Как защитить сайт от ddos атак

Как защитить сайт от DDoS: пошаговый чек-лист

С развитием технологий возникают все новые и новые угрозы, которые могут серьезно навредить бизнесу. Одна из самых распространенных — DDoS-атака. Она может привести к сбою в работе сайта или снижению его производительности. Чтобы избежать негативных последствий, владельцам и администраторам сайтов необходимо принимать меры по защите своих ресурсов от DDoS-атак. В этой статье мы рассмотрим, как обезопасить веб-ресурс и какие методы защиты можно использовать для этого.

Зачем вашему сайту нужна защита от DDoS-атак

Защита от DDoS-атак — это фундамент, на котором строится не только стабильная производительность сайта, но и вся работа проекта в целом. Сбои, вызванные DDoS-атаками, могут привести к потере дохода и навредить репутации. При атаке злоумышленники используют множество устройств, чтобы перегрузить серверы, которые обслуживают сайт, тем самым вызывая его отключение или снижение скорости работы. Поэтому защита от DDoS-атак — необходимый шаг для любого веб-сайта, который хочет обеспечить безопасность и сохранить стабильность своей работы.

DDoS-атаки опасны не только для крупных онлайн-проектов, но и для небольших интернет-магазинов. По статистике, в зоне риска чаще всего находятся:

• СМИ.
• E-commerce.
• Интернет-компании.
• Финансовые компании.
• Государственные структуры.
• Игровые компании и онлайн-игры.

Если DDoS-атака была успешной, веб-ресурс может столкнуться с рядом негативных последствий. Вот некоторые из них:

1. Если DDoS-атака была сильной, а простой сайта затянулся — придется подключать дополнительные ресурсы для восстановления: технических специалистов или резервные системы. На все это требуется время и дополнительные расходы.

2. Есть ряд компаний, для которых критически важно минимизировать сбои в работе, так как длительные перебои негативно скажутся на имидже. Например, веб-сайты по продаже авиабилетов или интернет-магазины. Для них киберугроза станет серьезным ударом, так как после атаки можно потерять не только значительную часть выручки, но и клиентов.

3. Прямой материальный ущерб. Между сбоем в работе сайта и количеством отмененных заказов есть прямая связь. Последствия DDoS-атаки могут стать еще ощутимее, если после нее не предпринять защитные меры.

4. Негативные SEO-последствия. После продолжительной DDoS-атаки сайт потеряет свои позиции в поисковой выдаче из-за временной недоступности. За этим последует дополнительный расход SEO-бюджета.

Как защитить сайт от DDoS: превентивные меры

1. Подготовьте план реагирования на DDoS-атаки

Совместно с командой отдела безопасности, разработайте инструкции по реагированию на инциденты. Проведите обучение сотрудников, чтобы они были готовы быстро и эффективно реагировать в случае угрозы. План реагирования может включать следующие пункты:

• Детальную информацию о том, как реагировать на DDoS-атаку.
• Процесс минимизации вреда бизнес-процессам.
• Описание ролей сотрудников, которые войдут в команду реагирования.
• Описание протоколов эскалации.
• Перечень инструментов, необходимых для устранения угрозы.
• Перечисление с описанием критически важных устройств.

2. Используйте CDN

Система доставки контента не борется с DDoS-атаками напрямую и не способна защитить, однако CDN может снизить нагрузку на серверы и распределить трафик по различным серверам в сети. Эти действия значительно снижают мощность DDoS-атаки и помогают справиться с ней быстрее.

3. Подключите профессиональную защиту от DDoS-атак

Гарантировать полную защиту от всех видов DDoS-атак может только профессиональный провайдер. Выбирайте поставщика услуг основываясь на задачах, которые вы хотите решить. А также от бюджета, требуемых вашему веб-ресурсу мощностей и дополнительных услуг.

DDoS-Guard более 12 лет защищает веб-ресурсы от DDoS-атак по всему миру. Технология Reverse Proxy со сменой А‑записей DNS направляет вредоносный трафик на сервисы фильтрации DDoS-Guard. После этого он очищается, а серверы получают только легитимные запросы. Подключая услугу защиты от DDoS-атак для сайта, пользователи получают не только надежную фильтрацию на уровне L7, но и бесплатный CDN, DNS-хостинг и SSL-сертификаты.

