Ddos атака что это такое: Softline Insights about Business & Technology

Содержание

DDoS-атаки в 2022 и методы защиты от них / Хабр

Мы в Southbridge занимаемся построением и поддержкой ИТ-инфраструктуры и в процессе работы регулярно сталкиваемся с DDoS-атаками на серверы клиентов. Поэтому мы накопили опыт в этом вопросе. Денис Чернов, DevOps-инженер Southbridge, провёл вебинар о DDoS-атаках и подготовил на его основе эту статью. Слово Денису.

Привет, Хабр! Хочу поделиться тем, что знаю о DDoS — что это за атаки, какие они бывают, как можно их предотвратить и минимизировать влияние таких атак на свой сервис.

Эта статья написана по моему вебинару. Можно посмотреть его на Youtube — там кроме теории есть практика с настройкой защиты веб-сервера и имитацией DDoS-атаки.

Что такое DDoS-атаки и зачем их устраивают

DDoS — это Distributed Denial of Service, распределённый отказ в обслуживании. По сути это хакерская атака, которая перегружает систему, чтобы конечные потребители не могли пользоваться сервисом. Атака может быть направлена на всю ИТ-инфраструктуру, конкретный сервис либо канал до этого сервиса.

Распределённая — значит, что атака выполняется одновременно с большого количества устройств, которые зачастую распределены географически. Это могут быть как специально подготовленные сервера, так и ботнеты из зараженных устройств. Ботнет — это группа устройств, на которых запущены скрипты, выполняющие нужный злоумышленнику код, в данном случае — DDoS-атаку. Зачастую ботнеты собираются из устройств, зараженных вредоносным ПО, и их владельцы даже не подозревает о «двойной жизни» своих гаджетов.

DDoS-атака может быть организована с коммерческой целью:

Получить выкуп — обрушить систему и потребовать деньги за прекращение атаки.
Подставить конкурента. Например, обрушить его сайт в преддверии крупного праздника, чтобы клиенты ничего не могли заказать и пошли в другой магазин.

Но бывают и некоммерческие причины атак:

геополитические;
просто ради развлечения;
ради «хакерской» практики;
из «обиды» на какой-либо сайт, сервис или бренд.

Вне зависимости от причины DDoS-атака влияет на вашу конечную инфраструктуру и делает ваш сервис или сайт недоступным. Причины у недоступности могут быть разные, например:

Заполнение вашего сетевого канала паразитным трафиком: пустыми запросами и пакетами.
Утилизация ресурсов: ваш веб-сервер или СУБД оказывается загружен обработкой ненужных запросов и не может выдать реальным клиентам нужную информацию.

Кроме недоступности сервиса есть и другие последствия DDoS-атак:

Если ваши серверы в облаке, а трафик платный, вы можете понести финансовые расходы.
Если сайт будет недоступен больше двух суток, поисковые боты станут ранжировать вас ниже. Позиции в поисковой выдаче придётся восстанавливать.
Даже после восстановления работоспособности сервиса клиенты станут меньше вам доверять и могут уйти к конкурентам.
Под атакой элементы ИТ-инфраструктуры могут вести себя некорректно. Например, выдавать пользователю внутреннюю информацию о СУБД, к которой не удаётся подключиться. Ещё я на практике видел ошибку коннекта к базе данных даже после того, как проблемы с DDoS были уже решены.

Какие DDoS-атаки бывают

Существует несколько классификаций DDoS-атак. Здесь я хочу поговорить о классификации по уровням модели OSI.

Низкоуровневые. Они происходят на L3-L4 модели OSI, то есть в районе сетевого и транспортного протокола:

Сетевой уровень (L3): DDoS-атаки по протоколам IPv4, IPv6, ICMP, IGMP, IPsec, RIP, OSPF. Цели таких атак — в первую очередь сетевые устройства.
Транспортный уровень (L4): воздействие по протоколам TCP и UDP.
Цели таких атак — конечные серверы и некоторые интернет-сервисы.

Такие атаки весьма распространены. Дело в том, что стандарты интернета в делались с расчётом на то, что все участники будут добросовестно их использовать.

Например, в протоколе UDP, который работает поверх IP, информация передаётся датаграммами, и в заголовках пакета не содержится IP ни источника, ни получателя. UDP доверяет адресацию протоколу IP, поверх которого работает, а в протоколе IP эти заголовки есть, но они никак не проверяются. Соответственно, очень многие атаки основаны на том, что меняется один из IP-адресов, как правило, это IP-адрес источника. Это называется спуфингом, т.е. атакой с подменой данных одного из узлов.

Такие атаки характерны тем, что нагружают какие-то части вашей инфраструктуры, забивают канал или заполняют служебные таблицы.

Высокоуровневые. Они затрагивают уровень приложения, L7, и воздействуют по прикладным протоколам, например, HTTP. Цели таких атак — конечные серверы и сервисы.

