15 марта 2022
Время чтения ≈ 22 минуты

Важнейшей задачей для любого хостинг-провайдера является обеспечение безопасности размещенных ресурсов. А одни из самых распространенных и серьёзных угроз для этой безопасности — распределенные атаки типа «отказ в обслуживании» или DDoS. Эта технология сегодня способна не только в одночасье разрушить любой процветающий онлайн-бизнес, но и негативно повлиять на работу крупных корпоративных или даже государственных интернет-порталов.
Ранее мы уже подробно разбирали подобный тип кибератак — определение, разновидности, а также способы защиты от DDoS можно найти в этой статье. В данном обзоре подробнее остановимся на потенциальных рисках DDoS-атак для владельцев сайтов, раскроем методы борьбы с ними на стороне хостинга, в том числе на реальном примере собственного контура «обороны». Также расскажем, почему правильный подход к выбору площадки для размещения может стать залогом безопасности и стабильной работы вашего веб-ресурса и даже бизнеса.
DDoS (Distributed Denial of Service, анг. «распределенный отказ в обслуживании») — тип кибератаки, используемый для нарушения работы серверной инфраструктуры сайта или сервиса с помощью отправки огромного числа запросов. Простыми словами, суть DDoS-атаки заключается в подавлении работы сервера объемом внешнего трафика, с которым тот не может справиться. DDoS затрагивают различные платформы, включая веб-сайты, игровые сервера, банковские сервисы, государственные онлайн-структуры и информационные порталы.
Прообраз атаки типа «отказ в обслуживании» был впервые зафиксирован в 1974 году. Тогда 13-летний студент средней школы Университета Иллинойса Дэвид Деннис смог отключить 31 терминал системы электронного обучения PLATO с целью эксперимента. Жертвой первой DDoS-атаки современного типа стал нью-йоркский интернет-провайдер Panix. В 1996 году его серверы были «положены» хакерами на 36 часов посредством так называемого SYN-флуда.

С тех пор DDoS-атаки стали одним из излюбленных инструментов интернет-преступников и одной из самых значительных угроз для глобальной кибербезопасности. Специалисты оценивают ежегодный ущерб, который наносят атаки типа «отказ в обслуживании» мировой экономике почти в 1 млрд долларов. И эта цифра продолжает стремительно расти.
Кстати. В Рунете распространено обозначение распределенной атаки типа «отказ в обслуживании» в русской транслитерации — «ддос» или «ддос-атака». Это технически и грамматически неправильно, так как аббревиатура DDoS не имеет общепринятого русскоязычного аналога.
- Как работает DDoS-атака
- Примеры крупных DDoS-атак
- Мифы и факты о DDoS
- Чем опасна DDoS-атака
- Финансовый ущерб
- Утечка данных
- Потеря доверия и ухудшение репутации
- Вымогательство
- Дополнительная нагрузка на службу поддержки
- Судебные издержки
- Борьба с DDoS-атаками
- Система DDoS защиты хостинга
- Базовая DDoS-защита
- Продвинутая DDoS-защита
- Как Eternalhost защищает от DDoS-атак
- Как выбрать хостинг с защитой от DDoS
- Пропускная способность сети
- Перерабатывающая мощность
- Задержка при очистке
- Время реакции
- DDoS защита на сетевом уровне
- DDoS защита на прикладном уровне
- Уровень поддержки
- Заключение
- Причины DDoS-атак
- Кто потенциальные жертвы
- Механизм работы
- Признаки DDoS-атаки
- Классификация типов DDoS-атак
- Распространённые виды сетевого флуда
- Атаки прикладного уровня (уровень инфраструктуры)
- Виды DDoS-атак прикладного уровня
- Атаки на уровне приложений
- DNS-атаки
- Способы защиты
- Наиболее опасные разновидности DDoS
- Чем грозят DDoS-атаки
- Как противостоять DDoS-атакам
- Как работает наш сервис защиты от DDoS-атак
- Как включить защиту от DDoS-атак CyberFlow
- Инструменты
Как работает DDoS-атака
Самый популярный способ организации DDoS-атак — использование для отправки «ложных» запросов сетей взломанных серверов, компьютеров и других вычислительных устройств с доступом в Интернет, известных как ботнеты (от robot network, анг. «сеть роботов»). Киберпреступники заражают хосты будущего ботнета с помощью вирусов или перехватывают управление через «перебор» паролей (брутфорс). После чего на машины устанавливается «невидимое» для пользователя ПО, которое подчиняет их управляющему контуру в руках третьих лиц.
Управление ботнетом может осуществляться как централизованно (клиент-серверная модель) — при помощи ряда CC-серверов (command & control servers, C2), так и децентрализовано (одноранговая P2P-сеть) — каждая «спящая» программа-бот может взять на себя функции и клиента, и сервера.