4. Используйте WAF

Чтобы повысить эффективность фаервола для защиты веб-приложений, можно использовать дополнительный инструмент — Web Application Firewall. Он позволяет учесть специфику защищаемого объекта и может быть более тонко настроен по сравнению с обычным межсетевым экраном. Помимо этого WAF способен проводить аналитику содержимого страниц. Он может обнаружить и заблокировать XSS-скрипты, SQL-инъекции и другие угрозы из международного списка OWASP Top-10.

5. Используйте CAPTCHA

Наверняка вы не раз сталкивались с CAPTCHA, которая требовала выбрать тракторы, велосипеды или светофоры на картинках, перед тем как пустить на сайт. Эта технология поможет определить, является ли посетитель человеком или ботом.
При внедрении теста CAPTCHA следует убедиться, что неверное решение препятствует выполнению прочего кода на странице. Например, логин и пароль не сверяются с базой, если тест не пройден. Иначе, CAPTCHA предотвратит подбор паролей ботами, но не убережет от чрезмерной нагрузки на сервер.

6. Следите за сетевым трафиком, собирайте метрики и логи

Используйте сервис для анализа сетевых пакетов в режиме реального времени, чтобы оперативно обнаружить следы DDoS-активности. Круглосуточный анализ трафика, логов и показателей метрик, поможет обнаружить признаки атаки, если она будет идти в нерабочее время.

Способы защиты сайта: экстренная помощь

Следующие меры пригодятся непосредственно во время активной DDoS-атаки на сайт.

1. При наличии плана реагирования на DDoS-атаки — начните реализовывать описанные в нем шаги. Важно всеми доступными способами снизить эффективность атакующего трафика.

2. Обратитесь к хостеру, чтобы убедиться в том, что именно ваш сайт стал жертвой атаки. Получите графики волюметрической (BPS) и пакетной (PPS) загрузки интерфейсов.

3. Если вы заранее не подключили профессиональную защиту от киберугроз, срочно обратитесь к провайдеру защиты, который сможет оперативно проанализировать ситуацию и отразит DDoS-атаку в срочном порядке.

4. Подготовьте сообщение для ваших клиентов о временной недоступности веб-ресурса. Опубликуйте его в социальных сетях и расскажите о том, что происходит и какие меры по устранению технических сбоев ведутся. Не забудьте установить на сайте страницу-заглушку с такой же информацией.

Выполните эти рекомендации, если у вас есть соответствующие технические знания:

• проанализируйте нагрузку на ресурсы своего сервера, ориентируясь на параметры запросов и утилизации ЦП (или процессоров), памяти, сетевых устройств. Выясните, есть ли типичное или атипичное поведение запросов.
• оцените обстановку и выявите особенности атакующего трафика. Используйте для этого программы сетевых анализаторов. Например, Wireshark и Tshark.
• удостоверьтесь в работоспособности сайта с помощью следующих ресурсов — check-host, ping-admin, ping.pe или других;
• чтобы исключить посторонние проблемы, например, в отсутствии электропитания — протестируйте работоспособность сервера;
• очистите логи, что избежать исчерпания ресурсов сервера однотипными запросами злоумышленников;
• ограничьте скорость брандмауэра на стороне сервера.

Что делать после DDoS-атаки на сайт: работа с последствиями

1. Соберите данные о прошедшей атаке, чтобы понять общую картину.

Рекомендуется привлечь системного администратора для аналитики и сбора информации. Далее следует тщательно изучить картину атаки: ее длительность, пиковые нагрузки, количество запросов в секунду.
Выясните, какую цель преследовали атакующие, чтобы понять структуру атаки. Был ли это единый поток флуда, или всплески повторялись через интервалы. Выясните, куда была нацелена атака: на сетевой или прикладной уровень.

Собранная информация поможет оценить конечный ущерб от атаки, а также даст возможность улучшить защиту веб-ресурса путем устранения выявленных слабых мест и недоработок.

2. Оцените последствия.

Внимательно изучите ущерб после DDoS-атаки, который был нанесен вашим технологическим и бизнес-процессам. Сопоставьте его с возможным ущербом в будущем, если атака повторится. Эта информация поможет определиться, нужен ли вашему проекту сторонний провайдер защиты или нет.

3. Ответьте на несколько вопросов, чтобы процесс оценки последствий стал объективнее:

• Удалось ли остановить атаку?
• Атакующему удалось вывести ваши сервисы из строя?
• На какой срок сервисы были выведены из строя?
• Понес ли ваш бизнес денежные убытки и какие?
• Понес ли ваш бизнес репутационные потери?

4. Определите уязвимые места.

Если атака вывела из строя важные элементы рабочего процесса, выясните ее вектор. Совместно с техническими специалистами изучите следующие вопросы:

• Как атакующий трафик попал в систему?
• Какие ресурсы выстояли, а какие вышли из строя?
• Были ли проблемы с доступом у пользователей?

5. Подключите надежную защиту от DDoS-атак.

Если ваш сайт до сих пор находится без защиты, а прошедшая атака серьезно нарушила бизнес-процессы — самое время подключить профессиональную защиту от DDoS-атак.

В том случае, если у вас уже подключена внешняя защита от DDoS-атак, но качество оказываемых услуг вас не устраивает, стоит сменить провайдера.

Защита сайта от DDoS-атак — один из самых важных шагов на пути к успешному и стабильному бизнесу в современном мире. Атаки становятся все более серьезными и распространенными угрозами для веб-сайтов. Существует несколько методов, которые помогают защитить веб-сайт от вредоносного трафика.

Во-первых, подключите профессиональную защиту от DDoS-атак, которую предлагают многие хостинг-провайдеры. Они блокируют трафик, который поступает на ваш сайт, и уменьшат нагрузку на сервер.

Во-вторых, используйте различные технические методы, такие как настройка фаервола и CDN, они не гарантируют полной защиты от DDoS-атак, однако могут минимизировать силу атаки, а также ее последствия.

В-третьих, заранее продумайте план восстановления работоспособности на случай, если ваши ресурсы всё же стали целью DDoS-атаки.

Помните, что защита вашего сайта от DDoS-атак — многоуровневый процесс, но с правильными мерами предосторожности и подключенной профессиональной защитой, вы можете защитить свой веб-ресурс от большинства известных угроз.

Что такое DDOS-атаки?

Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.

В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.

Модель взаимодействия открытых систем (OSI)

#	Уровень 7	Приложение	Описание	Пример вектора
7	Приложение	Данные	Сетевой процесс в адрес приложения	флуд DNS-запросов, HTTP-флуд
6	Представление	Данные	Представление и шифрование данных	SSL-нарушение
5	Сеанс	Данные	Сеанс связи между хостами	Н/Д
4	Транспортный	Сегменты	Связь между конечными пунктами и надежность	SYN-флуд
3	Сетевой	Пакеты	Определение маршрута и логическая адресация	Атаки с отражением UDP-пакетов
2	Канальный	Кадры	Физическая адресация	Н/Д
1	Физический	Биты	Среда передачи, сигнал и двоичные данные	Н/Д

Классификация DDoS-атак

Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).

Атаки уровня инфраструктуры

К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.

Атаки уровня приложения

К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).

Методы защиты от DDoS-атак

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

План масштабирования

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

Защита сайта от DDoS-атак: подробная инструкция

DDoS (Denial of Service) — это кибератака, при успешной реализации которой сайт перестает отвечать на любые запросы или замедляется до такой степени, что выполнение даже простых операций отнимает большое количество времени. Атаку направляют на уязвимые места в системе: это может быть вся ИТ-инфраструктура, конкретный сервис или его отдельный канал. Хакеры заражают устройства обычных пользователей вирусом, превращая их в «зомби» и объединяя в сеть — ботнет. Она является инструментом ДДоС, который выводит сайт из строя. Защита сайта от DDoS спасает личные данные его пользователей от утечки, сохраняет репутацию веб-сервиса в поисковой выдаче и прибыль бизнеса. Разбираем 10 актуальных в 2023 году методов по защите веб-ресурса от ДДоС.

10 методов защиты от DDoS-атак в 2023 году

DDoS переводится с английского как «распределенный отказ в обслуживании». Хакеры управляют ботнетом и отправляют ему команду атаковать выбранный веб-ресурс. Это значит, что на сайт одновременно отправляются нецелевые запросы с огромного количества IP-адресов. Сервер пытается обработать каждое обращение, но его вычислительные ресурсы ограничены, в определенный момент их становится недостаточно, и сайты «падают». DDoS предшествовала DoS-атака, при которой все запросы поступали с одного компьютера. Многочисленные обращения к серверу с единственного IP-адреса выглядели подозрительно, поэтому ДоС-атаку было легко поймать в самом начале и отразить, заблокировав бота. ДДоС — более сложная кибератака. Если ботов в сети много, они быстро выведут сайт из строя. Отличить их от подлинных юзеров сложно. Если вводить защиту только после начала атаки, то нельзя гарантировать ее успешное отражение до того, как сайт полностью отключится.

Когда сайт перестает отвечать, пользователи остаются без возможности заказывать и оплачивать товары и услуги. Кроме того, DDoS может быть прикрытием для кражи персональных данных клиентов компании. Бизнес рискует утечкой информации, доверием клиентов и потерей возможной прибыли.

Как определить наличие атаки:

1. Необходимо подключиться к веб-серверу по SSH.
2. С помощью команд ps и top проверяем рост количества процессов httpd (apache2), php-fpm или nginx.
3. Считаем количество процессов веб-сервера и количество подключений на 80 порт (443, если на сайте установлен SSL-сертификат) с помощью команд:

ps aux | grep -с

netstat -na | grep -с :”80”

Если количество соединений выше среднего показателя, с большой вероятностью можно сказать, что на веб-ресурс совершена DDoS-атака.

DDoS-атака — продвинутый вариант ДоС. Однако развитие подобного вида угроз безопасности не остановилось на этом. Злоумышленники находят в системе новые уязвимости и появляются более современные виды ДДоС. Они используют слабые места каждого из семи уровней взаимодействия пользователя и сайта в сети L1–L7. Самыми распространенными являются HTTP-, SYN-, ICMP- и UDP-флуд. Универсальных мер защиты нет, однако можно выбрать и использовать сразу несколько способов, которые вместе могут обеспечить надежный уровень безопасности. Перечислим десять наиболее эффективных в 2023 году:

1. Фильтрация входящего трафика.
2. Своевременное обновление ПО.
3. Включение сторонней защиты от DDoS.
4. Мониторинг доступности сайта.
5. Оптимизация запросов.
6. Не экономьте на оборудовании.
7. Отслеживание количества запросов в секунду.
8. Отказ от Windows Server.
9. Использование модуля testcookie.
10. Анализ ошибок.

Ниже мы подробнее разберем каждый способ защиты от ДДоС.

№1. Фильтрация входящего трафика

Базовую защиту от DDoS-атак может обеспечить хостинг-провайдер. Как правило, в бесплатную защиту от хостера входит фильтрация трафика на уровне L3 и L4. Пакеты данных, поступающие на сайт клиента, анализируются на наличие маркеров атаки. Начало ДДоС определяется по таким признакам, как уникальность IP-адресов, скорость доставки пакетов, скорость передачи данных и так далее. Если находятся отклонения, включается L3/L4-фильтрация, после которой на сайт поступают запросы только от настоящих пользователей. Базовый уровень защиты подойдет небольшим проектам.

Если проекту требуется более гибкая защита, учитывающая особенности конкретного проекта, можно прибегнуть к специальным сервисам, которые мы разберем в отдельном пункте, или настроить сортировку трафика самостоятельно.

