17 ноября 2017

Рекомендации по защите:
DDoS

Общая информация об угрозе

Distributed Denial of Service (DDoS — распределённая атака типа «отказ в обслуживании») — техника выполнения DoS-атак, при которой атака ведется одновременно с множества хостов, как правило, являющихся участниками ботнета. В среднем трафик при DDoS-е измеряется в гигабайтах в секунду, но в последнее время встречаются и терабайтные атаки.
DDoS-атаки можно разделить на три вида:
  • атака непосредственно на хост;
  • атака на прикладной уровень;
  • атака на сеть.
В двух первых видах сервер или работающее на нем приложение «заваливают» запросами, которые он обрабатывает очень медленно или перестает обрабатывать совсем при исчерпании системных ресурсов. В последнем же не требуется даже установление соединения с сервером — сетевой канал просто забивается «мусорным трафиком» на столько, что его пропускной способности уже не хватает.

Рекомендации по защите

Никакого рецепта стопроцентной защиты от DDoS-атак, к сожалению, нет, и если атакующему хватит ресурсов, ни одно из средств его не остановит. Однако следующие рекомендации (в совокупности с теми, что были описаны для защиты от DoS-атак) помогут усложнить ему задачу и смягчить удар.
  1. Одним из наиболее эффективных, но и дорогих путей является наращивание мощности. По этому пути идут все крупные интернет-сервисы. Увеличить пропускную способность сетевого канала, ресурсы сервера, позволяющие ему обрабатывать больше запросов и делать это быстрее. В случае если инстанс серверного приложения перестает справляться и начинает тратить слишком много ресурсов, можно запускать новый инстанс.
  2. Может быть удобнее вместо «прокачки» сервера распределить нагрузку между несколькими серверами. Например, это можно сделать с помощью DNS-сервера, который round-robin-ом будет выбирать, в какой из множества IP-адресов разрешить доменное имя. Или использовать технологию CDN, при которой запросы перенаправляются на географически ближайший сервер. По статистике за 2017 год большая часть источников DDoS-атак приходится на Китай, Южную Корею и США, поэтому сервера стоит поместить там.
  3. Можно настроить маршрутизатор таким способом, чтобы весь нежелательный трафик не шел дальше маршрутизатора. Пакеты могут отбрасываться или пересылаться в несуществующую «черную дыру» (blackholing). Проблемой здесь будет определение того, какой трафик является нежелательным, а какой вполне легитимен. Вредоносный трафик может поступать с одинаковых IP-адресов, которые можно заблокировать, с одинаковых user-agent-ов или иметь какую-то иную отличительную черту.
  4. Сконфигурировать защиту от DDoS-атак на сетевом оборудовании и серверах (см. рекомендации по защите от DoS-атак), либо воспользоваться специализированными фильтрующими средствами защиты информации.
  5. Если пропускной способности канала и вычислительных мощностей не достаточно для самостоятельного отражения атак, имеет смысл воспользоваться сторонними сервисами по защите от DDoS-а и вести трафик через них. Если же сервер или его приложение расположены в облачных сервисах, у хостингов, как правило, уже есть встроенные методы защиты и отработанные планы действий на случай DDoS-атак.

Действия в случае инцидента

  1. В первую очередь попытайтесь заблокировать атакующие хосты. Они могут находиться в одной подсети, в одной геолокации, использовать одинаковые user-agent-ы или иметь что-то еще общее.
  2. Если это не помогло или не удалось сделать, по возможности стоит распределить нагрузку между остальными серверами.
  3. Если все сервера в совокупности все так же не справляются с нагрузкой, следует прибегнуть к помощи специализированных сервисов защиты от DDoS-атак. В качестве примера такого сервиса можно привести CloudFlare. В России большую популярность имеют аналогичные сервисы от ЛК и Qrator. Трафик у них будет проходить фильтрацию и возвращаться на сервер.
  4. В случае DDoS-а успех атаки необязательно связан с какой-то программной уязвимостью исполняемого сервиса. Вероятно, что «узкое горлышко» находится в архитектуре сети и не все сетевые каналы или устройства имеют одинаковые пропускные способности.
  5. Обязательно инициируйте процедуру расследования инцидента и обеспечьте усиленный мониторинг безопасности: DDoS-атака может являться частью или служить прикрытием более масштабной таргетированной атаки.
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме