Сайты без защиты ддос

13 октября 2022

Не стоит ожидать, что, подключив пусть даже лучший в мире сервис защиты от DDoS-атак, вы на 100% обезопасите от них свои сайты и интернет-приложения. И дело тут не в изъянах сервисов, а в том, что разные интернет-ресурсы обладают разным уровнем устойчивости к DDoS-атакам, причем чтобы довести ее до примерно одного уровня, могут потребоваться разные усилия, средства и сроки.

В 2017 году наша компания предложила в качестве характеристики устойчивости к DDoS использовать понятие защищаемости (подробнее мы рассказали о ней в этой статье). Коротко отметим, что под защищаемостью мы понимаем свойство интернет-ресурсов быть надежно защищенными от DDoS-атак с минимальными затратами средств, времени и усилий.

В этой статье мы обсудим, как добиться защищаемости сайтов и серверных компонентов браузерных, мобильных приложений и сервисов, взаимодействующих посредством API-интерфейсов с использованием протоколов на базе HTTP/HTTPS.

Специфика защиты сайта

Современные сайты представляют собой многокомпонентные онлайн-приложения, предоставляющие множество различных интернет-сервисов клиентам разной природы: веб-браузерам всевозможных разработчиков, мобильным приложениям и другим онлайн-сервисам, взаимодействующим как посредством HTTP-запросов, так и через API-интерфейсы. Это, как правило, сложные, критически важные для бизнеса приложения, реализованные с применением различных технологий, в том числе современных, мало использовавшихся еще лет 10 назад, таких как AJAX, API, BFF и пр.

Неприятным побочным эффектом их архитектурной и технологической сложности очень часто становится достаточно высокая уязвимость к киберрискам, в том числе связанным с DDoS-атаками. Поэтому защищать их приходится от атак, реализуемых на разных уровнях модели OSI: сетевом (L3), транспортном (L4) и уровне приложений (L7).

Кроме того, в последние годы стали нередки так называемые «умные» атаки на уровне приложений, выходящие за рамки привычных DDoS-воздействий, – они ставят целью нащупать и использовать уязвимости не в самих протоколах на базе HTTP/HTTPS, которые достаточно стандартны, а в конкретных способах взаимодействия серверных компонентов веб-приложений с клиентскими программными модулями и с другими системами (например, с СУБД или шинами данных).

Чтобы надежно и эффективно защитить веб-приложения, требуется глубокая компетенция, поэтому мы рекомендуем очень тщательно выбирать провайдера сервисов Anti-DDoS и не гнаться за дешевизной в ущерб качеству защиты. Подробнее о выборе провайдера мы рассказали в разделе «Что требуется для защиты» вышедшей недавно статьи.

Что нужно сделать еще на стадии проектирования интернет-приложения

Как известно, сложнее всего бывает исправлять ошибки, сделанные на самых ранних стадиях жизненного цикла продукта. В частности, устранение уязвимостей в программном комплексе, переданном в промышленную эксплуатацию, обходится на несколько порядков дороже, чем их своевременное выявление и устранение уже на стадии проектирования. Вот почему эксперты по информационной безопасности (ИБ) настоятельно рекомендуют разрабатывать программные продукты и системы, в том числе сайты и интернет-приложения, в тесном сотрудничестве со специалистами по ИБ – это в конечном итоге позволит сэкономить и время, и деньги.

Как правило, именно на стадии проектирования интернет-приложений совершается большинство ошибок, которые ведут к снижению их защищаемости от DDoS. Вот несколько типичных примеров.

Нередки случаи нестандартного использования стандартных протоколов, например, если приложение, хотя и применяет HTTP, но обращается с ним весьма своеобразно: в части операций по взаимодействию приложение придерживается HTTP, а в другой части не придерживается. В результате провайдеру Anti-DDoS бывает практически невозможно понять, какой трафик можно считать легитимным, а какой – нельзя. Выход из этой ситуации в принципе есть, но заниматься его поиском прямо в ходе DDoS-атаки, когда необходимо оградить от нее приложение как можно быстрее, вряд ли получится.

Заметим, что этот пример указывает на отдельную проблему, связанную с обеспечением ясных и прозрачных правил фильтрации пакетов – эти правила нужны провайдеру Anti-DDoS, чтобы точно распознавать легитимный трафик и блокировать атаки.