№2. Своевременное обновление ПО

Программное обеспечение, которое используется для создания и работы веб-ресурсов, часто имеет open source природу. Любой разработчик может открыть и изучить код такого ПО, а значит, злоумышленники могут спокойно найти в нем слабые места, которые можно использовать для DDoS-атаки. Разработчики свободного софта периодически исследуют код своих программ на уязвимости и призывают к этому сообщество пользователей. После чего выпускаются обновления, в которых устранены обнаруженные недостатки. Чтобы поддерживать безопасность на высоком уровне, нужно своевременно устанавливать апгрейды ПО.

Коммерческое ПО тоже нуждается в обновлении. Компании перестают поддерживать устаревшие версии своих программ. Чтобы софт не стал причиной атаки, нельзя использовать его после того, как разработчик перестал выпускать обновления безопасности.

№3. Включение сторонней защиты от DDoS

Объем трафика может возрасти по естественным причинам, например, во время проведения рекламных акций или в период продажи сезонных товаров. Поэтому рост трафика не всегда связан с DDoS-атакой. Если заблокировать обычных посетителей сайта, это сразу негативно скажется на его репутации. Необходимо настроить фильтрацию входящего трафика так, чтобы до сайта доходили только настоящие запросы и под блокировку не попадали добросовестные пользователи. Стандартная фильтрация не учитывает особенности проекта и защищает только от DDoS низкого уровня. Для обеспечения более высокого уровня безопасности потребуются дополнительные меры:

• карта киберугроз «Лаборатории Касперского» — позволяет установить страны, трафик из которых наиболее опасен для проектов;
• файрвол — готовая система фильтров, целью которой является борьба с вирусами;
• Anti-DDoS — сервисы, которые настраивают фильтры для отражения атак в зависимости от их мощности и типа.

Более гибкие и глубокие методы профилактики и борьбы с ДДоС обычно обеспечиваются сторонними сервисами. Формируются индивидуальные алгоритмы защиты для проекта. Составляется модель нормального взаимодействия пользователя с конкретным сайтом или приложением. Входящий трафик анализируется и сравнивается с данной моделью. Чтобы найти отклонения, необходимо выявить:

• из каких стран приходит основной трафик;
• с какой интенсивностью обычно поступают запросы;
• какие заголовки и методы чаще всего выбирают пользователи для обращения к серверу;
• какой объем трафика характерен для проекта;
• особенности услуг компании и т. д.

Появляются дополнительные правила фильтрации трафика. Сайт защищается на всех уровнях взаимодействия с пользователем от L1 до L7. Появляется возможность ограничить доступ к сайту устройствам ботнета по геопризнаку, а также блокировать атаки типа UDP, SYN, ACK, RST Flood, атаки на TLS-сервисы и смарт-атаки.

№4. Мониторинг доступности сайта

Чем раньше вы узнаете, что у сайта появились проблемы с доступом, тем быстрее сможете найти их решение. Существуют специальные сервисы, которые проверяют сайт и отправляют владельцу уведомление, если он стал недоступен. Веб-ресурс проверяется монитором с определенной периодичностью, например раз в час. Тестируется доступность по HTTP, DNS и PING.

№5. Оптимизация запросов

Опасность DDoS-атак заключается в том, что получаемые от ботов запросы приводят к исчерпанию ресурсов сервера. Однако можно оптимизировать обработку и прием запросов таким образом, чтобы компьютер мог их быстрее считывать, закрывать обращение, если долго нет ответа от пользователя, или не принимать их совсем. Перечислим фильтры, которые может установить системный администратор своими силами.

По количеству ресурсов, которые сервер будет тратить на обработку запросов. Чтобы сайт оставался работоспособным, можно установить лимит на вычислительные ресурсы сервера, которые он будет тратить на обработку каждого запроса. Таким образом будут фильтроваться входящие пакеты, которые могут перегрузить веб-ресурс. В первую очередь устанавливаются лимиты для оперативной памяти, а точнее на объем данных, который помещается в буфере. Параметры устанавливаются в конфиге nginx:

• client_max_body_size — максимальный размер тела запроса пользователя;
• client_header_buffer_size — размер буфера для заголовка запроса;
• large_client_header_buffers — размер буфера для запросов с объемным заголовком.