Чаще всего нападения происходят через уровни L3/L4 и L7 модели OSI. На L3 и L4 направлены самые популярные разновидности DDoS-атак — «сетевого» (network layer DDoS) и «транспортного» (transport layer DDoS) уровня. На L7 происходят атаки на уровне приложений (application layer DDoS).
Примеры крупных DDoS-атак
Чтобы нагляднее продемонстрировать, что значит DDoS-атака для сайта или другого веб-сервиса, коротко упомянем наиболее резонансные киберпреступления этого типа за последние годы.
- DDoS-таки на сервисы РЖД (март 2022). По данным агентства «Интерфакс», серия мощных кибернападений с зарубежных серверов вынудила главного железнодорожного перевозчика России приостановить раздачу бесплатного Wi-Fi в поездах и на вокзалах с 7 марта. Временная мера также затронула работу развлекательного мультимедиа ресурса «Попутчик», который был доступен вместе с бесплатным интернетом на ряде рейсов РЖД.
- Атака на азиатских клиентов облака Azure (ноябрь 2021). Серия кибернападений, достигшая на пике мощности в 3,47 Тбит/с и объёма до 340 млн PPS (пакетов в секунду), исходила примерно из 10 000 источников с подключенных устройств в США, Китае, Южной Корее, России, Таиланде, Индии, Вьетнаме, Иране, Индонезии и Тайване. Она была названа экспертами Microsoft «самой мощной DDoS-атакой, зафиксированной за всю историю Интернета».
- Волна из 75 DDoS-атак на российские банки (сентябрь 2021). По данным международного мониторингового центра SOC (Security Operations Center), за 10 дней нападениям киберпреступников подверглись крупнейшие финансовые учреждения, включая Альфа-банк, ВТБ и Сбербанк. Пиковая мощность составила 45 Гбит/с.
- Нападение ботнета Mēris на веб-инфраструктуру «Яндекса» (август-сентябрь 2021). Сеть, название которой переводится с латышского как «Чума», включала более 200 000 зараженных устройств из Новой Зеландии, США и России. Она произвела крупнейшую из известных DDoS-атаку на уровне приложений (L7), используя конвейерную обработку HTTP. В пике атака достигла 21,8 млн RPS (запросов в секунду). Позднее специалисты обнаружили, что Mēris действовала в связке с еще одной зомби-сетью Dvinis («близнец» по-латышски).
- Нападение на крупнейшего европейского хостинг-провайдера OVH (сентябрь 2016). Кибератака с использованием более 150 000 зараженных IoT-устройств долгое время удерживала пальму первенству самого крупного DDoS из зафиксированных. В 2021 французский провайдер вновь оказался в центре внимания общественности, но уже в связи с пожаром в дата-центре OVH в Страсбурге, из-за которого оказались недоступны около 3,6 млн веб-сайтов.
Мифы и факты о DDoS
Чтобы лучше понять, как работают DDoS-атаки и устроена защита от них, следует разобрать несколько популярных мифов, связанных с этой технологией.
любой провайдер веб-хостинга и VPS по умолчанию обеспечивает сайты клиентов защитой от DDoS.
защита от DDoS-атак строится по-разному, в зависимости от многих показателей. Например, от типа хостинга и размещенного на нем веб-ресурса. Поэтому провайдеры не могут использовать универсальное решение для противодействия DDoS-атакам, не требующее индивидуальной настройки.
брандмауэр, установленный операционной системе, может надежно защитить от DDoS-атак.
брандмауэры работают по списку разрешающих и запрещающих правил. Злоумышленник может нацелиться на открытые порты брандмауэра, которые используются для доступа легитимных пользователей. Из этого следует, что сложные атаки не могут быть обработаны с помощью программного брандмауэра.
DDoS-атаки организуют только «черные» хакеры одиночки.
DDoS-атаки давно стали разветвленной индустрией. Существуют целые организации, предлагающие эту услугу на потоке любому заказчику. Например, крупнейший «DDoS-маркет» Webstresser, закрытый европолицейскими в 2018 году, на момент краха имел базу из 130 000 зарегистрированных пользователей.
для мощной DDoS-атаки обязательно нужен ботнет из множества устройств.
чтобы вызвать ошибку «отказ в обслуживании» достаточно скоординированных действий большой группы пользователей или резко возросшего легального трафика. Эти действия могут быть вызваны не только преступными происками хактивистов. «Завалить» сервер запросами может обычный ажиотаж, например, вокруг распродажи интернет-магазина или интересной статьи в блоге (хабраэффект).
только популярные сайты могут быть объектом для DDoS-атак.
из-за относительно легкости исполнения и распределенного характера, DDoS-атаки могут быть направлены на сайт любого размера, не имеющего защиты от них. Сегодня заказать «ддос» сайта могут даже конкуренты в сфере мелкой розничной торговли или частных онлайн-услуг.
в центре обработки данных (ЦОД) любого веб-хостинга уже установлены решения для предотвращения DDoS.
на рынке решений для дата-центров существует множество вариантов DDoS-защиты серверов. Однако, не все из них способны справиться с любым типом и мощностью атак. Перед тем, как положиться на DDoS-защиту ЦОД, необходимо убедиться, что она способна отражать мощные DDoS-атаки на всех уровнях OSI.
в зомби-сеть ботнет могут попасть только ПК или мобильные компьютеры.
для атак организации атак «отказ в обслуживании» годятся любые, подключенные к интернету устройства. Взлому и последующему незаконному использованию киберпреступниками могут подвергнуться роутер, камера наблюдения или даже «умный дом». Например, обнаруженный в 2019 году мощнейший ботнет dark_nexus специализировался на IoT-устройствах и был способен брать под контроль более 1300 типов гаджетов.
корпоративный сервер уже включает в себя комплексное решение для обеспечения сетевой безопасности.
объемные атаки, системные сбои, фильтрация нелегитимного трафика и аварийное восстановление — сфера профессиональных компетенций технологий безопасности хостинга. Обычные системные администраторы, обслуживающие корпоративные серверы, не обладают достаточными знаниями для полноценной защиты сайта от DDoS-атак.
Чем опасна DDoS-атака

