Как защититься от DDoS-атак

DDoS-атак становится больше. Увеличивается и количество «умных атак», растёт их продолжительность и мощность. Защитить свои онлайн-ресурсы становится всё сложнее.

В этом материале мы даём рекомендации по эффективной защите от усложняющихся DDoS-атак.

DDoS-атаки — это любые действия злоумышленников, направленные на то, чтобы сделать ваши сервисы недоступными для клиентов. Для этого есть разные способы. Самый распространённый — отправить на сервер огромное количество запросов, чтобы он перестал с ними справляться и либо вообще «упал», либо работал очень медленно. Но есть и другие методы.

Злоумышленники могут атаковать один сайт, приложение или сервер целиком.

Видов DDoS-атак существует очень много. Они могут быть направлены на разные уровни OSI и использовать разные методы.

Во время DDoS-атак преступники находят уязвимые места и могут, например, запустить на сайте вирус, украсть ваши данные или данные ваших клиентов.

Основной вред DDoS-атак состоит в том, что ваши сервисы на какое-то время становятся недоступными. Клиенты не могут зайти на сайт или в приложение, не могут воспользоваться вашими услугами. Из-за этого их лояльность падает.

Хуже всего то, что злоумышленники часто атакуют в самые ответственные моменты. Например, вы запустили акцию в вашем интернет-магазине и ожидаете, что она принесёт вам хороший рост продаж. Но вместо «чистого» трафика на сервер идёт огромное количество запросов от ботов, а реальные люди не могут попасть на сайт и сделать покупку.

Помимо этого, есть и другие негативные моменты:

Если запросы ботов составляют какой-то процент трафика на ваш сайт, то оценить его реальное количество будет сложно. А значит, вы не сможете понять, насколько сайт и приложение привлекательны и удобны для реальных клиентов, насколько часто они туда заходят.
Запросы ботов повышают показатель отказов. Это ухудшает позиции сайта в результатах выдачи поисковых систем.
Если вы используете платный трафик для привлечения клиентов, часть его может быть ненастоящей. А значит, и часть бюджета вы тратите впустую.

В начале марта 2018 года на GitHub обрушилась мощнейшая DDoS-атака в истории, установившая новый рекорд: 1,35 Тбит/с, или 126,9 млн пакетов в секунду. Злоумышленники научились использовать для амплификации DDoS-серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз.

Мощная DDoS-атака, продолжавшаяся более недели в феврале 2020 года, полностью парализовала геймплей: любые манипуляции с космическими кораблями, сделки на рынке и общение в чатах были невозможны.

В марте 2020 года была крупная DDoS-атака на сеть доставки еды Takeaway.com. Рестораны могли только принимать заказы, но не могли их обрабатывать.

Злоумышленники хотели получить от компании 2 биткоина за прекращение DDoS-атаки. В этот же день генеральный директор написал пост в Twitter и выложил скриншот их сообщения.

<i>Выкуп Takeaway платить не стали, но сама DDoS-атака нанесла им серьёзный ущерб. Всем пользователям, чьи заказы были оплачены, но не доставлены, пришлось вернуть деньги.</i>

Причины могут быть разными.

Пример мы уже приводили выше. События могут разворачиваться по двум сценариям:

Вы сразу получаете предупреждение. Злоумышленник обещает атаковать ваши сайты, если вы до такого-то числа не заплатите ему определённую сумму.
Вас сначала атакуют, а потом на почту приходит сообщение с предложением заплатить за прекращение DDoS-атаки.

Если от вас требуют «выкуп», ни в коем случае ничего не платите! Преступники решат, что вы легко поддаётесь, и будут делать это снова и снова.

Вы активно развиваетесь, обходите своих конкурентов, и кто-то из них позавидовал вам. Или вы собираетесь выходить на новые рынки, а там есть компании, которым не нужна лишняя конкуренция.

На любом рынке найдутся те, кто не любит играть честно. С помощью DDoS-атак они могут попытаться испортить вам бизнес, заставить отступить от своих планов.

Что делать в этом случае? Опять же не идти на поводу у злоумышленников. Если конкуренты вас бояться и хотят остановить, значит, вы развиваетесь в правильном направлении.

Помимо умышленных атак, бывают ещё и неумышленные:

Вы попали под раздачу. Такое может быть, если ваш хостинг находится на виртуальном сервере. Целью преступников может быть другой сайт, но так как DDoS-атака идёт на сервер целиком, все остальные тоже страдают.
Это вообще была не атака. Вы просто не предусмотрели естественные всплески трафика, например из-за распродаж, и система не выдержала наплыва.

DDoS-атака обычно бывает неожиданной. У вас нет никаких акций, распродаж, вы ничего не делали, чтобы привлечь клиентов. А на сервер ни с того ни с сего идёт огромное количество запросов. Обычный всплеск трафика, в отличие от атаки, как правило, можно предсказать.

