Что делать если дудосят
Перейти к содержимому

Что делать если дудосят

  • автор:

Что такое DDOS-атаки?

Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.

В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.

Модель взаимодействия открытых систем (OSI)
# Уровень 7 Приложение Описание Пример вектора
7 Приложение Данные Сетевой процесс в адрес приложения флуд DNS-запросов, HTTP-флуд
6 Представление Данные Представление и шифрование данных SSL-нарушение
5 Сеанс Данные Сеанс связи между хостами Н/Д
4 Транспортный Сегменты Связь между конечными пунктами и надежность SYN-флуд
3 Сетевой Пакеты Определение маршрута и логическая адресация Атаки с отражением UDP-пакетов
2 Канальный Кадры Физическая адресация Н/Д
1 Физический Биты Среда передачи, сигнал и двоичные данные Н/Д

Классификация DDoS-атак

Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).

Атаки уровня инфраструктуры

К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.

Атаки уровня приложения

К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).

Методы защиты от DDoS-атак

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

План масштабирования

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

Отзывы и обзоры хостинга

Реклама:

  • Beget.comКартинка для привлечения внимания
  • Colobridge.netКартинка для привлечения внимания
  • Selectel.ruКартинка для привлечения внимания
  • Simplecloud.ruКартинка для привлечения внимания
  • FASTVPSКартинка для привлечения внимания
  • FASTVPSКартинка для привлечения внимания
  • Hoster.ruКартинка для привлечения внимания
  • VDS.selectel.ruКартинка для привлечения внимания
  • HOSTLIFEКартинка для привлечения внимания
  • Bitweb.ruКартинка для привлечения внимания

Что делать при DDOS-атаке владельцу сайта или начинающему веб-мастеру

В данной статье хотелось бы рассмотреть DDOS-атаки с точки зрения обычного веб-мастера или владельца сайта. В первый раз подобное происшествие может удивить и заставить понервничать. Но в действительности проблема достаточно частая, и с ней рано или поздно сталкивается почти каждый владелец сайта.

Почему сайт попал под атаку? Сколько атака может продолжаться?

Перед тем как принимать меры, нужно проанализировать ситуацию, и понять возможные причины атаки на сайт. Имеет ли атака случайный характер, или ее можно считать закономерной?

Если ваш ресурс — коммерческий, атака вполне может быть происками конкурентов.

Если ресурс некоммерческий, но популярный — вы могли стать жертвой интернет-вымогателей (часто школьников), которые вскоре пришлют вам письмо с требованием заплатить определенную сумму за прекращение атаки. Ни в коем случае не вступайте в подобные переговоры! Легкие и средние атаки отбиваются без значительных затрат, а стоимость крупных атак все равно обойдется заказчику дороже, чем для вас выйдет стоимость защиты. К тому же, серьезные атаки редко длятся более суток ввиду высокой стоимости их организации.

Отдельно следует рассматривать проекты, априори подверженные DDOS-атакам: сайты онлайн-игр (Lineage 2), инвест-проекты и так далее. Если ваш проект изначально в зоне повышенного риска, то подумать о защите от атак нужно заранее, еще до запуска.

С какой именно атакой вы столкнулись?

Если сайт расположен на обычном веб-хостинге, то о факте DDOS-атаки вы узнаете непосредственно от вашего хостинг-провайдера. Эта неприятная новость, скорее всего, будет сопровождаться блокировкой хостинга и требованием перейти на выделенный сервер или, как минимум, убрать проблемный ресурс с хостинга.

При атаке хостер является таким же заложником ситуации, как вы, если не в большей степени — ведь страдают десятки или сотни других пользователей сервера. Блокировка аккаунта на сервере с общими ресурсами является доступной для провайдера мерой быстрого решения проблемы, если, конечно, условия хостинга не предусматривает защиты от атак.

Только хостер может предоставить достоверную информацию об атаке. Если хостер ограничивается отговорками, и никак не содействует решению проблемы, то стоит задумать о переезде (к сожалению, на сегодняшний день такая ситуация — не редкость).

Хостер обычно делит атаки на два уровня: флуд — атака начального или среднего уровня, которую можно отразить без внешних средств защиты, разместив сайт на выделенных ресурсах и настроив сервер соответствующим образом, и собственно DDOS-атака высокого уровня, которую можно отразить только с помощью внешних программно-аппаратных средств защиты.

Если сайт размещен на VPS, определить уровень атаки можно и самостоятельно, временно отключив веб-сервер и проанализировав его логи, или обратившись за помощью к специалистам по администрированию серверов. Найти таких специалистов можно, к примеру, на фрилансерских биржах в разделе «Системное администрирование» или на веб-мастерских форумах в разделах по хостингу. Аудит сервера будет или бесплатным, или не очень дорогим. Конечно, доверять аудит стоит только специалистам с репутацией.

Зная детали атаки, вам будет проще решить, какие именно меры следует принимать для решения роблемы.

Суть проблемы ясна, что делать дальше?

В большинстве случаев владельцы сайтов сталкиваются именно с http-флудом — атакой, при которой веб-сервер перегружается множеством одновременных запросов со сравнительно небольшого числа IP-адресов (обычно в пределах нескольких тысяч).

Хостер стандартно предлагает переход на VPS или выделенный сервер, где можно настроить фильтрацию проблемных запросов на уровне веб-сервера Nginx, либо блокировать ip-адреса бот-машин фаерволом (iptables, APF, ipfw). Cкрипты анализа логов веб-сервера можно запускать регулярно по cron, что позволяет обеспечить защиту от средних атак в автоматическом режиме.

Если хостер предлагает переход на VPS или выделенный сервер, то перед тем как соглашаться на предложение, уточните, готов ли он выполнить соответствующую настройку защиты от атаки на сервере, и на каких условиях. Уважающий себя хостер часто готов помочь в борьбе с флудом при переходе на сервер либо бесплатно, либо за сравнительно небольшие деньги — до 30-50 долларов разово.

Если хостер не готов помочь с защитой от атаки, или не может дать никаких гарантий того, что справится с атакой текущего уровня, то не спешите с переходом на сервер. Рассмотрите доступные средства внешней защиты. Например, сервис http://www.cloudflare.com , где даже бесплатный тарифный план может помочь отбить флуд и атаки среднего уровня. Настройка сводится всего лишь к регистрации на CloudFlare, и изменению DNS для домена вашего сайта. Аналогичные услуги можно получить в Highloadlab.

Если вы столкнулись с атакой высокого уровня, отбить которую без внешних средств защиты не представляется возможным, нужно принимать решение, сопоставив стоимость отражения атаки и ущерб от простоя. Иногда проще переждать атаку в течении суток-двух, оставив на сайте заглушку с сообщением о временной недоступности проекта и кодом 503 для ботов поисковых систем, а не отбивать атаку сразу же. Нужно помнить о том, что стоимость действительно серьезных атак выше ваших затрат на защиту, а значит, атака может прекратиться раньше, чем вам кажется.

Смотрите также

  • Бесплатная консультация по серверам linux, unix, windows
  • Хостинг с защитой от DDoS-атак
  • Как определить, что ваш ресурс подвергся DDoS-атаке?
  • Какое специализированное железо реально защищает от ddos?
  • Субкатегория — Хостинг с анти-ddos защитой

Что делать, если IP-адрес “засветился” в DDoS-атаке или взломе

В последнее время участились DDoS-атаки и взломы различных сайтов СМИ и правительственных веб-ресурсов. Государственные органы, отвечающие за безопасность страны, обязаны расследовать подобные киберпреступления. И в качестве «зацепки» в поисках преступников, или для обвинения в причастности к инциденту, они могут использовать IP-адрес, с которого совершалась атака. На вопрос “Что делать если к вам пришли?” далее отвечают юристы.

С технической точки зрения

Для интернет-провайдер не составляет труда узнать IP-адрес компьютера, с которого осуществлялись атаки. Но, часто по IP- адресу очень сложно идентифицировать конечного пользователя: например, в домашних сетях под одним IP-адресом могут выходить в Интернет множество пользователей.

Но даже в случае, если IP-адрес закреплён за конкретной квартирой, там может быть установлен, например, WiFi-маршрутизатор. К нему “по воздуху” подключаются различные устройства, компьютеры, планшеты, смартфоны, которые могут принадлежать разным людям. А если радиус действия WiFi-сети выходит за пределы квартиры, то её владелец может и не подозревать, что ей пользуются посторонние люди.

Кроме того, злоумышленники могут инфицировать устройство компьютерным вирусом, чтобы получить к нему удалённый доступ без ведома владельца. Так, согласно статистике антивирусных вендоров, в Украине присутствуют миллионы устройств, заражённые различными вирусами, которые превращены в инструменты для атак.

Есть и ещё одна проблема. Как показывает практика, многие провайдеры (причём не только в Украине) не блокируют возможность использования своими клиентами чужих IP-адресов. Поэтому атака якобы с IP-адреса украинского пользователя на самом деле может осуществляться из сети, например, в Германии или Панамы.

DDoS-атака с позиции законодательства

Даже если киберпреступник будет принимать участие в DDoS-атаке с компьютера, расположенного непосредственно в недрах СБУ, ему вряд ли грозит криминальная ответственность. Об этом говорит Дмитрий Гадомский, адвокат, партнёр АО «Юскутум»:

«Если бы Украину можно было бы назвать правовым государством без огромного количества уточнений и примечаний, то я сказал бы: уважаемые граждане, DDos в Украине не является уголовным преступлением и наказывать за это не будут, даже если поймают. Но в реалиях нынешней судовой системы могу сказать следующее: я готов взяться за защиту любого, кто будет обвинён в DDoS атаке, поскольку считаю позицию обвинения несостоятельной».

Суть здесь в следующем. Правоохранительные органы при расследовании киберпреступлений могут применить лишь ст. 361 УК Украины — «Несанкционированное вмешательство в работу ЭВМ».

Сейчас, при отсутствии в законодательстве Украины любого определения что такое DDos, заход на любой сайт больше одного раза может считаться DDos-атакой. А если заходите на сайт одновременно с другими пользователями, то “участвуете в DDos-атаке”.

Круг подозреваемых сужается

Теперь, давайте разберёмся, как правоохранительные органы будут идентифицировать круг подозреваемых. Прежде всего из списка вычеркнут пользователей, которые используют динамический IP-адрес, а также проживающих за пределами Украины.

В отношении тех пользователей, которые используют фиксированный IP-адрес, правоохранители обратятся к интернет-провайдеру с требованием выдать информацию о лицах, которым был присвоен конкретный адрес.

Напоминаем, что сведения о клиентах провайдера, в том числе IP-адреса, являются персональной информацией, которая защищена действующим законодательством Украины. Органы охраны правопорядка могут требовать такие данные только на основании решений суда, либо следственного судьи.

В том случае, если провайдер выдаст такую информацию, правоохранительный орган получит максимум ФИО лица, заключившего договор с провайдером и его фактический адрес.

Далее самое сложное: необходимо установить, кто именно находился за компьютером в момент совершения преступления. Кстати, обычно на этом и строится защита, если дело доходит до суда.

Скорее всего подозреваемым будет именно то лицо, на чьё имя заключён договор с провайдером (или директор юридического лица, если договор заключен от его имени).

Далее проверяются варианты, описанные выше в технической части.

И для тех же пользователей, которые после всех перечисленных итераций останутся подозреваемыми, нужно помнить, что в Украине отсутствует определение DDos, следовательно, за «частые заходы на сайт» нельзя привлечь к уголовной ответственности. А в случае обвинения в причастности ко взлому лучше всего сразу обращаться к адвокату.

Взлом сайта приравнивается к взлому сейфа

Что касается взломов сайтов и почтовых ящиков, то здесь с правовым обоснованием ситуация проще – уголовный кодекс прямо устанавливает за такие действия уголовную ответственность, указывает Дмитрий Гадомский.

«Дьявол прячется в деталях. Сложно представить человека, имеющего знания, которых хватает, чтобы найти уязвимость в сервисе Gmail или Hotmail, и не способного сменить свой IP-адрес. Подавляющее большинство подобных преступлений совершаются грамотными в техническом и юридическом плане специалистами. Поэтому выявленный IP-адрес, скорее всего, будет либо частью бот-сети, либо находиться за пределами Украины».

Хотя в Украине существует практика привлечения к уголовной ответственности за «хакинг», вероятность поимки человека, взломавшего ваш аккаунт в facebook стремиться к нулю.

Поэтому ещё раз напоминаем о том, что “спасение утопающих – дело рук самих утопающих”. Будьте внимательные где и какие данные оставляете в сети, на какой сайт захоите и куда вводите пароль. И не забывайте про регулярное обновление антивирусной базы.

Что такое DDoS-атака и как от нее защититься?

Распределенная DDoS-атака выполняется одновременно с большого числа устройств — злоумышленники получают контроль над ними и по команде генерируют потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

Оглавление:

Принцип действия DDoS-атаки

Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей.

Подавляющее большинство атак происходит в следующей последовательности:

  1. сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
  2. подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
  3. генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
  4. анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Мотивация

Мотивация злоумышленников может быть различной. Наиболее часто встречаются недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро проплачен, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Ущерб

Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.

Какой вред может нанести DDoS-атака сайту — в материале более подробно.

Против кого осуществляются DDoS-атаки

Чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции. С началом пандемии резко усилились атаки на образовательные ресурсы, сервисы видеоконференций, онлайн-кинотеатры, медийные и развлекательные сайты.

Одной из самых интенсивных и длительных стала произошедшая в 2007 году серия DDoS-атак против правительственных, финансовых, медийных и прочих ресурсов в Эстонии, по всей вероятности, ставшая выражением протеста против сноса памятников советским воинам, освобождавшим республику.

Еще одну крупнейшую атаку провели в 2013 году против международной некоммерческой организации Spamhaus, ставящей целью борьбу со спамом. Можно предположить, что заинтересованные в распространении спама злоумышленники были явно недовольны ее успешной деятельностью.

В 2014 году была проведена одна из мощнейших DDoS-атак в истории — на сей раз против набиравшего силу в Гонконге движения Occupy Central, выступавшего за изменение действовавшей в стране системы голосования.

В 2015 и 2018 годах состоялись еще две вошедшие в историю DDoS-атаки — против крупнейшего в мире интернет-ресурса для совместной разработки и хостинга ИТ-проектов GitHub.

Не забывают злоумышленники и о российских ресурсах. Так, регулярно подвергаются нападениям сайты Центральной избирательной комиссии РФ, Сбербанка и других финансовых учреждений России, различных коммерческих компаний. В частности, Сбербанк сообщил, что 2 января 2020 года была зафиксирована самая мощная DDoS-атака за всю его историю, она была выполнена с помощью автономных устройств Интернета вещей.

StormWall регулярно собирает статистику наиболее пострадавших отраслей — читайте об этом на сайте в разделе «Аналитика».

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Перечислим наиболее распространенные виды атак:

  • Сетевой уровень (L3): DDoS-атаки этого уровня «работают» по протоколам IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Целями атак являются в первую очередь сетевые устройства — коммутаторы (свичи) и маршрутизаторы (роутеры).
  • Транспортный уровень (L4): воздействие производится по протоколам TCP и UDP, а также по подпротоколам DCCP, RUDP, SCTP, UDP Lite. Целями атак этого уровня обычно становятся серверы и некоторые интернет-сервисы, например игровые.
  • Уровень приложений (L7): атака осуществляется на уровне протоколов приложений. Чаще всего злоумышленники используют HTTP, HTTPS и DNS. Атаки этого уровня нацелены как на популярные сетевые сервисы, так и на различные веб-сайты и веб-приложения.

Еще один распространенный способ классификации — по способу воздействия:

  • использование уязвимостей протоколов: они позволяют добиваться отказа в обслуживании путем воздействия на атакуемый ресурс некорректными запросами, в результате чего жертва «уходит в ступор», пытаясь их обработать;
  • переполнение трафика мощным потоком запросов, который жертва не в состоянии «переварить»;
  • воздействие на слабые места в архитектуре и логике работы приложений, способное сильно нарушить работоспособность подключенного к Интернету программного комплекса, особенно если он имеет слабый уровень защищенности.

Обо всех видах современных DDoS-атак читайте в статье.

Способы защиты от DDoS-атак

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:

  1. предоставить как можно меньше информации атакующему;
  2. предоставить как можно больше информации DDoS-защитнику;
  3. обеспечить понятные возможности фильтрации атаки;
  4. обеспечить надежность сервиса под атакой.

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак.

Видео: защищаемость от DDoS-атак на этапе проектирования системы

Подробнее о защите и о том, что на нее влияет, можно узнать здесь:

Средства защиты

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

  • защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
  • защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
  • защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Более подробно о том, что такое симметричная и асимметричная защита от DDoS-атак и чем они отличаются, — в статье.

Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.

И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

Похожие публикации:
  1. Как добавить картинку в кнопку html
  2. Как добавить ресурс в visual studio
  3. Как скопировать донгл ключ
  4. Как установить плагин на сервер майнкрафт

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *