Что такое DDoS-атаки: виды, принцип работы и как защититься

Что такое DDoS-атака

DDoS-атака — это вид кибератаки, при которой злоумышленники организуют массовые запросы к целевому ресурсу, чаще всего к веб-серверу, с множества различных компьютеров, чтобы перегрузить его и сделать недоступным для обычных пользователей. Как будто множество компьютеров одновременно «стучат» в одну дверь интернет-сайта, чтобы переполнить его и не дать другим посетителям войти. 

Представьте, что в вашу квартиру вдруг решат войти сразу тысячи людей. Вход будет заблокирован, и никто не сможет пройти. Точно так же и с DDoS: сайт перестает работать из-за огромного количества запросов к нему. Это делается специально, чтобы помешать работе ресурса или сервера.

Чем отличается DoS-атака от DDoS

DoS (Denial of Service) — это как если бы один человек бесконечно стучался в вашу дверь, не давая вам спокойно жить. Только одно устройство пытается заблокировать доступ к сайту или сервису.

DDoS (Distributed Denial of Service) — представьте, что к вашей двери подходит целая армия людей и все начинают стучаться. Тут уже много компьютеров атакуют один сайт или сервис одновременно.

Основное различие: DoS — это атака от одного источника, а DDoS — это когда атакуют многие источники одновременно.

Для чего совершаются DDoS-атаки

Создать имя. Некоторые хакеры стремятся повысить собственный авторитет, связав свое имя с громкими атаками. Они могут вызвать панику и беспорядок, и добавят это в свой послужной список.

Борьба конкурентов. Если у вашего бизнеса есть конкуренты, иногда они могут использовать такие грязные методы, чтобы на время «выключить» ваш сайт.

Выкуп. Злоумышленники могут потребовать деньги за его «возвращение».

Отвлекающий маневр. В то время как вы пытаетесь справиться с DDoS-атакой, злоумышленники могут пытаться взломать вашу систему другим способом.

Политические или идеологические мотивы. Некоторые группы совершают атаки, чтобы выразить своё несогласие с какой-либо политикой или идеей.

Причины могут быть разными, но результат один — сайт или сервис становится недоступным.

Виды DDoS-атак

Атаки на приложения

HTTP Flood. Представьте, что вы работаете на кассе в магазине, и к вам подходит огромное количество людей, каждый из которых задает один и тот же вопрос и уходит. Они не покупают ничего, просто забирают ваше время и внимание. Это и есть HTTP Flood — куча «пустых» запросов.

Использование незащищенности стека сетевых протоколов

SYN Flood. Это как если бы куча людей звонила вам, и когда вы берете трубку, они просто молчат. Ваши линии заняты, и настоящие звонки не могут пройти.

Ping of Death. Представьте, что кто-то шлет вам гигантское письмо, которое не помещается в ваш почтовый ящик, и из-за этого ящик ломается.

Smurf Attack. Злоумышленник использует IP-адрес отправителя как цель и шлет запросы множеству компьютеров. Эти компьютеры, думая, что запрос пришел от цели, «бомбят» её ответами. Представьте, что кто-то выдал ваш номер телефона на радио, и теперь у вас постоянные звонки.

UDP Flood. В этом случае атакующий просто «засылает» кучу бесполезной информации на сервер, который тратит ресурсы на обработку этих бесполезных данных. Это когда кто-то бесконечно стучит в каждую дверь в вашем доме, и вы вынуждены проверять каждую дверь, даже если там никого нет.

Атаки на каналы

ICMP Flood (Ping Flood). Представьте, что вас бомбардируют кучей мячиков, и вы пытаетесь ловить каждый из них. Здесь ваш сайт пытается «ловить» бесконечные запросы.

DNS Amplification. Это когда злоумышленники используют уязвимые DNS-серверы для усиления своих атак. Представьте это как эхо в горах: вы кричите одно слово, но горы возвращают вам этот крик в десятки раз громче. В данном случае, хакер делает маленький запрос к DNS-серверу таким образом, что сервер отвечает многократно более мощным «эхом». Этот «громкий ответ» направляется на цель атаки, перегружая её.

Самые распространенные виды DDoS-атак в 2023 году:

UDP flood — 59.77%

SYN flood — 19.88%

IP flood — 13.57%

TCP flood — 6.78%

Уровни DDoS-атак

DDoS-атаки разделяют на три уровня в зависимости от их цели.

Уровень приложения. Эти атаки нападают на конкретные приложения или службы. Это как если бы кто-то постоянно звонил в дверь вашего дома, не давая вам отдыха. Когда атакуют на уровне приложения, злоумышленники делают множество фальшивых запросов к определенной части сайта или сервиса, заставляя его зависать или даже падать. Настоящие пользователи в это время не могут им пользоваться. Примером такой атаки может быть HTTP Flood, когда на сайт посылаются множественные запросы на загрузку страниц, но их цель — просто загрузить сервер.

Уровень протокола. Представьте себе дорогу с множеством машин. Эти машины взаимодействуют с помощью определенных правил. Если кто-то нарушит эти правила, то будет пробка, и дорога перестанет функционировать нормально.

В интернете эти правила называются протоколами. Злоумышленники могут нарушить эти протоколы, создавая искусственную пробку. Они посылают кучу «фальшивых» или неправильных сообщений на сервер, и сервер тратит все свои ресурсы на обработку этих сообщений.

Пример такой атаки — SYN Flood. Когда компьютеры хотят общаться друг с другом в интернете, они начинают «разговор» с отправки специальных сообщений (называемых SYN). Если злоумышленник отправляет кучу этих SYN-сообщений и не завершает разговор, то сервер ждет и тратит все свои ресурсы на эти незавершенные диалоги, в итоге настоящие пользователи не могут соединиться с сервером.

Уровень сети. Основная задача — перегрузить маршрутизаторы и сетевые каналы.

Основной вид атаки на этом уровне — это Flood Attack. Это как поток воды, который льется на ваш дом: если поток небольшой, дом может справиться, но если вода приходит бурным потоком, всё может быть затоплено. В мире интернета «вода» — это данные, которые направляются на сервер или сетевой ресурс.

UDP Flood — это классический пример атаки на уровне сети. В нормальных условиях протокол UDP используется для быстрой передачи данных без подтверждения их доставки. Например, при стриминге видео или голосовых вызовах. Но злоумышленники могут использовать эту особенность, отправляя огромное количество UDP-пакетов на определенный сервер или сетевой ресурс. Представь, что ты пытаешься посмотреть видео, но кто-то не перестает слать тебе бесконечное количество сообщений. Все может зависнуть, потому что слишком много сообщений приходит одновременно.

Как работает DDoS-атака

Это работает как координированное наводнение веб-сервера, страницы или сетевого ресурса огромным количеством ненужного трафика. Цель такой атаки — заставить жертву «задохнуться» от этого потока данных и перестать работать.

Как это работает:

Заражение. Злоумышленник создает сеть зараженных компьютеров, которую называют «ботнет». Это может быть десятки, тысячи или даже миллионы компьютеров, которые были заражены вирусами и теперь могут быть контролируемы из одной точки.

Команда на атаку. Как только ботнет готов, злоумышленник отдает команду этим компьютерам атаковать определенный веб-сайт или сервер.

Наводнение. Зараженные компьютеры начинают посылать бесчисленное количество запросов к целевому ресурсу. Это может быть просто множество запросов на загрузку веб-страницы, либо более сложные запросы, имитирующие реальное взаимодействие пользователей.

Перегрузка. Сервер или страница, куда обрушивается такой поток, начинает испытывать трудности. Представьте себе магазин, в который в один момент ворвалась тысяча человек. Сотрудники и системы магазина просто не могут обработать такое количество посетителей, и все начинает зависать.

Отказ в обслуживании. В итоге, объект атаки становится недоступным для обычных пользователей. Если это интернет-магазин, он теряет продажи. Если это какой-то онлайн-сервис, пользователи не могут им пользоваться.

Важно понимать! DDoS-атака не взламывает сайт или сервер в привычном понимании. Она просто делает его недоступным, забивая его трафиком. Это как стоять у двери в комнату и не пускать туда никого, просто блокируя вход.

Как определить DDoS-атаку

Определить DDoS-атаку можно по следующим признакам:

• Резкое увеличение трафика.
• Замедление работы веб-страницы.
• Недоступность ресурса.
• Необычная активность из определенных регионов.
• Сбои в работе оборудования.

Чтобы быть уверенным, лучше всего использовать специализированные инструменты мониторинга и обратиться к специалистам в области безопасности.

Защита от DDoS-атак

Чтобы избежать неприятных последствий атак и защитить свой сайт, нужно знать, какие существуют методы профилактики и защиты от таких атак.

Профилактика DDoS-атак

1. Установите ограничения на скорость и количество соединений для каждого IP-адреса.
2. Используйте современные брандмауэры и IDS/IPS-системы для обнаружения и блокировки подозрительного трафика.
3. Используйте CND. Сети доставки контента (CDN) помогают распределить трафик между множеством серверов, снижая риск атаки.
4. Используйте сервисы, специализирующиеся на предотвращении DDoS-атак, которые помогут отфильтровать вредоносный трафик.
5. На случай атаки установите дополнительные каналы связи, чтобы обеспечивать доступность ресурсов.
6. Регулярно обновляйте ПО, чтобы устранять уязвимости, которые могут использоваться для атак.
7. Отслеживайте активность на вашей странице или сервере, чтобы быстро определить аномалии.
8. Проводите обучение сотрудников по безопасности, чтобы они могли быстро реагировать на инциденты.

Средства защиты от DDoS-атак

Вот, как можно защититься.

1. Специальные программы для обнаружения и предотвращения DDoS-атак. Например Radware и Arbor Networks.
2. Брандмауэры помогают фильтровать входящий трафик и блокировать известные вредоносные IP-адреса. Среди них: Palo Alto Networks Firewall, WatchGuard Firebox, Cisco ASA Firewall и многие другие.
3. Системы обнаружения и предотвращения вторжений (IDS/IPS) автоматически обнаруживают и блокируют аномальные паттерны трафика. Вот некоторые из них: Fortinet FortiGate IPS, McAfee Network Security Platform, Suricata, Snort. 
4. Сети доставки контента (CDN): Распределяют трафик по нескольким серверам, снижая нагрузку на целевой сервер. Например Akamai Technologies, Cloudflare,Amazon CloudFront, Fastly, StackPath.
5. Черный и белый списки ограничат доступа для определенных IP-адресов или разрешение только доверенным адресам. С этим смогут помочь программы Fail2Ban, ModSecurity и многие другие.
6. Облачные анти-DDoS сервисы поглощают огромное количество трафика, фильтруя и отсеивая вредоносный. Вот сервисы, которые это предоставляют: Imperva Incapsula, AWS Shield, Akamai и другие.
7. Резервные каналы и серверы. При атаке можно быстро переключаться на резервные ресурсы. Эту функцию предоставляют сервисы Cloudflare, Azure Traffic Manager и Azure Front Door, Radware DefensePro и другие.
8. Если атака направлена на определенную часть сайта, можно временно ввести систему проверки CAPTCHA. С этим могут помочь reCAPTCHA от Google, Solve Media, NuCaptcha и другие сервисы.
9. Rate limiting ограничивает количество запросов от одного IP-адреса за определенный период времени. А с этим смогут помочь RateLimit.io, Azure Application Gateway, Nginx, HAProxy и прочие. 
10. BGP маршрутизация и «чистка» трафика позволяет перенаправлять входящий трафик через чистящие центры, которые фильтруют вредоносный трафик. За этим можно обратиться к сервисам Akamai Prolexic Routed, Arbor Cloud и F5 Silverline.

Эффективная борьба с DDoS-атаками требует комбинированного использования различных средств и методов, а также быстрой реакции на инциденты.

Как проверить систему защиты от DDoS-атак

Чтобы убедиться в эффективности построенной системы защиты, необходимо провести ряд проверок и тестирований.

Вот основные этапы:

1. Тестирование нагрузки. Создайте «безобидные» DDoS-атаки на ваш сайт, чтобы проверить его устойчивость.
2. Мониторинг трафика. Следите за необычными пиками активности или другими аномалиями.
3. Система оповещений. Проверьте, работает ли она корректно и своевременно.
4. Ревизия логов. Проанализируйте журналы активности на подозрительные действия.
5. Тест отказоустойчивости. Проверьте, насколько быстро процессы восстанавливаются после атаки.
6. Обновления и патчи. Убедитесь, что все системы и программы актуальны.
7. Обучение персонала. Подготовьте вашу команду к быстрому реагированию на атаки.

Что делать в случае DDoS-атаки

Если у вас уже стоит защита от DDoS-атак:

1. Переключитесь на резервный режим работы, если это предусмотрено вашим решением защиты.
2. Уведомите своего провайдера DDoS-защиты или команду безопасности о происходящем, чтобы они могли подстраивать меры защиты.
3. Сохраняйте логи сервера для последующего анализа и возможного взаимодействия с правоохранительными органами.
4. Сообщите своим пользователям о временных проблемах и гарантируйте, что вы работаете над их устранением.

Если защита не была установлена:

1. Если возможно, временно отсоедините сайт от сети, чтобы предотвратить дальнейшие повреждения и сохранить ресурсы.
2. Обратитесь к провайдеру, он может предоставить вам временные решения для смягчения атаки.
3. Проанализируйте, какие системы пострадали, и восстановите их из резервных копий, если это необходимо.
4. Подумайте о немедленной установке DDoS-защиты, чтобы избежать повторных атак в будущем.
5. Расскажите клиентам о причинах простоя, объясните ситуацию и план действий.

Какие сайты чаще подвергаются атакам

• Финансовые учреждения и банки. Из-за их важной роли в экономике и хранении финансовых данных многих клиентов они часто становятся целью хакеров.
• Онлайн-магазины и коммерческие платформы. Задержка доступа к сайту может привести к убыткам из-за потери продаж, особенно в пиковые периоды, например, во время распродаж.
• Новостные и информационные порталы. Атаки на такие ресурсы могут быть мотивированы желанием подавить определенную информацию или же просто желанием создать хаос.
• Правительственные порталы. Часто подвергаются атакам как форма протеста или попытка дестабилизации работы государственных структур.
• Игровые серверы и платформы. Конкуренция или обиды между игроками могут привести к DDoS-атакам с целью вывести противника из игры.
• Сервисы и платформы для обмена криптовалют. В силу своей высокой стоимости и популярности, такие платформы часто становятся объектами атак.
• Блоги и персональные сайты известных личностей. Они могут подвергаться атакам из-за недовольства мнением владельца или как форма внимания.
• Сайты конкурирующих компаний. В некоторых случаях атаки могут быть заказаны конкурентами для ущерба репутации или снижения продаж.

Статистика DDoS-атак по отраслям за второй квартал 2023 года:

• Финансы: 26%
• Телекоммуникации: 17%
• Развлечения: 14%
• Государственные услуги: 12%
• Транспорт: 9%
• Здравоохранение 7%
• Онлайн-торговля: 5%
• Логистика: 4%
• Образование: 3%
• Производство: 2%
• Другие: 1%

Последствия DDoS-атак

Первое, что делают эти атаки, — вырубают веб-страницу или онлайн-сервис. Это значит, что люди не могут пользоваться им. Если это магазин, то продажи идут вниз, и деньги теряются. Но и это ещё не все. Если сайт часто «падает», клиенты могут решить, что с ним что-то не так, и больше к нему не вернуться. После атаки придется тратить деньги, чтобы все починить и защититься.

Иногда это просто отвлекающий ход, чтобы украсть важную информацию. Потом могут быть проблемы с законом, а доверие клиентов потеряно. Некоторые могут даже уйти к конкурентам.

Громкие DDoS-атаки последних лет

Атаки на учебные платформы в 2020 году. В связи с пандемией COVID-19 и переходом на дистанционное обучение, многие учебные платформы стали мишенью. Например, платформы Zoom и Blackboard сталкивались с такими атаками, которые призваны были создать перебои в работе сервисов во время онлайн-лекций и семинаров.

Атака на Telegram (2019 год). Мессенджер Telegram подвергся мощной DDoS-атаке, из-за чего многие пользователи испытали проблемы с доступом к сервису. Основатель Telegram Павел Дуров связал эту атаку с политическими протестами в Гонконге, где мессенджер использовался активистами для координации действий.

Атака на Twitter, Spotify и Reddit в 2016 году. Этот случай особенно заметен из-за масштаба атаки и количества пострадавших крупных сервисов. Эта атака привела к тому, что множество популярных веб-сайтов и сервисов стали недоступными для многих пользователей в течение нескольких часов. Это был яркий пример того, как уязвимы могут быть даже крупные и казалось бы надёжные интернет-ресурсы.

Как наказываются DDoS-атаки

Для тех, кто устраивает DDoS-атаки, юридические последствия могут быть довольно строгими, и это зависит от законов каждой страны. В большинстве стран DDoS-атаки признаются незаконными и считаются киберпреступлениями. Если кого-то поймают за этим занятием, его привлекут к уголовной ответственности: от штрафов до реального срока.

Кроме того, пострадавшие компании или лица могут предъявить иск к нарушителям с требованием компенсации убытков. Это включает как прямые финансовые потери, так и убытки из-за потери репутации или пропущенных возможностей заработать.

Если злоумышленник работает в IT-сфере, он может даже быть лишен права продолжать свою деятельность. На международном уровне страны сотрудничают между собой, чтобы преследовать и наказывать лиц, ответственных за DDoS-атаки из других стран.

Заключение

Мы поговорили о разных методах и уровнях этих атак и о том, как их можно отразить. Каждый метод имеет свои хитрости, и от каждого нужна своя защита. Для того чтобы обезопасить свой сайт или сервис, нужно делать несколько вещей: правильно настроить всю технику, следить за странными вещами в интернете и быть готовым к атакам.

В вопросах кибербезопасности всегда лучше перебдеть, чем недобдеть. Осведомленность, правильная настройка и готовность к реагированию на возможные угрозы — вот, что поможет сохранить бизнес сегодня.