Рассмотрим наиболее распространенные риски для веб-ресурсов, связанные с DDoS-атакой.
Финансовый ущерб
Для любой онлайн-торговли простои из-за DDoS-атак — прямая угроза для финансового благополучия всего предприятия. Такая ситуация может привести к прямой потере доходов, дополнительным расходам на восстановление поврежденной инфраструктуры, а также косвенному ущербу из-за нарушения критически важных бизнес-процессов.
Эта проблема особенно актуальна для сезонозависимого бизнеса (туризм, индустрия развлечений, гостиницы), а также для периодов пиковых продаж, связанных с популярными акциями («Черная пятница», «Киберпонедельник»).
Утечка данных
DDoS-атаки часто служат прикрытием для более серьезных по масштабу и потенциальному ущербу киберпреступлений. Например, для создания нелегитимных точек доступа к сети и кражи конфиденциальной информации. Чтобы избежать самых неприятных последствий DDoS, системные администраторы должны проявлять бдительность и заранее принимать меры для защиты сайта от взлома.
Потеря доверия и ухудшение репутации
Уровень доступности веб-сервисов имеет решающее значение для поддержания высокой репутации онлайн-бизнеса. Сайт, который не открывается или медленно работает из-за DDoS-атаки, вряд ли может рассчитывать на лояльность постоянных посетителей и стабильное увеличение клиентской базы.
В цифровом мире неудовлетворенность одного человека легко может распространиться на всю целевую аудиторию, благодаря отзывам на внешних площадках. Из-за высокой конкуренции и огромного числа схожих предложений в Сети, потеря доверия потребителей быстро превращается в потерю самого рынка.
Вымогательство
А, согласно данным авторитетного специализированного издания InfoSecurity Magazine, в результате 11 крупнейших RDDoS-атак 2020 года компании потратили на выплату выкупа, расследование и восстановление своих приложений около 144 млн долларов.
Дополнительная нагрузка на службу поддержки
Когда интернет-ресурс оказывается вырублен DDoS-атакой, клиенты начинают заваливать службы поддержки звонками и электронными письмами. Чтобы справиться с возросшим объемом и не утонуть в жалобах клиентов, потребуются направить дополнительные ресурсы на службу поддержки.
Этому риску особенно подвержены хостинг-провайдеры, которые не могут обеспечить устойчивость своей площадки к DDoS. Атака на сайт, размещенный на веб-хостинге может напрямую затронуть всех остальных «соседей», делящих с ним серверные ресурсы и общую инфраструктуру. В результате техническая поддержка провайдера будет завалена жалобами негодующих клиентов, а время ответа по каждому обращению увеличится в разы.
Судебные издержки
Отдаленные последствия DDoS-атаки могут также распространяться и на третьих лиц. Если атака на одно предприятие наносит «вред» связанному с ним бизнесу, его владельцы могут предъявить иск о возмещении ущерба. Еще одним потенциальным источником юридического преследования, могут стать пострадавшие клиенты, обвиняющие «жертву» DDoS-атаки в неспособности обеспечить надлежащие меры безопасности.
Большинство судебных издержек от DDoS-атак несут финансовые, фармацевтические и технологические компании. Ведь в их ведении обычно находятся большие базы данных с конфиденциальной информации, нарушение режима доступности которых может затронуть широкий круг связанных лиц.
Борьба с DDoS-атаками

Как правило, система предотвращения и смягчения последствий DDoS-атак (DDoS mitigation) состоит из 4 этапов.
- Обнаружение. Чтобы понять, как защититься от DDoS-атаки, нужно сперва ее выявить. Борьба с нападением типа «отказ в обслуживании» начинается со способности отличать подобную атаку от возросшего объема обычного трафика. В случае ошибочных действий, от блокировки могут пострадать обычные посетителями сайта, что моментально отразится на его репутации. Эффективность любого метода противодействия DDoS измеряется, прежде всего, способностью обнаружить атаку как можно быстрее.
- Перенаправление / маршрутизация. Этап ответных действий включает в себя разработку логики интеллектуальной маршрутизации, в которой большая часть подозрительных данных перенаправляется с сервера, а остальные данные легко обрабатываются по частям, предотвращая отказ в обслуживании.
- Фильтрация. Остановить DDoS-атаки на этом этапе позволяет фильтрация входящих данных и разумное удаление пакетов или соединений, которые могут являться трафиком от ботов. Правильно отделить машинный трафик от легального помогают заранее разработанные алгоритмы и шаблоны фильтрации.
- Анализ. Извлечение уроков из уже сделанных ошибок становится фундаментом для предотвращения будущих DDoS-атак. Анализ проводится на основе логов безопасности, созданных во время атаки. Эти журналы содержат информацию об окружающей среде и типе данных, используемых нарушителями. Это может быть использовано для того, чтобы сделать систему более надежной и менее уязвимой для таких атак.
Система DDoS защиты хостинга
Хостинг-провайдер является главным рубежом защиты сайтов и других размещенных ресурсов от распределенных атак «отказ в доступе». Из-за сложности реализации, у провайдеров нет единого стандарта DDoS-защиты.
Если попытаться обобщить имеющиеся практики, можно выделить 2 основных уровня предоставления подобных услуг. Реализация этих уровней у конкретных провайдеров может различаться в зависимости от компетентности сотрудников и наличия у компании достаточной технической базы.
Базовая DDoS-защита
- Трафик фильтруется с помощью сторонних сервисов защиты от DDoS — центров очистки, в соответствии с заранее установленными правилами. Этот режим хорошо работает против широко распространенных объемных нападений, типа DDoS с использованием усилителей (DNS/NTP amplification) или атаки с использованием простого протокола обнаружения сервисов (SSDP).
- Система блокирует все подозрительные запросы. Только реальные пользователи получают доступ к сайту.
Базовый уровень дает защиту от большинства видов DDoS-атак, но подобный контур не может считаться универсальным решением, способным противостоять киберугрозам любого масштаба. Такой защитный контур подойдет небольшим веб-проектам или стартапам в качестве временной меры.
Продвинутая DDoS-защита
- Устанавливаются дополнительные правила фильтрации трафика для всех уровней OSI, включая анализ содержимого пакетов на уровне L7.
- Включается возможность блокировки адресов или разрешения доступа к серверу на основе геолокации.
- Включается защита от сложных атак, типа UDP/SYN/ACK/RST Flood, всех видов объемных атак, атак на TLS-сервисы, а также смарт-атак с низким объемом трафика.
- Формируется индивидуальный защитный профиль для отдельного клиента, в зависимости от объема трафика и типа предоставляемых услуг.
Продвинутая защита от DDoS значительно расширяет возможности базового защитного контура, а также настраивать фильтры под нужды отдельных ресурсов. Эти меры позволят сайту «пережить» даже массированную DDoS-атаку с объемом, превышающим 5 Гбит/с. Весь вредоносный трафик будет заблокирован, начиная с первого запроса, а реальные клиенты смогут продолжать пользоваться веб-сервисом, не замечая никаких изменений в его работе.
Главный недостаток расширенной версии защиты от DDoS — подобная услуга в большинстве случаев предоставляется хостинг-провайдером на платной основе. Часто ее цена определяется индивидуально, в зависимости от объема работ по точной настройке сетевых фильтров и объема трафика, который нужно обрабатывать центрам очистки.
Как Eternalhost защищает от DDoS-атак
Система предотвращения распределенных атак типа «отказ в обслуживании» на нашем хостинге сочетает в себе главные преимущества базового и продвинутого уровня. Каждый клиент Eternalhost, вне зависимости от тарифа и вида услуг, может получить DDoS-защиту на всех уровнях OSI, а также круглосуточное сопровождение специалистами техподдержки.
Нашу «линию обороны» от DDoS условно можно разделить на три основных эшелона. Первый и второй — автоматические фильтры на стороне двух внешних центров очистки, перехватывающие вредоносный трафик на всех семи уровнях OSI. Третий — настраиваемые вручную фильтры на нашем собственном шлюзе. Последние часто приходится калибровать индивидуально для отдельных сервисов или клиентов.
Как выбрать хостинг с защитой от DDoS

Учитывая тот факт, что количество и сложность DDoS-атак растут с каждым годом, при размещении сайта следует уделять особое внимание способности хостинг-провайдера защищать своих клиентов от подобной угрозы. Ниже мы выделим несколько важнейших признаков, по которым можно квалифицировать защитный потенциал поставщиков услуг хостинга.
Пропускная способность сети
Этот параметр влияет не только на скорость работы размещенного сайта. Он показывает, атаку какого масштаба потенциально может отразить система DDoS-защиты провайдера. Например, сетевой канал передачи данных с пропускной способностью 1 Тбит/с теоретически может блокировать атакующий трафик того же объема, за вычетом пропускной способности, необходимой для поддержания регулярных операций.
Если мощность DDoS-атаки превышает пропускную способность провайдера, она гарантировано поразит размещенные на его серверах ресурсы.
Перерабатывающая мощность
Оценивая способность провайдера справляться с DDoS-атаками, помимо пропускной способности следует также учитывать вычислительную мощность его оборудования. Этот показатель определяется скорость передачи пакетов, измеряемой в Mpps (миллионы пакетов в секунду).
Сегодня нередки случаи, когда атака на пике превышает 50 Mpps, а некоторые достигают 200-300 Mpps и более. Атака, превышающая вычислительную мощность, используемую хостинг-провайдером, скорее всего, разрушит его защиту от DDoS.
Задержка при очистке
Другой важный фактор, влияющий на задержку — физическое расстояние между поставщиком защиты от DDoS-атак и регионом, откуда приходит основная масса посетителей сайта. В идеале и хостинг-провайдер, и дата-центр, где размещаются его сервера, и аудитория веб-ресурса должны находиться в одном регионе.
Время реакции
Как только атака обнаружена, решающее значение приобретает скорость, с которой DDoS-защита справляется с ее последствиями. Большинство атак «отказ в обслуживании» могут «положить» незащищенный сайт за считанные минуты, а процесс восстановления может занять несколько часов. Негативное влияние такого простоя потенциально может ощущаться в течение нескольких недель и месяцев вперед.
Только постоянно включенная защита от «ддос» способна обеспечить упреждающее обнаружение и почти мгновенное смягчение последствий атаки. Однако далеко не каждая защитная система способна обеспечить действительно быстрый уровень отклика.
DDoS защита на сетевом уровне
DDoS-атаки сетевого уровня (L3 OSI) носят объемный характер и способны нанести больший ущерб инфраструктуре веб-ресурса. Основные методы защиты от подобных нападений основаны на отделении легального трафика от атакующего. Каждый из них имеет свои преимущества и слабые стороны.
DDoS защита на прикладном уровне
DDoS-атаки на прикладной уровень (L7 OSI) протекают намного более скрытно, чем их аналоги на сетевом уровне. Чтобы обойти меры безопасности, они обычно имитируют легальный пользовательский трафик.
Чтобы отделить DDoS-ботов от обычных посетителей, защитная система хостинга должна иметь возможность фильтровать содержимое заголовков HTTP/S на входящем трафике, а после сверять данные с поведенческими шаблонами. Например, на умение анализировать JavaScript и хранить файлы cookie.
Важно убедиться, что DDoS-защита прикладного уровня не злоупотребляет «капчами», «задержками страниц» и другими методами фильтрации, которые могут раздражать посетителей и снижать вовлеченность веб-сайта.
Уровень поддержки
Даже если сервис защиты от DDoS полностью автоматизирован, важно убедиться, что провайдер дополняет его полноценной службой технической поддержки, которая работает в режиме 24x7x365 и быстро реагирует на запросы. Во время атаки часто критически важно лично пообщаться со специалистом, чтобы правильно оценить происходящее и принять взвешенное решение по смягчению последствий.
Заключение
DDoS-атаки, к сожалению, стали распространенными и опасным явлением. Они угрожают безопасности практически любого онлайн-бизнеса и могут существенно повлиять на доходы его владельцев. Бороться с этой угрозой самостоятельно крайне сложно — это требует серьезной технической подготовки, к тому же отнимает много времени и средств.
Самым разумным шагом для любого сайта и веб-приложения является размещение на специально подготовленной для этого хостинг-площадке, имеющей эффективную систему защиты от DDoS. Выбирая хостинг-провайдер, следует обратить пристальное внимание на то, как именно он защищает своих клиентов от атак типа «отказ в обслуживании», а также понять, являются ли эти меры достаточными для вашего конкретного случая.
Нужна надёжная защита сайта от DoS и DDoS-атак? Выбирайте Eternalhost — хостинг с защитой от DDoS, которая реально работает!
13 августа 2019
Время чтения ≈ 14 минут

Распределенные атаки типа «отказ в обслуживании» или сокращенно DDoS, стали распространенным явлением и серьезной головной болью для владельцев интернет-ресурсов по всему миру. Именно поэтому, защита от DDoS-атак на сайт является сегодня не дополнительной опцией, а обязательным условием для тех, кто хочет избежать простоя, огромных убытков и испорченной репутации.
Рассказываем подробнее, что это за недуг и как от него защититься.
Distributed Denial of Service или «Распределенный отказ в обслуживании» — нападение на информационную систему для того, чтобы та не имела возможности обрабатывать пользовательские запросы. Простыми словами, DDoS заключается в подавлении веб-ресурса или сервера трафиком из огромного количества источников, что делает его недоступным. Часто такое нападение проводится, чтобы спровоцировать перебои в работе сетевых ресурсов в крупной фирме или государственной организации
DDoS-атака похожа на другую распространённую веб-угрозу — «Отказ в обслуживании» (Denial of Service, DoS). Единственное различие в том, что обычное распределенное нападение идет из одной точки, а DDos-атака более масштабна и идет из разных источников.

Основная цель DDoS-атаки — сделать веб-площадку недоступной для посетителей, заблокировав её работу. Но бывают случаи, когда подобные нападения производятся для того, чтобы отвлечь внимание от других вредных воздействий. DDoS-атака может, например, проводиться при взломе системы безопасности с целью завладеть базой данных организации.
DDoS-атаки появились в поле общественного внимания в 1999 году, когда произошла серия нападений на сайты крупных компаний (Yahoo, eBay, Amazon, CNN). С тех пор, этот вид кибер-преступности развился в угрозу глобального масштаба. По данным специалистов, за последние годы их частота возросла в 2,5 раза, а предельная мощность стала превышать 1 Тбит/сек. Жертвой DDoS-атаки хотя бы раз становилась каждая шестая российская компания. К 2020 году их общее число достигнет 17 миллионов.
Виртуальный хостинг от Eternalhost — хостинг-площадка с круглосуточной защитой от самых изощрённых DDoS-атак.
Причины DDoS-атак

- Личная неприязнь. Она нередко подталкивает злоумышленников на то, чтобы атаковать корпорации или правительственные компании. Например, в 1999 году было совершено нападение на веб-узлы ФБР, вследствие чего они вышли из строя на несколько недель. Случилось это из-за того, что ФБР начало масштабный рейд на хакеров.
- Политический протест. Обычно такие атаки проводят хактивисты — IT-специалисты с радикальными взглядами на гражданский протест. Известный пример — серия кибер-атак на эстонские государственные учреждения в 2007 году. Их вероятной причиной послужила возможность сноса Памятника Воину-освободителю в Таллине.
- Развлечение. Сегодня все большее количество людей увлекаются DDoS и желают попробовать свои силы. Новички-хакеры нередко устраивают нападения, чтобы развлечься.
- Вымогательство и шантаж. Перед тем, как запускать атаку, хакер связывается с владельцем ресурса и требует выкуп.
- Конкуренция. DDoS-атаки могут быть заказаны от недобросовестной компании с целью повлиять на своих конкурентов.
Кто потенциальные жертвы
DDoS могут разрушить сайты любого масштаба, начиная от обычных блогов и заканчивая крупнейшими корпорациями, банками и другими финансовыми учреждениями.

Согласно исследованиям, проведенным «Лабораторией Касперского», нападение может стоить фирме до 1,6 млн долларов. Это серьезный урон, ведь атакованный веб-ресурс на какое-то время не может обслуживании, из-за чего происходит простой.
Чаще всего от DDoS-атак страдают сайты и сервера:
- крупных компаний и государственных учреждений;
- финансовых учреждений (банков, управляющих компаний);
- купонных сервисов;
- медицинских учреждений;
- платежных систем;
- СМИ и информационных агрегаторов;
- интернет-магазинов и предприятий электронной коммерции;
- онлайн-игр и игровых сервисов;
- бирж криптовалюты.
Не так давно к печальному списку частых жертв DDoS-атак добавилось и подключённое к интернету оборудование, получившее общее название «интернет вещей» (Internet of Things, IoT). Самую большую динамику роста на этом направлении показывают кибер-нападения с целью нарушить работу онлайн-касс больших магазинов или торговых центров.
Механизм работы
Все веб-серверы имеют свои ограничения по числу запросов, которые они могут обрабатывать одновременно. Кроме этого, предусмотрен предел для пропускной способности канала, соединяющего Сеть и сервер. Чтобы обойти эти ограничения, ззлоумышленники создают компьютерную сеть с вредоносным программным обеспечением, называемую «ботнет» или «зомби-сеть».

Для создания ботнета кибер-преступники распространяют троян через e-mail рассылки, социальные сети или сайты. Компьютеры, входящие в ботнет не имеют физической связи между собой. Их объединяет только «служение» целям хозяина-хакера.
В ходе DDoS-атаки хакер отправляет команды «зараженным» компьютерам-зомби, а те начинают наступление. Ботнеты генерируют огромный объем трафика, способный перегрузить любую систему. Основными «объектами» для DDoS обычно становится пропускной канал сервера, DNS-сервер, а также само интернет-соединение.
Признаки DDoS-атаки
Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещённого там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать ещё в самом её начале.

- Серверное ПО и ОС начинают часто и явно сбоить — зависать, некорректно завершать работу и т. д.
- Резко возросшая нагрузка на аппаратные мощности сервера, резко отличающаяся от среднедневных показателей.
- Стремительное увеличение входящего трафика в одном или ряде портов.
- Многократно дублированные однотипные действия клиентов на одном ресурсе (переход на сайт, закачка файла).
- При анализе логов (журналов действий пользователей) сервера, брандмауэра или сетевых устройств выявлено много запросов одного типа из разных источников к одному порту или сервису. Следует особо насторожиться, если аудитория запросов резко отличается от целевой для сайта или сервиса.
Классификация типов DDoS-атак
DDoS-атака направлена на сетевой уровень сервера или веб-ресурса, поэтому её часто называют атакой сетевого уровня или транспортного уровня. Её цель— привести к перегрузке табличного пространства на межсетевом экране со встроенным журналом безопасности (брандмауэре), в центральной сети или в системе, балансирующей нагрузку.

Самый распространённый метод DDoS на транспортном уровне — сетевой флуд, создание огромного потока запросов-пустышек на разных уровнях, с которыми физически не может справится принимающий узел.
Обычно сетевая служба применяет правило FIFO, согласно которому компьютер не переходит к обслуживанию второго запроса, пока не обработает первый. Но при атаке количество запросов настолько возрастает, что устройству недостает ресурсов для того, чтобы завершить работу с первым запросом. В итоге, флуд максимально насыщает полосу пропускания и наглухо забивает все каналы связи.
Распространённые виды сетевого флуда
- HTTP-флуд — на атакуемый сервер отправляется масса обычных или шифрованных HTTP-сообщений, забивающих узлы связи.
- ICMP-флуд — ботнет злоумышленника перегружает хост-машину жертвы служебными запросами, на которые она обязана давать эхо-ответы. Частный пример такого типа атак — Ping-флуд или Smurf-атака, когда каналы связи заполняются ping-запросами, использующимися для проверки доступности сетевого узла. Именно из-за угрозы ICMP-флуда системные администраторы зачастую целиком блокируют возможность делать ICMP-запросы с помощью фаервола.
- SYN-флуд — атака воздействует на один из базовых механизмов действия протокола TCP, известного как принцип «тройного рукопожатия» (алгоритм «запрос-ответ»: SYN пакет — SYN-ACK пакет — ACK пакет). Жертву заваливают валом фальшивых SYN-запросов без ответа. Канал пользователя забивается очередью TCP-подключений от исходящих соединений, ожидающих ответного ACK пакета.
- UDP-флуд — случайные порты хост-машины жертвы заваливаются пакетами по протоколу UDP, ответы на которые перегружает сетевые ресурсы. Разновидность UDP-флуда, направленная на DNS-сервер, называется DNS-флуд.
- MAC-флуд — целью являются сетевое оборудование, порты которого забиваются потоками «пустых» пакетов с разными MAC-адресами. Для защиты от подобного вида DDoS-атак на сетевых коммутаторах настраивают проверку валидности и фильтрацию MAC-адресов.
Атаки прикладного уровня (уровень инфраструктуры)
Эта разновидность используется, когда необходимо захватить или вывести из строя аппаратные ресурсы. Целью «рейдеров» может быть, как физическая, так и оперативная память или процессорное время.

Перегружать пропускной канал не обязательно. Достаточно только привести процессор жертвы к перегрузке или, другими словами, занять весь объем процессного времени.
Виды DDoS-атак прикладного уровня
- Отправка «тяжелых» пакетов, поступающие непосредственно к процессору. Устройство не может осилить сложные вычисления и начинает давать сбой, тем самым отключая посетителям доступ к сайту.
- С помощью скрипта сервер наполняется «мусорным» содержимым — лог-файлами, «пользовательскими комментариями» и т.д. Если системный администратор не установил лимит на сервере, то хакер может создать огромные пакеты файлов, которые приведут к заполнению всего жесткого диска.
- Проблемы с системой квотирования. Некоторые серверы используют для связи с внешними программами CGI-интерфейс (Common Gateway Interface, «общий интерфейс шлюза»). При получении доступа к CGI злоумышленник может написать свой скрипт, который станет использовать часть ресурсов, например — процессорное время, в его интересах.
- Неполная проверка данных посетителя. Это также приводит к продолжительному или даже бесконечному использованию ресурсов процессора вплоть до их истощения.
- Атака второго рода. Оно вызывает ложное срабатывание сигнала в системе защиты, что может автоматически закрыть ресурс от внешнего мира.
Атаки на уровне приложений
DDoS-атака уровня приложений использует упущения при создании программного кода, которая создаёт уязвимость ПО для внешнего воздействия. К данному виду можно отнести такую распространённую атаку, как «Пинг смерти» (Ping of death) — массовая отправка компьютеру жертвы ICMP-пакетов большей длины, вызывающих переполнение буфера.

Но профессиональные хакеры редко прибегают к такому простейшему методу, как перегрузка пропускных каналов. Для атаки сложных систем крупных компаний, они стараются полностью разобраться в системной структуре сервера и написать эксплойт — программу, цепочку команд или часть программного кода, учитывающие уязвимость ПО жертвы и применяющиеся для наступления на компьютер.
DNS-атаки
Согласно данным Corero Network Security, более ⅔ всех компаний в мире ежемесячно подвергаются атакам «отказа в доступе». Причём их число доходит до 10 миллионов в год и имеет постоянную тенденцию к росту.
Владельцам сайтов, не предусмотревших защиту сервера от DDoS-атак, могут не только понести огромные убытками, но и снижением доверия клиентов, а также конкурентоспособности на рынке.

Самый эффективный способ защиты от DDoS-атак — фильтры, устанавливаемые провайдером на интернет-каналы с большой пропускной способностью. Они проводят последовательный анализ всего трафика и выявляют подозрительную сетевую активность или ошибки. Фильтры могут устанавливаться, как на уровне маршрутизаторов, так и с помощью специальных аппаратных устройств.
Способы защиты
- Еще на этапе написания программного обеспечения необходимо задуматься о безопасности сайта. Тщательно проверяйте ПО на наличие ошибок и уязвимостей.
- Регулярно обновляйте ПО, а также предусмотрите возможность вернуться к старой версии при возникновении проблем.
- Следите за ограничением доступа. Службы, связанные с администрированием, должны полностью закрываться от стороннего доступа. Защищайте администраторский аккаунт сложными паролями и почаще их меняйте. Своевременно удаляйте аккаунты сотрудников, которые уволились.
- Доступ к интерфейсу администратора должен проводиться исключительно из внутренней сети или посредством VPN.
- Применяйте брандмауэр для приложений — WAF (Web Application Firewall). Он просматривает переданный трафик и следит за легитимностью запросов.
- Используйте CDN (Content Delivery Network). Это сеть по доставке контента, функционирующая с помощью распределенной сети. Трафик сортируется по нескольким серверам, что снижает задержку при доступе посетителей.
- Контролируйте входящий трафик с помощью списков контроля доступа (ACL), где будут указан список лиц, имеющих доступ к объекту (программе, процессу или файлу), а также их роли.
- Можно блокировать трафик, которых исходит от атакующих устройств. Делается это двумя методами: применение межсетевых экранов или списков ACL. В первом случае блокируется конкретный поток, но при этом экраны не могут отделить «положительный» трафик от «отрицательного». А во втором — фильтруются второстепенные протоколы. Поэтому он не принесет пользы, если хакер применяет первостепенные запросы.
- Чтобы защититься от DNS-спуфинга, нужно периодически очищать кеш DNS.
- Обратная атака. Весь вредоносный трафик перенаправляется на злоумышленника. Он поможет не только отразить нападение, но и разрушить сервер атакующего.
- Размещение ресурсов на нескольких независимых серверах. При выходе одного сервера из строя, оставшиеся обеспечат работоспособность.
- Использование проверенных аппаратных средств защиты от DDoS-атак. Например, Impletec iCore или DefensePro.
- Выбирать хостинг-провайдера, сотрудничающего с надёжным поставщиком услуг кибербезопасности. Среди критериев надёжности специалисты выделяют: наличие гарантий качества, обеспечение защиты от максимально полного спектра угроз, круглосуточная техподдержка, транспарентность (доступ клиента к статистике и аналитике), а также отсутствие тарификации вредоносного трафика. Подробнее о защите от DDoS-атак на хотинге можно узнать здесь.
В этой статье мы рассмотрели, что значит DDoS-атака и как защитить свой сайт от нападений. Важно помнить, что подобные вредоносные действия могут вывести из строя даже самые безопасные и крупнейшие веб-ресурсы. Это повлечет за собой серьезные последствия в виде огромных убытков и потери клиентов. Именно поэтому, обезопасить свой ресурс от DDoS-атак — актуальная задача для всех коммерческих структур и государственных учреждений.
Хотите профессиональный уровень защиты от DDoS-атак — выбирайте VDS от Eternalhost! Постоянный мониторинг и круглосуточная техподдержка.
DDoS (Distributed Denial of Service), или атака типа «распределенный отказ в обслуживании» — скоординированное нападение на IT-инфраструктуру, например, сайт или сервер с помощью массированных потоков ложного трафика из разных источников. Сегодня это одна из самых опасных и одновременно распространенных угроз для кибербезопасности в мире.
Несмотря на множество общих черт, принято различать DoS- и DDoS-атаки как отдельные виды кибератак. В случае с DoS-атакой речь обычно идет о нападении с какого-то одного источника. При DDoS-атаке нападение происходит сразу с множества источников — зараженных злоумышленниками ботов, отсюда слово «распределенный» в ее наименовании. Чаще всего эти множественные источники объединены в целую сеть или ботнет.

DDoS-атаки принято разделять на типы в зависимости от того, на каком уровне сетевой модели OSI (Open Systems Interconnection) они проводятся. Чаще всего распределённым атакам типа «отказ в обслуживании» подвержены сетевой (L3 OSI), транспортный (L4 OSI) уровни, а также уровни представления (L6 OSI) и приложений или прикладной (L7 OSI). По механизму действия DDoS также разделяют на объемные атаки на переполнение (Volumetric) или флуд, а также протокольные атаки, направленные на уязвимости в отдельных протоколах передачи данных (TCP, UDP, ICMP).
Наиболее опасные разновидности DDoS
- ICMP-флуд. Уровень: L3. Механизм действия: ботнет перегружает сервер жертвы служебными ICMP-запросами, на которые система обязана давать ответы.
- UDP-флуд. Уровень: L3. Механизм действия: множественные UDP-запросы направляются на случайные порты хоста жертвы, пока сервер не «ляжет» в попытках дать ответы на них. Отдельной разновидностью UDP-флуда служит DNS-амплификация, направленная на DNS-серверы, используемые веб-сервисом.
- SYN/ACK-флуд. Уровень: L3. Механизм действия: поток фальшивых SYN-запросов создает сбой в механизме «тройного рукопожатия», лежащем в основе протокола TCP.
- TCP/IP-null. Уровень: L3. Механизм действия: нападающий сканирует систему жертвы ложными TCP-запросами с незаполненными значениями поля «флаг», чтобы подготовить более мощную атаку.
- «Пинг смерти». Уровень: L3-L4. Механизм действия: сервер потоково пингуется слишком большими или содержащими ошибку ICMP-пакетами, пока лимиты системы на ответы не будут исчерпаны.
- HTTP-флуд. Уровень: L7. Механизм действия: сервер заваливает массой HTTP-трафика в обычном и шифрованном виде.
- Атака медленными сессиями (Slowloris). Уровень: L7. Механизм действия: ресурсы сервера блокируются с помощью множества одновременно открытых сессий.

Интеллектуальная защита от DDoS-атак CyberFlow с круглосуточной технической поддержкой от Eternalhost
Чем грозят DDoS-атаки
По силе и разрушительным последствиям «ДДоС» можно сравнить с лавиной. Как и в случае с природным явлением, потоки зараженного трафика от ботнета могут буквально за считанные минуты превратить в руины даже самую укрепленную и хорошо организованную информационную инфраструктуру. Как показывают события последних лет, потенциальными жертвами DDoS-атак могут стать даже серверы крупных компаний, финансовых и правительственных организаций со своей системой безопасности.
Среди наиболее очевидных последствий DDoS для IT-ресурсов бизнеса и государственных структур — прямая потеря доходов из-за недоступности сервиса, снижение репутации в глазах клиентов и партнеров, кража ценной информации, возникновение повода для дальнейшего кибершантажа, а также потенциальные расходы на судебные тяжбы от пострадавших клиентов. Поэтому для действительно ответственных направлений деятельности, опирающихся на IT-инфраструктуру, защита и предупреждение DDoS-атак входят сегодня в число первоочередных задач.
Как противостоять DDoS-атакам
Распределенные атаки типа «отказ в обслуживании» становятся с каждым годом изощреннее и расширяют страновой охват используемых для нападения мощностей. Именно поэтому действительно эффективная защита от ДДоС — удел исключительно узкоспециализированных профессионалов с многолетним опытом борьбы с масштабными киберугрозами.
В отличие от компьютерных вирусов, действующих изнутри системы, защита от DDoS не зависит напрямую от уровня собственной IT-безопасности. Эффективно противостоять таким угрозам могут только внешние сервисы, фильтрующие или перенаправляющие вредоносный трафик от целевого хоста. Причем наиболее сложные атаки могут быть отбиты только с использованием многоуровневой киберобороны, которая должна настраиваться индивидуально для каждого ресурса.
При обнаружении первых признаков DDoS, например, сбоев в работе сайта или резко возросшей нагрузке на сервер следует незамедлительно обратиться к специалистам по DDoS-защите. Они смогут настроить защитный контур по индивидуальным требованиям и предотвратить атаку еще до ее начала.
Как работает наш сервис защиты от DDoS-атак

DDOS-защита CyberFlow работает на базе двух основных контуров:
- Фильтрация потенциально опасного трафика на внешних сервисах очистки. Фильтрация происходит автоматически по заранее заданным шаблонам без ограничения трафика и замедления работы ресурса.
- Настраиваемые по индивидуальным параметрам фильтры на нашем шлюзе. Мониторинг на втором контуре DDoS-защиты обеспечивает искусственный интеллект, способный к самообучению и мгновенному выбору стратегии противодействия различным типам распределенных атак.
Как включить защиту от DDoS-атак CyberFlow
Услуга защиты от DDoS CyberFlow подключается через обращение в нашу техподдержку по официальным каналам связи на сайте. Специалисты принимают и обрабатывают заявки на установку продвинутой ДДоС-защиты круглосуточно (24/7).
После получения заявки и оплаты в течение 1 часа проходит процесс активации CyberFlow, включающий индивидуальную настройку и подключение смарт-фильтров нелегитимного трафика. Теперь ваши IT-ресурсы будут под постоянной защитой самообучающегося искусственного интеллекта и специалистов техподдержки, что поможет проактивно противостоять даже самым мощным DDoS-атакам.
Выбирайте интеллектуальную DDoS-защиту CyberFlow! Индивидуальная настройка с помощью самообучающегося AI гарантирует адаптивную защиту и предотвращение атак на всех уровнях OSI. Проверено временем, рекомендовано Роскомнадзором!

Здравствуйте. Это снова Антон Чигарёв, и мы продолжаем серию заметок начинающего системного администратора. В прошлый раз я рассказывал о создании интернет-радио, а сегодня поделюсь советами, как защитить сервер от DoS-атак.
Эта угроза, к сожалению, актуальна для любых интернет-ресурсов: никогда не знаешь, что может стать причиной недоброжелательства и вандализма. Мой проект, посвящённый играм для слепых людей, много раз подвергался атакам, из-за чего я занялся укреплением «обороны» и на этом пути перепробовал множество вариантов. Ниже я расскажу о базовых и малозатратных способах оградить небольшой проект от активности хакеров-самоучек.
Эта статья – обзор механизмов защиты, с каждым из которых вы можете ближе познакомиться в материалах по приведённым мною ссылкам. Поскольку большинство серверов работает под управлением Linux, в тексте я ориентируюсь именно на эти системы.
Речь пойдёт прежде всего о бесплатных инструментах. Многие хостинг-провайдеры предлагают защиту от DoS как услугу. За 100-300 рублей в месяц они проверяют пакеты «на подступах» к вашему серверу и отсекают нежелательный трафик. Для коммерческого проекта такие затраты оправданы, а если сайт пока не приносит прибыли – попробуйте сначала защититься методами, о которых я расскажу ниже.
Сам я уже около года использую межсетевой экран ConfigServer Security Firewall (CSF), который успешно выявляет и пресекает нежелательную активность пользователей.
Ключевая задача при построении обороны – своевременно обнаружить и блокировать злоумышленника. И здесь есть несколько механик, которые можно использовать как вместе, так и по отдельности:
- Вы оставляете открытыми только нужные порты, а остальные закрываете. Это делается, чтобы злой хакер не проник в систему после простого сканирования портов.
- Файервол следит за открытыми портами по указанным протоколам и блокирует отправителей, которые присылают серверу больше пакетов, чем вы позволили при конфигурации. Вы можете настроить время блокировки, но учтите, что по истечении этого периода преступник снова сможет присылать лишние пакеты.
Инструменты
Сам по себе встроенный межсетевой экран сложен в настройке, но зато мы можем использовать его в связке с более понятными дополнительными файерволами. Один из них – CSF. У этого решения множество параметров, которые легко «подкрутить» как вам нужно в файле csf.conf. Либо вы можете поставить APF-firewall и к нему – скрипт DoS-deflate. Есть и другие аналогичные решения.