По тайм-ауту, возникающему при взаимодействии пользователя и сайта. Данный фильтр поможет защитить сервер от мусорных запросов, целью которых является не получение ответа (как у реального пользователя), а создание нагрузки на канал. Устанавливается оптимальное время, в течение которого сервер должен обработать запрос, а клиент принять ответ. Если этого не происходит, соединение разрывается. Сервер освобождается и переходит к обработке следующего обращения. Параметры в nginx:

• send_timeout — время, в течение которого клиент должен принять ответ от сервера, прежде чем сеанс будет автоматически завершен;
• keepalive_timeout — время до принятия сервером решения о разрыве соединения c пользователям после отправки keepalive (сообщения для проверки активности соединения между устройствами);
• client_body_timeout и client_header_timeout — нормальное время для чтения заголовка и тела сообщения;
• reset_timedout_connection on — помогает вовремя закрыть соединение между устройствами на фазе FIN-WAIT, если одна из сторон направила запрос на завершение сеанса, но не получила от другой подтверждения.

По IP-адресу для GET-запросов. Блокировка по IP эффективна для защиты от HTTP-флуда. Необходимо получить доступ к лог-файлам от HTTP-сервера. Для этого нужно перейти по ссылке на сайте хостера, альтернативный путь — поиск журнала через системные папки веб-сервера, например, на apache log-файл будет расположен по следующему адресу: /etc/httpd/logs/access_log. В журнале веб-сервера нужно выделить IP-адреса устройств, поведение которых напоминает ботов — с них поступает большое количество GET-запросов за короткий промежуток времени. Затем создается файл .htaccess в корневой папке сайта, в нем прописывается код:

  order allow,deny deny from 000.000.00.00 deny from . allow from all  

Подозрительные IP-адреса подставляются вместо 000.000.00.00.

По геопризнаку. Таким образом можно устранить запросы из стран, в которых нет целевой аудитории проекта, но из которых постоянно поступает мусорный трафик. Подключите к nginx GeoIP-модуль. Выведите информацию о геопривязке в access_log и добавьте отсеянных по этому признаку пользователей в бан. Не попав на сайт, пользователь получит в ответе от сервера код «444 Not Found»

№6. Не экономьте на оборудовании

Дешевый хостинг предполагает, что сервер будет иметь небольшое количество вычислительных и аппаратных ресурсов. Такой сервер легко вывести из строя, поэтому лучше арендовать более дорогой хостинг. Он сможет обеспечить проекту резервный объем оперативной памяти, высокую скорость обработки трафика, возможность принимать большое количество входящих пакетов, — ресурсы, которые позволят серверу не только выполнять обычные процессы, но и отсрочить полное падение сайта при возникновении ДДоС и дадут специалистам время, чтобы установить тип атаки и принять меры для ее устранения. Несколько параметров, на которые необходимо обращать внимание при выборе надежного провайдера и оборудования:

• высокая пропускная способность сети;
• наличие производительного канала связи с дата-центром;
• расстояние между пользователями сайта и сервером;
• тип накопителя;
• характеристики CPU;
• отсутствие ограничений по трафику.

№7. Отслеживание количества запросов в секунду

Следите за изменением объема запросов, которое поступает на сайт за одну секунду. О ДДоС-атаке будет сигнализировать как резкий рост обращений, так и сильное снижение этого показателя. По увеличению трафика можно установить начало атаки, а по падению — стадию обрушения сайта. Провести оценку этой величины можно с помощью shell-команды в nginx:

echo $(($(fgrep -c "$(env LC_ALL=C date --date=@$(($(date \ +%s)-60)) +%d/%b/%Y:%H:%M)" "$ACCESS_LOG")/60)) 

№8. Отказ от Windows Server

Когда соединений становится очень много, Windows Server начинает плохо отвечать. Причина неудачи кроется в сетевом стеке Виндовс. ОС из семейства Linux лучше защищены от атак, поэтому многие владельцы серверов выбирают дистрибутивы для своих VPS и выделенных серверов. Linux имеет базовые инструменты для быстрой блокировки ботов по IP — утилиты iptables и ipset. Кроме того, можно настроить ядро Линукс по тайм-аутам и размерам буфера.

№9. Использование модуля testcookie

Testcookie-nginx — модуль, который работает как фильтр между ботами и бэкэндом во время DDoS-атаки L7 и позволяет блокировать мусорные запросы. Testcookie защищает только от ботов без механизмов HTTP-cookie и редиректа. Модуль проверяет клиента на умение выполнять redirect, поддержку JavaScript и его соответствие браузеру, за который он себя выдает.

№10. Анализ ошибок

Проанализируйте по логам объем трафика, время ответа сервера и количество возникающих ошибок. Для этого в журнале nginx проверьте время выполнения запроса с учетом всех задержек, возникающих при соединении между пользователем и сервером, по переменной request_time, а затем время, которое понадобилось бэкенду сайта, чтобы выполнить операцию и дать ответ пользователю, по переменной upstream_response_time. Формат лог-файла задается с помощью следующего конфига:

log_format xakep_log '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" $request_time \ $upstream_response_time'; 

Заключение

DDoS-атаки угрожают безопасности практически любого веб-ресурса. Небольшим сайтам будет достаточно базовой защиты от хостинг-провайдера, а крупным проектам потребуются дополнительные механизмы безопасности от сторонних сервисов.

Как защитить сайт от DDoS атак?

Как защитить сайт от DDoS-атаки? Это неприятное событие для любого сайта, которое может сильно навредить и бизнесу, и его репутации среди пользователей. Практически каждая DDoS атака тщательно планируется и почти всегда наносит вред. Поэтому важно задуматься о защите веб-ресурса до того, как злоумышленники (хакеры) будут его атаковать.

Что такое DDoS атака?

DDoS – сокращение от словосочетания Distributed Denial of Service. Это атака на вычислительную систему, которая приводит к ее отказу. Чаще всего она выполняется одновременно с множества компьютеров.
Последствия: перегрузка сервера, замедление или прекращение работы сайта.
Что происходит при Distributed Denial of Service? Зачем хакеры применяют данные действия? Сервер, на котором расположен онлайн-ресурс, перегружается запросами настолько, что не способен их обработать. В итоге веб-сайт блокируется и становится недоступным.

DDoS атака – это злонамеренные действия с целью навредить конкуренту или запросить выкуп за прекращение атаки.

Распространенные причины DDoS атак:

— снизить рейтинг онлайн-ресурса в поисковой системе;

— отомстить владельцу сайта;

— сделать онлайн-ресурс недоступным во время массовых продаж (это могут быть праздники и т.д.);

— вымогательство денег за прекращение атаки;

— недовольный клиент решил напакостить компании.

Опасность DDoS-атак

Если кибератака уже совершилась, то минимизировать ущерб от хакерской атаки мгновенно – невозможно. Потери в данном случае неизбежны. Чем раньше будут предприняты защитные действия, тем меньше будет ущерб. Сайт могут вывести из строя, к примеру, во время сезонных распродаж, пикового наплыва клиентов – например в разгар черной пятницы или под Новый Год. В таком случае владелец ресурса получит убытки и удар по репутации. Чтобы этого не случилось, нужно позаботиться о защите ресурса до наступления такой ситуации. Есть методы борьбы с нападениями хакеров, которые помогут справиться с атакой хотя бы временно. После – необходимо обратиться к профессиональному сервису (лечение и восстановление сайта), или к службе, которая предоставляет услуги хостинга.

Есть и другие опасности DDoS-атак. Иногда киберпреступники с помощью подобных действий пытаются отвлечь внимание от других своих действий. И пока вы будете бороться с неожиданной хакерской атакой, у вас могут похитить конфиденциальную информацию, находящуюся на том же самом сайте.

Самостоятельные методы защиты

Защититься от хакеров самостоятельно можно разными способами. Например – настройка конфигурационных файлов Apache, использование модуля mod_security для Apache. Действенным средством является установка прокси-сервера nginx в связке с Apache, что усилит безопасность системы. Nginx в этом случае усилит Apache и будет забирать на себя обработку статического контента. Детально о таких методах можно узнать на специализированных порталах или задать вопрос специалисту по кибербезопасности компании Datami.ua.