Самые распространённые виды атак

Существует несколько разновидностей DDoS-атак в зависимости от того, на что и как конкретно они воздействуют. Расскажу о четырех самых популярных.

UDP Flood

UDP работает поверх протокола IP, и там нет установки соединения как такового — данные просто отсылаются безо всякого контроля целостности. Поэтому злоумышленник может, например, подменить IP-адрес источника — рассылать пакеты со своего устройства, но делать, вид, что они приходят из других мест. Проверить это нельзя, и именно в таком виде они придут на сервер.

При такой атаке злоумышленник генерирует множество пакетов максимального размера и отправляет на сервер-жертву. Опасность в том, что даже если сервер закрыт на firewall, невозможно повлиять на фильтрацию таких данных до их получения сетевым интерфейсом. «Последняя миля» от граничного маршрутизатора до сетевого интерфейса зачастую является наиболее уязвимым местом по пропускной способности. Пакеты всё равно пойдут через ваш канал и заполнят полосу пропускания.

Что делать. Банить на сервере пакеты по IP неэффективно, потому что заголовки легко менять (вышеупомянутый спуфинг). А если вы ещё и слушаете что-то по UDP-порту, бороться с ситуацией становится особенно сложно.

Обычно сервисы, которые работают через UDP — потоковые: IPTV, голосовые серверы вроде Тимспика, игры. Есть вариант посчитать длину пакета, которую вы обычно получаете, например, для входа в игру. И настроить firewall так, чтобы в доверенные добавлялись только адреса, откуда пришли пакеты нужного размера с подходящим содержимым. Это можно сделать с помощью анализа дампа трафика, который генерирует легитимное клиентское приложение.

Также есть методы усиления (амплификации), позволяющие многократно усилить атаку. Злоумышленник рассылает совершенно нормальным серверам по всему миру запрос (например DNS запрос, который использует UDP порт 53), в котором подменяет свой адрес на адрес жертвы в заголовках. Соответственно все сервера, на которые пришел запрос, отправляют ответ не на адрес атакующего, а на адрес жертвы, который был указан в заголовках. Так как DNS-ответ намного больше запроса, то и объем данных, который приходит на сервер жертвы, зачастую весьма велик.

Если вы не работаете через UDP, его вообще можно закрыть — так делают многие провайдеры, размещая свои DNS-сервера внутри сети.

Кстати, сейчас активно внедряют новый протокол QUIC, который будет являться транспортным для HTTP3. Этот протокол работает как раз поверх UDP и, скорее всего, будет подвержен таким атакам. Пока не знаю, как с ними планируют бороться. Может, разработают какие-то подходящие инструменты.

Фрагментированный UDP Flood

У него кроме описанного выше есть дополнительное действие. Атакующий присылает на сервер жертвы пакет, но говорит, что это только часть. Сервер-жертва резервирует у себя ресурс, чтобы собрать пакет, но новые фрагменты не приходят.

Что делать. Отбрасывать пакеты, которые по ожиданиям будут слишком большого размера, чтобы не забивать вашу оперативную память.

TCP SYN Flood

У TCP есть механизм установки соединения. Сначала источник посылает SYN-запрос о том, что хочет установить соединение. Сервер-получатель отвечает пакетом SYN+АСК о том, что готов к соединению.

Источник отвечает ACK-пакетом, подтверждая получение SYN+ACK.

Соединение устанавливается, потому что обе стороны подтвердили готовность, и начинают передаваться данные.

Здесь уже есть проверка соответствия IP-адреса, поэтому подменить его не получится. Но атакующий может генерировать SYN-пакет, инициируя новую сессию с сервером-жертвой, а соединение не установить, не отправляя АСК. Такая атака переполняет таблицу соединений, вызывая падение производительности. На настоящие запросы просто не остаётся места.

Что делать. Блокировать через firewall по превышению и настраивать лимиты по количеству SYN-пакетов в секунду, которые вы ожидаете для вашего сервиса.

HTTP Flood

Направлена уже не на соединение, а непосредственно на ваш сервис, и обычно воздействует на прикладной уровень модели OSI.

HTTP Flood — это просто генерация запросов. Здесь не происходит какой-то подмены, нарушений стандартов или тому подобного. Это распределённые запросы с целью вызвать недоступность вашего веб-сервера. Банально — злоумышленник отправляет миллионы запросов по генерации главной страницы вашего сайта, и сервер просто не справляется. Это как реальное обрушение в Черную пятницу, только вызванное искусственно.

Борьба с такими атаками сильно разнится в зависимости от инфраструктуры и характера атаки. Дальше расскажу об этом подробнее.

