить эти атаки особенно сложно, потому что вредоносный трафик исходит не из одного источника. По оценкам, 12,5 миллиона устройств уязвимы для использования злоумышленником DDoS.

Персональные устройства становятся бойцами DDoS-атак Атаки

DDoS довольно просты в создании.Все, что нужно, — это два устройства, которые координируют свои действия для отправки поддельного трафика на сервер или веб-сайт. Это оно. Например, ваш ноутбук и ваш телефон могут быть запрограммированы на формирование собственной сети DDoS (иногда называемой ботнетом, подробнее ниже). Однако даже если два устройства направят всю свою вычислительную мощность на атаку, этого все равно недостаточно для отключения веб-сайта или сервера. Сотни и тысячи скоординированных устройств необходимы, чтобы остановить целого поставщика услуг.

Чтобы создать сеть такого размера, киберпреступники создают так называемый «ботнет» — сеть скомпрометированных устройств, которые координируются для выполнения конкретной задачи.Ботнеты не всегда должны использоваться в DDoS-атаках, и при DDoS-атаках не обязательно иметь ботнет для работы, но чаще всего они работают вместе, как Бонни и Клайд. Киберпреступники создают бот-сети довольно типичными способами: заставляя людей скачивать вредоносные файлы и распространять вредоносное ПО.

Но вредоносное ПО — не единственное средство вербовки устройств. Поскольку многие компании и потребители используют неверные пароли, злоумышленники могут сканировать Интернет в поисках подключенных устройств с известными заводскими учетными данными или легко угадываемыми паролями (например, «паролем»).После входа в систему киберпреступники могут легко заразить устройство и завербовать его в свою киберармию.

Почему запуск DDoS-атак часто бывает успешным

Эти завербованные кибер-армии могут бездействовать, пока им не будет отдан приказ. Здесь в игру вступает специализированный сервер, называемый сервером управления и контроля (обычно сокращенно «C2»). Получив указание, киберпреступники приказывают серверу C2 выдавать инструкции скомпрометированным устройствам. Затем эти устройства будут использовать часть своей вычислительной мощности для отправки поддельного трафика на целевой сервер или веб-сайт и, , вуаля, ! Так запускается DDoS-атака.

DDoS-атаки обычно успешны из-за их распределенного характера и сложности различения между законными пользователями и поддельным трафиком. Однако они не являются нарушением. Это связано с тем, что DDoS-атаки подавляют цель, чтобы вывести ее из строя, а не украсть у нее. Обычно DDoS-атаки используются в качестве ответных мер против компании или службы, часто по политическим причинам. Однако иногда киберпреступники используют DDoS-атаки как дымовую завесу для более серьезных компромиссов, которые в конечном итоге могут привести к полномасштабному взлому.

3 способа предотвратить использование ваших устройств

DDoS-атаки возможны только потому, что устройства могут быть легко взломаны. Вот три способа предотвратить участие ваших устройств в DDoS-атаке:

  1. Защитите свой маршрутизатор: Маршрутизатор Wi-Fi является шлюзом в вашу сеть. Защитите его, изменив пароль по умолчанию. Если вы уже выбросили инструкции для своего маршрутизатора и не знаете, как это сделать, проконсультируйтесь в Интернете, чтобы узнать, как это сделать для вашей конкретной марки и модели, или позвоните производителю. И помните, что защита может запускаться и внутри вашего маршрутизатора. Такие решения, как McAfee Secure Home Platform, встроенная в отдельные маршрутизаторы, помогают легко управлять сетью и защищать ее.
  2. Изменить пароли по умолчанию на устройствах IoT: Многие устройства Интернета вещей (IoT), интеллектуальные объекты, которые подключаются к Интернету для повышения функциональности и эффективности, поставляются с именами пользователей и паролями по умолчанию. Первое, что вам следует сделать после извлечения своего IoT-устройства из коробки, — это изменить эти учетные данные по умолчанию.Если вы не знаете, как изменить настройку по умолчанию на своем IoT-устройстве, обратитесь к инструкциям по настройке или поищите в Интернете.
  3. Используйте комплексную безопасность: Многие ботнеты координируются на устройствах без какой-либо встроенной защиты. Комплексные решения безопасности, такие как McAfee Total Protection , могут помочь защитить ваши самые важные цифровые устройства от известных вариантов вредоносного ПО. Если у вас нет пакета безопасности, защищающего ваши устройства, найдите время, чтобы провести исследование и выбрать решение, которому вы доверяете.

Теперь, когда вы знаете, что такое DDoS-атака и как от нее защититься, вы лучше подготовлены, чтобы хранить свои личные устройства в безопасности.

Оставайтесь в курсе

Чтобы быть в курсе всех событий McAfee и последних угроз безопасности для потребителей и мобильных устройств, подписывайтесь на @McAfee_Home в Twitter, подписывайтесь на нашу электронную почту, слушайте наш подкаст Hackable? И ставьте нам лайки в Facebook.

Что такое DDoS-атака, типы и как ее остановить?

Что такое DDoS-атака, типы и как ее остановить?

Даже если вы не уверены, что это за DDos-атака, это может показаться довольно пугающим.DDoS-атака — это ненавязчивая интернет-атака. Он предназначен для остановки или замедления работы веб-сайта. Атака делает это путем наводнения сети, приложения или сервера поддельным трафиком. Иногда даже при минимальном объеме трафика этого может быть достаточно, чтобы атака сработала.

DDoS-атака — это то, с чем должен быть знаком каждый владелец веб-сайта.

Что такое DDoS-атака?

Обычная цель DDoS-атаки — не дать реальным пользователям попасть на ваш сайт.Атака может считать их DDoS-атаку успешной, если они отправят больше поддельного трафика, чем сервер может обработать. Таким образом, перевод веб-сайта в автономный режим или прекращение его работы.

Как работает DDoS-атака?

Атака DDoS проверяет ограничения вашего веб-сервера, приложения или сети. Он делает это, отправляя большие ложные всплески трафика. Некоторые DDoS-атаки происходят при коротких сериях вредоносных запросов. Скорее всего, это произойдет в уязвимых конечных точках, таких как функции поиска.DDoS-атаки будут использовать так называемые ботнеты, которые представляют собой армию зомби-устройств.

В чем смысл DDoS-атаки?

Основная цель DDoS-атаки — нарушить доступность веб-сайта.

  • Веб-сайт будет медленно реагировать на реальные запросы
  • Веб-сайт может полностью перестать работать, что сделает невозможным доступ к нему законных пользователей.

Любой сбой может привести к потере законных клиентов, то есть к финансовым потерям.

Разница между DDoS и DoS

Распределенные атаки типа «отказ в обслуживании» (DDoS) и «отказ в обслуживании» (DoS) очень похожи. Разница между DoS и DDoS — это масштаб, в котором они происходят. Одна DoS-атака будет исходить из одного источника, а DDoS-атака будет исходить из сотен и даже тысяч систем.

Крадут ли DDoS-атаки какую-либо информацию?

DDoS-атака не может украсть информацию о посетителях вашего веб-сайта; единственная цель DDoS-атаки — вывести ваш сайт из строя.Ранее DDoS-атаки использовались как способ вымогательства и шантажа владельцев компаний.

Обычно замечают несколько мотивов DDoS-атак:

  • Политические мотивы
  • Хактивисты (вы можете узнать больше о том, что делают хакеры в блоге FieldEngineer)
  • Террористы
  • Business Competiton

Что происходит во время DDoS-атаки?

Понимание того, что происходит во время DDoS-атаки, является важной частью изучения того, как вы можете ее предотвратить.

DDoS-атака истощит ресурсы вашего сервиса и увеличит время загрузки веб-сайта. Вы увидите проблемы с производительностью, более высокий, чем обычно, показатель отказов, проблемы с производительностью веб-сайта, сбои веб-сайта и многое другое. Большинство DDoS-атак будет исходить от сети ботов, контролируемой хакерами. Это устройства Интернета вещей, которые остались уязвимыми — в их число входят камеры видеонаблюдения, бытовая техника, смарт-телевизоры и все, что подключено к Интернету.

Какие бывают типы DDoS-атак?

Существует несколько различных типов DDoS-атак, и они предназначены для разных целей.

DDoS-атаки на основе объема

Целью атаки на основе объема является перегрузка веб-сайта огромным объемом входящего трафика. Большинство веб-сайтов находятся на общих серверах, что облегчает злоумышленникам достижение своих целей с помощью DDos-атак на основе объемов.

DDoS-атаки на основе объема включают:

ICMP-флуды, при которых поддельные ICMP-пакеты отправляются с большого количества IP-адресов

-эхо-потоки — это когда серверы подделываются ping-пакетами с огромного набора исходных IP-адресов

UDP — это где злоумышленник будет заливать разные порты в случайном порядке.

DDoS-атаки на основе протоколов:

Протоколы — это то, как вещи передаются из точки A в точку B в Интернете. DDoS-атаки, основанные на протоколах, будут использовать слабые места в стеках протоколов уровней 3 и 4. Это вызовет сбой в обслуживании.

Пинг смерти — это когда злоумышленники манипулируют протоколами IP, отправляя вредоносные эхо-запросы на сервер.

SYN-лавинная рассылка использует любые слабые места в протоколе управления передачей (TCP), который является процессом связи между хостом, сервером и клиентом.

Атаки на уровне приложений

Это нацелено на такие приложения, как веб-серверы, такие как Windows IIS, Apache и т. Д. Цель атак на уровне приложений — захватить веб-сайт, онлайн-службу или веб-сайт.

Как предотвратить DDoS-атаку

Есть несколько шагов для предотвращения DDoS-атаки:

  • Используйте брандмауэр веб-сайта с защитой от DDoS
  • Заблокируйте доступ к вашему веб-сайту для определенных стран
  • Заблокируйте DDoS-атаки на уровне приложений
  • Мониторинг трафика — если вы замечаете, что всплески случаются случайным образом, это может быть признаком того, что у вас есть попытка DDoS-атаки.
  • Если вы видите всплеск трафика, поищите другие индикаторы коварного поведения на своем веб-сайте — например, увеличение количества попыток входа в систему.

Вам следует создать план защиты от DDoS-атак и включить в него надежное программное обеспечение, обеспечивающее безопасность веб-сайтов и защиту от DDoS-атак.

Что такое DDos-атака?

DDoS, сокращение от Distributed Denial of Service attack, — это тип атаки на веб-сайты, выполняемый с помощью ботов. При DDoS-атаке хакеры используют ботов для создания поддельного трафика, чтобы исчерпать ресурсы вашего сервера и привести к сбою вашего сайта.

Эти атаки совершаются хакерами с целью вымогательства (требования денег) или для выполнения других неэтичных требований владельца веб-сайта.Хотя DDoS-атаки не ставят под угрозу безопасность вашего веб-сайта автоматически, они наверняка могут вывести его из строя и сделать так, чтобы ни один из ваших пользователей не смог получить к нему доступ.

Период DDoS-атаки может варьироваться от дня до недели и более. Это может разрушить присутствие веб-сайта или приложения в Интернете в это время. Если вы являетесь владельцем веб-сайта и сталкиваетесь с DDoS-атаками, вам необходимо применить надежный брандмауэр на уровне DNS, чтобы смягчить их.

Типы DDoS-атак

Существует несколько различных типов DDoS-атак, которые могут происходить на вашем веб-сайте.Вам необходимо выяснить тип атаки, прежде чем вы сможете заблокировать фальшивый трафик на своем сайте. Давайте посмотрим на различные типы DDoS-атак.

Объемные атаки

Атаки этого типа нацелены на пропускную способность и не оставляют места для реальных пользователей, чтобы посетить веб-сайт. Как только пропускная способность заполнится, ваш сайт выйдет из строя или покажет ошибку. Вы не можете решить эту проблему, просто увеличив пропускную способность. Вы должны смягчить DDoS-атаку, если хотите решить проблему.

Атаки приложений

Атаки приложений трудно остановить, потому что они выглядят как реальный трафик. Эти атаки запускаются на конкретное приложение или серверы до тех пор, пока оно не становится недоступным. Эти атаки нацелены не на весь веб-сайт, а на конкретное приложение. Это медленно обнаруживается, и процесс постепенно развивается, пока сервер приложений не выйдет из строя.

Атаки протокола

Протокол атак отличается. В этих типах атак хакер или программа запуска отправляют обычный синхронизированный запрос для создания соединения с сервером.Сервер подтверждает запрос, и соединение устанавливается. Позже злоумышленник не отвечает на подтверждения и продолжает увеличивать нагрузку до тех пор, пока сервер не выйдет из строя.

Иногда хакер отправляет слишком большой сигнал, также известный как сигнал смерти. Сервер обрабатывает пинг, и он вылетает из-за нагрузки.

Крайне важно использовать брандмауэр веб-приложений, такой как Sucuri или Cloudflare, для предотвращения DDoS-атак. Эти межсетевые экраны обнаруживают и смягчают DDoS-атаки в режиме реального времени.

Дополнительное чтение

Что такое DDoS? Определение и часто задаваемые вопросы

Определение DDoS

DDoS означает «распределенный отказ в обслуживании», злонамеренную попытку злоумышленника запретить законным пользователям доступ к серверу или сетевому ресурсу путем перегрузки его искусственным трафиком.

Часто задаваемые вопросы

Что такое DDoS?

Распределенный отказ в обслуживании (DDoS) — это результат кибератаки, при которой сервер или сетевой ресурс становятся недоступными для легитимного пользовательского трафика.Отказ в обслуживании происходит в результате атаки — умышленного нарушения работы целевого хоста, подключенного к Интернету, злоумышленником (злоумышленником).

Что такое DDoS-атака и как она работает?

DDoS — это тип атаки типа «отказ в обслуживании» (DoS), при которой злоумышленник злонамеренно пытается нарушить нормальный трафик целевой сети или сервера, затопляя окружающую инфраструктуру Интернет-трафиком. Обычно это связано с кооптированием большого количества клиентских устройств с троянским вирусом и их координацией для одновременной отправки запросов к одному и тому же ресурсу.Популярные для хакеров из-за своей простоты, DDoS-атаки также могут быть доступными, если не прибыльными, побуждая злоумышленников или «хактивистов» обратиться к этой форме кибератак.

Как правило, DDoS-атака злонамеренно наводняет IP-адрес тысячами сообщений с использованием распределенных (управляющих) серверов и ботнетов. Жертвы атаки не могут получить доступ к системам или сетевым ресурсам для выполнения законных запросов из-за нежелательного трафика, снижающего производительность сети.

Типы DDoS-атак

Типы DDoS-атак варьируются от тех, которые вызывают сбой в работе служб, и те, которые наводняют службы. Сегодняшние три основные категории DDoS-атак: объемных атак, , ориентированных на пропускную способность сети, атак по протоколу, , направленных на ресурсы сервера, и атак приложений, , направленных на веб-приложения. Некоторые из наиболее распространенных инструментов DDoS включают:

• SYN Flood — синхронизированный (SYN) Flood использует слабые места в последовательности TCP-соединения, также известной как трехстороннее рукопожатие.

• HTTP Flood — отправляет искусственные запросы GET или POST для максимального использования ресурсов сервера.

• UDP Flood — атака по протоколу дейтаграмм пользователя (UDP) нацелена на случайные порты компьютера или сети с помощью пакетов UDP.

• Атака Smurf — этот тип атаки использует IP и протокол управляющих сообщений Интернета (ICMP) с помощью вредоносной программы smurf.

• Fraggle Attack. Подобно атаке smurf, Fraggle-атака применяет большие объемы UDP-трафика к широковещательной сети маршрутизатора с использованием UDP, а не ICMP.

• Shrew Attack — атакует TCP с помощью коротких синхронизированных пакетов трафика по одному и тому же каналу.

• Ping of Death — манипулирует IP, отправляя вредоносные эхо-запросы в систему.

• Slowloris — использует минимальные ресурсы во время атаки, ориентируясь на веб-серверы аналогично HTTP-лавинной рассылке, сохраняя соединение с целью открытым как можно дольше.

• Атаки на уровне приложений — устранение определенных уязвимостей в приложениях, а не на сервере в целом.

• NTP Amplification — использует серверы Network Time Protocol (NTP) с помощью усиленной атаки отражения.

Как остановить DDoS-атаку

Важно установить лучшую защиту от DDoS-атак для вашего бизнеса, чтобы предотвратить DDoS-атаки, которые могут поставить под угрозу данные и интеллектуальную собственность вашей компании. Защита от DDoS-атак, также известная как предотвращение DDoS-атак, имеет решающее значение для компаний, поскольку количество угроз DDoS растет. Средняя недельная DDoS-атака стоит менее 200 долларов, и более 2000 из них происходят по всему миру каждый день.Фирмы часто платят небольшую часть стоимости услуг по предотвращению DDoS-атак по сравнению с ущербом, который несут жертвы атаки.

Если у вас в настоящее время нет плана по предотвращению DDoS-атак, сейчас хорошее время для начала. Защита от DDoS-атак включает несколько различных подходов, таких как решения для самостоятельной работы, локальные инструменты и облачные решения.

DIY DDoS Protection

Этот метод, безусловно, наименее затратный, но часто считается слабым подходом и неадекватным для онлайн-бизнеса с приличным трафиком.Основная цель большинства средств защиты DIY — остановить атаки флуда путем реализации пороговых значений трафика и правил занесения в черный список IP-адресов.

Эти настройки защиты от DDoS-атак являются реактивными по своей природе, обычно срабатывают после первоначальной атаки. Хотя такой подход может помешать будущим атакам, большинство злоумышленников могут адаптировать и модифицировать свои методы. Более того, ограничения пропускной способности сети с решениями DIY обычно оказываются неэффективными, поскольку компаниям не хватает масштабируемости для защиты от атак.

Локальная защита от DDoS-атак

Этот подход добавляет дополнительный уровень аппаратных устройств, развернутых на месте в центрах обработки данных клиентов вместе с другим сетевым оборудованием и серверами.Локальная защита часто может быть дорогостоящим вариантом защиты от DDoS-атак.

Преимущества расширенной фильтрации трафика, предлагаемой локальными решениями защиты от DDoS-атак, включают низкую задержку, контроль данных и соответствие строгим нормам в определенных отраслях. К недостаткам относятся более высокая стоимость защиты от DDoS-атак, необходимость развертывания вручную в случае атаки и ограничения доступной полосы пропускания.

Облачный сервер Защита от DDoS-атак

Внешние облачные решения — это внешние услуги, которые требуют меньших вложений в управление или обслуживание, чем другие услуги по предотвращению DDoS-атак, при этом обеспечивая эффективную защиту от угроз как на уровне сети, так и на уровне приложений.Эти службы развертываются как постоянно работающие или по запросу и могут эластично масштабировать ресурсы для противодействия DDoS-атакам. Такие службы, как сеть доставки контента (CDN), могут направлять трафик, фильтруя трафик, разгружая вредоносные запросы и отправляя на веб-сайт только трафик, который определен как «безопасный».

Сервисы Always-on позволяют перенаправлять DNS-серверы, уделяя особое внимание предотвращению атак на уровне приложений, которые истощают ресурсы сервера. Опция по требованию смягчает атаки сетевого уровня, нацеленные на основные компоненты сетевой инфраструктуры, такие как поток UDP, за счет эластичного масштабирования услуг.

DoS против DDoS

DoS-атака — это атака отказа в обслуживании, при которой один или несколько компьютеров используются для наводнения сервера пакетами TCP и UDP, чтобы перегрузить мощность целевого сервера и сделать его недоступным для обычных пользователей. DDoS-атака — один из наиболее распространенных типов DoS-атак, использующий несколько распределенных устройств для нацеливания на одну систему. Этот тип атак часто более эффективен, чем другие типы DoS-атак, поскольку злоумышленник может использовать больше ресурсов, что усложняет восстановление.

Предлагает ли Avi защиту от DDoS-атак?

VMware NSX Advanced Load Balancer от Avi Networks защищает и смягчает DDoS-атаки, выявляя угрозы, информируя администраторов и автоматически защищаясь от этих атак. Некоторые из функций, которые используются для этого, — это защита от переполнения TCP SYN, защита HTTP от DDoS, фильтрация URL-адресов, ограничение скорости подключения для каждого клиента, ограничение скорости подключения для клиентов, определенных пользователем, ограничение максимальной пропускной способности для VS, ограничение максимального количества одновременных подключений для VS и Ограничение максимального количества одновременных подключений на сервере.

Кроме того, эластичные сервисы приложений Avi позволяют автоматизировать масштабирование сервисов по требованию во время атаки, что дает администраторам время, необходимое для работы по смягчению последствий атаки при сохранении качества обслуживания. Узнайте об автоматическом масштабировании Avi Software Load Balancer здесь.

7 проверенных тактик для предотвращения DDoS-атак в 2021 году

Массовая DDoS-атака поражает ваш сервер. Ваши базовые системы безопасности не срабатывают вовремя.

Внезапно ваш бизнес останавливается, и ваш веб-сайт не работает на несколько часов.Вы теряете неисчислимые суммы дохода.

Не нужно смотреть дальше прошлогоднего инцидента с Dyn, чтобы увидеть, как ваш бизнес можно свести к организации, пытающейся восстановить свою репутацию и конвейер.

За один уик-энд худшая распределенная атака отказа в обслуживании в истории привела к сбою крупнейших в мире интернет-сервисов. Twitter, Reddit, The New York Times и PayPal были лишь некоторыми из значительных сайтов, которые вышли из строя из-за атаки.

Сообщается, что ущерб от этой злонамеренной атаки для Dyn составил 8% ее бизнеса.Суровость послания, посланного цифровым предприятиям, была неизмеримой.

Атаки отказа в обслуживании никуда не денутся, и ни один бизнес не может позволить себе остаться незащищенным.

Что такое DDoS-атаки? Определение

DDoS означает распределенный отказ в обслуживании.

Это форма кибератаки, которая нацелена на критически важные системы, чтобы нарушить сетевое обслуживание или подключение, что вызывает отказ в обслуживании для пользователей целевого ресурса. Атака DDoS использует вычислительную мощность нескольких компьютеров, зараженных вредоносным ПО, для нацеливания на одну систему.

Ботмастер, как называется ведущий атакующий компьютер, может действовать тремя основными способами.

Вот шокирующий пример крупной DDoS-атаки:

Видео открывает совершенно новый взгляд на защиту данных от DDoS-атак, не так ли?

Он иллюстрирует возможную серьезность атаки, а также проливает свет на системы, которые вам необходимо иметь для защиты. И печальная реальность заключается в том, что средняя сила DDoS-атак продолжает расти.

Согласно отчету Verisign о тенденциях в области DDoS-атак за 1 квартал 2018 г., средний максимальный размер атаки увеличился на 26% за отчетный период.Связанное с этим исследование Neustar предполагает, что такая атака может стоить компании более 250 000 долларов в час.

Для защиты от DDoS важно понимать наиболее распространенные типы атак.

Типы DDoS-атак и принцип их работы

Объемные атаки

Самая распространенная DDoS-атака приводит к перегрузке пропускной способности сети компьютера, переполняя ее ложными запросами данных на каждый открытый порт, доступный устройству. Поскольку бот заполняет порты данными, машине постоянно приходится иметь дело с проверкой вредоносных запросов данных, и у нее нет места для приема легитимного трафика.UDP-флуд и ICMP-флуд представляют собой две основные формы объемных атак.

UDP означает протокол дейтаграмм пользователя и относится к простой передаче данных без проверки их целостности. Формат UDP хорошо подходит для быстрой передачи данных, что, к сожалению, делает его основным инструментом для злоумышленников.

ICMP означает протокол управляющих сообщений Интернета, относящийся к сетевым устройствам, которые обмениваются данными друг с другом. Атака, сфокусированная на ICMP, основана на отправке атакующими узлами цели ложных запросов об ошибках.Цель должна иметь дело с этими запросами и не может отвечать на реальные, подобно тому, как работает атака UDP.

Атаки на уровне приложений

Уровень приложений — это самый верхний уровень сетевой модели OSI и наиболее близкий к взаимодействию пользователя с системой. Атаки, использующие уровень приложений, в основном сосредоточены на прямом веб-трафике. Потенциальные возможности включают HTTP, HTTPS, DNS или SMTP.

Атаки на уровне приложений не так легко отловить, потому что они обычно используют меньшее количество машин, а иногда даже одну.Следовательно, сервер может быть обманут, и он будет рассматривать атаку как не что иное, как увеличение объема легитимного трафика.

Протокол атак

Атака протокола направлена ​​на повреждение таблиц соединений в сетевых областях, которые имеют дело непосредственно с проверкой соединений. Посылая последовательно медленные эхо-запросы, преднамеренно искаженные эхо-запросы и частичные пакеты, атакующий компьютер может вызвать перегрузку буферов памяти в целевом объекте и потенциально привести к сбою системы. Атака протокола также может быть нацелена на брандмауэры.Вот почему брандмауэр сам по себе не остановит атаки типа «отказ в обслуживании».

Одна из наиболее распространенных атак на протокол — это SYN-лавинная рассылка, в которой для установления соединения TCP / IP используется трехэтапный процесс установления связи. Обычно клиент отправляет пакет SYN (синхронизация), получает SYN-ACK (подтверждение синхронизации) и отправляет ACK в ответ перед установлением соединения. Во время атаки клиент отправляет только SYN-пакеты, в результате чего сервер отправляет SYN-ACK и ждет финальной фазы, которая никогда не происходит.Это, в свою очередь, связывает сетевые ресурсы.

Часто потенциальные хакеры комбинируют эти три типа подходов, чтобы атаковать цель на нескольких фронтах, полностью подавляя ее защиту до тех пор, пока не будут применены более сильные и тщательные контрмеры.

7 передовых методов предотвращения DDoS-атак

Развитие DDoS-атак не показывает признаков замедления. Их объем и частота продолжают расти, сегодня чаще всего используются «смешанный» или «гибридный» подход.

Без систем раннего обнаружения угроз и профилирования трафика невозможно узнать, что они здесь.На самом деле, скорее всего, вы узнаете об этом только тогда, когда ваш сайт замедляется до остановки или вылетает.

Это особенно верно для сложных атак, которые используют смешанный подход и нацелены на несколько уровней одновременно.

Эти атаки нацелены на данные, приложения и инфраструктуру одновременно, чтобы увеличить шансы на успех. Чтобы бороться с ними, вам нужен план битвы, а также надежные решения для предотвращения и смягчения DDoS-атак. Вам нужна интегрированная стратегия безопасности, которая защищает все уровни инфраструктуры.

1. Разработайте план реагирования на отказ в обслуживании

Разработайте план предотвращения DDoS-атак на основе тщательной оценки безопасности. В отличие от небольших компаний, более крупным компаниям может потребоваться сложная инфраструктура и участие нескольких команд в планировании DDoS-атак.

Когда происходит DDoS-атака, некогда думать о том, что лучше всего предпринять. Их необходимо определить заранее, чтобы обеспечить быструю реакцию и избежать каких-либо ударов.

Разработка плана реагирования на инциденты — важнейший первый шаг к всеобъемлющей стратегии защиты.В зависимости от инфраструктуры план реагирования на DDoS может быть довольно исчерпывающим. Первый шаг, который вы сделаете, когда произойдет злонамеренная атака, может определить, чем она закончится. Убедитесь, что ваш центр обработки данных подготовлен, а ваша команда осознает свои обязанности. Таким образом вы сможете минимизировать влияние на свой бизнес и сэкономить месяцы восстановления.

Ключевые элементы остаются неизменными для любой компании, и они включают:

  • Контрольный список систем. Разработайте полный список активов, которые вы должны внедрить, чтобы обеспечить наличие расширенных инструментов идентификации, оценки и фильтрации угроз, а также аппаратной и программной защиты с повышенной безопасностью.
  • Сформировать группу реагирования . Определите обязанности для ключевых членов команды, чтобы обеспечить организованную реакцию на нападение по мере его возникновения.
  • Определите процедуры уведомления и эскалации . Убедитесь, что члены вашей команды точно знают, к кому обращаться в случае нападения.
  • Включите список внутренних и внешних контактов , которым следует сообщить об атаке. Вам также следует разработать стратегии взаимодействия со своими клиентами, поставщиком облачных услуг и любыми поставщиками средств безопасности.

2. Защитите свою сетевую инфраструктуру

Устранение угроз сетевой безопасности может быть достигнуто только при наличии многоуровневых стратегий защиты.

Сюда входят расширенные системы предотвращения вторжений и управления угрозами, которые объединяют межсетевые экраны, VPN, защиту от спама, фильтрацию контента, балансировку нагрузки и другие уровни методов защиты от DDoS-атак. Вместе они обеспечивают постоянную и последовательную защиту сети для предотвращения DDoS-атак. Это включает в себя все, от выявления возможных несоответствий трафика с высочайшим уровнем точности до блокировки атаки.

Большая часть стандартного сетевого оборудования поставляется с ограниченными возможностями защиты от DDoS-атак, поэтому вы можете передать на аутсорсинг некоторые дополнительные услуги. С облачными решениями вы можете получить доступ к расширенным ресурсам смягчения и защиты с оплатой по факту использования. Это отличный вариант для малых и средних предприятий, которые хотят сохранить свои бюджеты на безопасность в запланированных пределах.

В дополнение к этому, вы также должны убедиться, что ваши системы обновлены. Устаревшие системы обычно имеют наибольшее количество лазеек.Злоумышленники с отказом в обслуживании находят дыры. Регулярно обновляя свою инфраструктуру и устанавливая новые версии программного обеспечения, вы можете закрыть больше дверей для злоумышленников.

Учитывая сложность DDoS-атак, вряд ли существует способ защиты от них без соответствующих систем, позволяющих выявлять аномалии в трафике и обеспечивать мгновенный ответ. Опираясь на безопасную инфраструктуру и боевой план, такие системы могут минимизировать угрозу. Более того, они могут принести необходимое душевное спокойствие и уверенность каждому, от системного администратора до генерального директора.

3. Практика базовой сетевой безопасности

Самая основная мера противодействия предотвращению DDoS-атак состоит в том, чтобы допустить как можно меньше ошибок пользователя.

Использование надежных методов обеспечения безопасности может защитить бизнес-сети от компрометации. Методы безопасности включают сложные пароли, которые регулярно меняются, методы защиты от фишинга и безопасные брандмауэры, которые пропускают небольшой внешний трафик. Сами по себе эти меры не остановят DDoS, но они служат важной основой безопасности.

4. Поддержание надежной сетевой архитектуры

Ориентация на безопасную сетевую архитектуру жизненно важна для безопасности. Бизнес должен создавать избыточные сетевые ресурсы; если один сервер подвергается атаке, другие могут обрабатывать дополнительный сетевой трафик. По возможности, ваши бизнес-серверы должны быть расположены в разных местах географически. Злоумышленникам труднее атаковать распределенные ресурсы.

5. Используйте облако

Аутсорсинг Защита от DDoS-атак поставщикам облачных услуг дает несколько преимуществ.Во-первых, у облака гораздо больше пропускной способности и ресурсов, чем у частной сети. С ростом масштабов DDoS-атак полагаться исключительно на локальное оборудование, скорее всего, не удастся.

Во-вторых, природа облака означает, что это рассеянный ресурс. Облачные приложения могут поглощать вредоносный или вредоносный трафик еще до того, как он достигнет места назначения. В-третьих, облачные сервисы обслуживаются инженерами-программистами, чья работа заключается в мониторинге сети на предмет новейших тактик DDoS-атак.

Выбор подходящей среды для данных и приложений будет зависеть от компаний и отраслей. Гибридные среды могут быть удобны для достижения правильного баланса между безопасностью и гибкостью, особенно с поставщиками, предоставляющими индивидуальные решения.

6. Обратите внимание на предупреждающие знаки

Некоторые симптомы DDoS-атаки включают замедление работы сети, нестабильное подключение во внутренней сети компании или периодическое завершение работы веб-сайтов. Нет идеальной сети, но если недостаток производительности кажется длительным или более серьезным, чем обычно, сеть, вероятно, подвергается DDoS-атаке, и компании следует принять меры.

7. Рассмотрите возможность использования DDoS-атак как услуги

DDoS-as-a-Service обеспечивает повышенную гибкость для сред, сочетающих внутренние и сторонние ресурсы или облачный хостинг и выделенный сервер.

В то же время он обеспечивает соответствие всех компонентов инфраструктуры безопасности высочайшим стандартам безопасности и нормативным требованиям. Ключевым преимуществом этой модели является возможность индивидуальной архитектуры безопасности для нужд конкретной компании, что делает защиту от DDoS-атак высокого уровня доступной для предприятий любого размера.

Как остановить DDoS-атаку? Монитор необычной активности

Раннее обнаружение угроз — один из наиболее эффективных способов предотвращения атаки.

Отказ в обслуживании может принимать различные формы, и очень важно распознать его наиболее распространенный признак. Любое резкое снижение производительности сети или увеличение количества спам-писем может быть признаком вторжения. К ним следует обращаться, как только они будут замечены, даже если отклонения поначалу не кажутся такими важными.

Компаниям также необходимо понимать возможности своего оборудования для выявления атак как на уровне сети, так и на уровне приложений. Если у вас нет этих ресурсов внутри компании, вы можете обратиться к своему интернет-провайдеру, центру обработки данных или поставщику средств безопасности, чтобы получить ресурсы расширенной защиты.

Имея надлежащие системы для обнаружения и реагирования на все типы атак, вы уже настроили свой бизнес на успешную защиту.

На что обращать внимание в службе защиты от DDoS-атак

По возможности, полезно выбрать службу защиты от DDoS-атак, которая позволяет инженерам и сетевым администраторам постоянно отслеживать трафик.Таким образом, время отклика сокращается по сравнению с удаленной работой.

Еще один фактор — противостоит ли служба SSL-атакам. Сайты, которые предоставляют коммерческие транзакции, работают на SSL, и успешная атака на этот протокол может стоить тысячи долларов потерянной прибыли.

Чем полнее план смягчения, тем лучше сети с точки зрения защиты от DDoS-атак. На рынке существует множество различных услуг.

Всегда будьте готовы к атакам отказа в обслуживании

DDoS-атак болезненно реальны и больше не являются проблемой только крупных корпораций.Все чаще мишенью становятся малые и средние компании. Эта тенденция вызвала еще больший спрос на многоуровневые решения безопасности, которые могут обеспечить полную защиту чувствительных рабочих нагрузок.

В то время как ландшафт угроз продолжает развиваться, развиваются и технологии безопасности. Следуя этой тенденции, мы недавно выпустили четвертую фазу улучшений DDoS для всех наших сервисов. Мы будем уделять больше внимания осведомленным компаниям о наиболее распространенных киберугрозах и лучших стратегиях безопасности, которые нужно защищать.

Готовы сделать следующий шаг и обеспечить непрерывность бизнеса? Свяжитесь с нашими экспертами по облачной безопасности, чтобы узнать больше и предотвратить следующую DDoS-атаку на ваш бизнес.

Как остановить DDoS-атаку и защитить свой бизнес

Как остановить DDoS-атаку

Являетесь ли вы компанией из списка Fortune 500 или местным розничным продавцом, киберпреступность представляет собой реальную угрозу вашему бизнесу, доходам и бренду. Ожидается, что в период с 2015 по 2019 год количество инцидентов, связанных с киберпреступностью, увеличится в четыре раза, а предполагаемая стоимость утечки данных превысит 2 доллара США.1 триллион по всему миру. Внедрение эффективной защиты от DDoS-атак — ключ к обеспечению безопасности вашего веб-ресурса и готовности отражать любые атаки.

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» или DDoS — это распространенный тип кибератак, когда злоумышленник наводняет веб-сервер, службу или сеть трафиком, чтобы нарушить их нормальную работу.

DDoS-атаки осуществляются путем захвата целевого веб-сервера или сети сообщениями, запросами на подключение или поддельными пакетами.Когда целевой сервер пытается удовлетворить все запросы, он превышает предел пропускной способности и вызывает замедление, сбой или недоступность сервера. Распространенная аналогия — это автомобильная магистраль. Если вы приближаетесь к перекрестку, если к нему присоединится еще много машин, это приведет к пробке и остановит всех на своем пути. Сюда входят даже другие машины позади вас.

Если целевой сервер является критически важной системой для вашего бизнеса, он может вывести из строя всю сетевую инфраструктуру и остановить ваши бизнес-операции.Более того, во время простоя сервера могут быть запущены другие типы атак, такие как программы-вымогатели и вымогательства, все из которых приводят к огромным экономическим последствиям для бизнеса.

Обычно трафик исходит от группы скомпрометированных систем и устройств, называемых ботнетами, и содержит вредоносное ПО. По мере того, как к Интернету подключается все больше устройств, особенно устройств IoT, этот тип угроз кибербезопасности становится легче запускать.

Прочтите наше специальное руководство: Что такое DDoS-атака?

Типы DDoS-атак

DDoS-атаки могут различаться в зависимости от используемых векторов атаки и способа их использования.Вот некоторые из распространенных типов DDoS-атак:

Объемные атаки

Объемные атаки — это атаки, нацеленные на компьютерную сеть, чтобы перегрузить ее пропускную способность. Это наиболее распространенный тип DDoS-атаки, который работает, подавляя свои возможности большим количеством ложных запросов данных. Пока машина занята проверкой этих вредоносных запросов данных, законный трафик не может пройти.

лавинная рассылка по протоколу дейтаграмм пользователя (UDP) и лавинная рассылка по протоколу управляющих сообщений Интернета (ICMP) — две распространенные формы объемных атак.В атаках UDP злоумышленники используют формат UDP и его функцию быстрой передачи данных, которая пропускает проверки целостности для создания атак с усилением и отражением. При ICMP-наводнениях злоумышленники сосредотачиваются на сетевых узлах, чтобы отправить ложные запросы об ошибках на цель, которая перегружается и становится неспособной отвечать на реальные запросы.

Атаки протокола

Атака протокола работает, потребляя ресурсы сервера. Он атакует сетевые области, отвечающие за проверку соединений, отправляя медленные эхо-запросы, неверно сформированные эхо-запросы и частичные пакеты.Это приводит к перегрузке буфера памяти на целевом компьютере и сбою системы. Поскольку атаки на протоколы также могут скомпрометировать брандмауэры веб-приложений (WAF), DDoS-угрозы этого типа не могут быть остановлены брандмауэрами.

Атака SYN flood — один из наиболее распространенных типов атак протокола. Он работает, инициируя соединение TCP / IP без его завершения. Клиент отправляет пакет SYN (синхронизировать), после чего сервер отправляет обратно клиенту ACK (подтверждение). Затем предполагается, что клиент отвечает еще одним пакетом ACK, но не отвечает и заставляет сервер ждать, что расходует его ресурсы.

Атаки на уровне приложений

Это атаки, которые сосредоточены на уровне L7 или самом верхнем уровне в модели взаимодействия открытых систем (OSI). Они ориентированы в основном на веб-трафик и могут запускаться через HTTP, HTTPS, DNS или SMTP. Они работают, атакуя уязвимости в приложении, которые не позволяют ему доставлять контент пользователю.

Одна из причин, по которой атаки на уровне приложений трудно предотвратить, заключается в том, что они используют гораздо меньше ресурсов, иногда даже на одной машине.Это делает его похожим на увеличение объема легитимного трафика и обманывает сервер.

Хакеры также могут комбинировать эти подходы для запуска многоаспектной атаки на цель.

История DDoS-атак

Кибератаки — явление не новое. Первая DoS-атака была совершена в 1974 году из-за любопытства 13-летнего мальчика из Иллинойса. Он заставил 31 компьютерный терминал Университета Иллинойса выключиться одновременно, используя уязвимость в новой команде «ext».В 1990-х годах Internet Relay Chat подвергался атакам с помощью простых DoS-атак и переполнений чатов. Но первая крупная DDoS-атака, или распределенная атака отказа в обслуживании, произошла в 1999 году, когда хакер использовал инструмент под названием «Trinoo», чтобы отключить компьютерную сеть Университета Миннесоты на 2 дня. Последовали и другие атаки, заложившие основу для более крупных и распространенных кибератак, которые мы наблюдаем сегодня.

Что происходит при DDoS-атаке

Несмотря на весь ущерб, который может быть нанесен вашей веб-собственности и бизнесу в результате DDoS-атак, удивительно, насколько просты они на самом деле.Веб-серверы, DNS-серверы и серверы приложений; роутеры; брандмауэры веб-приложений; и пропускная способность интернета ежедневно обрабатывают огромное количество подключений. DDoS-атака происходит, когда серия скомпрометированных систем отправляет на сотни или тысячи соединений больше, чем серверы могут обработать. Это легко может произойти при использовании ботнета или связанной сети захваченных систем. Некоторые DDoS-атаки кажутся маскировкой для систем, контролирующих сайты и серверы. Это открывает им возможность заражения вредоносным ПО, часто в форме троянского вируса.Затем система становится частью ботнета, который в первую очередь проник в нее. Злоумышленники могут одновременно нацеливаться на разные части сети компании или могут использовать эти DDoS-события для прикрытия других преступлений, таких как кража или мошенничество.

9 способов предотвращения DDoS-атак

Технология автоматизации может частично помочь предотвратить кибератаки, но также требует человеческого интеллекта и мониторинга для максимальной защиты вашего веб-сайта. Традиционных веб-структур недостаточно.Многоуровневая облачная безопасность, разработанная и контролируемая высококвалифицированными и преданными своему делу инженерами, обеспечивает наилучшую защиту. Понимание того, как работают DDoS-атаки, и знакомство с поведением вашей сети — важные шаги в предотвращении вторжений, прерываний и простоев, вызванных кибератаками. Вот несколько советов, которые помогут предотвратить DDoS-атаку:

1. Внедрите надежные методы мониторинга сети

Первый шаг к уменьшению DDoS-угроз — это знать, когда вы собираетесь столкнуться с одной из них.Это означает внедрение технологии, которая позволяет вам контролировать вашу сеть визуально и в реальном времени. Знайте, какую полосу пропускания использует ваш сайт в среднем, чтобы вы могли отслеживать аномалии.

DDoS-атаки предлагают визуальные подсказки, и если вы хорошо знакомы с нормальным поведением вашей сети, вам будет легче отловить эти атаки в режиме реального времени.

2. Соблюдайте базовую гигиену безопасности

Каждый бизнес может предпринять несколько простых шагов, чтобы обеспечить базовый уровень защиты от DDoS-угроз.К ним относятся передовые методы, такие как использование сложных паролей, обязательный сброс пароля каждые пару месяцев и отказ от хранения или записи паролей в заметках. Это может показаться банальным, но вызывает тревогу, как много предприятий подвергаются риску из-за пренебрежения элементарной гигиеной безопасности.

3. Установите базовые пороги трафика

Вы можете частично смягчить DDoS-атаки с помощью некоторых других технических мер безопасности. К ним относятся установка пороговых значений и ограничений трафика, таких как ограничение скорости на вашем маршрутизаторе и фильтрация пакетов из подозрительных источников.Установка более низких пороговых значений SYN, ICMP и UDP, обратный список IP-адресов, геоблокировка и идентификация подписи — это другие методы, которые вы можете использовать в качестве первого уровня смягчения. Это простые шаги, которые могут выиграть вам больше времени, но DDoS-атаки постоянно совершенствуются, и вам потребуются другие стратегии, чтобы полностью предотвратить такие атаки.

4. Поддерживайте актуальность инфраструктуры безопасности

Мощность вашей сети определяется уровнем ее слабых звеньев.Вот почему важно знать об устаревших и устаревших системах в вашей инфраструктуре, поскольку они часто могут быть точками входа для атак после их взлома.

Поддерживайте актуальность центра обработки данных и систем и исправляйте брандмауэры веб-приложений и другие программы сетевой безопасности. Кроме того, хорошей идеей также является сотрудничество с вашим интернет-провайдером или хостинг-провайдером, поставщиком безопасности и центра обработки данных для реализации других расширенных возможностей защиты.

5. Будьте готовы с боевым планом реагирования на DDoS

Когда произойдет DDoS-атака, будет слишком поздно думать о реакции.Вам необходимо заранее подготовить план реагирования, чтобы свести к минимуму воздействие. В идеале план реагирования должен включать

  • Контрольный список инструментов — список всех инструментов, которые будут реализованы, включая расширенное обнаружение угроз, оценку, фильтрацию, а также программное и аппаратное обеспечение.
  • Группа реагирования — группа сотрудников с четко определенными ролями и обязанностями, которые необходимо выполнять после обнаружения атаки
  • Протоколы эскалации — четко определенные правила, кого уведомлять, повышать уровень и вовлекать в случае атаки
  • План коммуникации — стратегия связи с внутренними и внешними заинтересованными сторонами, включая вашего интернет-провайдера, поставщиков и клиентов, а также способ передачи новостей в режиме реального времени.
6. Обеспечьте достаточную мощность сервера

Поскольку объемные DDoS-атаки работают за счет превышения пропускной способности сети, одним из способов противодействия им является избыточное выделение пропускной способности. Таким образом, гарантируя, что емкость вашего сервера может справиться с резкими скачками трафика за счет увеличения пропускной способности, вы можете быть готовы к внезапным и неожиданным скачкам трафика, вызванным DDoS-атаками. Обратите внимание, что это не может полностью остановить DDoS-атаку, но даст вам несколько дополнительных минут для подготовки других средств защиты до того, как ваши ресурсы будут израсходованы.

7. Изучите облачные решения для защиты от DDoS-атак

Также целесообразно изучить облачные решения для защиты от DDoS-атак как часть стратегии предотвращения DDoS-атак. Облако обеспечивает большую пропускную способность и ресурсы по сравнению с частными сетями. Облачные центры обработки данных могут поглощать вредоносный трафик и рассылать его в другие области, не позволяя им достичь намеченных целей.

8. Использование сети доставки контента (CDN)

Одним из эффективных современных способов борьбы с DDoS-атаками является использование сети доставки контента (CDN).Поскольку DDoS-атаки работают путем перегрузки хост-сервера, сети CDN могут помочь, распределяя нагрузку поровну между несколькими географически распределенными серверами, расположенными ближе к пользователям. Таким образом, если один сервер выйдет из строя, другие будут продолжать работать. Сети CDN также могут обеспечивать управление сертификатами, а также автоматическое создание и продление сертификатов.

9. Получите профессиональную поддержку по защите от DDoS-атак

Не бойтесь обращаться к профессионалу. Поставщики DNS и такие компании, как CDNetworks, могут помочь вам защитить ваш веб-ресурс, перенаправляя посетителей по мере необходимости, отслеживая производительность для вас и распределяя трафик между несколькими серверами в случае атаки.

Стоимость DDoS-атак

DDoS-атак и их мотивы изменились со времени атак 90-х годов. Сегодня они более жесткие, их легче запускать и часто имеют политическую основу. Каждый день организованные кибератаки совершаются не только на крупные целевые корпорации, но и на малый и средний бизнес. Однако немногие достаточно подготовлены, чтобы отразить их. Затраты для бизнеса растут и оцениваются примерно в 500 миллиардов долларов или больше.Даже в этом случае, по словам экспертов, большая часть из 50 миллионов атак ежегодно остается незамеченной. Цена кибератаки для бизнеса заключается не только в потере производительности, доходов и деловых возможностей, но и в ущерб имиджу компании. Во многих случаях эксплуатационные расходы резко возрастают, поскольку предприятия пытаются найти и исправить свои уязвимости в системе безопасности.

Что нужно делать, если на вас напали

Хотя раннее обнаружение является ключом к предотвращению разрушительных последствий, есть шаги, которые вы можете предпринять, если вы стали целью DDoS-атаки.Первый шаг — убедиться, что у вас есть облачная система предотвращения DDoS-атак, способная справляться с атаками. Дополнительные шаги:

  • Настройка новых IP-адресов для ваших систем
  • Обеспечение максимальной безопасности записей DNS
  • Блокировка стран, признанных концентраторами DDoS-атак
  • Наличие выделенного сервера исключительно для электронной почты
  • Запись подключений к вашим серверам

CDNetworks предлагает решения безопасности, которые защищают не только ваш бизнес или организацию, но также интеллектуальную собственность вашей компании и клиентов, хранящуюся в вашей системе и на ее серверах.Проактивный подход может предотвратить разрушительные последствия DDoS-атак. Для получения дополнительной информации о наших продуктах, пожалуйста, заполните форму для связи с нами.

DDoS — Что такое распределенный отказ в обслуживании?

Какое определение для DDoS?

Представьте себе толпу покупателей в Черную пятницу, которые пытаются войти в магазин через вращающуюся дверь, но группа хулиганов блокируйте покупателей, обходя дверь, как карусель. Здесь много толканий, толканий и цепкие, и законные покупатели не смогут ничего купить.Бизнес заходит в тупик.

Это DDoS, или Распространенный Отказ в обслуживании — злонамеренная сетевая атака, в которой участвуют хакеры, заставляющие множество подключенных к Интернету устройства для отправки запросов сетевой связи к одной конкретной службе или веб-сайту с намерением подавить это с ложным трафиком или запросами. Это приводит к тому, что все доступные ресурсы связываются с этими запросы, а также сбой веб-сервера или его отвлечение настолько, что обычные пользователи не могут создать соединение между их системы и сервер.

Чтобы осуществить DDoS-атаку, хакерам нужна армия компьютеров-зомби, выполняющих их приказы. Хакеры используют то, что мы называем DDoSTool, чтобы поработить компьютеры и создать свою армию. Эта зомби-сеть ботов (ботнет) общается с командный и контрольный сервер (C&C), ожидающий команд от хакера, который запускает ботнет. В случае DDoS-атаки может случиться так, что десятки тысяч или даже миллионы ботов одновременно будут отправлять большие объемы сетевого трафика в направлении целевого сервера.Обычно, но не всегда, первоначальное заражение DDoSTool не пытается украсть данные или иным образом нанести вред хосту. Вместо этого он бездействует, пока его не попросят участвовать в DDoS-атаке.

Мотивы атак на веб-сайт или сервис различаются. Хактивисты будут использовать DDoS для политических заявлений против организации или правительства. Есть преступники, которые делают это, чтобы держать в заложниках коммерческий веб-сайт, пока они получить выкуп. Недобросовестные конкуренты использовали DDoS для грязной игры против компаний-конкурентов.Иногда DDoS также является стратегией, чтобы отвлечь администраторов веб-сайтов, позволяя злоумышленнику внедрить другое вредоносное ПО. такое как рекламное ПО, шпионское ПО, программа-вымогатель или даже устаревший вирус.

«Чтобы осуществить DDoS-атаку, хакерам нужна армия компьютеров-зомби, которые будут выполнять их приказы. Хакеры используют то, что мы называем DDoSTool для порабощения компьютеров и создания их армия ».

Последние новости DDoS

DDoS-атак количество атак растет: что могут сделать компании?
Массовые DDoS-атаки атака промывает GitHub
Авжан DDoS-бот, сброшенный китайскими драйверами-атаками
DDoS, ботнеты и черви… Ой Мой!
Имгур злоупотребляли в DDoS-атака на 4Chan!

Какова история DDoS-атак?

Согласно Википедии, первый Демонстрация DDoS-атаки была произведена хакером Khan C.Смит в 1997 году во время мероприятия DEF CON, нарушившего работу Интернета. доступ к Лас-Вегас-Стрип более часа. Выпуск образца кода во время мероприятия привел к онлайн-атаке. Sprint, EarthLink, E-Trade и других крупных корпораций в следующем году.

В начале 2000 года канадский хакер-подросток Майкл Кальс повысил ставки DDoS и произвел большое впечатление на бизнес. сообщество, отключив Yahoo! с DDoS — подвиг, который он повторил на неделе, за которой последовало нарушение других крупных такие сайты, как Amazon, CNN и eBay.

Общий порог усилий, который требуется хакеру для организации DDoS-атак, только снизился, сообщения о том, что кибергруппы сдают в аренду ботнеты всего за 10 долларов в час.

Наконец, как мы вошли в Интернет эпохи вещей (IoT), практически любое подключенное к Интернету устройство, такое как смартфоны, камеры видеонаблюдения, маршрутизаторы и принтеры можно объединить в ботнет для еще большего воздействия DDoS.

«Общий порог усилий, который требуется хакеру для организации DDoS-атак, только уменьшился, сообщения о том, что кибергруппы сдают в аренду ботнеты всего за 10 долларов в час.”

Достаточно сказать, что DDoS-атаки — это тенденция, которая продолжает расти. Согласно отчету The Economic Times, в первом квартале 2018 года количество DDoS-атак увеличилось на 53% по сравнению с аналогичным периодом прошлого года. четвертый квартал 2017 года. Более 65 процентов клиентов, подвергшихся DDoS-атакам в первом квартале 2018 года, были несколько раз подвергались непредсказуемым атакам, которые сильно различались по скорости и сложности.

Как злоумышленники запускают DDoS-атаки?

Во-первых, хакерам необходимо внедрить DDoSTool в вашу систему.Для этого киберпреступники прибегают к целому ряду уловок. чтобы поработить ваш компьютер, Mac , Android, iPhone, или конечную точку компании в их ботнет. Вот несколько общих примеры:

  • Вложение электронной почты. В момент принятия неверного решения вы нажимаете либо вложение, либо ссылку на веб-сайт, который злоумышленник контролирует и размещает вредоносное ПО, которое он вам отправляет.
  • Ваша социальная сеть или приложение для обмена сообщениями.Как и электронные письма, они могут содержать ссылки, по которым злоумышленники хотят, чтобы вы нажали, снова, чтобы запустить загрузку DDoSTool.
  • Попутные загрузки или мошенничество с кликами. если ты просматривайте законные, хотя и зараженные, веб-сайты, вам даже не нужно нажимать на что-либо, чтобы увидеть вредоносную рекламу скачать вредоносное ПО для ботнета. Или вы становитесь жертвой всплывающего окна, в котором отображается «срочное» сообщение, предлагающее вам скачать некоторую якобы необходимую антивирусную защиту (это вредоносное ПО).

После того, как заражение DDoSTool пустит корни, ваш компьютер, по-видимому, не изменится, хотя есть некоторые контрольные приметы.Ваш компьютер мог заметно замедлиться. Вы получаете случайные сообщения об ошибках, или ваш вентилятор набирает обороты загадочно, даже когда вы находитесь в режиме ожидания. Независимо от того, проявляются ли на нем эти признаки, зараженное устройство периодически возвращается с помощью командно-административного управления ботнетом (C&C) сервер, пока злоумышленник, запустивший ботнет, не выдаст команду для вашего устройства (вместе со всеми другими боты), чтобы подняться и атаковать конкретную цель.

Могут ли происходить DDoS-атаки на Android?

Поскольку смартфоны в основном представляют собой портативные карманные компьютеры, в сочетании с тем фактом, что существует около двух миллиардов из них используются, они обеспечивают богатый вектор атак для DDoS-атак на ходу.У них есть вычислительная мощность, память и емкость хранилища, которая делает их привлекательной целью для хакеров, особенно потому, что пользователи телефонов редко защищают свои устройства с защитой от вредоносных программ. Как и пользователи ПК, пользователи смартфонов так же восприимчивы к электронной почте и SMS. фишинг.

Что касается векторов заражения, специфичных для смартфонов, предположительно законные приложения, найденные на рынке загрузок, являются частая охота на DDoS-злоумышленников, которые тайно загрузили приложения с помощью вредоносного DDoSTool.По факту, именно так в августе 2018 года обнаружилась массовая DDoS-атака на Android-устройства, когда ботнет под названием WireX поразили цели в различных отраслях, включая гостиничный бизнес, азартные игры и регистраторов доменных имен. Выяснилось что до 300 вредоносных приложений для Android проникли в Google Play (которые компания удалила после того, как угроза), кооптируя устройства в ботнет более чем в 100 странах.

Как DDoS-атаки влияют на бизнес?

Очевидно, что компания или розничный коммерческий веб-сайт должны серьезно относиться к угрозам DDoS.А также в 2018 году было несколько огромных.

как Malwarebytes эксперт Питер Арнц пишет: «В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно. от небольшого неудобства до чего-то, что может нарушить ваш поток доходов и нанести ему непоправимый ущерб. DDoS-атака может нанести вред некоторым онлайн-предприятиям на достаточно долгий период времени, чтобы значительно их отбросить, или даже подавить их бизнеса полностью на время атаки и некоторое время после нее.В зависимости от вида атаки, также могут быть — намеренные или непреднамеренные — побочные эффекты, которые могут еще больше навредить вашему бизнесу ».

Побочные эффекты DDoS-атаки включают:

  • Разочарованные пользователи, которые могут никогда не вернуться
  • Потеря данных
  • Упущенная выгода
  • Возмещение убытков
  • Потерянные рабочие часы / производительность
  • Ущерб репутации бизнеса

«В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно, от небольшой неприятности до то, что может нарушить ваш поток доходов и навсегда повредить ему.»
Питер Арнц
Исследователь вредоносного ПО

Как остановить DDoS-атаки?

Для предприятий лучшее решение — заранее спланировать DDoS-атаки, используя либо постоянную защиту, либо четкие протоколы, которым ваша организация должна следовать при атаке.

Например, вместо того, чтобы отключать клиентов, онлайн-бизнес может продолжать разрешать пользователям использовать сайт. как можно чаще даже во время приступа. Ваш бизнес также может перейти на альтернативную систему, чтобы работать из.

Компании, которые уязвимы для угроз, связанных с мобильными телефонами, должны убедиться, что частные устройства, подключенные к корпоративной сети имеют одобренное решение мобильной безопасности для защиты от инфекций (а также средства предотвращения установка неавторизованных приложений). И ИТ-отдел должен проявлять бдительность при обнаружении и перехвате любых злонамеренная связь с DDoS C&C.

Что касается внутренней безопасности, есть несколько рекомендаций, которым вы должны следовать:

  • Не храните пароли, написанные на стикерах на столе или мониторе
  • Смена паролей на IoT-устройствах
  • Заблокируйте компьютер при выходе
  • Выход в конце дня
  • Никому не сообщайте свои учетные данные

В последнем случае, если абсолютно необходимо поделиться информацией для входа в систему, убедитесь, что она отправлена ​​через зашифрованные каналы.Если вы находитесь с получателем лицом к лицу, поделитесь информацией для входа в систему в месте, где другие люди не будут подслушивать.

Как предотвратить участие в ботнете?

Чтобы не стать невольным или невольным участником DDoS-атак, подпитываемых ботнетом, используйте тот же хороший компьютер. гигиена для предотвращения заражения вредоносным ПО: обновляйте операционную систему и приложения и не нажимайте на неизвестные ссылки и неожиданные вложения.

И, конечно же, постоянная кибербезопасность в реальном времени — это незаменимая вещь для защиты от DDoSTool. загрузок и всех других связанных вредоносных программ.Независимо от того, какое устройство и платформу вы используете, от Windows, Mac или Chromebook для Android, iPhone и бизнес среды, программы кибербезопасности Malwarebytes защищают пользователей от объектов, обнаруженных как DDoSTool.

.

Ваш комментарий будет первым

Добавить комментарий

Ваш адрес email не будет опубликован.