Защита от DDoS: как своими силами отбить атаку – руководство
Многие популярные ресурсы подвергаются DDoS-атакам с той или иной целью.
Если являетесь владельцем популярных или стремительно растущих ресурсов, следует задумать о безопасности своего детища.
Сегодня мы расскажем, что такое DoS и DDoS атаки, каким образом осуществляются последние и какая эффективная защита от них существует.
Cодержание:
Понятие
С сутью DDoS атак знакомы все школьники, не желающие выслушивать очередные бредни преподавателя по теме, и начинающие забрасывать его вопросами.
В итоге учитель сдавался, так и не начав новую тему. ДоС мало чем отличается от этой элементарной схемы.
DDoS называют хакерскую атаку на сервер (-ы), которые обрабатывают запросы пользователей (посетителей сайта), с целью создания таких условий, когда тот перестанет справляться с нагрузкой.
То есть комплекс действий злоумышленников нацелен на то, чтобы ресурса сервера перестало хватать на обработку запросов пользователей или она была затруднена.
Как организовать
DDoS отличается от DoS тем, что неугодный ресурс атакуется большим количеством компьютеров, как добровольцев, заинтересованных в этом, так и зараженных вирусами.
Во втором случае владельцы ПК не всегда догадаются, чем занята их машина в данный момент.
Во время подготовительного этапа недоброжелатели сканируют масштабную компьютерную сеть на предмет уязвимостей, а определив слабые места и получив определёнными преимуществами, распространяют троянскую программу, функционирующую в фоновом режиме.
Она ждёт своей очереди, и после отправки определённой команды подключает компьютер пользователя к масштабной атаке. Этот ПК называется зомби.
Рис. 2 – Как защититься от атаки
Защититься от DDoS на 100% не может никто и нигде, ведь любой программный код имеет свои недостатки, плюс его можно взломать.
Да и человеческий фактор в таком случае играет далеко не второстепенную роль: правильная настройка оборудования и программного обеспечения – залог успешной работы.
Второй и менее распространённый алгоритм – приглашение добровольцев для участия в массированной отправке запросов на указанный сервер через специальное программное обеспечение.
Третья разновидность таких кибепреступных действий – размещение ссылок на целевой ресурс на крупных порталах (новостных). Из-за стремительного наплыва юзеров сервер не выдерживает нагрузки и «падает».
Причём проблему может спровоцировать сам владелец сайта, активно рекламируя его на посещаемых порталах.
Рис. 3 – Распространённые типы атак
Причины
Специалисты в области компьютерной безопасности выделяют несколько факторов, провоцирующих DDoS:
- Самообразование, развлечение – начинающие взломщики могут попытаться навредить небольшому ресурсу с целью попрактиковаться в организации DDoS или проверить свои силы на деле.
- Личные мотивы – может быть местью кому-либо или какой-нибудь организации, например, после облав на группы хакеров веб-узлы американской спецслужбы ФБР и некоторых правительственных ведомств несколько недель не функционировали.
- Политическая акция, протест, например, против закрытия пиратских ресурсов.
- Недобросовестная конкурентная борьба – пока сайт не функционирует, есть вероятность того, что часть его посетителей перебежит к конкуренту.
В последние 2 года, например, увеличилось количество атак на российские банки, дабы подорвать доверие к ним, и правительственные органы. В феврале 2017 года была успешно отражена массивная атака на машины Минздрава и госреестров.
- Финансовая выгода – злоумышленник требует определённую пользу от владельца веб-ресурса, как правило, финансовую. Такими поступками известны группы ezBTC и RedDoor.
Разновидности
Сделать систему не функционирующей на протяжении определённого времени намного проще, быстрее и дешевле, чем взломать. Затруднить доступ юзеров к какому-либо сайту можно несколькими способами.
Переполнение интернет-канала или флуд.
Самый распространённый алгоритм – занять всю ширину интернет-канала, чтобы запросы пользователей не могли попадать на сервер или хотя бы обрабатываться им. Для этого пишутся специальные приложения. Они открывают большое количество ложных соединений, число которых достигает максимально возможного поддерживаемого сервером, или посылают ложные запросы в огромном количестве.
SYN-флуд – переполнение вычислительных возможностей системы ложными запросами. После установки соединения система под каждый запрос выделяет определённое количество физических ресурсов сервера.
Злоумышленник отправляет пакет жертве, недожавшись ответа, изменяет свой IP-адрес и отправляет пакет данных повторно. На их обработку требуется больше времени, чем на изменения IP и отправку нового. Так исчерпывается физический ресурс сервера.
Захват аппаратных ресурсов – схож с предыдущим типом, его цель – загрузить центральный процессор жертвы на 100%.
Рис. 4 – Уровни модели OSI
HTTP и ping-флуд применяются для атаки серверов со сравнительно небольшой пропускной способностью, когда скорость интернета хакера меньше жертвы не более, чем на порядок, а то и вовсе больше.
Smurf-атака. Самый серьёзный алгоритм ввиду большой вероятности того, что в обслуживании атакованной машины будет отказано.
Недоброжелатель применяет широковещательную рассылку посредством ping-ов. После отправки поддельного пакета киберпреступник изменят свой IP на адрес атакованной системы, из-за чего та сама себе посылает ответные пакеты. Когда количество атакующих возрастает, сервер попросту не справляется с обработкой посылаемых себе запросов.
Рис. 5 – Smurf — самая мощная атака
UDP-флуд – Жертве посылаются echo-команды, IP атакующего изменяется на адрес атакованного, который вынужден принимать собственные запросы в большом количестве и так до занятия ложными ответами всей полосы.
Переполнение вычислительных мощностей – посылание запросов, которые для обработки требуют много процессорного времени. Когда ЦП будет загружен на 100%, пользователи доступ к сайту не получат.
Переполнение HDD лог-файлами. Мы говорили о влиянии квалификации системного администратора на возможность осуществления атаки на серверы, которые тот обслуживает. Если неопытный человек не установит определённые лимиты на размер лог-файла или количество записей в нём, протоколирование многочисленных запросов займет всё дисковое пространство и выведет сервер из строя.
Недостатки кода. Профессионалы не опускаются до уровня рассылки запросов, они тщательно изучают систему жертвы и пишут эксплойты – небольшие программы, позволяющие использовать дыры системы в целях разработчика этих самых приложений. В большинстве случаев такой код провоцирует обращение к несуществующему пространству или недопустимой функции.
Атаки на кэш – подмена IP DNS-сервера на адрес жертвы. Запрос приводит не на страницу атакованного ресурса, а на сайт злоумышленника. При наличии огромного количества зомби-компьютеров они насыщают DNS-сервер запросами, ввиду чего тот не справляется с преобразованием IP в доменные имена.
При правильной конфигурации DNS вероятность успешной атаки опускается до ноля.
Layer 7 – на запрос сервер должен отправить тяжелый пакет, например, архив или pdf-файл.
Существуют платные ресурсы для осуществления киберпреступлений, как vDOS.
Он предоставляет услуги всем, не спрашивая имени пользователя и цели эксплуатации сервиса.
Разберёмся, как это делается.
к содержанию ↑Определяем DDos
В большинстве ситуаций атаку заметить если и возможно, то чрезвычайно тяжело, тем более в первые ее часы.
Многие жертвы замечали нашествие ложных запросов на их серверы спустя несколько суток после удачной атаки или через пару недель после её завершения, когда жертва получала статистику или счёт за перерасход трафика или изрядное расширение канала.
Рис. 6 – Архитектура
Для своевременного обнаружения злодеяния необходимо точно знать тип и алгоритм атаки, затем мы и рассмотрели их, пускай и очень кратко.
Рядовой пользователь вряд ли сможет что-либо сделать без помощи квалифицированного специалиста со службы безопасности.