Методы предотвращения и защиты от DDoS-атак

Общий анализ инфраструктуры

Составить план инфраструктуры. Однозначно понять, что и где у вас расположено, какие сервисы и серверы вы используете.
Проанализировать, какие элементы инфраструктуры должны быть доступны извне. Все, которые не должны быть — закрыть. Например, СУБД не должна быть доступна извне. Стоит в firewall ограничить доступ и сменить порт со стандартного.
Убедиться, что IP-адреса инфраструктуры не скомпрометированы. Даже если вы отбили атаку на основной сервис, другой элемент вашей инфраструктуры может стать целью атаки.

Минимизация зоны атаки

Настроить firewall сервера. В политиках ни в коем случае нельзя оставлять настройки по дефолту. Важно закрыть все, кроме доверенных адресов и сетей.
Скрыть все реальные IP-адреса инфраструктуры. Периодически их менять.
По возможности отказаться от нешифрованного трафика. Перестать использовать HTTP и перейти на HTTPS. Это важно для безопасности в целом, но и от DDoS защищает — чтобы злоумышленники не смогли подсмотреть ваши пакеты и понять, как вы их формируете, чтобы потом подделать.
Проверить бизнес-логику, чтобы понять, как и куда ваш легитимный клиент должен делать запросы. Так вы научитесь распознавать нелегитимные.
Если на физическом сервере находится не один сервис, важно тщательно разграничить их по ресурсам. Чтобы упавший сервис не мог съесть все ресурсы и повредить другим сервисам.

Настроить мониторинг

Бывает так, что DDoS-атаки неочевидны и труднообнаружимы. Например, атаковать могут микросервис по приему заказов. Тогда главная страница будет доступна, но клиенты не смогут сделать заказ — и пока вам об этом не сообщат, вы останетесь в неведении.

Поэтому важно настроить мониторинг показателей сервиса: канал, загрузка CPU, траты памяти, работоспособности отдельных микросервисов и важных для бизнеса элементов сайта.

На что еще обратить внимание

После атаки IP бэкенда может остаться известен злоумышленникам. Поэтому его важно менять — ведь раз вас хотят «положить», то после отбитой атаки могут начать атаковать снова.
Защищать нужно все сервисы, а не только часть. Иначе эффективность защиты сильно упадет.
Граничные маршрутизаторы, «последняя миля» до вашего сервера, не всегда приспособлены подавлять флуд, который забивает ваш канал. Учитывайте это при выборе провайдера.
Определённые части кода могут быть плохо оптимизированы и уязвимы к атакам. Их нужно прорефакторить.

Мы в Southbridge достаточно часто сталкиваемся с DDoS-атаками. Последовательно выявляя характер атаки и её паттерны, не так уж сложно выработать методы противодействия и модернизировать инфраструктуру, учитывая необходимость отражения таких атак. Я сталкивался с сильной атакой только один раз, а в остальных случаях справиться всегда удавалось. Значит, и вам по силам построить инфраструктуру, устойчивую к DDoS.

DDoS-атака — что это такое, способы защиты от хакерских атак. ESET.

DDoS-атака – это вид кибератаки, во время которой злоумышленники пытаются нарушить работу веб-сайта, сети или других онлайн-сервисов, перегружая их большим количеством поддельных или нежелательных запросов.

Зачем злоумышленники совершают DDoS-атаки?

Существует несколько мотивов. Для киберпреступников это, как правило, зарабатывание денег на продаже DDoS-атак как услуги, шантажирование потенциальных жертв, чтобы они оплатили выкуп, хактивизм или способ недобросовестной борьбы с конкурентами.

Во время более сложных операций злоумышленники часто используют DDoS-атаки как один из инструментов для отвлечения от других более серьезных видов деятельности, например, кибершпионажа и киберсаботажа.

Злоумышленники отыскивают слабое место в сети и совершают DDoS-атаку. ESET.

Как происходят DDoS-атаки?

Злоумышленники, запускающие DDoS-атаки, используют сети распределенных скомпрометированных устройств, чтобы нарушить работу системы, нацеливаясь на один или несколько компонентов, необходимых для установления соединения с сетевым ресурсом.

Объемные атаки являются одним из старейших типов DDoS-атак. Они используют большие объемы трафика, чтобы заполнить пропускную способность жертвы или пропускную способность между сетью и Интернетом. Сегодня самые большие объемные атаки измеряются в терабитах в секунду (тбит/с), что эквивалентно примерно 9000 средних подключений к Интернету. Например, во время флуд-атаки по протоколу UDP (User Datagram Protocol) злоумышленники перегружают целевой удаленный сервер, посылая запросы программе, прослушивающей определенный порт. Из-за того, что сервер проверяет и отвечает на каждый запрос, его пропускная способность быстро заканчивается и он становится недоступным.

Атаки прикладного уровня (7 уровень модели OSI) осуществляются на общедоступные программы с помощью большого объема поддельного или фиктивного трафика. Примером является HTTP-флуд, заполняющий определенный веб-сервер легитимными запросами HTTP GET и HTTP POST. Несмотря на то, что сервер может обладать достаточной пропускной способностью, он вынужден обрабатывать большое количество фиктивных запросов, поэтому его возможности обработки иссякают. Атаки прикладного уровня измеряются десятками миллионов запросов в секунду (RPS).

Во время атак на уровне протокола злоумышленники используют уязвимости сетевых протоколов, таких как TCP, UDP, ICMP (3 и 4 уровня OSI), чтобы исчерпать ресурсы системы жертвы. Одним из примеров является SYN-флуд, который посылает большое количество запросов на сервер жертвы, но оставляет ответы на эти запросы без дальнейших действий, поэтому так называемое «трехстороннее рукопожатие» (Three-way Handshake) остается неполным. Когда количество незавершенных соединений исчерпывает мощность сервера, он становится недоступным. Атаки на уровне протокола используют специально созданные пакеты для достижения своих вредоносных целей и измеряются в пакетах в секунду (PPS). Во время самых больших зафиксированных атак такого типа количество пакетов достигало сотен миллионов.

В чем разница между атаками на отказ в обслуживании (DoS)
и распределенными атаками на отказ в обслуживании (DDoS)

Как видно из названия, основная разница заключается в количестве атакующих машин. В случае DoS-атак используется скрипт или инструмент, запускаемый с одного устройства и нацеленный на один конкретный сервер или рабочую станцию. В то время как DDoS-атаки осуществляются большой сетью скомпрометированных устройств, также известной как ботнет, которую можно использовать для перегрузки отдельных устройств, программ, веб-сайтов, служб или даже целых сетей жертв.

Как распознать DDoS-атаку на компанию?

Наиболее очевидным признаком является низкая производительность или отсутствие доступа системы или сервиса. Например, веб-сайт может долго загружаться или быть недоступным. Существуют также специальные сервисы для мониторинга DDoS-атак, включая downforeveryoneorjustme.com или downdetector.com.

Кроме этого, такая кибератака может быть идентифицирована мониторингом и анализом сетевого трафика, которые помогают выявить поддельные или нежелательные запросы, перегружающие одну или несколько систем компании. На возможную или уже продолжающуюся DDoS-атаку также могут указывать сообщения от злоумышленников, в которых они требуют выкуп за исключение организации из списка будущих целей или за прекращение текущей атаки.

7 причин, почему стоит позаботиться о защите от DDoS-атак

В результате атаки организация может потерять часть дохода из-за того, что ее веб-сайт, сервис или система не реагируют на запросы пользователей. Кроме того, устранение последствий инцидента также требует дополнительных затрат.
По данным нескольких известных организаций, занимающихся отслеживанием DDoS-атак, за последние три года количество инцидентов стремительно возросло.
С каждым годом DDoS-атаки становятся более мощными. В частности, в 2020 году самые большие атаки (на сетевом уровне) превышали показатель 1 Тбит/с, в 2021 году во время нескольких самых масштабных инцидентов было зафиксировано 2-3 Тбит/с. Кроме того, во время по меньшей мере двух DDoS-атак в 2021 году фиксировалось 15 миллионов запросов в секунду (RPS).

4. Организациям не всегда нужно быть непосредственными целями DDoS-атак, чтобы ощутить их влияние. В частности, если злоумышленники нарушают работу важных элементов Интернет-инфраструктуры, например местных или региональных провайдеров. В 2016 году в результате атаки на провайдера DNS Dyn стали недоступны популярные онлайн-сервисы Twitter, Reddit, Netflix и Spotify.

5. Киберпреступники часто шантажируют организации тем, что используют ботнеты для DDoS-атаки на них, если жертвы не заплатят выкуп. Для этого злоумышленники не обязательно могут иметь доступ к сетям целей.

6. Начиная с 2020 года также были зафиксированы случаи, когда известные группы киберпреступников, распространяющих программы-вымогатели, использовали DDoS-атаки для дополнительного шантажа жертв.

7. В даркнете существуют услуги по найму злоумышленников, занимающихся DDoS-атаками.

Как защититься компаниям?

Организациям, имеющим ограниченные ресурсы, например недостаточную пропускную способность или отсутствие дополнительного оборудования, может быть сложно препятствовать DDoS-атакам. Однако существуют меры безопасности, позволяющие даже малым и средним компаниям повысить уровень защиты:

Отслеживайте сетевой трафик и научитесь обнаруживать аномалии в Интернет-трафике. Таким образом, вы сможете выявить и своевременно заблокировать фиктивные запросы.
Создайте план аварийного восстановления на случай DDoS-атаки на веб-сайт или систему. Например, подготовьте резервные серверы, веб-сайт и альтернативные каналы связи.
Проанализируйте возможность миграции в облако. Этот шаг не устранит угрозу, однако поможет снизить вероятность атак благодаря более высокой пропускной способности и устойчивости облачной инфраструктуры.
Если ваша организация уже стала жертвой DDoS-атаки или находится в группе риска, подумайте об использовании сервисов защиты от DoS и DDoS, которые могут помочь снизить негативные последствия атаки.
Не дайте корпоративным устройствам стать частью ботнет-сети, которая может способствовать DDoS-атаке. Убедитесь, что работники соблюдают правила кибергигиены, своевременно обновляйте все устройства и программное обеспечение, а также обеспечьте надежную защиту устройств благодаря многоуровневым решениям по безопасности.

ESET PROTECT
Advanced

Получите эффективное решение для защиты, которое поможет минимизировать риски, связанные с DDoS-атаками. Многоуровневое решение ESET для защиты рабочих станций использует сложную технологию защиты от атак на сетевом уровне с расширенными возможностями фильтрации и проверкой пакетов для предотвращения инцидентов.

подробнее

Что такое DDoS-атака?

Что такое DDoS-атака? | Безопасность Майкрософт

Киберугрозы могут нанести вред вашему бизнесу — как онлайн, так и офлайн — различными способами. Узнайте больше о DDoS-атаках и способах их предотвращения.

Будьте бдительны в отношении угроз

DDoS-атаки широко распространены и обходятся компаниям от тысяч до миллионов долларов в год. При правильном планировании, надежных ресурсах и надежном программном обеспечении вы можете минимизировать риск атаки.

Остановить нарушения безопасности

Будьте на два шага впереди. Защитите себя от угроз на разных устройствах — удостоверениях, приложениях, электронной почте, данных и облачных рабочих нагрузках — и узнайте, как устранять пробелы.

Защитите свои платформы, получите передовые инструменты безопасности и предоставьте возможность быстрого реагирования.

Embrace Zero Trust

Адаптируйтесь к сложности современной среды. Используйте решения Zero Trust, чтобы информировать о своей стратегии и получать важную информацию.

Разработайте стратегию

Защитите свою организацию. Создайте стратегию защиты от DDoS-атак, чтобы обнаруживать и предотвращать вредоносные угрозы, которые могут нанести ущерб вашей работе в Интернете.

Исследуйте ценные ресурсы

Когда дело доходит до DDoS-атаки, организация любого размера — от малого до крупного и любого среднего размера — подвержена кибератакам. Даже AWS предотвратил крупную атаку в 2020 году. Убедитесь, что у вас есть обновленные ресурсы безопасности, программное обеспечение и инструменты, чтобы опередить любые потенциальные угрозы. Всем компаниям необходимо защищать свои веб-сайты от DDoS-атак.

Примером DDoS-атаки может быть объемная атака, одна из крупнейших категорий DDoS-атак. В этом типе атаки киберпреступник переполняет веб-сайт незаконным трафиком. В результате веб-сайт может замедлиться или перестать работать, вытесняя реальных пользователей, пытающихся получить доступ к сайту.

Помимо медленного или иного нарушения обслуживания, DDoS-атаки могут негативно сказаться на безопасности в Интернете, доверии к бренду и продажах.

Нет, одного брандмауэра обычно недостаточно, чтобы остановить DDoS-атаку. Брандмауэр действует как защитный барьер от некоторых вредоносных программ и вирусов, но не от всех. Брандмауэр полезен для защиты вашего компьютера от киберугроз, но не может обеспечить достаточной защиты.

Поэтому важно использовать другие средства обнаружения, предотвращения и защиты от угроз.

Кибербезопасность относится к людям, программному обеспечению, инструментам и процессам, которые используются для защиты сетей, компьютеров и других операций в киберпространстве. Эта обширная область предназначена для защиты пользователей от злонамеренного, незаконного или несанкционированного доступа, а также для предотвращения DDoS-атак, вредоносных программ и вирусов.

DDoS-атака может длиться от нескольких часов до нескольких дней. Одна атака может длиться четыре часа, а другая может длиться неделю (или дольше). DDoS-атаки также могут происходить один раз или неоднократно в течение определенного периода времени и состоять из более чем одного типа кибератаки.

Атака прикладного уровня 7 является примером атаки на уровне ресурсов (приложений). Этот тип кибератаки нацелен на верхний уровень модели OSI (Взаимодействие открытых систем), атакуя пакеты целевых веб-приложений, чтобы нарушить передачу данных между хостами.

Что такое DDoS-атака? — Распределенный отказ в обслуживании

Содержание

Что такое DDoS-атака?
Как работает DDoS-атака?
Как определить DDoS-атаку?
Основные типы DDoS-атак

Как предотвратить DDoS-атаки
Как смягчить DDoS-атаки
Дополнительные ресурсы

Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько компьютеров работают вместе для атаки на один цель, чтобы нарушить нормальный трафик целевого сервера, службы или сети, подавляя цель или ее окружающая инфраструктура с потоком интернет-трафика.

DDoS позволяет отправлять к цели экспоненциально большее количество запросов, тем самым увеличивая мощность атаки. Это также увеличивает сложность атрибуции, поскольку истинный источник атаки сложнее определить.

DDoS-атаки могут иметь разрушительные последствия для онлайн-бизнеса, поэтому нужно понимать, как они работают и как смягчить последствия их быстро критично.

Мотивы для выполнения DDoS широко варьируются, как и типы лиц и организаций, которые выполняют DDoS атаки. Некоторые атаки осуществляются недовольными людьми и хактивистами, желающими уничтожить компанию. просто для того, чтобы заявить о себе, повеселиться, воспользовавшись слабостью, или выразить неодобрение.

Другие распределенные атаки типа «отказ в обслуживании» имеют финансовую мотивацию, например, нарушение работы или закрытие конкурента. прервать онлайн-операции другого бизнеса, чтобы тем временем украсть бизнес. Другие связаны с вымогательством, в преступники нападают на компанию и устанавливают программы-вымогатели на свои серверы, а затем вынуждают их платить большую финансовая сумма для возмещения ущерба.

Целью DDoS-атаки является переполнение устройств, служб и сети намеченной цели фальшивым интернет-трафиком. делая их недоступными или бесполезными для законных пользователей.

В то время как простая атака типа «отказ в обслуживании» включает один «атакующий» компьютер и одну жертву, DDoS-атака полагается на армия зараженных или «ботов» компьютеров, способных выполнять задачи одновременно. Эти ботнеты — группа захваченных устройств, подключенных к Интернету, — способны выполнять крупномасштабные атаки. Злоумышленники берут преимущество уязвимостей безопасности или слабых мест устройства для управления многочисленными устройствами с помощью команд и контроля программное обеспечение. Получив контроль, злоумышленник может дать команду своему ботнету провести DDoS на цель. В этом случае зараженные устройства также становятся жертвами атаки.

Ботнеты, состоящие из скомпрометированных устройств, также могут быть сданы в аренду другим потенциальным злоумышленникам. Часто ботнет доступен службам «атак по найму», которые позволяют неподготовленным пользователям запускать DDoS атаки.

При DDoS-атаке киберпреступники пользуются обычным поведением, которое происходит между сетевыми устройствами и серверами, часто нацелены на сетевые устройства, которые устанавливают соединение с Интернетом. Поэтому злоумышленники сосредотачиваются на граничные сетевые устройства (например, маршрутизаторы, коммутаторы), а не отдельные серверы. DDoS-атака подавляет сеть канал (полоса пропускания) или устройства, обеспечивающие эту пропускную способность.

Лучшим способом обнаружения и идентификации DDoS-атаки является мониторинг и анализ сетевого трафика. Сеть трафик можно отслеживать через брандмауэр или систему обнаружения вторжений. Администратор может даже установить правила, создать оповещение при обнаружении аномальной нагрузки трафика и определить источник трафика или падений сетевые пакеты, отвечающие определенным критериям.

Симптомы DoS-атаки могут напоминать проблемы с доступностью, не связанные со злом, например, технические проблемы с определенным сеть или системный администратор, выполняющий техническое обслуживание. Однако следующие симптомы могут указывать на DoS или DDoS-атака:

Необычно низкая производительность сети
Недоступность определенной сетевой службы и/или веб-сайта
Невозможность доступа к любому веб-сайту
IP-адрес делает необычно большое количество запросов за ограниченный промежуток времени
Сервер отвечает ошибкой 503 из-за сбоя службы
Анализ журнала показал большой всплеск сетевого трафика
Необычные модели трафика, такие как всплески в нечетные часы дня или модели, которые кажутся необычными

Основные типы DDoS-атак

DDoS-атаки и атаки сетевого уровня столь же разнообразны, сколь и сложны. В связи с растущим количеством онлайн торговых площадок, теперь злоумышленники могут выполнять DDoS-атаки, практически не зная сетей и кибератаки. Инструменты и службы для атак легкодоступны, что делает пул возможных атак больше, чем всегда.

Вот четыре наиболее распространенных и изощренных DDoS-атаки, которые в настоящее время нацелены на организации.

DDoS-атаки на приложения, уровень 7

DoS-атаки на приложения нацелены на исчерпание ресурсов с использованием а также HTTPS, SMTP, FTP, VOIP и другие прикладные протоколы, обладающие уязвимыми местами, что позволяет DoS-атаки. Подобно атакам, нацеленным на сетевые ресурсы, атаки, направленные на ресурсы приложений, происходят в разнообразие вкусов, включая флуд и «низкие и медленные» атаки.

Объемные или объемные атаки

Объемные атаки и атаки с отражением/усилением используют несоответствие соотношений запросов и ответов в определенные технические протоколы. Злоумышленники отправляют пакеты на серверы-отражатели с исходным IP-адресом. подделываются под IP-адрес своей жертвы, тем самым косвенно перегружая жертву ответными пакетами. В высокие показатели, эти ответы вызвали одни из крупнейших объемных DDoS-атак на сегодняшний день.

Типичный пример является рефлективной атакой с усилением DNS

SSL/TLS и шифрованные атаки

Злоумышленники используют протоколы SSL/TLS для маскировки и еще больше усложняют атакующий трафик как на уровне сети, так и на уровне приложений. Многие решения безопасности используют пассивный движок для защиты от атак SSL/TLS, что означает, что они не могут эффективно отличить зашифрованную атаку трафик из зашифрованного законного трафика, ограничивая только скорость запроса.

Для предотвращения атак, подобных этим, требуется защита от DDoS-атак, которая сочетает в себе автоматическое обнаружение на основе машинного обучения. и возможности смягчения с комплексной защитой для любой инфраструктуры: в помещении, частном облаке и общедоступное облако.

Чтобы предотвратить DDoS-атаки, организациям следует учитывать несколько ключевых возможностей для смягчения последствий DDoS-атак: обеспечить доступность услуги и свести к минимуму ложные срабатывания.

Использование поведенческих технологий, понимание плюсы и минусы различных вариантов развертывания DDoS и наличие возможности смягчить массив атак DDoS vectors имеет важное значение для предотвращения DDoS-атак.

Следующие возможности имеют решающее значение для предотвращения DDoS-атак:

Автоматизация

Учитывая современные динамические и автоматические DDoS-атаки, организации не хотят полагаться на ручную защиту. А услуга, не требующая вмешательства клиента, с полностью автоматизированным жизненным циклом атаки — данные сбор, обнаружение атак, перенаправление трафика и смягчение последствий атак — обеспечивает лучшее качество защита.

Защита на основе поведения

Ключевое значение имеет решение по смягчению последствий DDoS-атак, которое блокирует атаки, не затрагивая законный трафик. Решения, которые использовать алгоритмы машинного обучения и поведенческие алгоритмы, чтобы понять, что представляет собой законное поведение и автоматически блокирует вредоносные атаки. Это повышает точность защиты и сводит к минимуму ложные плюсы.

Очистка емкости и глобальной сети

DDoS-атаки увеличиваются по количеству, серьезности, сложности и продолжительности. Если столкнулись с большими объемными или одновременных атак, облачные службы DDoS должны обеспечивать надежную глобальную сеть безопасности, которая масштабируется с несколько Тбит/с с выделенными центрами очистки, отделяющими чистый трафик от DDoS атакующий трафик.

Несколько вариантов развертывания

Гибкость моделей развертывания имеет решающее значение, поэтому организация может адаптировать свою службу защиты от DDoS-атак в соответствии со своими потребностями. потребности, бюджет, топология сети и профиль угроз. Подходящая модель развертывания — гибридная, по запросу или постоянная облачная защита — зависит от топологии сети, среды размещения приложений и чувствительность к задержкам и латентности.

Комплексная защита от множества векторов атак

Ландшафт угроз постоянно развивается. Решение по предотвращению DDoS-атак, предлагающее самую широкую защиту, не ограничивается только защитой от атак на сетевом уровне и включает защиту от вышеупомянутых атак вектора имеет решающее значение.

Существует несколько важных шагов и мер, которые может предпринять организация, чтобы смягчить DDoS-атаку. Это включает своевременная коммуникация как с внутренними заинтересованными сторонами, так и с третьими провайдерами, анализ атак, активация базовых контрмеры (например, ограничение скорости) и более совершенная защита от DDoS-атак и анализ.

Вот пять шагов, которые необходимо выполнить, чтобы смягчить DDoS-атаку.

Шаг 1: Предупредите ключевых заинтересованных лиц

Предупредите основных заинтересованных лиц внутри организации об атаке и шагах, которые предпринимаются для ее смягчения.

Примеры ключевых заинтересованных сторон включают директора по информационной безопасности, центр управления безопасностью (SoC), ИТ-директора, руководителей, бизнес-менеджеров затронутых служб и т. д. Предупреждение должно быть кратким, но информативным.

Ключевая информация должна включать:

Что происходит
Когда началась атака
Какие активы (приложения, службы, серверы и т. д.) затронуты
Влияние на пользователей и клиентов
Какие шаги предпринимаются для смягчения атаки

Шаг 2. Уведомление вашего поставщика услуг безопасности

Вы также можете уведомить своего поставщика услуг безопасности и инициировать действия с их стороны, чтобы помочь смягчить атака.