Провести аудит приложения и его безопасности, оценить потребности в DDoS-защите и спланировать ее развитие

Прежде чем браться за приобретение и подключение сервисов Anti-DDoS, следует понять, какие именно компоненты и ресурсы есть у вашего интернет-приложения, какие из них нуждаются в защите и какого рода и уровня защита им необходима. Исчерпывающее видение вашего приложения поможет четко описать ваши требования к защите и обеспечить ее всесторонний охват.

Комплексный охват очень важен, поскольку «лоскутность» или «кусочность» защиты от DDoS-атак позволит злоумышленнику достаточно легко найти незащищенные компоненты и нацелить на них свою атаку. Чтобы избежать явных «дыр» в защите, необходимо позаботиться о том, чтобы обезопасить от DDoS-атак все уровни, на которых могут идти атаки: сетевой (L3 по модели OSI), транспортный (L4) и уровень приложений (L7).

Для создания достаточно полного контура защиты от атак на интернет-приложения следует использовать специализированные сервисы, включающие функционал не только Anti-DDoS, но и межсетевых экранов для защиты веб-приложений (Web Application Firewall, WAF), которые помогут обезопасить приложения от «умных» атак. Поскольку WAF сами по себе не предназначены для защиты от DDoS-воздействий высокой интенсивности, то рекомендуется использовать «тандем» из сервисов WAF и anti-DDoS.

Чтобы планомерно выстраивать защиту приложений от DDoS-рисков, рекомендуем подготовить «дорожную карту» ее подключения и развертывания на начальных этапах и стратегию на среднесрочную перспективу, учитывающую планы развития ваших интернет-приложений, тенденции в области DDoS и динамику актуальных для вас рисков. Поскольку защита от DDoS является одним из направлений ИБ, очень важно обеспечить гармоничную координацию стратегии развития ИБ в вашей организации и планов по наращиванию DDoS-защиты.

Оценить, нужна ли защита без раскрытия приватных ключей SSL

Если ваше интернет-приложение предоставляет финансовые сервисы (например, для дистанционного банковского обслуживания или платежей, должно соответствовать стандарту PCI-DSS) или обеспечивает иное взаимодействие с использованием персональных данных, то следует задуматься о защите без раскрытия приватных ключей SSL.

По умолчанию для защиты приложений обычно выбирают более удобный вариант – защиту с раскрытием приватных ключей SSL. Однако если требуется обмен финансовыми или конфиденциальными данными, то следует выстраивать защиту без раскрытия приватных ключей. Она ограничивает возможности по проведению проверок клиентов приложения (каким образом к нему обратились, откуда – из какого браузера или мобильного приложения, и пр.), но позволяет более надежно защищать конфиденциальные данные.

Нередко в организациях встречаются ситуации, когда одним ресурсам требуется защита именно без раскрытия приватных ключей, а для других это непринципиально. В таких случаях для безопасности ресурсов второго рода разумнее лучше подключить защиту с раскрытием, поскольку она более эффективна и может работать с одного запроса.

В ряде случаев можно применять гибридный подход с использованием пары сертификат-ключ, которые создаются специально для защиты от DDoS-атак (например, StormWall это может делать автоматически при помощи сервиса Let’s Encrypt). Это позволяет скрыть подлинный приватный ключ, давая возможность воспользоваться защитой с раскрытием ключей.

Предоставить провайдеру Anti-DDoS понятные возможности для фильтрации атак

Чтобы провайдер Anti-DDoS ясно понимал, какой именно трафик является легитимным, и смог если не безошибочно, то хотя бы достаточно точно отфильтровать его от всех других пакетов, не теряя при этом легитимных, необходимо предоставить провайдеру понятные возможности для фильтрации атак.

Как мы уже отметили, было бы замечательно заложить эти возможности еще на стадии проектирования приложения, подробно изложив разработчикам ваши идеи относительно того, как вы планируете распознавать легитимные клиентские запросы и отбраковывать нелегитимные. Очень важно эти правила подробно задокументировать, чтобы передать их затем провайдеру Anti-DDoS.

Если приложение уже находится в режиме продуктивной эксплуатации, то следует найти возможность для обсуждения и уточнения нюансов его работы вместе с провайдером защиты, чтобы он смог понять, каким образом следует фильтровать ваш трафик.

Нужно пояснить, что обычно DDoS-защита приложений, использующих нестандартизованные способы взаимодействия (в первую очередь это касается мобильных приложений и программных клиентов, обращающихся через API), работает следующим образом. На первом шаге механизм машинного обучения сервиса Anti-DDoS выявляет схему работы приложения, выясняя такие важные детали, как география источников легитимных запросов, сигнатуры заголовков и методов взаимодействия, динамика и интенсивность запросов, и пр. На втором шаге, исходя из этой модели, строится модель нормальных активностей – именно с ней в дальнейшем будут сопоставляться все запросы, встречающиеся в потоке трафика. Если эти запросы соответствуют нормальной модели поведения, то они передаются приложению на исполнение, в противном случае они блокируются.

Ключевой в этой схеме является сама возможность отличать легитимные запросы от сфальсифицированных. Провайдер при этом исходит из предположения о том, что нелегитимные запросы могут быть, в частности, сгенерированы зловредными ботами, а потому их надо блокировать.

Подготовить информацию для провайдера Anti-DDoS

На основе информации, собранной в ходе аудита интернет-приложения и аудита его ИБ, нужно подготовить информацию для провайдера сервисов Anti-DDoS, которая поможет ему выстроить надежную и эффективную защиту.

В первую очередь для провайдера защиты нужно указать перечень локаций, из которых к вашему приложению могут обращаться клиенты, не являющиеся браузерами: мобильные приложения, сервисы, обращающиеся через API, AJAX и пр. – это поможет провайдеру точнее настроить процедуру проверки клиентов приложения и обезопасить их запросы от ошибочных блокировок.

Кроме того, полезно привести описания архитектуры приложения, используемых протоколов и способов взаимодействия между компонентами и интеграции с внешними системами. Эти описания должны быть настолько подробными, чтобы провайдер смог четко отличать трафик, генерируемый компонентами приложения и легитимными клиентскими модулями, которые с ними взаимодействуют, от всего остального.

И, кстати, обратите внимание: если провайдер сам расспрашивает вас о подобных деталях, то это говорит о том, что он, скорее всего достаточно профессионален. Для сравнения: есть немало провайдеров Anti-DDoS, которые лишь ограничиваются подключением своих сервисов, считая свою “миссию” на этом завершенной.

Скрыть от злоумышленника, насколько возможно, информацию о вашем приложении

Хорошо мотивированный злоумышленник, обладающий достаточно высокой квалификацией, наверняка будет искать способ провести успешную атаку, поэтому очень важно не только не предоставлять ему такую возможность, но даже не позволять понять, была ли атака успешной. Если этого не сделать, то информация о вашем приложении рискует превратиться в целый набор уязвимостей.

Закрыть неиспользуемые сервисы и порты

Очень полезно в ходе ИБ-аудита интернет-приложения определить, какие сервисы и порты используются, а какие не используются – эти нужно закрыть. В противном случае риск атаки на них сохраняется, причем такая атака будет, скорее всего, весьма неожиданной как для вас, так и для вашего провайдера Anti-DDoS.

Оптимизировать серверные компоненты

Оптимизация необходима, чтобы обеспечить устойчивость ваших интернет-приложений к слабым DDoS-атакам. Дело в том, что не всегда сервисы защиты могут by-design обеспечить стопроцентную очистку трафика от нелегитимных пакетов, и в этом случае какая-то их часть, пусть и небольшая, может просочиться сквозь фильтр. Но если атака мощная (например, если ее сила достигает десятков гигабит в секунду), то и одного процента ее пакетов может оказаться достаточно для того, чтобы сделать ваше приложение недоступным. Чтобы этого не произошло, серверные компоненты приложения и инфраструктура, на которой оно развернуто, должны обладать достаточно высокой производительностью. Цель оптимизации – ее увеличить.

Дальнейшие действия по оптимизации будут зависеть от того, есть ли у вас доступ к серверу, на котором развернуто приложение. Если вы не просто имеете доступ, но можете полностью его контролировать, то следует выполнить оптимизацию сетевого стека операционной системы, чтобы увеличить возможности сервера по обработке поступающих к нему запросов. В частности, нужно обратить внимание на параметры, определяющие производительность сервера при работе популярных веб-серверов и «движков» CMS, а также сетевого стека. Кроме того, надо позаботиться об оптимизации производительности СУБД, если ваше интернет-приложение их использует.