Такие люди помогут выполнить пару манипуляций в настройках для отражения атаки. Средства их выявления относятся к нескольким категориям:
- статистика – изучение активности пользователей на ресурсе;
- сигнатуры – качественный анализ входящего и исходящего трафика;
- комбинация первой и второй.
Защита: общие понятия
Предотвращение атак и борьба с преступниками осуществляется путём правильной настройки оборудования и программного обеспечения, но спасут они лишь от слабых нападок.
Да и то, порой лишь снизят эффективность атаки. Закрытие дыр в программном коде – более эффективная мера борьбы с зомби-компьютерами и сетями ботнетов.
И оставлять её на потом ни в коем случае не нужно.
Разберёмся, какие меры следует предпринимать при запуске сервера, создании сети и настройке ПО, чтобы избежать роли жертвы.
Выигрываем время
В зависимости от типа злодеяния различают разные алгоритмы предотвращения прерывания обслуживания.
- Для предотвращения HTTP-флуда повышаем число одновременных соединений с базой, а если атака развивается, сбрасываем эти соединения.
- ICMP-флуд – отключаем ответы на ICMP ECHO запросы.
- UDP-флуд – также отключаем данный вид запросов или ограничиваем их допустимое количество.
- SYN-флуд – если определили его наличие, уменьшаем очередь полуоткрытых соединений TCP до 1-3-х.
При наличии соответствующих навыков эти действия лишь на время понизят эффективность стараний злоумышленников, необходимое для обращения к поставщику интернет-услуг.
Рис. 7 – Как происходит ДДоС
Советы
- Своевременное обновление ПО на сервере и движка сайта.
- Наличие плана реагирования на появление внештатной ситуации.
- Учёт вероятности DDoS ещё на стадии написания/заказа программного кода, его тщательное тестирование.
- Отсутствие доступа к интерфейсу администрирования с внешней сети.
- Эксплуатация тестов на проникновение и критические проблемы OWASP Top 10 Vulnerability.
- Если аппаратные средства обеспечения безопасности недоступны, предусмотрите услугу программной защиты по требованию путём внесения корректировок в схему маршрутизации.
- Эксплуатация сетей доставки контента CDN. Они позволяют распределить трафик между несколькими серверами для уменьшения таймингов и повышения скорости доступа.
- Установка файрвола Web Application Firewall на веб-приложения, который будет мониторить трафик, приходящий на сайт, и проверять его подлинность, что с большой вероятностью исключит ложные запросы.
- Не используем Apache. При эксплуатации Апачи устанавливайте кэширующий прокси nginx, но и он не спасёт от Slowloris – самого опасного способа DDoS. Лучше остановитесь на защищенном HTTPS-сервере.
- Воздействие на источник проблемы. Если знаете обидчика, посредством законодательства или иных рычагов давления вынудите его прекратить противозаконные действия. Для этого даже специальные фирмы существуют.
Безопасность DNS
В случае с атакой на DNS брандмауэр не поможет, он сам является уязвимостью.
Помогут сервисы для онлайн-очистки трафика. Он перенаправляется на облачный сервис, где проверяется, а затем доходит до адресата.
В общем случае доступны следующие методы.
Рис. 8 – Принцип защиты DNS
Приведённые способы требуют вложения ресурсов, в первую очередь финансовых, и подходят не для всех случаев.
На практике более эффективно себя зарекомендовало использование распределённых сетей DNS посредством Anycast либо Unicast.
- Anycast более надёжный за счёт использования общего IP.
- При Unicast все серверы получают уникальные IP. За счёт этого смягчается нагрузка: после заполнения одного сервера подключается второй.
Инструменты провайдера
Все поставщики интернет-услуг имеют средства для защиты от массированных DDoS атак круглосуточно либо по требованию, а также инструменты для смягчения последствий ДДоС.
Более эффективным будет вариант размещения защищаемого IP в анализатор, в результате чего пользователь получает реальный трафик, пропущенный через сеть фильтров.
к содержанию ↑Действенные меры
Фактически любой мало-мальски подготовленный пользователь без усилий отправит рядовой сервер в нокаут. Чтобы этого не произошло с вашим, следует соблюдать основные принципы.
Долой Windows
Самая распространённая платформа является и наиболее уязвимой. Когда число запросов растёт, Windows Server непременно начинает тормозить.
Останавливайтесь на решениях, которые работают на ядре Linux. Хакеры не столь прониклись знаниями об этой платформе.
Основным инструментом для прерывания атаки являются консольные утилиты iptables и ipset. C их помощью боты легко отправляются в бан.
Модуль testcookie
Одним из наиболее быстрых и эффективных рецептов вернуть сайт к нормальному состоянию является модуль testcookie-nginx, способный предотвратить простые атаки, разработанные начинающими программистами на C#/Java.
Его работа основывается на том, что боты в своём большинстве не обладают функцией переадресации и не используют cookies.
Модуль отслеживает мусорные запросы, ведь тело бота почти никогда (но случаи становятся всё более частыми) не несёт в себе движка JavaScript. Он становится фильтром в случае атаки Layer 7.
Модуль проверяет:
- действительно ли бот является браузером, за который себя выдаёт:
- на самом ли деле он поддерживает JS;
- умеет ли тот переадресовывать.
Рис. 9 – Алгоритм работы testcookies
Способов проверки несколько и для их всех задействуются cookies, которые в последней версии еще и шифруются посредством AES-128 при необходимости. Также cookies может инсталлироваться через Flash, который боты не поддерживают.
Инструмент распространяется бесплатно и поставляется с файлами конфигурации для различных случаев.
С недостатков testcookie обладает следующими:
- блокирует всех ботов, в том числе и Googlebot (по крайней мере в нынешнем виде), что делает его постоянное использование невозможным;
- предоставляет неудобства юзерам с редкими интернет-обозревателями, вроде Links;
- не защитит от продвинутых ботов, которые обладают движков JavaScript.
Временное отключение функций
Хакеры в основном сосредотачиваются на самых «тяжелых» частях сайта (для больших ресурсов), таких как встроенный поиск. Если используется этот способ нанесения вреда, просто отключите поиск на время.
Клиенты хоть и почувствуют некие неудобства, но большая их часть обязательно вернётся, когда проблема будет решена. Тем более, что их можно уведомить о неполадке.
Географическое положение
Современные движки сайтов позволяют отсеивать пользователей по географическим признакам.
Если на ваш интернет-магазин или городской новостной портал заходит много китайцев в последние дни или часы, можете попытаться закрыть им доступ. Наверняка это боты.
Точность определения геометок, бан пользователей, работающих через VPN и прочие недостатки – временная плата за работоспособность сайта в дальнейшем.
Отладчик
Использование профайлера Xdebug позволит увидеть самые тяжелые запросы.
Интегрированный отладчик определит код, отвечающий за это, а умелые руки и светлая голова облегчат сложные запросы к базе данных, если проблема кроется в этом.
Блокирование подозрительного трафика
Используем межсетевой экран или ACL списки для блокировки подозрительного трафика.
Такое программное обеспечение способно закрыть доступ к сайту определённым категориям запросов, но отделить реальный трафик от «плохого» не в силах.
Обратная DDoS атака
Если мощности и пропускного канала достаточно, системным администратором может быть осуществлен процесс переадресации входящего трафика из атакуемого сервера обратно к атакующему.
Часто такой процесс позволяет прекратить нападки и даже загрузить сервер атакующего до его вывода из строя.
Сервисы
Для бизнеса даже однодневный простой сайта приносит убытки и ущерб репутации его владельцу.
В таких ситуациях финансовые вложения в стабильное функционирование ресурса, как правило, окупаются с лихвой.
Познакомимся с несколькими инструментами, способными прекратить любую атаку в считанные минуты.
Akamai
После приобретения Prolexic, которая работала в сфере защиты от DDoS, компания стала лидером рынка средств для поиска уязвимостей веб-ресурсов.
Совмещение двух технологий предоставляет гарантированную безопасность любого сайта.
Широкая сеть дата-центов с мизерными задержками и отсутствие необходимости обзаводиться дополнительным оборудованием привлекают не только корпоративных клиентов.
Рис. 10 – Akamai
Arbor
www.arbornetworks.com/ddos-protection-products
Предоставляет высококлассную защиту от ДДоС для дата-центров программным и аппаратным путём, причем всё оборудование монтируется специалистами фирмы у заказчика.
Благодаря сервису облачной фильтрации трафика с возможность выбора пропускной способности сети/сайта Arbor – одно из наиболее популярных решений на рынке России.
Особенности:
- присутствуют гибкие решения для всех случаев;
- размещение защитного механизма без покупки оборудования (удалённо или виртуально);
- большой выбор продуктов.
Cloudflare
https://www.cloudflare.com/ddos/
Распространяется в двух пакетах: базовый и профи, однако для комплексных мер в сфере бизнеса придётся приобрести расширенные пакет, функционирующий на трёх (3,4,7) уровнях базовой модели.
Из достоинств: фиксированная цена за весь период эксплуатации, каким бы мощным ни было нашествие ботов.
Рис. 11 – Логотип Cloudflare
Особенности:
- базовая защита на небольшой срок бесплатна;
- масса дополнительных возможностей;
- невысокая фиксированная цена.
Radware
www.radware.com/Products/DefensePro/
Разработчик сетевого оборудования для защиты сайтов и прочих сетевых ресурсов. Также компания предоставляет услуги информационной безопасности, в первую очередь от DDoS. Установки DefensePro являются одними из самых производительных – более 200 Мбит/с для бюджетной модели.
Рис. 12 – Radware
Особенности:
- большой выбор оборудования;
- анализ поведения на всех уровнях OSI;
- минимизация ущерба по реальному трафику;
- автоматизация процесса во время атаки.
SUCURI
https://sucuri.net/website-antivirus
Инструмент для обеспечения безопасности различных сайтов, в том числе на бесплатных движках.
Комплексное решение Website Antivirus дополнительно позволяет:
- отыскать и удалить вредоносный код;
- защитить от брутфорса и ботов.
Цена за услуги меньше $20, что делает предложение выгодным для многих пользователей.
MYRA
https://myracloud.com/en/ddos-protection/
Германский сервис, поэтому при работе с данными придётся придерживаться местного законодательства.
Это автоматизированный инструмент для любого сайта и приложения, позволяющий прервать атаку мощностью более 1 Тб/с.
Qrator
Эффективность превыше всего.
Основное преимущество – отсутствие капчи во время срабатывания защиты, поэтому клиенты, посещающие ресурс, не страдают, конверсия остаётся на прежнем уровне, а наличие атаки можно узнать только по логам или мониторингу.
Из недостатков:
- возможности личного кабинета никакие;
- WAF приобретается отдельно;
- высокая цена и дополнительная оплата трафика;
- из CDN провайдеров поддерживается лишь Ngenix.
МФИ Софт
Единственный отечественный представитель, сумевший подняться до мирового уровня в разработке и производстве девайсов для обеспечения защиты от ДДоС.
Аппаратный комплекс «Периметр» с передовой программной начинкой подходит не только для рядовых пользователей и мелкого бизнеса, но и для провайдеров.
Скоростные режимы выбираются также благодаря лицензии, что позволяет сэкономить и постепенно набирать обороты.
Рис. 13 – Логотип МФИ Софт
Работа с инструментами осуществляется через веб-интерфейс (в браузере), а масса средств для анализа и визуализации результатов поможет следить за трафиком и вовремя выявлять проблемы.
This is such a great resource that you are providing and you give it away for free. I love seeing blog that understand the value of providing a quality resource for free https://run3game.io
Хорошая статейка перешел в свое время с Cloudflare на Stormwall. Хотелось русскоговорящую техподдержку, да и все, в целом теперь все устраивает.