Вашим провайдером безопасности может быть ваш интернет-провайдер (ISP), провайдер веб-хостинга или выделенный сервис безопасности. Каждый тип поставщика имеет разные возможности и объем услуг. Ваш интернет-провайдер может вам помочь свести к минимуму количество вредоносного сетевого трафика, достигающего вашей сети, в то время как ваш провайдер веб-хостинга может поможет вам свести к минимуму влияние на приложения и соответствующим образом масштабировать службу. Аналогичным образом службы безопасности обычно имеют специальные инструменты для борьбы с DDoS-атаками.

Даже если у вас еще нет предварительно определенного соглашения на обслуживание или вы не подписаны на их DDoS предлагают защиту, тем не менее, вы должны обратиться к ним, чтобы узнать, как они могут помочь.

Шаг 3. Активируйте меры противодействия

Если у вас уже есть средства противодействия DDoS, активируйте их. В идеале эти контрмеры инициировать немедленно при обнаружении атаки. Однако в некоторых случаях определенные инструменты, такие как внештатные аппаратные устройства или активируемые вручную службы смягчения последствий по требованию — может потребоваться клиент, чтобы инициировать их вручную.

Один из подходов заключается в реализации списков управления доступом на основе IP (aCl) для блокировки всего трафика, исходящего от атаки. источники. Это выполняется на уровне сетевого маршрутизатора и обычно может выполняться либо вашей сетью, команда или ваш интернет-провайдер. Это полезный подход, если атака исходит из одного источника или небольшого числа источники атаки. Однако, если атака исходит из большого пула IP-адресов, этот подход может не подойти. помощь.

Если целью атаки является приложение или веб-служба, вы можете ограничить количество одновременных соединения приложений. Этот подход известен как ограничение скорости и часто является излюбленным подходом веб-разработчиков. хостинг-провайдеры и CDN. Обратите внимание, что этот подход подвержен высокой степени ложных срабатываний, потому что он не может отличить вредоносный и законный пользовательский трафик.

Специализированные средства защиты от DDoS-атак обеспечат вам максимальную защиту от DDoS-атак. Меры защиты от DDoS-атак можно развернуть как устройство в вашем центре обработки данных, как облачную службу очистки или как гибридную решение, объединяющее аппаратное устройство и облачный сервис.

Шаг 4. Отслеживание хода атаки

Во время атаки следите за ходом атаки, чтобы увидеть, как она развивается. Это должно включать:

Какой это тип DDoS-атаки? Это флуд на уровне сети или атака на уровне приложений?
Каковы характеристики атаки? Насколько велика атака, как с точки зрения бит в секунду, так и пакетов в секунду?
Атака исходит из одного IP-источника или из нескольких источников? Можете ли вы их идентифицировать?
Как выглядит схема атаки? Это единичный устойчивый потоп или взрывная атака? Имеет ли это использовать один протокол или использовать несколько векторов атак?
Цели атаки остаются прежними или злоумышленники со временем меняют свои цели?

Отслеживание развития атаки также поможет вам настроить защиту, чтобы остановить ее.

Шаг 5. Оценка эффективности защиты

Наконец, по мере развития атаки и активации мер противодействия оцените их эффективность.

Ваш поставщик систем безопасности должен предоставить документ соглашения об уровне обслуживания, подтверждающий его обязательства по обслуживанию.

DDoS-атаки в 2022 и методы защиты от них / Хабр

Что такое DDoS-атаки и зачем их устраивают

Какие DDoS-атаки бывают

Самые распространённые виды атак

UDP Flood

Фрагментированный UDP Flood

TCP SYN Flood

HTTP Flood

Методы предотвращения и защиты от DDoS-атак

Общий анализ инфраструктуры

Минимизация зоны атаки

Настроить мониторинг

На что еще обратить внимание

DDoS-атака — что это такое, способы защиты от хакерских атак. ESET.

Зачем злоумышленники совершают DDoS-атаки?

Как происходят DDoS-атаки?

Как распознать DDoS-атаку на компанию?

Как защититься компаниям?

Похожие темы

Незаконный майнинг

Слабый пароль

Социальная инженерия

Программы-вымогатели

Что такое DDoS-атака?

Будьте бдительны в отношении угроз

Остановить нарушения безопасности

Embrace Zero Trust

Разработайте стратегию

Исследуйте ценные ресурсы

Что такое DDoS-атака? — Распределенный отказ в обслуживании

Содержание

Основные типы DDoS-атак

DDoS-атаки на приложения, уровень 7

Объемные или объемные атаки

SSL/TLS и шифрованные атаки

Автоматизация

Защита на основе поведения

Очистка емкости и глобальной сети

Несколько вариантов развертывания

Комплексная защита от множества векторов атак

Шаг 1: Предупредите ключевых заинтересованных лиц

Шаг 2. Уведомление вашего поставщика услуг безопасности

Шаг 3. Активируйте меры противодействия

Шаг 4. Отслеживание хода атаки

Шаг 5. Оценка эффективности защиты

Ваш комментарий будет первым

Добавить комментарий Отменить ответ