Ddos атака на сайт онлайн: Атаки на сайты

Атаки на сайты

Атаки на сайты — совершение противоправных действий, направленных на получение конкурентных преимуществ путем взлома, заражения вредоносным кодом, блокирования доступа (с дальнейшем требованием выкупа), кражи конфиденциальных данных, вывода из строя программного обеспечения, в отношении сетевых ресурсов (веб-сайтов).

Веб-сайт — это информационный актив и вид собственности. Он может подвергаться атакам злоумышленников с самыми разными целями. Сайт всегда на виду, всегда должен быть доступен, и это делает его крайне уязвимым.

Способы атак на сайты

На первом этапе киберпреступник изучает ресурс на предмет уязвимостей. Они, в свою очередь, бывают нескольких типов.

Уязвимости кода сайта появляются ввиду ошибок или недостаточной проработки вопросов безопасности со стороны программистов, создающих ядро и расширения сайта. При наличии подобных изъянов злоумышленник может внедрить свой код в исполняемые сценарии, запросы к базе данных (SQL-инъекции) или почтовому серверу сайта (email-инъекции), либо в страницу, которую пользователь открывает в своем браузере, с целью кражи его личных данных, включая пароли (межсайтовый скриптинг).

Ошибки в настройке прав пользователей проявляются по-разному.Распространенной ошибкой можно назвать слабые пароли. Они по-прежнему встречаются сплошь и рядом, хотя о правилах составления надежных паролей написаны тысячи статей. Злоумышленнику достаточно подобрать брутфорсом хотя бы одно из кодовых слов.

Бекдоры в сторонних модулях и расширениях также позволяют проводить атаки на сайты. Очень редко весь код сайта пишется с нуля, гораздо чаще используются одна из существующих CMS (систем управления контентом), а также различные модули и расширения, добавляющие нужную функциональность. Часть из них распространяется бесплатно, за другие просят деньги. Взломав такое платное расширение, злоумышленник добавляет в него шелл-код, открывающий доступ к сайту или веб-серверу, и предлагает для скачивания уже бесплатно.

Наконец, уязвимым может быть и хостинг-провайдер. Часто десятки и сотни сайтов размещаются на одном сервере, и если он настроен неправильно, то киберпреступник сможет получить доступ ко всем этим многочисленным ресурсам.

Наличие любого типа уязвимости веб-сайта приводит к атакам, целью которых в большинстве случаев становится полный несанкционированный доступ к содержимому сайта. Получение доступа зависит от характера уязвимости — например, при SQL-инъекции путем различных запросов к базе данных извлекают логины и пароли всех пользователей, включая администратора.

Имея же права администратора, с зараженным сайтом можно делать что угодно. Иногда злоумышленники не вмешиваются в нормальную работу, ограничиваясь кражей клиентской базы и данных пользователей, а в других случаях они уничтожают или подменяют содержимое либо дополняют функциональность согласно собственным нуждам — размещают рекламные баннеры, ссылки на распространяющие запрещенную информацию ресурсы или фишинговые сайты, сценарии для межсайтовой подделки запроса, когда от лица пользователя, зашедшего на страницу и имеющего аккаунт на другом ресурсе (к примеру, в электронной платежной системе), делается запрос на перевод денег преступнику.

Отчасти особняком стоят получившие широкую известность и распространенность DDoS-атаки. Их цель — не внедриться в систему, подменить контент или украсть чужие данные, а сделать сайт недоступным на некоторое время. После этого владельцев сайта, как правило, шантажируют, вымогая у них деньги за остановку атаки. Осуществляется DDoS-атака одновременной посылкой запросов с множества компьютеров ботнета. Перегружая сервер потоком бессмысленных сообщений, атакующий делает его недоступным для обычных посетителей.

Какие сайты атакуют?

Интернет-сайты на популярных CMS взламывают массово с целью заражения через типовые уязвимости.

Что же касается DDoS-атак, то их делают по заказу, и здесь есть конкретные группы риска. Например, очень часто атакуют бизнес, который зависит от интернета, так что любой инцидент простоя приводит к убыткам. Злоумышленники начинают атаку и предлагают владельцу откупиться.  

По статистике, чаще всего подвергаются нападениям:

• купонные сервисы,
• платежные системы,
• информационные агрегаторы,
• электронная коммерция,
• игры и игровые площадки.

Веб-страницы банков и электронных платежных систем взламывают с целью кражи денег; сайты коммерческих компаний атакуют ради клиентской базы и создания проблем конкуренту, либо ради шантажа, требуя деньги за возобновление нормальной работы; сайты правительственных органов и общественных организаций атакуются идеологическими противниками.

Анализ угроз для сайтов 

Основным источником угрозы для сайта является его собственный код, написанный небрежно, с ошибками, без учета строгих правил безопасности, вкупе с использованием устаревших либо скачанных с пиратских сайтов модулей, расширений и плагинов.

Другая серьезная проблема — неправильное администрирование. Предоставляя пользователям излишне широкие права, позволяя им загружать на сайт файлы без должной проверки, администратор фактически открывает ворота для всевозможных троянов, бэкдоров и прочих экземпляров вредоносного кода.

Третий источник опасности — плохие пароли.

Наконец, еще одна, не связанная напрямую с созданием и работой сайта угроза — содержимое как таковое. Например, движущей силой многих DDoS-атак является месть. От таких нападений не спасает самый идеальный код и надежное администрирование — атака целиком и полностью идет извне.

Сделать сайт стопроцентно устойчивым к любым атакам нереально. Можно лишь усложнить преступникам достижение их целей. В конце концов, атака на сайт требует времени и денег, и если предполагаемая выгода или ущерб противника окажется меньше затрат на попытку взлома, то злоумышленник переключится на более привлекательную цель.

Как не допустить атаку на сайт?

Следует использовать при создании сайта лишь надежные, проверенные ядра, а если заказывается свой «движок», то нужно поручать его написание команде опытных профессионалов. При использовании готовых систем управления контентом необходимо регулярно их обновлять — большинство обновлений предназначено как раз для устранения очередной выявленной уязвимости. Нельзя использовать старые и уж тем более необновляемые CMS — изъяны в их безопасности никем не закрываются и хорошо известны хакерам, которые не замедлят ими воспользоваться.

То же самое касается любых приложений и расширений. Бесплатные — скачивать только с официальных сайтов разработчиков и своевременно обновлять, платные — либо честно покупать, либо отказаться от их использования. За условно-бесплатное скачивание с пиратского сайта в конечном счете придется заплатить намного больше, когда понадобится восстанавливать как содержимое, так и репутацию в глазах поисковых систем, которые игнорируют сайты, содержащие нерелевантные ссылки и распространяющие зараженные файлы.

Необходимо четко разграничить права разных категорий пользователей. Никто не должен иметь больше возможностей, чем необходимо.

Пароли для администраторов и привилегированных групп пользователей должны быть сложными.

Желательно использовать различные программы и утилиты, повышающие безопасность. Неплохо также проверить сайт специальными программами поиска уязвимостей, либо, если надежность важна и финансы позволяют, поручить задачу профессионалам.

Защита от DDoS-атак (по крайней мере, низкой и средней мощности) осуществляется размещением сайта на серверах с высокой пропускной способностью. Также используются анализ и фильтрование трафика с блокировкой IP-адресов атакующих машин. В случае же мощных атак зачастую остается лишь переждать, пока они прекратятся. Заказчики DDoS-атак редко располагают собственными ресурсами для их проведения и вынуждены платить хакерам — владельцам ботнетов (сетей зараженных компьютеров, с которых и ведется атака). Соответственно, мощная атака стоит немалых денег и редко длится дольше нескольких дней. Другим вариантом является приобретение специальных средств для защиты от отказа в обслуживании. Чтобы снизить вероятность DDoS-атак, не стоит размещать контент, оскорбительный для больших групп людей или влиятельных структур, способных отомстить.

Наконец, полезно регулярно выполнять резервное копирование сайта, чтобы в случае серьезных проблем быстро его восстановить.

 

Проверяем свой проект на уязвимость к Ddos | by Svyatoslav Login

И так давайте начнем с того, что же такое Ddos:

DDOS-атака (с англ. Distributed Denial of Service — «отказ от обслуживания») — это атака на сайт, основной целью которой является выведение его из строя путём подачи большого количества ложных запросов. В результате такой атаки сервера, обслуживающие сайт, вынуждены обрабатывать чрезмерный объём ложных запросов, и сайт становится недоступным для простого пользователя.

Основной целью для злоумышленников, ddos применяю для устранения конкуренции в той или иной отрасли, путем полного прекращение работы атакуемого сервера за счёт подачи на него большого количества ложных запросов, с которыми не будет справляться ваш сайт.

Популярными жертвами таких атак становятся коммерческие и информационные сайты. Хацкеры в последнее время используют такой вид атак с целью вымогательства, требуя денег за прекращение атаки, или ведут информационную войну.

Кто может сделать такие атаки?

Ранее, в былых 90-x можно было сайты ложить с помощью отвертки)))

Да-да именно отвертки, которой можно было зажать кнопку F5 на клавиатуре. Из-за частого обновления страницы, которая делала частые запросы на сервер. Сервер просто напросто не справлялся с такой нагрузкой из слабости.

Сейчас же атаки организовывают с помощью БОТ-сетей. Это совокупность зараженных вирусом компьютеров которые способны синхронно исполнять команды переданные с управляющего сервера. К примеру, если бот-сети из тысячи компьютеров дать команду открыть сайт, то на целевом сайте резко возрастает нагрузка и сайт получает ДДОС атаку.

Методы DDOS атак

По крайней мере существует три различных метода организации ддос атак.

1) По полосе пропускания — данный вид атаки предполагает что на веб сайт направляется большое количество запросов по протоколам TCP, UDP и ICMP и таким образом полностью заполняют его пропускную способность. Вызывая при этом отказ в обслуживании.

2) На основе протокола сервера — данный вид атаки направлен на конкретные сервисы сервера. И может выполнятся с помощью TCP, UDP и ICMP. Часто такие атаки называют SYN-флуд, смысл которых в отсылке на веб сервер большого количества SYN запросов на которые сервер должен ответить запросом ASK. Из-за большого наводнения таких запросов, сервер часто не справляется с нагрузкой и падает.

3) На основе ошибок конкретного веб сайта — этот вид атаки является самым сложным в плане исполнения и применяется как правило высоко-проффесиональными хакерами. Суть его состоит в том что на сайте-жертве находятся уязвимости, используя которые создается высокая нагрузка на сервер и он получает отказ в обслуживании.

Инструменты

1) Linux

— качаем фреймворк metasploit-framework

— Смотрим содержание директории:

root@slogin:~ cd metasploit-framework/embedded/framework/modules/auxiliary/dos

Это все возможные инструменты для проверки на уязвимость проекта к ddos

Так же существует множество программ в Exploit Database

2) Windows

— LOIC

The Low Orbit Ion Cannon (LOIC) Низко орбитальная ионная пушка. Возможно самая популярная DDOS программа. Она может рассылать массовые запросы по протоколам ICMP, UDP тем самым забивая канал к серверу жертвы. Самая известная атака с помощью LOIC была совершена группой Anonymous в 2009 году и направлена против PayPal, Visa, MasterCard в отместку за отключение WikiLeaks от системы сбора пожертвований. Скачать можно здесь.

— HOIC

HOIC был разработан в ходе операции Payback by Praetox той же командой что создала LOIC. Ключевое отличие в том, что HOIC использует HTTP протокол и с его помощью посылает поток рандомизированных HTTP GET и POST запросов. Он способен одновременно вести атаку на 256 доменов. Вы можете скачать его с SourceForge.

Как проверить новичку свой проект на DDOS

Пример будет сделан на ОС linux, поэтому для начала установим себе его.

Затем открываем терминал и пишем в нем легкую команду для закачки себе этого приложения

Загрузиться файл расширения .с! Лежать он будет по этому пути: Home>xerxes

Заходим в эту директорию

Теперь компилируем это из формата “.c” в “.exe” командой gcc xerxes.c

Потом берем любой сайт и указываем его в терменале с упоминанием порта 80 и запускаем

Если сайт уязвим к ddos, то он перестанет открываться

Как защитится?

1. Отказаться от Windows Server

Практика подсказывает, что сайт, который работает на винде, в случае DDoS обречен. Причина неудачи кроется в виндовом сетевом стеке: когда соединений становится очень много, то сервер непременно начинает плохо отвечать. Я не знаю, почему Windows Server в таких ситуациях работает настолько отвратно, факт есть фактом.

2. Отказ от Apache

Если у вас, стоит Apache, то как минимум поставьте перед ним кеширующий прокси — nginx или lighttpd. Apache’у крайне тяжело отдавать файлы, и, что еще хуже, он на фундаментальном уровне уязвим для опаснейшей атаки Slowloris, позволяющей завалить сервер чуть ли не с смартфона. Для борьбы с различными видами Slowloris пользователи Apache придумали сначала патч Anti-slowloris.diff, потом mod_noloris, затем mod_antiloris, mod_limitipconn, mod_reqtimeout.

3. Использовать модуль testcookie

Отпором для DDOS, может стать модуль testcookie-nginx. Идея простая. Модуль может защитить только от ботов кокторые достаточно тупые, то-есть не имеют механизмов HTTP cookie и редиректа. Иногда конечно попадаются более продвинутые — такие могут использовать cookies и обрабатывать редиректы. Testcookie-nginx работает как быстрый фильтр между ботами и бэкендом во время DDoS-атаки, позволяющий отсеивать мусорные запросы. Проверка происходит на такие вещи:

— Умеет ли клиент выполнять HTTP Redirect,

— Поддерживает ли JavaScript,

— Тот ли он браузер, за который себя выдает

Проверка реализована с помощью кукисов с использованием разных методов:

— «Set-Cookie» + редирект с помощью 301 HTTP Location;

— «Set-Cookie» + редирект с помощью HTML meta refresh;

— произвольным шаблоном, причем можно использовать JavaScript.

Чтобы избежать автоматического парсинга, проверяющая кукиса может быть зашифрована с помощью AES-128 и позже расшифрована на клиентской стороне JavaScript. Большой минус правда, он блокирует доступ для многих легитимных пользователей (фактически всех мобильных устройств), также к недостаткку относим всех ботов, в том числе Googlebot. Если вы планируете оставить testcookie на постоянной основе, убедитесь, что вы при этом не пропадете из поисковой выдачи; создает проблемы пользователям с браузерами Links, w3m и им подобными; не спасает от ботов, оснащенных полноценным браузерным движком с JavaScript. Словом, testcookie_module не универсален.

4. Нейронная сеть (PoC)

Берем нейронную сеть PyBrain, запихиваем в нее логи и проанализируем запросы, более подробнее здесь. В этом случае весьма полезно иметь access.log до начала DDoS’а, так как он описывает практически 100% легитимных клиентов, а следовательно, отличный dataset для тренировки нейронной сети. Тем более глазами в логе боты видны не всегда.

5. Анализируйте ошибки

Проанализируйте объем трафика, время ответа сервера, количество ошибок. Для этого смотрите логи. В nginx время ответа сервера фиксируется в логе двумя переменными: request_time и upstream_response_time. Первая — это полное время выполнения запроса, включая задержки в сети между пользователем и сервером; вторая сообщает, сколько бэкенд выполнял запрос. Значение upstream_response_time чрезвычайно важно для сайтов с большим количеством динамического контента и активным общением фронтенда с базой данных, им нельзя пренебрегать.

6. Отслеживайте количество запросов в секунду

В случае nginx вы можете примерно оценить эту величину следующей shell-командой. Переменная ACCESS_LOG содержит путь к журналу запросов nginx в combined-формате:

echo $(($(fgrep -c “$(env LC_ALL=C date — date=@$(($(date \ +%s)-60)) +%d/%b/%Y:%H:%M)” “$ACCESS_LOG”)/60))

По сравнению с нормальным для этого времени дня уровнем количество запросов в секунду может как падать, так и расти. Растут они в случае, если пришел крупный бот, а падают, если пришедший бот обрушил сайт, сделав его полностью недоступным для легитимных пользователей, и при этом бот статику не запрашивает, а легитимные пользователи запрашивают. Падение количества запросов наблюдается как раз за счет статики. Но, так или иначе, мы ведем речь о серьезных изменениях показателей. Когда это происходит внезапно — пока вы пытаетесь решить проблему своими силами и если не видите ее сразу в логе, лучше быстро проверьте движок и параллельно обратитесь к специалистам.

7. tcpdump

Это средство диагностики. С помощью его был обнаружен баг в ядре Linux, когда оно открывало TCP-соединение при выставленных флагах TCP-сегмента SYN и RST. Первым багрепорт отправил именно системный администратор, чей ресурс был атакован этим методом, — атакующие узнали об уязвимости раньше, чем весь мир. Ему, очевидно, такая диагностика помогла. Другой пример: у nginx есть одно не очень приятное свойство — он пишет в лог только после полной отработки запроса. Бывают ситуации, когда сайт лежит, ничего не работает и в логах ничего нет. Все потому, что все запросы, которые в данный момент загружают сервер, еще не выполнились. Tcpdump поможет и здесь.

8. Размеры буферов в nginx

Не секрет, что каждый ресурс имеет лимит. Прежде всего это касается оперативной памяти. Поэтому размеры заголовков и всех используемых буферов нужно ограничить адекватными значениями на клиента и на сервер целиком. Их обязательно нужно прописать в конфиге nginx.

— client_header_buffer_size__ Задает размер буфера для чтения заголовка запроса клиента. Если строка запроса или поле заголовка запроса не помещаются полностью в этот буфер, то выделяются буферы большего размера, задаваемые директивой large_client_header_buffers.

— large_client_header_buffers Задает максимальное число и размер буферов для чтения большого заголовка запроса клиента.

— client_body_buffer_size Задает размер буфера для чтения тела запроса клиента. Если тело запроса больше заданного буфера, то все тело запроса или только его часть записывается во временный файл.

— client_max_body_size Задает максимально допустимый размер тела запроса клиента, указываемый в поле «Content-Length» заголовка запроса. Если размер больше заданного, то клиенту возвращается ошибка 413 (Request Entity Too Large).

9. Настраиваем тайм-ауты в nginx

Ресурсом является и время. Поэтому следующим важным шагом должна стать установка всех тайм-аутов, которые опять же очень важно аккуратно прописать в настройках nginx.

— reset_timedout_connection on; Помогает бороться с сокетами, зависшими в фазе FIN-WAIT.

— client_header_timeout Задает тайм-аут при чтении заголовка запроса клиента.

— client_body_timeout Задает тайм-аут при чтении тела запроса клиента.

— keepalive_timeout Задает тайм-аут, в течение которого keep-alive соединение с клиентом не будет закрыто со стороны сервера. Многие боятся задавать здесь крупные значения, но этот страх не оправдан. Опционально можно выставить значение тайм-аута в HTTP-заголовке Keep-Alive, но Internet Explorer знаменит тем, что игнорирует это значение

— send_timeout Задает тайм-аут при передаче ответа клиенту. Если по истечении этого времени клиент ничего не примет, соединение будет закрыто.

Нужно выставить минимальные значения, при которых сайт остается в работоспособном состоянии, то есть страницы отдаются и запросы обрабатываются. Это определяется только тестированием — как с десктопов, так и с мобильных устройств. Алгоритм поиска значений каждого параметра:

— Выставляем математически минимальное значение параметра.

— Запускаем прогон тестов сайта.

— Если весь функционал сайта работает без проблем — параметр определен. Если нет — увеличиваем значение параметра и переходим к п. 2.

— Если значение параметра превысило даже значение по умолчанию — это повод для обсуждения в команде разработчиков.

В ряде случаев ревизия данных параметров должна приводить к рефакторингу/редизайну сайта. Например, если сайт не работает без трехминутных AJAX long polling запросов, то нужно не тайм-аут повышать, а long polling заменять на что-то другое — бот в 20 тысяч машин, висящий на запросах по три минуты, легко убьет среднестатистический дешевый сервер.

10. Лимитируем соединия в nginx

В nginx также есть возможность лимитировать соединения, запросы и так далее. Если вы не уверены в том, как поведет себя определенная часть вашего сайта, то в идеале вам нужно протестировать ее, понять, сколько запросов она выдержит, и прописать это в конфигурации nginx. Одно дело, когда сайт лежит и вы способны прийти и поднять его. И совсем другое дело — когда он лег до такой степени, что сервер ушел в swap. В этом случае зачастую проще перезагрузиться, чем дождаться его триумфального возвращения. Предположим, что на сайте есть разделы с говорящими названиями /download и /search. При этом мы:

— не хотим, чтобы боты (или люди с чересчур ретивыми рекурсивными download-менеджерами) забили нам таблицу TCP-соединений своими закачками;

— не хотим, чтобы боты (или залетные краулеры поисковых систем) исчерпали вычислительные ресурсы СУБД множеством поисковых запросов.

И на последок Тренды в DDoS

— Непрерывно растет мощность атак сетевого и транспортного уровня. Потенциал среднестатистической атаки типа SYN-флуд достиг.

— Особым спросом в последнее время пользуются атаки на DNS. UDP-флуд валидными DNS-запросами со spoof’ленными IP-адресами источника — это одна из наиболее простых в реализации и сложных в плане противодействия атак. Многие крупные компании (в том числе хостинги) испытывали в последнее время проблемы в результате атак на их DNS-серверы. Чем дальше, тем таких атак будет больше, а их мощность будет расти.

— Судя по внешним признакам, большинство ботнетов управляется не централизованно, а посредством пиринговой сети. Это дает злоумышленникам возможность синхронизировать действия ботнета во времени — если раньше управляющие команды распространялись по ботнету в 5 тысяч машин за десятки минут, то теперь счет идет на секунды, а ваш сайт может неожиданно испытать мгновенный стократный рост числа запросов.

— Доля ботов, оснащенных полноценным браузерным движком с JavaScript, все еще невелика, но непрерывно растет. Такую атаку сложнее отбить встроенными подручными средствами, поэтому Самоделкины должны с опасением следить за этим трендом.

Ресурсы на которых лучше не светить своими адресами
-http://viewdns.info/

-https://iphostinfo.com/

Понравилась статья? Есть и другие интересные статьи, переходите на мой блог https://svyat.tech/

Карта DDOS атак в реальном времени от Arbor Networks и Jigsaw

Компания Arbor Networks совместно с компанией Jigsaw создали интерактивную карту, отображающую в режиме реального времени карту глобальных DDoS-атак, которые сегодня являются одной из основных проблем для любой компании, подключенной к Интернет. Октябрьское обновление карты визуализации DDoS-атак может отображать в 20 раз больше данных  об атаках, чем более ранняя версия.

Digital Attack Map демонстрирует DDoS-атаки накануне Нового года

DDoS-атака —  это попытка заблокировать интернет-ресурсы жертвы с помощью множества запросов или пакетов данных, которые не позволяют обычным пользователям «пробиться» сквозь поток информационного мусора. Осуществить такую атаку относительно просто с помощью бесплатных утилит. По данным Arbor Networks, недельная DDoS-атака на черном рынке хакерских услуг стоит всего $150.

Атака может нанести существенный ущерб бизнесу, например, если интернет-магазин заблокируют в день праздничной распродажи. Число DDoS-атак в мире увеличивается, и они зачастую становятся инструментами конкурентной борьбы. Каждый день в мире наблюдается более 2000 крупных DDoS-атак, которые ответственны примерно за треть отключений интернет-сервисов.

Как следствие любая DDoS атака прямо оказывает влияет на производительность корпоративных порталов, приложений, сервисов и услуг. Все чаще встречаются случаи проведения атак на конкретную компанию, которая разместила сервера в корпоративном ЦОДе и результатом таких атак обычно является снижение производительности ресурсов не только компании жертвы, но и других компаний, расположенных на хостинге в этом же коммерческом ЦОД.

Карта под названием Digital Attack Map использует данные, собираемые системой обнаружения активных угроз ATLAS компании Arbor Networks. Обновленная архитектура ATLAS за секунду обрабатывает 140 Тб данных от более чем 330 клиентов компании, поступающих в режиме реального времени. Это составляет примерно одну треть мирового интернет-трафика.

В настоящее время веб-версия карты отображает лишь случайную выборку атак, наблюдаемых с помощью ATLAS, но демонстрирует актуальность данной проблемы и ее влияние на производительность как сервисов, так и компании в целом, а также позволяет анализировать накопленные данные за период.

Решить проблему DDoS-атак на глобальном уровне в обозримом будущем вряд ли удастся. В связи с этим будет расти спрос на технологии мониторинга DDoS-атак и на рынке появляются новые недорогие решения, которые могут себе позволить даже небольшие компании, например, Интернет-магазин.

См. также:

 

Ваш запрос отправлен!

Закрыть

Как обеспечить устойчивость онлайн-сервисов к DDoS-атакам

Рамиль Хантимиров

CEO и со-основатель StormWall

Всемирный «коронакризис» усилил интерес потребителей к интернет-торговле, дистанционному обучению, онлайн-коммуникациям и развлекательным ресурсам. Как следствие, на фоне неуклонного роста количества DDoS-атак произошел их резкий всплеск. Владельцы сервисов и ресурсов вынуждены удвоить свое внимание к их защите от воздействий злоумышленников и «заряженных» ими ботов.

Так как же обеспечить устойчивость и доступность онлайн-сервисов в условиях угрозы новых массивных кибератак — проплаченных конкурентами или инициированных самими злоумышленниками, например, с целью шантажа?

Необходимо сразу заметить, что единого, абсолютно универсального подхода к решению этой проблемы нет: действия, которые нужно предпринять ИТ-подразделениям, отвечающим за сопровождение и безопасность интернет-ресурсов, существенно зависят от того, что именно нужно защищать. Так, для повышения устойчивости сайтов и веб-приложений потребуются одни меры, различных интернет-сервисов и онлайн-игр на основе TCP и UDP — другие, сетей — третьи.

Сайты и веб-приложения

Если ваша цель — обезопасить ваши сайты и веб-приложения, то первое, что нужно учесть, выстраивая их защиту от DDoS-атак, — есть ли у вас доступ к серверу. Если вы разместили сайты и приложения на сервере, который можете полноценно контролировать, следует не только позаботиться о подключении внешней DDoS-защиты, но и правильным образом подготовить сам сервер: выполнить оптимизацию сетевого стека операционной системы так, чтобы сервер смог выдерживать высокие нагрузки. Для защиты от DDoS очень важно обеспечить высокую производительность сервера, включая обработку поступающих по сети запросов к нему. В противном случае даже в отсутствие атаки есть риск так называемого хабраэффекта, когда появление в Интернете публикации, быстро ставшей очень популярной, приводит к резкому увеличению нагрузки на упомянутые в ней интернет-ресурсы.

Стандартные настройки работающих в режиме продуктивной эксплуатации сетевого стека ОС и веб-сервера Apache или Nginx, как правило, имеют существенные ограничения, которые обязательно необходимо устранить. В частности, нужно обратить внимание на параметры, определяющие производительность сервера на Nginx и сетевого стека Linux. Также следует обратить внимание на оптимизацию ваших СУБД — MySQL или любой другой, какую вы выбрали, — они должны работать быстро.

Если на сайте используются популярные «движки» CMS, например, Joomla!, WordPress, Drupal, обязательно воспользуйтесь общедоступными рекомендациями по настройке их производительности. Необходимо добиться того, чтобы сайт обладал высокой производительностью в стандартном режиме — это повысит его шансы справиться с DDoS-атакой: когда она начнется, «быстрый» сайт будет проще защитить.

Если вы приняли решение развернуть приложение или сайт на внешней площадке и доверить защиту от DDoS-атак ее владельцу, то следует, по крайней мере, уточнить, сможет ли он обезопасить ваш интернет-ресурс от атак на уровне приложений — седьмом уровне модели OSI (L7). В любом случае можно подключить внешний сервис защиты, при этом нужно настроить его так, чтобы IP-адрес реального сервера не был виден злоумышленнику ни через почтовые заголовки, ни через открытые порты, ни через иные сервисы.

Вот пример из практики: интернет-магазин после начала атаки не может принимать заказы несмотря на то, что сервис защиты был подключен. Причина отказа в обслуживании — то, что прежний адрес сервера, на котором развернут веб-сервис, остался доступен через Интернет, чем и воспользовался злоумышленник. После того, как хостинг-провайдер «закрывает» этот адрес для доступа извне через порты HTTP, отказы в обслуживании на время прекращаются. Однако позже новые DDoS-атаки опять выводят сервис электронной торговли из строя, поскольку злоумышленник начал атаковать через порт 22 (SSH), который все еще открыт. Тогда хостинг-провайдер перемещает сервис на другой сервер, но через некоторое время снова начинаются отказы в обслуживании. Вероятно, опытный злоумышленник извлек адрес нового сервера из заголовков сообщений электронной почты…

Этот пример показывает, насколько важно добиться того, чтобы IP-адреса были недоступны для всех, кроме DDoS-защитника. Ну а проверить, видны ли извне адреса сервера, поможет, например, сервис Shodan. Также не лишним будет посмотреть историю прежних IP-адресов, например, тут.

Интернет-сервисы и онлайн-игры на основе TCP и UDP

Стремясь обеспечить устойчивость сервисов, взаимодействующих с пользователями посредством TCP и UDP, нужно в первую очередь оптимизировать сетевой стек операционной системы. Для начала стоит удостовериться, что прерывания сетевой карты распределены по разным процессорным ядрам. В большинстве современных систем это распределение производится автоматически, тем не менее, дополнительная осмотрительность не помешает.

Сетевая карта, прерывания, очереди…

Первое, над чем нужно поработать, — это драйвер сетевой карты. Когда на нее приходит фрейм, она должна инициировать системное прерывание, которое «просит» процессор приостановить выполнение текущей задачи и обработать пришедшую порцию трафика. Однако если бы каждый фрейм вызывал незамедлительное прерывание и «отвлекал» CPU от текущих задач, заметное снижение производительности можно было бы наблюдать даже на простейших сетевых операциях, таких как передача файла по протоколу FTP. Поэтому эти прерывания выстроены в очередь, которая скапливается на сетевой карте и обрабатывается процессором за один раз. Обычно это происходит 250-1000 раз в секунду, и чем реже — тем меньше загрузка CPU, но тем выше задержка.

С другой стороны, большинство современных серверов имеют несколько процессорных ядер. Поскольку ОС рассматривает каждое из них как отдельный процессор, мы можем равномерно распределить между ними нагрузку от прерываний. Есть два способа это сделать.

• Первый и рекомендуемый — использовать аппаратные очереди. Современные сетевые карты имеют несколько очередей прерываний, обычно от 4 до 16. По какой-то причине в Linux они часто отключены по умолчанию. Нам нужно их включить, а затем равномерно распределить по процессорам.
• Второй способ носит название RPS (Receive Packet Steering). Это относительно новый механизм ядра, который автоматически распределяет нагрузку между всеми ядрами, при этом неважно, есть ли на сетевой карте несколько аппаратных очередей или нет. Используйте этот способ, только если у вас больше ядер, чем аппаратных очередей (кстати, рассмотрите возможность отключения SMT/HyperThreading — во время атаки это будет весьма кстати).

Шаги, которые нужно предпринять:

1) Установите последнюю рекомендуемую версию ядра Linux для вашего дистрибутива — вместе с ним, скорее всего, будет идти свежая версия драйвера вашей сетевой карты. В отдельных случаях стоит собрать его отдельно для вашего ядра по инструкции.

2) Распределите загрузки прерываний равномерно между ядрами. Для начала нужно определить, какие номера прерываний использует сетевая карта (в нашем случае eth0).

# cat /proc/interrupts | grep eth0

После выполнения этой команды вы сможете увидеть все номера прерываний, которые использует ваша NIC, а также их фактическое распределение по ядрам. Запишите эти числа.

Теперь нам нужно поменять SMP affinity, чтобы назначить каждому прерыванию свое ядро (interrupt 1 > cpu 1, interrupt 2 > cpu 2 и т.д.). Вот как это делается:

# echo <affinity> > /proc/irq/xx/smp_affinity

Например, для 4-ядерного процессора:

# echo 1 > /proc/irq/83/smp_affinity # 1="0001" т.е. 1-е ядро
# echo 2 > /proc/irq/84/smp_affinity # 2="0010" т.е. 2-е ядро
# echo 4 > /proc/irq/85/smp_affinity # 4="0100" т.е. 3-е ядро
# echo 8 > /proc/irq/86/smp_affinity # 1="1000" т.е. 4-е ядро

Если ядер больше, дальше используем шестнадцатеричные числа (hex).

Примечание: в современных дистрибутивах Linux такое распределение часто производится автоматически сервисом irqbalance, но в некоторых случаях он осуществляет балансировку неоптимально. Если Вы решите распределить прерывания по ядрам самостоятельно, не забудьте выключить irqbalance.

3) Опционально: включите RPS (это может не понадобиться, см. выше)

# echo f > /sys/class/net/eth0/queues/rx-0/rps_cpus

Выберите соответствующее устройство (если это не eth0) и все очереди приема, которое оно поддерживает (rx-0..n).

Также нужно оценить взаимозависимость компонентов защищаемого приложения и изучить, что произойдет, если, например, окажутся недоступными СУБД или один из сервисов. Ваша цель — добиться того, чтобы атака не привела к одновременному отказу сразу всех компонентов приложения, с которыми взаимодействуют пользователи. Рекомендации по повышению доступности каждого сервиса можно найти на официальных сайтах проектов.

Кроме того, нужно позаботиться, чтобы у защищаемого сервиса было, как минимум, несколько точек входа. Тогда если, например, атака приведет к недоступности одного из IP­-адресов, то можно будет оперативно заменить его в таблице DNS на другой адрес. Или другой вариант: если некоторые из IP-адресов, которые предоставляются вашим клиентам, подвергнутся атаке, вы можете предоставить им другие адреса, предварительно убедившись, что доступ к ним хотят получить действительно ваши клиенты — для их аутентификации могут использоваться, например, токены.

Важно спроектировать и настроить сервис таким образом, чтобы неавторизованные пользователи не смогли узнать реальные IP-адреса, которые используются для доступа к сервису авторизованными пользователями.

И снова пример из практики: у одного нашего клиента в игровом сервисе была реализована своего рода «иерархия» пользователей: после того, как игрок достигает 20-го уровня, ему выдается новый IP-адрес. Такой вариант защиты позволяет избежать ситуации, когда атакующий регистрируется, получает доступ к игре и практически сразу начинает атаку на игровой сервер.

Определенное преимущество в защите от DDoS-атак имеют сервисы, работающие на основе протокола TCP, поскольку сам протокол лучше приспособлен для отражения атак. Гораздо больше усилий потребуется, чтобы обезопасить серверы, работающие на основе протокола UDP. Этот протокол не подразумевает соединений, и если сервер подвергается не типичной, а целевой атаке, имитирующей при этом игровые пакеты, трафик фильтроваться не будет — если только вы не сообщите заранее о деталях архитектуры и функционирования сервера вашему DDoS-защитнику, не продумаете вместе с ним способы отражения нетипичных атак и не проверите их эффективность на нескольких тестовых атаках.

Сети

Обеспечение устойчивости сети — пожалуй, самый сложный случай в плане обеспечения эффективной защиты от DDoS-атак. С одной стороны, это обусловлено тем, что зачастую приходится защищать не только свои интернет-ресурсы, но и те, что принадлежат вашим клиентам, разместившим свои ИТ-активы внутри вашей сети, — а среди них, заметим, могут быть какие угодно сервисы. С другой стороны, большое количество IP-адресов, которыми вы, скорее всего, располагаете, стимулирует злоумышленников воспользоваться ими, например, для организации хотя и относительно слабых атак, но производимых одновременно на множество адресов, — такое воздействие существенно замедлит работу всей инфраструктуры.

Первое, о чем следует позаботиться, — чтобы пограничный (Edge) маршрутизатор располагал достаточной производительностью, чтобы справиться с повышенной нагрузкой, которая может возникнуть после начала DDoS-атаки. И, конечно же, не следует устанавливать на границе сети дешевые маршрутизаторы, предназначенные для использования в условиях дома или небольшого офиса, а также старые маломощные маршрутизаторы — скорее всего, они станут первыми жертвами DDoS-атаки на сеть. Следует уточнить заявленную производителем пропускную способность, оценить текущую нагрузку и по возможности провести ряд стресс-тестов с использованием доступных в Интернете инструментов, таких как hping3 — он есть практически в любом дистрибутиве Linux.

Второе — нужно убедиться, что ваши IP-адреса нельзя определить путем трассировки (traceroute), а те, что можно, защищены средствами ACL. Дело в том, что злоумышленник может провести трассировку до DDoS-защитника и узнать стыковой IP-адрес, который, как правило, не защищен, и начать атаку на него. Поэтому нужно, с одной стороны, обезопасить адреса с помощью ACL (в этом вам поможет ваш защитник), и, с другой стороны, необходимо скрывать адреса от трассировки как извне, так и изнутри сети (это необходимо, чтобы адреса не смогли выявить инсайдеры).

hping3

Пример утилиты, которая часто используется для осуществления примитивных атак, — hping3. С ее помощью вы можете провести стресс-тест своего сервера до того, как злоумышленники сделают это за вас.

hping3 — богатая возможностями утилита, которая может имитировать множество типов атак с различными параметрами. Вот пример того, как проверить свой сервер на уязвимость к небольшой SYN-атаке:

# hping3 -S <--fast|--faster|--flood> -p 80 xx.xx.xx.xx

80 (HTTP) в это примере — это порт назначения. Обратите внимание на другие параметры (hping3 --help), чтобы понять, как атаки могут отличаться друг от друга.

Рекомендую изучить документацию к утилите, доступную по команде man hping3 и самостоятельно попробовать генерировать пакеты различных протоколов, чтобы посмотреть, как это скажется на нагрузке. Так как утилита умеет использовать только одно ядро процессора, на одном компьютере можно запустить несколько экземпляров hping3, чтобы повысить мощность тестовой атаки.

Пользуйтесь этой утилитой аккуратно и только в целях тестирования собственных ресурсов! К сожалению, большая часть Интернета уязвима к таким простым операциям, даже если атакующий использует канал значительно меньший, чем атакуемый.

Общие рекомендации

Полностью полагаться на защиту от DDoS-атак в любом случае не следует. Необходимо заранее продумать сценарии реагирования на атаки, чтобы вы четко понимали, что и как нужно делать, если предпринятые меры по защите от DDoS окажутся недостаточными.

Кроме того, надо продумать, каким образом вы будете подключать DDoS-защиту и сколько времени на это потребуется. В частности, нужно проверить сроки наступления тайм-аута (TTL) для записей DNS: если, например, тайм-аут составляет двое суток, то во время переключения на новую DNS­-запись ваш сайт не будет доступен в течение двух суток. И, конечно, защищая критически важные ресурсы, необходимо позаботиться о DDoS-защите заранее.

Для динамического обнаружения атак и автоматического включения защиты настоятельно рекомендуем использовать сенсор — эта мера обеспечит более широкие возможности управления трафиком, позволяет сэкономить на подключении DDoS­-защиты, уменьшить задержку в режиме работы без атаки и — главное — существенно повысить скорость реакции на начало атаки благодаря автоматическому срабатыванию сенсора вместо включения защиты вручную. Поэтому перед тем, как заключить договор с поставщиком услуг anti-DDoS, полезно уточнить, предоставляет ли он DDoS-сенсор.

Как «заказывают» DDos-атаки: история из жизни

Кибер-атаки из развлечения школьников стали не только инструментом «конкурентной» борьбы, но, и, в свете последних событий, становятся инструментом даже политической борьбы. Эта реальность, с которой так или иначе должны считаться не только коммерческие организации, но и государственные институты. В наших реалиях, бывают случаи, когда сами хакеры пытаются договорится с жертвой предстоящей атаки, сдавая своего заказчика.

Ниже история о том, как на клиента Космоновы, e—commerce платформу заказали DDos-атаку, исполнители решили больше «заработать» — известили жертву, запросили больше денег. После того как не договорились — началась атака, а потом “случайно” пришло еще одно письмо с предложением по “защите” от DDos-атак, подробнее о том, как у нас «заказывают» сайты.

*В целях конфиденциальности все личные данные скрыты

Эта эпичная история началась с письма, в котором администрация сайта извещалась о том, что конкуренты заказали на них DDos-атаку.

Администрация, естественно, пыталась договорится с хакерами чтобы выяснить — кто “заказал” атаку? Ответа на письмо не последовало, т.е. договорится с хакерами не удалось. Эта переписка происходила 17 октября 2016 в конце рабочего дня – первое письмо об атаке пришло около 16:00.

На следующий день начались атаки, вначале это была атака по сценарию UDP флуд, для разминки так сказать. После того как эта атака была отбита, последовала вторая волна атак по сценарию HTTP флуд. Но все атаки были отбиты самим провайдером (e-commerce платформа размещена в датацентре Cosmonova).

Для справки:

UDP-флуд — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть. Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимность

HTTP-флуд — это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов. Данная flood атака может быть нацелена как на корень сервера, так и на его скрипт, занятый выполнением ресурсоемких задач. Распознание данной атаки возможно путем выявления быстрого роста количества запросов к одному или нескольким скриптам на сервере и быстрому росту логов сервера.

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Целью «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Маленький штрих: вишенка на торте!

Но вот еще что интересно, 17 октября, за день до атаки, через час после первого письма о готовящейся атаке (в 17:08), “случайно” пришло письмо с предложение о защите от DDoS:)

Как говорится «Совпадение? – не думаем!». Навряд ли хакеры и «спецы по безопасности» – одна и таже компания, так как не просто совмещать сразу 2 роли — и «взломщика» и «специалиста по безопасности», продающего решение от DDos-атак. Но тот, кто послал письмо, скорее всего, знал о готовящейся атаке от самих же хакеров и решил еще и заработать на уязвимом положении жертвы будущей атаки (мы не знаем этого наверняка, поэтому скрыли все контакты «специалиста по безопасности»).

Мораль сей басни такова, что лучше не тратить деньги и время на атаки конкурентов, а гораздо выгоднее вложить эти средства в развитие/продвижение собственного сайта/сервиса.

Суть DDos-атак не изменилась, но нужно защищаться

ИТ-сфера развивается, усложняется, поэтому и усложняются атаки. Технически, DDos-атака как была так и осталось комплексом действий, где цель — “забить” канал связи, при котором будет недоступен сайт/сервис. Это возможно при разных сценариях. Из-за усложнения ИТ-инфраструктуры меняются составляющие “архитектуры” через которые идет атака. Раньше для этого взламывались рабочие компьютеры – но это затратно и не так эффективно. Последний тренд, о котором сообщают ИТ-инженеры по кибер-безопасности — атака через элементы виденаблюдения. Взламываются регистраторы и IP-камеры так как чаще всего эти устройства работают на Open Source решениях и уязвимы для злоумышленников. Затем эта ботнет-сеть начинает атаковать какой-то адрес. Такой распределенной сетью, которая атакует (шлет запросы) могут быть любые «вещи с подключением к интернету» ведь той же IP-камере, или холодильнику с подключением к сети, все равно куда слать запрос. Также сейчас массово взламываются роутеры, которые есть почти в каждом домохозяйстве и они также используются в distributed (распределенной) атаке DoS. Таким образом «интернет вещей», который сулит блага цивилизации может обернуться уязвимостью всей огромной современной ИТ-инфраструктуры.

Масштаб и сценарий атаки зависит от цели. Кибер-атака — это целый комплекс мероприятий, который требует тщательной подготовки: социнженерия, сканирование сети, выявление слабых мест.

В случае с сайтом этого клиента целью атаки был недельный (!) перерыв в доступе к сайту – чтобы вышибить сайт из поискового индекса. На восстановление  прежних, до атаки, позиций сайта в поисковиках у администраторов сайта ушло бы до 1 месяца или больше, что для клиента равносильно катастрофе.

Также никто не может исключать человеческий фактор, сводящий на нет все усилия по защите ИТ-периметра. Иногда причина пробелов в ИТ защите не в качестве решений по безопасности, а в правильном их использовании и настройке. Другими словами, даже приобретя хорошее дорогостоящее решение по защите, сам по себе инструмент должен использоваться в правильном варианте ИТ-инфраструктуры. Нужной компетенцией в правильной настройке защиты ИТ обладают провайдеры.

Основные виды защиты от DDos

Если раньше атаковались сервера, находящиеся у клиента, теперь атакуются мощности провайдеров. Но у провайдеров (ЦОДов) гораздо больше возможностей защиты. Провайдеры могут предоставлять разные уровни защиты своих клиентов от DDos-атак на их сайты/сервисы/данные. Датацентры, для которых сохранение и защита данных клиентов – кровная забота, могут по разному защищаться от атак на своих клиентов, вот несколько возможных вариантов разных по уровню и глубине защиты.

Первый уровень защиты: блокировка IP адреса, на который идет атака. При этом варианте происходит полная блокировка всего трафика на конкретный клиентский IP — сайт клиента будет недоступен до того как получит защиту, или до завершения атаки. Но другие IP адреса клиентской инфраструктуры подхватывают работу и полностью восстанавливают доступ к сайту/сервису/данным клиента.  

Второй вариант защиты: блокировка всего трафика на конкретный клиентский IP по конкретному порту/портах. Эта услуга удорожает стоимость канала связи для клиента, жертва атаки не будет доступна со всего интернета по запрещённому  порту. Но порты, которые используются для сервисов, продолжают свою нормальную работу.

И, наконец третий и самый продвинутый вариант: специальные программно-аппаратные решения анализируют входящие запросы для распознавания атаки. На первом этапе происходит фильтрация запросов, которые не проходят алгоритм авторизации браузера. Затем включается множественные алгоритмы различной проверки входящего трафика. Эти устройства ставятся в разрыв сети, которые без задержек анализируют трафик. При этом такая защита прозрачно пропускает поисковых ботов и заявленные скрипты автоматизации. Естественно этот вариант защиты у провайдеров является самым дорогим.
Все атаки были отбиты, но администрация e—commerce платформы приобрела у провайдера в датацентре Космонова самую продвинутую защиту от DDos, и, очевидно, не жалеет об этом.

Космонова – компания предоставляющая комплексные ИТ решения для бизнеса: — интернет для бизнеса (собственная опто-волоконная сеть), — собственный Датацентр, — облако в Европе, — облако в Украине. 

Что делать при DDOS-атаке владельцу сайта или начинающему веб-мастеру. Хостинг в деталях

В данной статье хотелось бы рассмотреть DDOS-атаки с точки зрения обычного веб-мастера или владельца сайта. В первый раз подобное происшествие может удивить и заставить понервничать. Но в действительности проблема достаточно частая, и с ней рано или поздно сталкивается почти каждый владелец сайта.

Почему сайт попал под атаку? Сколько атака может продолжаться?

Перед тем как принимать меры, нужно проанализировать ситуацию, и понять возможные причины атаки на сайт. Имеет ли атака случайный характер, или ее можно считать закономерной?

Если ваш ресурс — коммерческий, атака вполне может быть происками конкурентов.

Если ресурс некоммерческий, но популярный — вы могли стать жертвой интернет-вымогателей (часто школьников), которые вскоре пришлют вам письмо с требованием заплатить определенную сумму за прекращение атаки. Ни в коем случае не вступайте в подобные переговоры! Легкие и средние атаки отбиваются без значительных затрат, а стоимость крупных атак все равно обойдется заказчику дороже, чем для вас выйдет стоимость защиты. К тому же, серьезные атаки редко длятся более суток ввиду высокой стоимости их организации.

Отдельно следует рассматривать проекты, априори подверженные DDOS-атакам: сайты онлайн-игр (Lineage 2), инвест-проекты и так далее. Если ваш проект изначально в зоне повышенного риска, то подумать о защите от атак нужно заранее, еще до запуска.

С какой именно атакой вы столкнулись?

Если сайт расположен на обычном веб-хостинге, то о факте DDOS-атаки вы узнаете непосредственно от вашего хостинг-провайдера. Эта неприятная новость, скорее всего, будет сопровождаться блокировкой хостинга и требованием перейти на выделенный сервер или, как минимум, убрать проблемный ресурс с хостинга.

При атаке хостер является таким же заложником ситуации, как вы, если не в большей степени — ведь страдают десятки или сотни других пользователей сервера. Блокировка аккаунта на сервере с общими ресурсами является доступной для провайдера мерой быстрого решения проблемы, если, конечно, условия хостинга не предусматривает защиты от атак.

Только хостер может предоставить достоверную информацию об атаке. Если хостер ограничивается отговорками, и никак не содействует решению проблемы, то стоит задумать о переезде (к сожалению, на сегодняшний день такая ситуация — не редкость).

Хостер обычно делит атаки на два уровня: флуд — атака начального или среднего уровня, которую можно отразить без внешних средств защиты, разместив сайт на выделенных ресурсах и настроив сервер соответствующим образом, и собственно DDOS-атака высокого уровня, которую можно отразить только с помощью внешних программно-аппаратных средств защиты.

Если сайт размещен на VPS, определить уровень атаки можно и самостоятельно, временно отключив веб-сервер и проанализировав его логи, или обратившись за помощью к специалистам по администрированию серверов. Найти таких специалистов можно, к примеру, на фрилансерских биржах в разделе «Системное администрирование» или на веб-мастерских форумах в разделах по хостингу. Аудит сервера будет или бесплатным, или не очень дорогим. Конечно, доверять аудит стоит только специалистам с репутацией.

Зная детали атаки, вам будет проще решить, какие именно меры следует принимать для решения роблемы.

Суть проблемы ясна, что делать дальше?

В большинстве случаев владельцы сайтов сталкиваются именно с http-флудом — атакой, при которой веб-сервер перегружается множеством одновременных запросов со сравнительно небольшого числа IP-адресов (обычно в пределах нескольких тысяч).

Хостер стандартно предлагает переход на VPS или выделенный сервер, где можно настроить фильтрацию проблемных запросов на уровне веб-сервера Nginx, либо блокировать ip-адреса бот-машин фаерволом (iptables, APF, ipfw). Cкрипты анализа логов веб-сервера можно запускать регулярно по cron, что позволяет обеспечить защиту от средних атак в автоматическом режиме.

Если хостер предлагает переход на VPS или выделенный сервер, то перед тем как соглашаться на предложение, уточните, готов ли он выполнить соответствующую настройку защиты от атаки на сервере, и на каких условиях. Уважающий себя хостер часто готов помочь в борьбе с флудом при переходе на сервер либо бесплатно, либо за сравнительно небольшие деньги — до 30-50 долларов разово.

Если хостер не готов помочь с защитой от атаки, или не может дать никаких гарантий того, что справится с атакой текущего уровня, то не спешите с переходом на сервер. Рассмотрите доступные средства внешней защиты. Например, сервис http://www.cloudflare.com , где даже бесплатный тарифный план может помочь отбить флуд и атаки среднего уровня. Настройка сводится всего лишь к регистрации на CloudFlare, и изменению DNS для домена вашего сайта. Аналогичные услуги можно получить в Highloadlab.

Если вы столкнулись с атакой высокого уровня, отбить которую без внешних средств защиты не представляется возможным, нужно принимать решение, сопоставив стоимость отражения атаки и ущерб от простоя. Иногда проще переждать атаку в течении суток-двух, оставив на сайте заглушку с сообщением о временной недоступности проекта и кодом 503 для ботов поисковых систем, а не отбивать атаку сразу же. Нужно помнить о том, что стоимость действительно серьезных атак выше ваших затрат на защиту, а значит, атака может прекратиться раньше, чем вам кажется.

Облачный провайдер RUVDS обозревает крупнейшие DDoS-атаки первого полугодия 2020

2020 год стал не только началом нового десятилетия, но и ознаменовал начало «великой цифровой миграции». Многие сферы бизнеса были вынуждены практически полностью перейти в онлайн. Даже консервативный госсектор, был вынужден обратить внимание на облачные сервисы, использовать виртуальные VDS/VPS сервера для того, чтобы просто продолжать функционировать.

Модель потребления услуг изменилась и вместе с этим изменились и угрозы цифровой деятельности в виде DDoS-атак. Под прицел злоумышленников попадают в первую очередь самые популярные ресурсы — официальные источники информации о пандемии, медицинские порталы, образовательные ресурсы, службы доставки и интернет-магазины.

В феврале, еще до начала всеобщей самоизоляции, мощной DDoS-атаке подверглись криптовалютные биржи OKEx, Bitfinex и Bitmex. В марте — были атакованы сайт Министерства здравоохранения США, IT-инфраструктура крупной парижской сети больниц Assistance Publique. Были атакованы и службы доставки еды Lieferando (Германия) и Thuisbezorgd (Нидерланды). В первый же день начала удалённого обучения, была атакована немецкая образовательная платформа Mebis. Не обделили вниманием и онлайн-игры. Сервера Battle.net, Eve Online испытывали сложности в работе из-за огромного потока «мусорного» трафика. Также под удар попали сервера Wargaming, на которых играют в такие проекты как World of Tanks, World of Warplanes, и другие.

В сравнении с первым полугодием 2019, количество DDoS-атак выросло на 80%. Кроме этого, атаки стали более продолжительными. В условиях нестабильной ситуации в мире достаточно сложно что-то прогнозировать, но с уверенностью, можно сказать, что атак меньше не станет. Более того, могут быть атакованы и не публичные ресурсы компании, такие как корпоративная почта или база знаний. Поэтому такие провайдеры услуг как RUVDS, уже давно предлагают своим клиентам услугу защиты VDS/VPS сервера от DDoS.

Справка:

Компания RUVDS — один из самых прогрессивных хостинг-провайдеров VPS/VDS серверов и специализируется на оказании услуг IAAS корпоративного класса. Партнёры компании — АО «ФИНАМ», финансовая группа «БКС», Национальный расчётный депозитарий (Московская биржа), АО «ВЦИОМ», «Гарс-Телеком», Gett, DCDaily и другие. У RUVDS есть свой дата-центр уровня TIER 3 в Королёве, а также 5 гермозон в России (Петербург, Москва, Казань, Екатеринбург и Новосибирск) и 4 в Европе (Цюрих, Лондон, Франкфурт и Амстердам).

About — Цифровая карта атак

Почему?

DDoS-атаки имеют значение

Распределенный отказ в обслуживании (DDoS) может использоваться для того, чтобы сделать важную онлайн-информацию недоступной для всего мира. Сайты, освещающие выборы, закрываются, чтобы повлиять на их исход, сайты СМИ подвергаются атакам с целью цензуры, а компании переводятся в автономный режим из-за конкурентов, ищущих поддержки. Защита доступа к информации важна для Интернета и важна для свободы слова.

Визуализация тенденций

Понимание необработанных данных, стоящих за DDoS-атаками, не является интуитивным. В результате можно легко упустить из виду влияние, масштаб и масштаб проблемы. Мы надеемся, что этот инструмент позволит большему количеству людей понять проблемы, создаваемые DDoS-атаками. Мы также надеемся, что это приведет к диалогу о том, как мы можем работать вместе, чтобы уменьшить угрозу DDoS-атак, улучшая Интернет для всех.

Кто?

Google Ideas — это аналитический центр в Google, который исследует, как технологии могут помочь людям противостоять угрозам в условиях конфликта, нестабильности или репрессий.Мы объединяем пользователей, экспертов и инженеров для исследования и внедрения новых технологических инициатив. Google Ideas работал в партнерстве с командой Google Big Picture над разработкой цифровой карты атак.

Команда «Big Picture», часть исследования Google, создает интерактивные визуализации, чтобы увлекать и радовать пользователей. Они сочетают алгоритмические подходы, основанные на данных, с гибким дизайном, чтобы сделать сложные данные более доступными. Они отображают крупномасштабные наборы данных, такие как книги, видео, изображения, новости или поведение в обществе, творческими способами, которые одновременно обучают и развлекают.

Данные о DDoS-атаках предоставлены Arbor Networks. Компания Arbor, основанная в 2000 году, предоставляет решения по сетевой безопасности и управлению для некоторых из крупнейших и самых сложных сетей в мире. Данные о DDoS-атаках поступают из глобальной системы анализа угроз ATLAS® компании Arbor. Чтобы узнать больше, посетите портал угроз ATLAS.

FAQ — Цифровая карта атак

FAQ — Цифровая карта атак

Самые популярные ежедневные DDoS-атаки в мире

Данные

Откуда эти данные?

Цифровая карта атак представляет данные, собранные и опубликованные глобальной системой анализа угроз Arbor Networks ATLAS®.ATLAS получает данные по всему миру от более чем 330 клиентов интернет-провайдеров с возможностью видимости глобального трафика 130 Тбит / с, которые согласились делиться анонимным сетевым трафиком и статистикой атак. Данные обновляются ежечасно и также могут быть найдены на портале угроз ATLAS от Arbor. Данные DDoS © 2013, Arbor Networks, Inc.

Насколько полны данные?

Невозможно полностью отобразить все цифровые атаки в режиме онлайн из-за меняющегося характера и масштабов проблемы. Хотя данные, представленные в Цифровой карте атак, получены из одного из наиболее полных доступных наборов данных, это неполная картина.Данные могут неверно идентифицировать или исключать активность атак, и предназначены для представления общих тенденций значительных атак, наблюдаемых Arbor Networks.

Почему я не вижу информацию о злоумышленнике или целевом веб-сайте?

Digital Attack Map — это инструмент для отображения глобальных уровней активности в наблюдаемом трафике атак — он собирается анонимно и не включает никакой идентифицирующей информации о злоумышленниках или жертвах, участвующих в какой-либо конкретной атаке.

Указывает ли страна-источник атаки местонахождение злоумышленника?

Обычно нет. Источник атаки может (и часто создается) так, как будто он инициирован из другого места, и, если он точен, обычно представляет собой местоположение зараженного компьютера, используемого в ботнете.

Страны с высокой пропускной способностью являются лучшими местами для создания ботнетов, поэтому трафик атаки часто будет рассматриваться как исходящий из этих стран, даже если ботнет фактически управляется откуда-то еще в мире.Пункт назначения также может быть сфальсифицирован, но это менее распространено.

Визуализация

Что такое галерея?

На странице галереи отображаются снимки интересных прошлых атак за определенный день, а также новости за то же время.

Описывают ли результаты новостей активность атак, замеченных на карте?

Результаты новостей и карта коррелированы только по времени. Они берутся из обычного веб-поиска и не обязательно связаны с действиями, отображаемыми на карте.О большинстве DDoS-атак никогда не сообщается в СМИ; если отчет будет опубликован через несколько дней после атаки, он не появится в разделе новостей.

Из какого источника создается карта?

Географическая информация из библиотек D3 и topojson используется для создания карты, используемой в этой визуализации данных.

Предотвращение атак

Что могут сделать отдельные сайты, чтобы защитить себя от DDoS-атак?

Чтобы защитить свой веб-сайт, вам необходимо иметь возможность блокировать или поглощать вредоносный трафик.Веб-мастера могут поговорить со своим хостинг-провайдером о защите от DDoS-атак. Они также могут направлять входящий трафик через авторитетную стороннюю службу, которая обеспечивает распределенное кэширование, чтобы помочь отфильтровать вредоносный трафик, снижая нагрузку на существующие веб-серверы. Большинство таких услуг требуют платной подписки, но часто стоят меньше, чем увеличение мощности вашего собственного сервера для борьбы с DDoS-атакой.

Google Ideas запустил новую инициативу Project Shield, чтобы использовать инфраструктуру Google для поддержки свободного выражения мнений в Интернете, помогая независимым сайтам снижать трафик DDoS-атак.

Что могут сделать хостинг-провайдеры, интернет-провайдеры и крупные организации для защиты своих сетей?

Существует множество продуктов и услуг для защиты больших сетей от DDoS-атак и предотвращения использования сетевых ресурсов для усиления атак. Arbor Networks, предоставляющая данные для этой визуализации, также предлагает ряд услуг по предотвращению DDoS-атак. Чтобы узнать больше, посетите arbornetworks.com/research/what-is-ddos.

Существуют ли передовые методы в Интернете, которые могут снизить влияние DDoS-атак?

Благодаря постоянному сотрудничеству многих заинтересованных сторон, участвующих в улучшении Интернета, ряд усилий может помочь снизить угрозу DDoS-атак.

Например, десять лет назад сетевая рабочая группа Инженерной группы Интернета опубликовала BCP 38 (также известный как RFC 2827) в качестве руководства по передовой практике того, как интернет-провайдеры и хостинг-провайдеры могут фильтровать поддельные IP-адреса, чтобы уменьшить влияние DDoS-активности. на себя и других. К сожалению, многие интернет-провайдеры еще не внедрили эти передовые методы, что не позволяет в полной мере реализовать их преимущества широким интернет-сообществом.

При поддержке Google Ideas.Данные DDoS © 2020, Arbor Networks, Inc.

Что такое DDoS-атака | Предотвращение DDoS-атаки

DDoS-атаки — распространенная киберугроза, которая может стоить вам тысяч и привести к сбою вашего веб-сайта. Что еще более тревожно, они невероятно легко запускаются киберпреступниками и могут привести к дорогостоящим последствиям для незащищенных владельцев веб-сайтов. Хорошие новости: DDoS-атаки легко предотвратить с помощью брандмауэра веб-приложений (WAF).

Что такое DDoS-атака?

DDoS, сокращение от «распределенный отказ в обслуживании», представляет собой атаку, которая делает сайт недоступным, подавляя его «поддельными» запросами и трафиком.Это может замедлить работу вашего веб-сайта или привести к сбою сервера, на котором он размещен, что также приведет к остановке вашего сайта.

Простой может быть чрезвычайно дорогостоящим для малого и среднего бизнеса. Простой веб-сайта может стоить до 427 долларов за минуту, а DDoS-атаки обходятся в среднем в 120 000 долларов.

DDoS-атаки

также пользуются популярностью у киберпреступников, поскольку они чрезвычайно недороги и их можно приобрести в Интернете всего за доллар в минуту. К сожалению, если вы станете целью, вы, скорее всего, снова подвергнетесь атаке — исследования показывают, что две трети всех целей DDoS были поражены неоднократно.

Предотвращение DDoS-атаки

Предотвратить DDoS-атаки проще и дешевле, чем пытаться отразить их. Брандмауэр веб-приложений (WAF) может использоваться для защиты вашего веб-сайта от самых крупных и умных DDoS-атак. Убедитесь, что используемая вами защита от DDoS-атак точно блокирует атаки, не влияя на законный трафик. SiteLock TrueShield WAF блокирует сложные угрозы с точностью 99,99%, позволяя посетителям без проблем получить доступ к вашему сайту.TrueShield также сокращает время загрузки вашего сайта с помощью нашей сети доставки контента (CDN). Кроме того, SiteLock предлагает сканер веб-сайтов, который автоматически находит и удаляет известные вредоносные программы, чтобы вы были полностью защищены в случае заражения вредоносным ПО. Настройтесь и начните блокировать DDoS-атаки сегодня — общайтесь с нами, покупайте тарифные планы в Интернете или звоните нам в любое время 24/7/365 по номеру 855.378.6200.

Причины, последствия и способы защиты вашего сайта

DDoS-атака на удивление проста в выполнении и ежегодно поражает миллионы веб-сайтов по всему миру, причем количество атак растет.

Пострадавшие от DDoS-атак могут показаться неизбежным побочным эффектом пребывания в сети; Чем успешнее ваш сайт, тем больше вероятность того, что вы в какой-то момент станете целью атаки. Но вы можете снизить вероятность DDoS-атаки на ваш сайт.

Вам может быть интересно: что такое DDoS-атака? И как я могу защитить свой сайт от них?

В этом посте мы объясним, что такое DDoS-атаки, исследуем, что может сделать ваш сайт уязвимым, и наметим способы снижения их вероятности и воздействия.

Что такое DDoS-атака?

Давайте начнем с того, что точно рассмотрим, что такое DDoS-атака и, что важно, чем она не является.

DDoS означает распределенный отказ в обслуживании, но его часто называют простым отказом в обслуживании. DDoS-атака заключается в том, что веб-сайт заполняется запросами в течение короткого периода времени с целью перегрузить сайт и вызвать его сбой. Элемент «распределенный» означает, что эти атаки происходят из нескольких мест одновременно, по сравнению с DoS, который исходит только из одного места.

Если ваш сайт подвергнется DDoS-атаке, вы получите тысячи запросов из разных источников в течение нескольких минут, а иногда и часов. Эти запросы не являются результатом внезапного всплеска трафика на веб-сайте: они автоматизированы и будут поступать из ограниченного числа источников, в зависимости от масштаба атаки.

На скриншоте ниже вы можете увидеть внезапный всплеск запросов, полученных сайтом, когда он подвергается DDoS-атаке.

Трафик DDoS-атак

DDoS-атака — это не то же самое, что взлом, хотя они могут быть связаны между собой; злоумышленники не пытаются получить доступ к файлам или администратору вашего веб-сайта, но вместо этого они вызывают сбой или становятся уязвимыми из-за большого количества запросов.В некоторых случаях после этого будут попытки взломать сайт, когда он уязвим, но в большинстве случаев цель состоит в том, чтобы просто остановить работу сайта.

Может показаться, что нет никакого способа избежать DDoS-атаки: в конце концов, если кто-то решит завалить ваш сайт запросами, вы мало что можете сделать, чтобы их остановить.

Но хотя вы мало что можете сделать, чтобы остановить кого-то, пытающегося нанести вред вашему сайту с помощью DDoS-атаки, есть шаги, которые вы можете предпринять, чтобы гарантировать, что если вы подвергнетесь атаке, ваш сайт не перестанет работать и выиграет » t быть уязвимыми для взлома.

Мы рассмотрим эти шаги позже в этом посте, но сначала давайте разберемся, почему кто-то может захотеть организовать DDoS-атаку на ваш сайт.

Почему кто-то атакует ваш сайт?

Так зачем кому-то проводить DDoS-атаку на ваш сайт WordPress? Что они могут от этого выиграть?

Существует множество причин, по которым злоумышленник может захотеть вывести ваш сайт из строя с помощью DDoS-атаки. К ним относятся атаки конкурентов и атаки из-за вашего контента.

DDoS-атаки конкурентов

В идеальном мире ваши конкуренты будут пытаться превзойти вас в Интернете за счет улучшения своего контента, SEO и коэффициента конверсии, что является законным способом использования вашего веб-сайта для получения конкурентного преимущества.

Но в некоторых случаях конкуренты могут пойти на более крайние меры. Конкурент может нанять кого-то для организации DDoS-атаки на ваш сайт, зная, что это повлияет не только на ваш сайт, но и на ваш бизнес.

За время, необходимое для того, чтобы ваш сайт снова заработал, они будут лишать вас бизнеса, особенно если они размещают рекламу, используя название вашей компании в качестве ключевого слова. Если ваш сайт не заработает быстро, вы потеряете поисковый рейтинг и можете обнаружить, что ваши конкуренты теперь занимают более высокое место в Google.

Конечно, очень сложно доказать, кто проводил DDoS-атаку. Атака не будет происходить с IP-адреса вашего конкурента! Если у вас нет очень глубоких карманов, попытка подать в суд на конкурента, которого вы подозреваете в этом, вряд ли увенчается успехом.

Намного лучше вообще защитить себя от последствий атаки. И не поддавайтесь соблазну организовать еще одну DDoS-атаку против вашего конкурента в ответ. Это незаконно, и гораздо лучше убедить себя в том, что конкурент, достаточно отчаявшийся, чтобы использовать подобные меры, вероятно, не будет иметь такого же долголетия или репутации, как ваш бизнес.

DDoS-атаки на ваш контент

Некоторые сайты подвергаются DDoS-атакам из-за характера их содержания.

Например, сайт, сообщающий о нарушениях, может подвергнуться атаке. Сайт имеет дело с спорным вопросом (например, доступ к аборту или антирасизму) может пострадать от нападения людей, которые не согласны с его сообщением и хотят вывести его из строя. Или ваш контент может быть коммерческим, но все же конфиденциальным, и есть люди, которые не хотят, чтобы он был доступен в Интернете.

Если ваш сайт будет успешно атакован, ваш контент будет выведен из обращения, что может вызвать проблемы для ваших пользователей, если им понадобится доступ к информации или руководству.

Вы также будете тратить время на решение проблемы, теряя любой доход, который вы можете получать от сайта (либо от продаж, либо от пожертвований, если вы некоммерческая организация), и ваш рейтинг может упасть, если ваш сайт выдает ошибку 502 в течение нескольких часов. или дней.

Политически мотивированные DDoS-атаки

Политически мотивированные DDoS-атаки становятся все более распространенными, поскольку киберугрозы все чаще используются для срыва политического процесса.

Если ваш веб-сайт предназначен для политической партии, кандидата или организации или продвигает конкретное политическое дело, он может быть уязвим для атак со стороны людей, которые не согласны с вашей политикой.

Это не обязательно будет исходить от ваших политических оппонентов. Скорее всего, он исходит из внешних источников, которые стремятся сорвать политические дебаты, блокировать определенные типы контента и использовать хаос, чтобы сбить с толку и лишить гражданских прав.

Атака может быть попыткой лишить людей доступа к вашему контенту (см. Выше), или это может быть более личная атака на отдельного кандидата или организацию, стоящую за сайтом.

Это отличается от перегруженности сайта из-за всплесков посещений из-за новостного цикла. Однажды я работал над веб-сайтом политической партии, который был ошеломлен, когда партийный манифест был выпущен для всеобщих выборов. Это были первые выборы в Великобритании, на которых электронная кампания имела большое значение, и мы просто не были готовы к росту трафика.

Напротив, DDoS-атака будет гораздо более резкой и резкой, иногда с очень внезапным всплеском запросов на несколько минут.Это будет сильно отличаться от естественного скачка трафика, который, хотя он может быть внезапным, обычно принимает форму кривой, а не обрыва.

Если вы проводите кампанию (которая могла сделать вас более уязвимыми из-за дополнительной огласки), то будет особенно важно обеспечить работоспособность вашего сайта и не тратить время на борьбу с атакой, когда вы могли бы сосредоточиться на проведении кампании. Мероприятия. Вот почему крайне важно предпринять следующие шаги, чтобы защитить свой сайт от политически мотивированной DDoS-атаки.

Последствия DDoS-атаки

DDoS-атака может иметь различные эффекты в зависимости от характера атаки и того, насколько вы к ней подготовлены.

1. Время простоя веб-сайта

Самый непосредственный и очевидный эффект — это то, что ваш веб-сайт перегружен и становится недоступным.

Это означает, что любой бизнес, который вы получаете через свой веб-сайт, не будет доступен для вас, пока вы снова не заработаете на нем. Это также влияет на вашу репутацию как владельца веб-сайта.И если вы не исправите сайт быстро, это может повлиять на вашу SEO-оптимизацию, так как если Google просканирует ваш сайт и обнаружит, что он не работает, вы потеряете рейтинг.

Если ваш сайт недоступен из-за перегрузки, он вернет ошибку 502 неверный шлюз, что отрицательно повлияет на ваш рейтинг в поиске, если вы позволите ему оставаться таким слишком долго.

Я также видел атаки, при которых сайт был недоступен в течение нескольких дней (потому что владелец не знал, как это исправить и не сохранил резервную копию, большая часть которой вскоре), и когда сайт действительно вернулся в Интернет, все внутренние ссылки в списке Google этого сайта были потеряны.

2. Проблемы с сервером и хостингом

Если ваш сайт регулярно подвергается атакам, которые вы не предпринимаете для предотвращения, это может привести к проблемам с вашим хостинг-провайдером.

Хороший хостинг-провайдер предоставит вам инструменты для защиты вашего сайта от DDoS-атак, но если у вас их нет и вы используете общий хостинг, атаки могут затронуть другие сайты на том же сервере.

3. Уязвимость веб-сайта

DDoS-атака может сделать ваш сайт более уязвимым для взлома, поскольку все ваши системы ориентированы на то, чтобы вернуть сайт в сеть, а системы безопасности могли быть выведены из строя в результате атаки.

Хакерам может быть проще проникнуть на ваш сайт через черный ход после того, как DDoS-атака успешно парализует ваш сайт.

Последующие атаки, подобные этой, не всегда будут исходить из того же источника, что и запросы, сформировавшие DDoS-атаку: умный хакер будет знать, как скрыть свои следы и использовать несколько IP-адресов для атаки на ваш сайт, а также как скрыть свое настоящее местонахождение.

Итак, если вы стали жертвой DDoS-атаки, одной из ваших первоочередных задач должно быть обеспечение безопасности вашего сайта WordPress.Это, возможно, более важно, чем запуск и повторная работа вашего общедоступного сайта, поскольку еще одна атака вернет вас только на круги своя (или того хуже).

4. Потерянное время и деньги

Восстановление веб-сайта, подвергшегося DDoS-атаке, требует времени. Также могут потребоваться деньги.

Подпишитесь на информационный бюллетень

Мы увеличили наш трафик на 1187% с помощью WordPress.

Мы покажем вам, как это сделать.

Присоединяйтесь к более чем 20 000 других людей, которые получают нашу еженедельную рассылку с инсайдерскими советами по WordPress!

Подпишись сейчас

Если вы не знаете, что случилось с вашим сайтом, и не подготовились к возможности атаки, вам может потребоваться перестроить свой сайт с нуля (я видел сайты, где это происходило).Если вы не делали резервную копию своего сайта, с чего вы собираетесь ее восстанавливать? И если не исправить это быстро, атака может оказать долгосрочное влияние на SEO вашего сайта и эффективность бизнеса.

Пока сайт не работает, вы можете терять прибыль, особенно если ваш сайт является интернет-магазином. И вам, возможно, придется заплатить деньги, чтобы нанять эксперта по безопасности или веб-разработчика, чтобы восстановить ваш сайт и убедиться, что он защищен от будущих атак.

Все это подчеркивает важность защиты вашего сайта от DDoS-атак.У меня был один клиент, который часто подвергался атакам из-за характера их бизнеса; Поскольку мы установили меры безопасности, они не повлияли на сайт. Если вы готовы, то DDoS-атака не должна затронуть и ваш сайт.

Что может сделать ваш сайт уязвимым для DDoS-атак?

Некоторые сайты более уязвимы для DDoS-атак, чем другие. Это либо сделает вас более уязвимым для атаки в первую очередь, либо для ее последствий.

Дешевый хостинг

Первый виновник уязвимости к DDoS-атакам, как и ко всем видам кибератак, — дешевый хостинг.

Дешевый хостинг имеет два основных недостатка: отсутствие поддержки и объем клиентов.

Чтобы сделать возможным предлагать хостинг так дешево, у хостинг-провайдера будет большое количество клиентов, использующих один и тот же сервер, а это означает, что если один из других сайтов на этом сервере подвергнется атаке, это может повлиять на вас.

Дешевые хостинг-провайдеры не будут обеспечивать меры безопасности против DDoS-атак, они не будут предупреждать вас, когда происходит атака, и не помогут вам восстановить ваш сайт, когда он перестанет работать.Они не будут регулярно создавать резервные копии вашего сайта, и даже если они это сделают, они вряд ли помогут вам восстановить ваш сайт: вам придется решить, как это сделать самостоятельно.

Это не потому, что дешевые хостинг-провайдеры пытаются вас обмануть, или потому, что они не предоставляют обещанные услуги: просто потому, что для того, чтобы сделать свой хостинг дешевым, они должны экономить на поддержке. В противном случае они не получили бы прибыли.

Если ваш веб-сайт поддерживает бизнес или какое-либо предприятие, где важны ваша репутация и безопасность вашего веб-сайта, тогда стоит инвестировать в качественный хостинг.Дополнительные затраты окупятся, если вам не придется тратить время на исправление своего сайта в случае атаки, и, безусловно, окупятся, если это означает, что ваш сайт останется в сети после попытки DDoS-атаки и не будет взломан.

Отсутствие подготовки

Неспособность подготовиться к возможности DDoS-атаки не обязательно предотвратит ее, но это будет означать, что вы не так сильно пострадаете, если подвергнетесь атаке.

Во-первых, принятие мер безопасности против потенциальных атак повысит шансы вашего сайта оставаться в сети, несмотря на попытку атаки.

Но понимание того, как остановить DDoS-атаку на ее пути, тоже поможет. Если ваш сайт подвергся атаке и выйдет из строя, если вы подготовились, вы сможете запустить его снова гораздо быстрее, чем если бы вы не были подготовлены.

Установка программного обеспечения безопасности или использование предупреждений безопасности, предлагаемых вашим хостинг-провайдером, означает, что вы будете предупреждены, если ваш сайт действительно подвергнется атаке, и вы или ваш хостинг-провайдер можете принять меры для защиты вашего сайта.

Регулярное резервное копирование вашего сайта означает, что вы можете быстро восстановить его, если на нем возникнут проблемы.

А поддержание вашего сайта в актуальном состоянии означает, что он по своей сути более безопасен и с меньшей вероятностью возникнут проблемы, если вам все же придется его перестроить.

Небезопасный или устаревший код

Обновление вашей версии WordPress, а также темы и плагинов не защитит вас от DDoS-атаки.

Но если на вас нападут и последующая слабость вашего сайта будет использована хакерами как возможность получить нежелательный доступ, у них будет гораздо меньше шансов на успех, если ваш сайт будет хорошо управляем.

Меры предосторожности включают поддержание вашего сайта в актуальном состоянии, а также установку плагинов и тем только из авторитетных источников. Каталоги тем и плагинов WordPress — безусловно, лучшее место для поиска бесплатных тем и плагинов, и уважаемые разработчики сделают их доступными там. Будьте осторожны, не устанавливайте код, который может вызвать несовместимость с вашим хостингом, и никогда не устанавливайте обнуленные темы или плагины.