Популярный способ защиты – использование сервиса Cloudflare. Сервис, который поможет скрыть свой IP-адрес и, таким образом, стать недоступным для злоумышленников. Есть как бесплатные тарифы, так и платные. Бесплатно можно защитить сайт далеко не от всех типов нападений. Если атака мощная, то необходим будет платный тариф. Но установка Cloudflare требует подключения специалиста, за работу которого необходимо будет заплатить.

Как еще можно защитить сайт от DDoS-атак?

Можно приобрести защиту от специализированных поставщиков услуг по кибербезопасности. Когда защита будет установлена – трафик будет проходить через фильтры. В итоге, на ваш онлайн-ресурс станут заходить только настоящие посетители. С помощью данного метода можно отразить нападения от большинства атак.

Также заботу об отражении хакерских атак можно переложить на плечи хостинг-службы. Вам нужно узнать у своего хостинг-провайдера, сможет ли он обеспечить защиту ресурса при нападении. Некоторые хостинговые службы способны устанавливать защиту от хакерских вторжений и помогают своим клиентам в случае атаки. Вам требуется узнать, какая защита используется поставщиком хостинга и существует ли вообще услуга защиты от хакеров для пользователей хостинга.

Однако и это далеко не весь перечень того, как защитить онлайн-ресурс от вторжения.
Дополнительные рекомендации, которые помогут организовать защиту от нападений злоумышленников:

— блокировать определенные страны и регионы;

— проводить мониторинг трафика ресурса;

— обеспечить веб-сайту устойчивость к атакам.

Firewall прикладного уровня – это защита от атак хакеров, которая задерживает небезопасный трафик. Запросы автоматически перехватываются таким защитником, при этом проверяется их допустимость. Соединение происходит только после проверки трафика.

Блокировка некоторых стран применяется потому, что некоторые из них являются потенциальным источником хакерских нападений. Например, наибольшее количество DDoS-атак происходит из Турции либо Китая. Заблокировать некоторые страны можно, включив настройку в Firewall. Посетители, которые проживают в данных странах, по-прежнему смогут посещать ресурс. Однако им недоступна будет регистрация, написание комментариев и пр.

Теперь о том, зачем нужен мониторинг трафика ресурса. Это даст возможность отследить пик трафика и возможность атаки или вторжения. Нужно наблюдать, когда трафик сильно увеличивается, поскольку это говорит о нападении хакеров. Чтобы эффективно отследить возможность DDoS-атаки, применяйте инструменты мониторинга, проверяйте логи сервера.

Хороший способ защиты – сделать ресурс недоступным для вражеских нападений. Надежный firewall отражает свыше 90% DDoS-атак. Однако иногда его бывает все же недостаточно. Отдельные ресурсы могут быть в большей степени подвержены атакам данного типа. Поэтому, чтобы защитить свой сайт, его нужно «облегчить». Понадобится провести оптимизацию:

— загрузки и редиректы;

— CSS и JavaScript;

— картинки, виджеты, фреймы.

Не применяйте внутренние системы для чатов, поиска и комментирования (используйте капчу или посторонние системы, инструменты, которые проверены в действии).
POST и WebSockets применяйте только в том случае, когда они действительно нужны.

Что делать в случае DDoS-атак?

Если сайт находится на стандартном хостинге, то ваш провайдер наверняка предложит перейти на выделенный сервер, предварительно заблокировав ваш ресурс до выяснения ситуации. Это предполагается тогда, когда хостинговая компания не предусматривает защиту клиентов от нападений. Переходить на выделенный сервис или нет – решать вам. Однако сначала лучше уточнить, выполнит ли провайдер нужную настройку защиты от атаки на сервере, будет ли эта услуга бесплатной или платной. Также вместо этого вы можете применить методы самостоятельной защиты от нападения. Например, используя сервис Cloudflare, заказав его установку в компании Datami.ua с услугой мониторинг и защита 24/7.

Если ресурс находится на VPS, вы можете проверить уровень атаки своими силами. Для этого нужно временно отключить веб-сервер и проанализировать его логи. Также можно обратиться к специалистам по администрированию серверов.