Если вы развернули приложение на хостинге или в публичном облаке, то следует обсудить возможность оптимизации и увеличения производительности со службой технической поддержки вашего облачного или хостинг-провайдера. Возможно, следует рассмотреть переход на более мощное оборудование или на виртуальные машины с большим объемом ресурсов – эта мера не только повысит устойчивость вашего приложения к слабым DDoS-атакам, но и позволит лучше справляться с пиковыми нагрузками.

Подключить защищенные DNS-сервисы

При выстраивании защиты от DDoS-рисков надо, конечно, предусмотреть и возможность атак на DNS – ведь если они окажутся успешными, пользователи не смогут получить доступ к вашему приложению либо этот доступ будет весьма нестабильным. Необходимо оценить, защищены ли от DDoS-атак сервисы DNS, к которым подключено ваше приложение, насколько они производительны и надежны. Мы рекомендуем подключаться, как минимум, к двум поставщикам DNS-сервисов, причем хотя бы один из этих сервисов должен быть защищен от DDoS-атак на всех уровнях – L3/L4 и L7. Такие DNS-сервисы можно найти и у провайдеров Anti-DDoS, и в компаниях, специализирующихся на сервисах DNS. Один из DNS-сервисов можно подключить как первичный (primary), другой – как вторичный (secondary).

На всякий случай напомним, что StormWall располагает широким арсеналом методов фильтрации трафика DNS на уровне приложений.

Систематически проверять защиту

Проведение систематических проверок на прочность необходимо для того, чтобы вы смогли удостовериться в работоспособности и эффективности вашей защиты от DDoS-атак. Дело в том, что и мощность, и интенсивность атак растет год от года. Технологии и инструменты для их проведения непрерывно совершенствуются – злоумышленники не только наращивают силу своих ботнетов, но и изобретают новые виды и способы атак. К тому же ваши приложения тоже постепенно меняются – обновление релизов наверняка производится регулярно, поэтому и проверять их на устойчивость к DDoS-рискам тоже необходимо систематически.

Для проверок защиты обычно используется стресс-тестирование – оно помогает оценить устойчивость вашего приложения к слабым DDoS-воздействиям и смоделировать его поведение во время атаки. Важно, чтобы стресс-тестирование проводилось не формально, а тщательно, чтобы охватывало не только практически все компоненты, доступные извне, а также все их сервисы. Такое всестороннее тестирование поможет своевременно выявить узкие и уязвимые места в приложении и устранить их до того, как их обнаружат злоумышленники.

Кроме того, полезно проводить проверки не только в обычные рабочие дни, но и в выходные, праздничные и предпраздничные периоды, когда имеется достаточно высокая вероятность того, что техническая поддержка провайдера Anti-DDoS расслабилась и не ожидает массированных атак. Заодно можно будет проверить реакцию техподдержки на ваши сообщения об атаках. Например, если защищаемый ресурс становится недоступен, то техподдержка StormWall самостоятельно связывается с владельцем этого ресурса независимо от того, идет ли на него DDoS-атака в данный момент или нет.

Выстроить процессы по обеспечению защиты от DDoS-атак

Очень важно добиться того, чтобы, во-первых, защита от DDoS-атак не ограничилась разовыми мероприятиями, а была выстроена в виде процесса, и во-вторых, была тесно интегрирована с другими процессами ИБ.

Поскольку и ландшафт внешних киберугроз, и ландшафт приложений динамично меняются, нужно добиться систематического выполнения мероприятий, обеспечивающих защиту, начиная от систематических проверок и встреч с провайдером Anti-DDoS и заканчивая проведением комплексных аудитов приложений и аудитов их ИБ. Чтобы эффективность защиты от DDoS-атак не снижалась, нужна последовательная совместная работа как ваших собственных специалистов, так и сотрудников провайдера Anti-DDoS. Возможно, потребуется также помощь представителей вашего облачного или хостинг-провайдера, если вы пользуетесь их услугами.

Кроме того, нужно обеспечить тесную интеграцию процесса по обеспечению защиты от DDoS-атак с другими процессами ИБ, включая мониторинг и аудит, а также управление уязвимостями, конфигурациями, инцидентами и др.

И поскольку тенденций к снижению DDoS-рисков ожидать пока не приходится, необходимо настраиваться на долгосрочную работу по обеспечению защиты от них.

Итоговый чек-лист

Распределенная DDoS-атака выполняется одновременно с большого числа устройств — злоумышленники получают контроль над ними и по команде генерируют потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

Принцип действия DDoS-атаки

Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей.

Подавляющее большинство атак происходит в следующей последовательности:

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Мотивация

Мотивация злоумышленников может быть различной. Наиболее часто встречаются недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро проплачен, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Подробнее о причинах DDoS-атак — в материалах «Психология атакующего» и «Кто запускает DDoS-атаки?».

Ущерб

Какой вред может нанести DDoS-атака сайту — в материале более подробно.

Против кого осуществляются DDoS-атаки

Чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции. С началом пандемии резко усилились атаки на образовательные ресурсы, сервисы видеоконференций, онлайн-кинотеатры, медийные и развлекательные сайты.

Одной из самых интенсивных и длительных стала произошедшая в 2007 году серия DDoS-атак против правительственных, финансовых, медийных и прочих ресурсов в Эстонии, по всей вероятности, ставшая выражением протеста против сноса памятников советским воинам, освобождавшим республику.

В 2014 году была проведена одна из мощнейших DDoS-атак в истории — на сей раз против набиравшего силу в Гонконге движения Occupy Central, выступавшего за изменение действовавшей в стране системы голосования.

В 2015 и 2018 годах состоялись еще две вошедшие в историю DDoS-атаки — против крупнейшего в мире интернет-ресурса для совместной разработки и хостинга ИТ-проектов GitHub.

Не забывают злоумышленники и о российских ресурсах. Так, регулярно подвергаются нападениям сайты Центральной избирательной комиссии РФ, Сбербанка и других финансовых учреждений России, различных коммерческих компаний. В частности, Сбербанк сообщил, что 2 января 2020 года была зафиксирована самая мощная DDoS-атака за всю его историю, она была выполнена с помощью автономных устройств Интернета вещей.

StormWall регулярно собирает статистику наиболее пострадавших отраслей — читайте об этом на сайте в разделе «Аналитика».

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Перечислим наиболее распространенные виды атак:

Еще один распространенный способ классификации — по способу воздействия:

Обо всех видах современных DDoS-атак читайте в статье.

Способы защиты от DDoS-атак

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак.

Защищаемость от DDoS-атак на этапе проектирования системы

Подробнее о защите и о том, что на нее влияет, можно узнать здесь:

Средства защиты

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Более подробно о том, что такое симметричная и асимметричная защита от DDoS-атак и чем они отличаются, — в статье.

Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.

И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

Материалы по теме: «Как повысить устойчивость сайтов и интернет-приложений», «Технологии защиты от DDoS-атак» и что такое «Защищаемость от DDoS-атак».

8 апреля 2021

Оглавление

Современный бизнес становится всё более зависимым от информационных технологий. Масштабные программы цифровизации и цифровой трансформации существенно повысили важность цифровых каналов взаимодействия с клиентами и партнерами, а массовый переход на удаленную работу заставил бизнес спешно выстроить цифровые каналы и для взаимодействия со своими собственными сотрудниками. В результате сетевая инфраструктура и подключенные к Интернету информационные ресурсы стали для многих предприятий не просто важными, а критически важными, а связанные с ними риски перешли в разряд бизнес-рисков, потому что простои этих ресурсов или отказы в обслуживании ведут к существенным убыткам и репутационным издержкам.

Этим-то как раз и пользуются злоумышленники, регулярно предпринимающие атаки на сети, сайты и всевозможные интернет-сервисы. Для этого они используют различные подходы и инструменты. В частности, они «полюбили» DDoS-атаки — они недороги в организации и проведении, при этом достаточно эффективны по своему воздействию на бизнес жертвы.

Угрозы DDoS-атак для бизнеса

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть замедленная работа или недоступность сети, сервера, интернет-сервиса, сайта, приложения. В результате интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Объекты и методы атак

Объектами DDoS-атак становятся подключенные к Интернету устройства: сетевое оборудование, физические и виртуальные серверы, различные интернет-сервисы, веб-сайты и веб-приложения, инфраструктура Интернета вещей.

Большинство атак развиваются в следующей последовательности:

Отдельно следует упомянуть об «умных» DDoS-атаках: они выбирают в качестве конкретной цели наиболее ресурсоемкие функции веб-приложений и создают на них чрезмерную нагрузку, вызывая таким образом отказ этих приложений в обслуживании (исчерпание каналов при этом, как правило, не наблюдается). Эффект от такого воздействия может быть очень сильным, даже если атака проводилась с одного компьютера без использования ботнета (DoS-атака).

Чаще всего применяется классификация атак по уровню OSI, на котором они осуществлялись:

Классификация средств DDoS-защиты

Существует, по меньшей мере, три способа классификации средств защиты от DDoS-атак:

Классификация по типу решения

На самом высоком уровне решения для защиты от DDoS-атак можно классифицировать следующим образом:

Решения, развертываемые локально (on-premise), программные и аппаратные.

Их основные преимущества:

Недостатки и ограничения:

Основной клиент решений on-premise — крупные операторы: ISP, облачные провайдеры, дата-центры с собственной службой реагирования на DDoS-атаки.

Облачные решения — их функционал защиты примерно тот же, что и у решения on-premise, но с предоставлением защиты сайтов от атак ботами по протоколу HTTP, а также технической поддержки и сопровождения во время DDoS-атаки.

Преимущества качественных облачных решений:

Облачные решения — оптимальный вариант для большинства организаций.

Гибридные решения — это комплект из решения on-premise и подписки на облачный сервис защиты, который подключается автоматически при величине атаке более заданной. Гибридный вариант позволяет нивелировать основной недостаток решений on-premise — ограничение по объему атаки и совместить преимущества облачных решений и on-premise. По мере того, как стоимость гибридных решений будет снижаться, они станут доступными для небольших сервис-провайдеров.

Классификация по уровню защиты

Как правило, DDoS-атаки используют уязвимости и особенности протоколов и систем, работающих либо на сетевом (L3) и транспортном (L4) уровне модели OSI, либо на уровне приложений и программных сервисов (L4). Кроме того, все большее распространение получают «интеллектуальные» атаки, использующие весьма изощренные методы воздействия. Исходя из этого, решения для защиты от DDoS-атак можно разделить на три категории:

Решения on-premise, как правило, ограничиваются защитой на уровнях L3 и L4. Функционал облачных решений может варьироваться в широком диапазоне, и чтобы понять, на что они способны, необходимо тщательно изучать документацию конкретных сервисов. Для защиты критически важных интернет-ресурсов стоит выбирать вариант с использованием WAF — это позволит максимально обезопасить ресурсы и обеспечить их доступность при DDoS-атаках самого разного уровня сложности.

Классификация по формату подключения

По формату подключения DDoS-защиту можно подразделить на симметричную и асимметричную.

Как правило, симметричные алгоритмы более эффективны, поскольку анализируют оба потока трафика одновременно и могут основывать решения на полной информации о сетевом взаимодействии сервера и клиентов. Ассиметричные же алгоритмы не гарантируют стопроцентную фильтрацию некоторых атак.

Как правило, симметричная защита рекомендуется для противодействия атакам на веб-сайты и критически важные приложения, а асимметричная — для защиты провайдерских сетей.

Сравнение основных преимуществ и недостатков обоих классов защиты приведено в таблице.

Способы и средства защиты от DDoS

В зависимости о того, какие объекты нужно защищать, следует выбирать разные способы и средства защиты от DDoS-атак.

Сайты и веб-приложения

Первое, что нужно учесть, выстраивая защиту сайтов и веб-приложений от DDoS-атак, — есть ли у вас доступ к серверу, на котором разместили сайты и приложения. Если можете его полноценно контролировать, следует не только позаботиться о подключении внешней DDoS-защиты, но и правильным образом подготовить сам сервер: выполнить оптимизацию сетевого стека операционной системы так, чтобы сервер смог выдерживать высокие нагрузки. Для защиты от DDoS очень важно обеспечить высокую производительность сервера, включая обработку поступающих по сети запросов к нему. В противном случае даже в отсутствие атаки есть риск т.н. «хабраэффекта», когда появление в Интернете публикации, быстро ставшей очень популярной, приводит к резкому увеличению нагрузки на упомянутые в ней интернет-ресурсы.

Стандартные настройки работающих в режиме продуктивной эксплуатации сетевого стека ОС и веб-сервера Apache или Nginx, как правило, имеют существенные ограничения, которые обязательно необходимо устранить. В частности, нужно обратить внимание на параметры, определяющие производительность сервера на Nginx и сетевого стека Linux. Также следует обратить внимание на оптимизацию используемых СУБД — они должны работать быстро.

Если на сайте используются популярные системы CMS (например, Joomla!, WordPress, Drupal), обязательно воспользуйтесь общедоступными рекомендациями по настройке их производительности. Необходимо обеспечить высокую производительность сайта в стандартном режиме — это повысит его шансы справиться с DDoS-атакой.

И вот еще несколько рекомендаций:

Если сервис критически важен, необходимо позаботиться о приобретении или аренде надежных и производительных, причем по возможности выделенных, хостинг-ресурсов для его развертывания, чтобы исключить ситуацию, когда атака на другой сервис на этом же ресурсе приведет к отказу вашего сервиса. Желательно обеспечить резервирование мощностей и ресурсов, чтобы уменьшить вероятность отказа.

Интернет-сервисы и онлайн-игры на основе TCP и UDP

Стремясь обеспечить устойчивость сервисов, взаимодействующих с пользователями посредством TCP и UDP, нужно в первую очередь оптимизировать сетевой стек операционной системы. Для начала стоит удостовериться, что прерывания сетевой карты распределены по разным процессорным ядрам. В большинстве современных систем это распределение производится автоматически, тем не менее, дополнительная осмотрительность не помешает.

Отметим, что определенное преимущество в защите от DDoS-атак имеют сервисы, работающие на основе протокола TCP, поскольку сам протокол лучше приспособлен для отражения атак. Гораздо больше усилий потребуется, чтобы обезопасить серверы, работающие на основе протокола UDP. Этот протокол не подразумевает соединений, и если сервер подвергается не типичной, а целевой атаке, имитирующей при этом игровые пакеты, трафик фильтроваться не будет — если только вы не сообщите заранее о деталях архитектуры и функционирования сервера вашему DDoS-защитнику, не продумаете вместе с ним способы отражения нетипичных атак и не проверите их эффективность на нескольких тестовых атаках.

Для защиты интернет-сервисов и онлайн-игр на основе TCP и UDP нужно в первую очередь настроить драйвер сетевой карты. Когда на нее приходит фрейм, она должна инициировать системное прерывание, которое «просит» процессор приостановить выполнение текущей задачи и обработать пришедшую порцию трафика. Однако если бы каждый фрейм вызывал незамедлительное прерывание и «отвлекал» процессор от текущих задач, заметное снижение производительности можно было бы наблюдать даже на простейших сетевых операциях, таких как передача файла по протоколу FTP. Поэтому эти прерывания выстроены в очередь, которая скапливается на сетевой карте и обрабатывается процессором за один раз. Обычно это происходит 250-1000 раз в секунду, и чем реже — тем меньше загрузка CPU, но тем выше задержка.

С другой стороны, большинство современных серверов имеют несколько процессорных ядер. Поскольку ОС рассматривает каждое из них как отдельный процессор, мы можем равномерно распределить между ними нагрузку от прерываний. Есть два способа это сделать.

Сети

Первое, о чем следует позаботиться, — чтобы пограничный (Edge) маршрутизатор располагал достаточно высокой производительностью. Необходимо уточнить их пропускную способность, оценить текущую нагрузку и по возможности провести ряд стресс-тестов, например, с использованием утилиты hping3.

Подключение защиты не гарантирует отражения атак

Само по себе подключение защиты от DDoS не гарантирует работоспособность интернет-ресурсов в случае DDoS-атаки. И зачастую проблема кроется не в «плохой» DDoS-защите, а в неудачной архитектуре интернет-сервиса или некоторых других его особенностях.

В 2017 году наша компания впервые предложила сообществу термин «защищаемость от DDoS» и набор параметров, которые на неё влияют. Если коротко, защищаемость — это способность интернет-сервиса быть эффективно защищенным от атак с минимальными затратами ресурсов.

На защищаемость влияют следующие основные группы параметров:

Защищаемость от DDoS-атак можно и нужно закладывать в решение еще на стадии проектирования его архитектуры — это позволит повысить доступность и снизить расходы на защиту от атак. Подробнее о защищаемости и о том, что на нее влияет, можно узнать здесь: https://youtu.be/JW05Ikf98JE.

Что продумать и о чем спрашивать

Сервисы защиты от DDoS-атак сегодня предлагают многие компании — как специализирующиеся на информационной безопасности, так и другие: ISP, хостинг-провайдеры, дата-центры. Их функциональные возможности и качество защиты могут серьезно различаться.

Следует помнить, что защита от DDoS — дело очень серьезное, поэтому провайдера нужно выбирать со всей тщательностью. Выбирая провайдера, важно выяснить следующие его особенности.