Как защитить свой сайт от DDoS-атак

Итак, теперь перейдем к вопросу, на который вам не терпится узнать ответ: как защитить свой сайт от DDoS-атак?

Вы можете принять ряд мер предосторожности, выбор которых будет зависеть от ваших настроек, бюджета и ваших предпочтений.

Давайте посмотрим на варианты.

Защита от вашего хостинг-провайдера

Хостинг

Kinsta имеет ряд функций, которые снизят вероятность того, что вы подвергнетесь DDoS-атакам.

Все сайты, размещенные в Kinsta, хранятся за брандмауэром Google Cloud Platform (GCP). Каждый контейнер сайта (где находится ваш сайт WordPress) работает на виртуальной машине в одном из нескольких центров обработки данных GCP. Он находится за балансировщиком нагрузки, который затем защищается межсетевым экраном корпоративного уровня GCP.

Все это значительно затрудняет проведение DDoS-атаки.

Еще одна функция Kinsta, которая может помочь защитить вас после начала DDoS-атаки, — это блокировка GeoIP. Kinsta обнаружит любую DDoS-атаку и предупредит вас об этом. Затем вы можете использовать функцию блокировки Geo IP, чтобы заблокировать географическую область, из которой исходит DDoS-атака.

Это означает, что вы можете безопасно заблокировать географический регион, откуда исходит атака, и IP-адреса из этого региона больше не смогут отправлять запросы на ваш сайт.

Кроме того, вы можете заблокировать отдельные IP-адреса в MyKinsta на странице IP Deny .

Функция запрета IP-адресов Kinsta

Но вот и суровая правда: каким бы хорошим ни был ваш хостинг-провайдер, он не может обеспечить полную защиту от DDoS-атак. Хороший хостинг-провайдер предоставит хороший брандмауэр, который снизит вероятность атаки, но не избавит от нее полностью. У них также будут инструменты, которые вы или они можете использовать, чтобы остановить DDoS-атаку после ее начала, например, блокировку IP.

Вот почему любой хостинг-провайдер, который заявляет, что обеспечивает вам полную защиту от DDoS-атак, не совсем честен . Они могут снизить вероятность атаки и ограничить ее воздействие, но не могут полностью остановить DDoS-атаки.

Вместо этого, чтобы более тщательно защитить себя от DDoS-атак, вам необходимо использовать обширную сеть, которая может использовать свою базу данных с информацией об атаках на другие сайты по всему миру, чтобы предвидеть атаки и блокировать IP-адреса, с которых они могут исходить.Давайте посмотрим на пару таких сервисов.

Cloudflare

Cloudflare — один из самых популярных интернет-провайдеров сетей доставки контента, который также предлагает защиту от атак и взломов. Из-за своего огромного размера он имеет доступ к информации о том, откуда исходят DDoS-атаки, а затем может блокировать эти IP-адреса для всех сайтов в своей сети.

Защита от DDoS-атак Cloudflare

Облачная сеть

Cloudflare всегда включена и постоянно обучается, что означает, что она может выявлять потенциальные атаки и предотвращать попадание нежелательного трафика на ваш сайт круглосуточно и без выходных.Он также предоставляет вам информационную панель, которую вы можете использовать для отслеживания и отражения DDoS-атак, чтобы вы могли определить, в чем могут заключаться ваши уязвимости.

Рекомендуемое чтение: Как настроить Cloudflare APO для WordPress.

Сукури

Sucuri — компания, наиболее известная своими услугами по очистке сайтов после взломов и предотвращению их повторения. Но он также предлагает защиту от DDoS-атак.

Sucuri DDoS защита

Сервис

Sucuri работает, потому что он такой большой, с сетью из более чем 400 000 клиентов, что означает, что он может вести базу данных об атаках так же, как Cloudflare.Затем эти IP-адреса могут быть заблокированы на вашем сайте.

Сеть

Sucuri не такая большая, как у Cloudflare, но эту компанию стоит рассмотреть, если вам также нужны расширенные функции безопасности и мониторинга, в чем их особенность. Sucuri будет контролировать ваш сайт на предмет простоев, атак или взломов, а также исправит все происходящие взломы.

Итак, если вы подверглись DDoS-атаке и ваш сайт WordPress был взломан, когда он уязвим, использование Sucuri означает, что вы можете как можно быстрее запустить его снова.

DDoS-атаки распространяются как огонь, но зачем кому-то атаковать ваш сайт? Что ж, есть много причин … (и способов защитить ваш сайт) 👨‍🚒🛡️Нажмите, чтобы твитнуть

Сводка

DDoS-атак становятся все более распространенными, и они могут нанести ущерб в миллиарды долларов.

Невозможно полностью защитить себя от DDoS-атак, так как вы не можете полностью контролировать трафик, поступающий на ваш сайт. Но если вы воспользуетесь одной из вышеперечисленных услуг, откажетесь от дешевого хостинга и подготовитесь к DDoS-атаке, если она все-таки произойдет, у вас будет гораздо меньше шансов пострадать.

---

Если вам понравилась эта статья, то вам понравится хостинговая платформа Kinsta WordPress. Ускорьте свой сайт и получите круглосуточную поддержку от нашей опытной команды WordPress. Наша инфраструктура на базе Google Cloud ориентирована на автоматическое масштабирование, производительность и безопасность. Позвольте нам показать вам разницу в Kinsta! Ознакомьтесь с нашими тарифами

Защита ваших онлайн-сервисов от DDoS-атак

Глобальный кризис, связанный с коронавирусом, резко повысил интерес потребителей к электронной коммерции, электронному обучению, онлайн-коммуникациям и развлечениям.Количество и частота DDoS-атак была тенденцией даже до пандемии, и если вы являетесь владельцем онлайн-сервиса или несете ответственность за его работу, усиление защиты от атак ботнетов особенно важно.

Так как же обеспечить стабильную безотказную работу перед лицом новой массированной волны кибератак, спонсируемых конкурентами или инициируемых хакерскими группами с целью шантажа вашего бизнеса?

Сайты и веб-приложения

Если вашей целью является защита ваших веб-сайтов и веб-приложений от DDoS-атак, первое, на что следует обратить внимание, — это то, есть ли у вас полный доступ к серверу или нет.Если ваш сайт расположен на локальном сервере, у вас будет неограниченный доступ ко всем необходимым настройкам. Однако, если вы используете внешнюю хостинговую платформу, для настройки надежной защиты потребуются дополнительные действия.

Допустим, ваш веб-сайт работает на локальном сервере. Важно не только позаботиться о защите от DDoS-атак, но и подготовить сам сервер. Первой задачей должна быть оптимизация сетевого стека операционной системы, чтобы сервер мог выдерживать высокие нагрузки. Важно обеспечить высокую производительность сервера, включая обработку сетевых запросов, иначе есть риск столкнуться с перебоями даже без какой-либо атаки.

Например, публикация, в которой упоминается ваш веб-сайт, может набрать популярность, посылая вам миллионы посетителей, которых вы и ваш сервер не готовы принять. Результат? Простои веб-сайта и упущенные возможности для бизнеса или рассерженный клиент.

После оптимизации сетевого стека внимательно присмотритесь к используемому веб-серверу: скорее всего, это Apache или Nginx. В частности, обратите внимание на параметры, определяющие пределы и оптимизацию производительности.Вы также должны оптимизировать свой механизм базы данных — MySQL или любую другую базу данных по вашему выбору. Независимо от типа — он должен быть быстрым.

Если на вашем сайте используется популярная CMS, например Joomla !, WordPress или Drupal, используйте встроенные инструменты оптимизации и руководства, доступные в Интернете. Сайт должен иметь высокую производительность в нормальных условиях, без атак — это повысит защиту от DDoS-атак. Чем быстрее ваш сайт, тем выше его устойчивость к DDoS-атакам.

Если ваш веб-сайт расположен на внешней платформе хостинга, проверьте, может ли он защитить ваш ресурс от атак на уровне приложений, особенно на седьмом уровне модели OSI (L7).В любом случае вы можете подключить услугу внешней защиты. Вам необходимо настроить его так, чтобы IP-адрес реального сервера не был виден злоумышленнику через заголовки почты, открытые порты или другие службы.

Вот пример из реальной жизни: интернет-магазин не смог принимать заказы из-за DDoS-атаки, несмотря на наличие службы защиты от DDoS-атак. Это произошло потому, что старый незащищенный IP-адрес продолжал работать и оставался открытым для общедоступного Интернета. Следовательно, злоумышленник нашел его и использовал адрес в своих интересах.

Хостинг-провайдер в ответ «закрыл» этот адрес для внешнего доступа через порты HTTP / HTTPS, и веб-сайт вернулся в онлайн. Однако через короткое время новая серия DDoS-атак снова остановила платформу электронной коммерции. На этот раз злоумышленник использовал порт 22 (SSH), который не был закрыт. После этого периода простоя хостинг-провайдер перенес веб-сайт на новый сервер.

Это решение работало какое-то время, но атаки быстро возобновились, и сайт снова стал непригодным для использования.Возможно, злоумышленник имел опыт и извлек новый адрес сервера из заголовков писем.

Этот пример показывает, насколько важно сделать IP-адреса недоступными для кого-либо, кроме защиты от DDoS-атак. Используйте такие сервисы, как Shodan, для отслеживания видимости ваших IP-адресов.

Онлайн-сервисы и игры на основе TCP и UDP

Для обеспечения устойчивости сервисов, взаимодействующих с пользователями через TCP и UDP, в первую очередь оптимизируйте сетевой стек операционной системы.Для начала убедитесь, что прерывания вашей сетевой карты распределены по разным ядрам процессора. Большинство современных операционных систем делают это автоматически, но всегда лучше перепроверить.

Также оцените взаимозависимость компонентов приложения, которое вы хотите защитить. Например, проверьте, что произойдет, если база данных или другая служба станет недоступной. Ваша цель — настроить систему таким образом, чтобы атака не отключила одновременно все компоненты , которые взаимодействуют с пользователями.Вы можете найти рекомендации по увеличению доступности каждой услуги на их официальных сайтах.

Кроме того, убедитесь, что защищенная служба имеет как минимум несколько точек входа. Это позволит вам быстро заменить IP-адрес в настройках DNS на другой, если тот, который вы сейчас используете, в конечном итоге перестанет отвечать. Или, если некоторые из IP-адресов, которые вы предоставляете клиентам, становятся недоступными в результате атаки, вы можете быстро предоставить замену.

Если возможно, рекомендуется настроить службу таким образом, чтобы неавторизованные пользователи не могли видеть реальные IP-адреса, используемые для доступа авторизованными сторонами.

Другой пример из нашего опыта: один из наших клиентов, игровой сервис, реализовал своего рода иерархию пользователей; когда игрок достигнет 20-го уровня, он получит новый IP-адрес. Такая конфигурация гарантировала, что недавно зарегистрированные игроки не могли инициировать атаку на игровой сервер сразу после регистрации.

Сервисы, использующие протокол TCP, обычно более устойчивы к DDoS-атакам. Сам протокол лучше подходит для защиты от атак. С другой стороны, UDP-серверы требуют гораздо больше усилий для создания надежного механизма защиты.Этот протокол не предназначен для обработки подключений, и если сервер станет жертвой нетипичной атаки — целевой кампании, имитирующей игровые пакеты, — трафик не будет фильтроваться.

Единственный способ обеспечить защиту — это поделиться деталями архитектуры вашего сервиса с вашим защитником от DDoS-атак, разработать конкретную стратегию защиты от нетипичных атак и подтвердить, что эта стратегия работает, моделируя несколько вмешательств ботнета.

Сети

С точки зрения защиты от DDoS-атак, защита сети, пожалуй, самый сложный случай.Здесь обычно недостаточно просто защитить свои собственные сетевые ресурсы. Вам также необходимо защитить ресурсы, которые ваши клиенты развертывают в вашей сети, и они могут включать в себя все виды услуг.

Более того, типичная сеть имеет сотни IP-адресов, что побуждает киберпреступников совершать множество атак на несколько адресов одновременно. Даже будучи слабыми, эти атаки заметно замедлят работу всей инфраструктуры.

В первую очередь необходимо позаботиться о том, чтобы ваш пограничный маршрутизатор имел достаточную производительность для обработки повышенной нагрузки, которая может возникнуть в результате DDoS-атаки.Установка дешевых недорогих маршрутизаторов и маршрутизаторов SOHO на границе сети (почти всегда) — плохая идея. Маршрутизаторы, предназначенные для домашнего использования или небольших офисов, просто не подходят для защиты сети. Те старые маршрутизаторы с недостаточной мощностью? Избегайте и их. Эти слабые звенья могут стать первыми жертвами DDoS-атак.

При выборе маршрутизатора проверьте пропускную способность и количество пакетов в секунду, которые он может обрабатывать, оцените возможную нагрузку и, если возможно, проведите стресс-тестирование.Существует множество доступных инструментов, таких как hping3, которые можно найти почти во всех дистрибутивах Linux.

Во-вторых, убедитесь, что IP-адреса, которые вы используете для сеанса BGP с вашим интернет-провайдером, не отображаются в traceroute и, что более важно, они защищены списком ACL на стороне провайдера. Более того, адреса лучше всего скрыть от отслеживания как извне, так и внутри сети. Это поможет вам скрыть уязвимые адреса от инсайдеров.

Общие рекомендации

Защита от DDoS-атак — жизненно важная часть любой стратегии киберзащиты, но не только ее.Если ваша первая стена защиты терпит неудачу, вам нужно точно знать, какие шаги нужно предпринять, чтобы смягчить последствия атаки. Подготовьте план действий, который будет содержать пошаговые инструкции для вашей службы безопасности.

Кроме того, подумайте, как вы будете настраивать защиту от DDoS-атак и сколько времени это займет. В частности, проверяйте таймауты (TTL) для записей DNS. Например, при TTL 172800 ваш веб-сайт будет недоступен в течение 48 часов при переключении на новую запись DNS. Конечно, настройку защиты от DDoS-атак для центральных ресурсов следует выполнять заранее, чтобы обеспечить бесперебойную работу, когда это наиболее важно.

Мы рекомендуем использовать датчик DDoS для динамического обнаружения атак и автоматического включения защиты. Эта мера даст больший контроль над вашим трафиком, сэкономит бюджет защиты от DDoS-атак, сократит задержку в нормальном режиме работы и, что наиболее важно, значительно сократит время отклика благодаря автоматическому обнаружению угроз и автоматическому включению контрмер.

Вот почему, прежде чем выбирать поставщика услуг по защите от DDoS-атак, не забудьте уточнить, есть ли у них собственный датчик DDoS-атак или уже имеющееся у вас решение.

Как предотвратить DDoS-атаку на ваш сайт

(Последнее обновление: 11 ноября 2020 г.)

DDoS-атака может уничтожить основу вашего сайта. Он может дать сбой, отключиться от сети и не оправдать ожиданий ваших пользователей.

Вот почему так важно, чтобы вы предприняли шаги для предотвращения DDoS-атаки.

Атака DDoS (распределенный отказ в обслуживании) включает в себя огромный объем трафика, направляемый на определенный веб-сайт со злым умыслом. Цель состоит в том, чтобы перегрузить серверы веб-сайта, чтобы они не могли обрабатывать трафик.Это может привести к сбою и отключению веб-сайта и даже к повреждению содержимого сайта, что отрицательно скажется на его способности удовлетворять законные запросы пользователей.

В этой статье мы рассмотрим:

• Что такое DDoS-атака?
• Как и почему происходят DDoS-атаки?
• Как предотвратить DDoS-атаку?

Приступим!

Что такое DDoS-атака?

Как упоминалось выше, когда происходит DDoS-атака, большой объем поддельного трафика отправляется на веб-сайт в попытке ослабить его хост-серверы до тех пор, пока он не выйдет из строя.Атакованный сайт обычно выходит из строя, потому что увеличенный трафик исчерпывает лимит полосы пропускания или перегружает серверы, на которых полагается веб-сайт.

Существует несколько типов DDoS-атак, с которыми вам следует ознакомиться.

Первый тип возникает, когда трафик направляется на весь веб-сайт. Это предназначено для закрытия веб-сайта в целом и предотвращения его нормальной работы.

Второй тип предполагает, что злоумышленник направляет трафик в определенные части веб-сайта или нацелен на размещенное приложение.

Важно отметить, что оба вида атак используют большое неожиданное увеличение трафика для перегрузки пропускной способности веб-сайта и мощности сервера с целью либо полного закрытия веб-сайта, либо отключения определенных функций.

Как и почему происходят DDoS-атаки?

Есть много хакеров со злым умыслом, которые хотят взломать ваш сайт. Они используют различные способы инициирования атак, в том числе следующие:

• Атаки с асимметричным трафиком, при которых веб-сайт получает большое количество поддельных пользовательских запросов, предназначенных для чрезмерного использования ресурсов сервера.
• Целевые атаки трафика, которые увеличивают нагрузку на размещенное приложение, вызывая его сбой.
• Многоуровневые атаки, нацеленные одновременно на веб-сайт и размещенное приложение, пока они не выйдут из строя.

Хакеры генерируют незаконный трафик с нескольких IP-адресов, поэтому жертвам DDoS-атак очень сложно обнаружить источник.

Но, , почему происходят DDoS-атаки?

Хакеры участвуют в DDoS-атаках по ряду причин.Например, конкурент может захотеть атаковать ваш сайт, чтобы нанести вред вашему бизнесу. Хакер может захотеть атаковать ваш сайт, чтобы извлечь личные и бизнес-данные.

Если вы продаете товары и услуги через свой веб-сайт, DDoS-атака может помешать вам обслуживать клиентов или осуществлять продажи. Это может стоить вашему бизнесу времени и денег и даже навредить его репутации.

Предотвратить DDoS-атаку намного лучше, чем преодолеть ее последствия.

Как предотвратить DDoS-атаку?

Какими бы устрашающими ни были DDoS-атаки, хорошая новость в том, что их довольно легко предотвратить.В этом разделе будут рассмотрены пять способов защиты вашего сайта от DDoS-атаки.

Инвестируйте в хорошее сетевое оборудование

Инвестиции в высококачественное сетевое оборудование могут помочь вам обнаружить неожиданные всплески трафика веб-сайтов и даже полностью их заблокировать. Ваше сетевое оборудование включает в себя все компоненты, которые помогают передавать данные по сети, включая маршрутизатор, кабели, которые вы используете для подключения ваших систем, сетевые коммутаторы и интерфейсные карты.

Если вы инвестируете в отличное оборудование, вы можете настроить сетевое оборудование для предотвращения DDoS-атак.Один из способов сделать это — изменить настройки сетевого брандмауэра таким образом, чтобы запросы извне игнорировались. Этот подход может хорошо работать для корпоративных приложений, которые используются внутренними сотрудниками, поддерживая эти приложения в рабочем состоянии и защищая от внешних пользователей любого типа.

Владельцу малого бизнеса или администратору веб-сайта может быть очень сложно инвестировать в дорогостоящее сетевое оборудование. Более того, у людей не всегда будут ресурсы и навыки для управления аппаратной системой частной сети.

Мы рекомендуем использовать управляемого хостинг-провайдера.

Выберите тот, который инвестирует в отличное сетевое оборудование, чтобы обеспечить безопасность вашего веб-сайта. Таким образом, вам не придется нести расходы, связанные с покупкой и обслуживанием дорогостоящей сетевой инфраструктуры, необходимой для поддержки вашего веб-сайта.

Нанять службу защиты от DDoS-атак

Еще один способ предотвратить атаки — нанять службу защиты от DDoS-атак. Их способ предотвращения атак — направлять весь входящий трафик через фильтр, чтобы на ваш веб-сайт или приложение попадал только настоящий трафик.

Имеет смысл нанять службу защиты от DDoS-атак, если вы подвержены большой и сложной DDoS-атаке. Если вы используете управляемый хостинг для своего веб-сайта, то в найме отдельной службы защиты от DDoS-атак может не потребоваться, поскольку ваш провайдер должен предлагать свои собственные услуги.

Устранение уязвимостей веб-сайта

Лучший способ предотвратить DDoS-атаку — устранить все уязвимости на вашем веб-сайте. Сайт, который поддерживается надежной сетью и хостингом, с гораздо меньшей вероятностью станет жертвой успешной атаки.

Если вы используете веб-сайт WordPress, регулярно обновляйте используемую версию, чтобы программное обеспечение включало в себя новейшие средства защиты от DDoS-атак.

Поговорите со своим хостинг-провайдером о том, регулярно ли они обновляют свои системы, программное обеспечение и брандмауэры. Вы и ваш хостинг-провайдер разделяете ответственность за защиту вашего сайта от DDoS-атак.

Вы можете установить плагины, которые стабилизируют и укрепляют ваш сайт, интеллектуально управляя всем входящим трафиком.Не устанавливайте слишком много подключаемых модулей безопасности и выбирайте их очень внимательно.

Многие плагины, хотя и предназначены для защиты вашего веб-сайта, на самом деле сами довольно уязвимы для атак. Важно использовать качественные средства профилактики.

Используйте брандмауэры веб-приложений и сети CDN

Использование брандмауэров веб-приложений — отличный способ защитить большие приложения корпоративного уровня. Брандмауэр может обнаруживать и предотвращать DDoS-атаки, отслеживая необычные всплески трафика и блокируя их.ModSecurity от Apache — хороший плагин для использования, поскольку он имеет открытый исходный код и был специально разработан для веб-приложений.

Сеть распространения контента, или CDN, может сбалансировать трафик веб-сайта, распределяя его по различным серверам, расположенным по всему миру. Если ваш веб-сайт размещен на сервере в Нью-Йорке и на другом сервере в Токио, например, вы расширили присутствие своего веб-сайта в Интернете, что затрудняет злоумышленникам проведение DDoS-атаки против вас.

Если задача злоумышленника состоит в том, чтобы отправить вам много ложного трафика, то ваша задача как владельца сайта — обнаружить и остановить эту необычную активность, чтобы уменьшить ее влияние. Использование CDN — отличный способ сделать это.

Увеличение пропускной способности Интернета и емкости сервера

Основная причина, по которой ваш веб-сайт может аварийно завершить работу или отключиться от сети после DDoS-атаки, заключается в том, что он не способен обрабатывать объем трафика, отправляемого злоумышленником.

Покупка дополнительной полосы пропускания и увеличение емкости сервера вашего веб-сайта — отличный способ снизить влияние DDoS-атаки.Если ваш веб-сайт может обрабатывать один миллион пользователей одновременно, а DDoS-атака отправляет только 500 000 фальшивых посетителей, ваш сайт продолжит нормально работать.

Покупка большей пропускной способности и увеличение емкости сервера также может помочь вам расширить свой бизнес, поскольку ваш веб-сайт сможет обслуживать больше клиентов и пользователей.

Поговорите со своим поставщиком услуг хостинга об обновлении вашего тарифного плана до тарифного плана, обеспечивающего большую емкость сервера. Помимо преимуществ улучшенной защиты от DDoS-атак, увеличение емкости веб-сайта может помочь вам в развитии вашего бизнеса!

Изображение предоставлено: Лучший анализ VPN

Стойте стойко против DDoS-атак

Совершенно очевидно, что защита вашего сайта от DDoS-атаки может помочь вам сэкономить много времени, денег и ресурсов.Постоянное резервное копирование вашего сайта может гарантировать, что вы сможете восстановить его, если вы действительно станете жертвой атаки.

Хотя описанные нами шаги могут иметь большое значение для защиты вашего веб-сайта, вам следует регулярно отслеживать посещаемость вашего сайта.

Что еще более важно, не прячьтесь в онлайн-зонах, где тусуются хакеры! Чтобы избежать DDoS-атак, игнорируйте любые подозрительные запросы, отправленные вам через ваш веб-сайт, и остерегайтесь необычных комментариев, сделанных в вашем блоге.

Приходилось ли вам сталкиваться с DDoS-атакой?

Что такое DDoS-атака | DDoS Значение

Распределенные сетевые атаки часто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует преимущества определенных ограничений пропускной способности, которые применяются к любым сетевым ресурсам, например к инфраструктуре, которая обеспечивает работу веб-сайта компании. В результате DDoS-атаки к атакованному веб-ресурсу будет отправлено несколько запросов с целью превышения возможностей веб-сайта для обработки нескольких запросов … и предотвращения его правильной работы.

Типичные цели для DDoS-атак:

• Интернет-магазины
• Интернет-казино
• Любой бизнес или организация, зависящая от предоставления онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют конечный предел количества запросов, которые они могут обслуживать одновременно.В дополнение к пределу емкости сервера канал, который соединяет сервер с Интернетом, также будет иметь ограниченную полосу пропускания / емкость. Когда количество запросов превышает пределы емкости любого компонента инфраструктуры, уровень обслуживания может пострадать одним из следующих способов:

• Ответ на запросы будет намного медленнее, чем обычно.
• Некоторые или все запросы пользователей могут быть полностью проигнорированы.

Обычно конечной целью злоумышленника является полное предотвращение нормального функционирования веб-ресурса — полный «отказ в обслуживании».Злоумышленник также может запросить плату за прекращение атаки. В некоторых случаях DDoS-атака может быть даже попыткой дискредитировать или нанести ущерб бизнесу конкурента.

Использование «зомби-сети» ботнета для проведения DDoS-атаки

Чтобы отправить чрезвычайно большое количество запросов к ресурсу жертвы, киберпреступник часто создает «зомби-сеть» компьютеров, зараженных преступником. Поскольку преступник контролирует действия каждого зараженного компьютера в сети зомби, масштаб атаки может быть огромным для веб-ресурсов жертвы.

Характер сегодняшних DDoS-угроз

В период с начала до середины 2000-х этот вид преступной деятельности был довольно распространенным явлением. Однако количество успешных DDoS-атак сокращается.