Удостовериться в том, что это именно DDoS-атака, можно, проанализировав логи. Это файлы, которые хранятся на жёстком диске сервера. В них записывается информация о посетителях сайта, переданных данных и сообщения об ошибках.

Доступ к логам обычно предоставляется хостинг-провайдером через панель управления.

Если ваш ресурс атакован, вы наверняка увидите, что с одних и тех же IP-адресов идёт множество одинаковых запросов и пакетов.

Сразу скажем: своими силами организовать полноценную защиту не получится. Нет ни одного бесплатного способа, который гарантированно защитит ваш сайт или приложение. Постоянно появляются новые DDoS-атаки, а старые с каждым днём совершенствуются.

Но кое-что сделать вы всё-таки можете.

Сайт «упал» в самый ответственный момент, во время предновогодней распродажи. А это точно была DDoS-атака?

Если у вас грамотная инфраструктура, предусмотрено равномерное распределение нагрузки, учтены возможные всплески трафика, DDoS-атаки для вас будут уже не так страшны. Не жалейте средств на инфраструктуру. Лучше сделать одно хорошее вложение, чем сэкономить, а потом много раз терпеть убытки.

А если ресурсов на свою инфраструктуру нет, можно купить IT-решение, например подключить CDN — сеть доставки контента.

Если вас атаковали, а никакой защиты для сайта вы не предусмотрели, есть несколько действий, которые можно предпринять.

1. Забаньте IP-адреса, с которых идёт атака. Их можно найти в логах.

Чтобы не блокировать каждый запрос вручную, можно использовать grep. Это утилита, которая позволяет находить определённые элементы в файле и выполнять с ними простые действия: например, блокировать.

Вам очень повезёт, если атака на сайт была короткой. Тогда вы сможете разом вычислить, откуда идёт «мусорный» трафик, и заблокировать его.

Но такая удача бывает редко. DDoS-атака может длиться несколько дней и идти с тысячи разных IP-адресов. Заблокировать их все, даже при помощи grep, невозможно.

Плюс сама по себе блокировка по IP-адресам при умных атаках не слишком эффективна. Злоумышленники могут использовать динамические IP-адреса — тогда никакая блокировка не спасёт.

2. Заблокируйте запросы по геолокации. Метод подойдёт, только если вы видите, что очень много запросов к сайту идёт из конкретной точки земного шара. Например, ваши пользователи живут в Восточной Европе, а тут внезапно огромное количество трафика пришло из Африки.

Но такая удача — редкость. Сейчас большинство DDoS-атак умные, и атакующие, скорее всего, не дадут вам такой возможности.

3. Заблокируйте тяжёлый участок сайта. Атака может идти не на весь сайт, а на самую уязвимую его часть, например на поиск. Если это не самый важный элемент сайта, можно просто отключить доступ к нему для всех. Пусть клиенты не смогут пользоваться поиском, зато всё остальное будет работать.

Минус этого метода в том, что для большинства атак он окажется бесполезен.

Эти способы помогут остановить некоторые простые типы DDoS-атак. При этом все они рассчитаны на отражение нападения на серверы и никак не избавят вас от ботов на сайте. А ведь они тоже могут доставить большие проблемы.

Например, если у вас ограниченное количество товаров, злоумышленник может запустить ботов, которые добавят весь товар в свои корзины, и реальные пользователи не смогут ничего купить.

Кроме того, даже если вам удастся отразить атаку, вы потратите время на решение проблемы. А это значит, что какой-то период сервисы будут недоступными.

<i>Чтобы не приходилось панически принимать экстренные меры, лучше сразу купить хостинг со встроенной защитой от DDoS-атак или подключить платную защиту от DDoS-атак к своему серверу.</i>

1. Защита на всех уровнях. DDoS-атака может идти на сетевом (L3), транспортном (L4) уровне или уровне приложений (L7). Методы, которые мы перечислили выше, помогут в случае DDoS-атаки на каком-то одном уровне. Но атаки бывают разные. И защитить абсолютно все уровни своими силами крайне сложно.

Профессиональная защита — это грамотно разработанная платформа фильтрации, которая пропускает через себя весь трафик и блокирует подозрительный. «Мусорные» пакеты данных будут остановлены ещё на подходе к ресурсу.

2. Балансировка нагрузки. Хорошая система защиты обычно предусматривает равномерное распределение трафика между узлами. Так преступникам будет сложнее «положить» ваш сайт. Дополнительно это ещё и ускорит загрузку сайта, поможет при естественных скачках трафика.

3. Защита уязвимых мест веб-приложения. У любого сайта и приложения есть слабые места, и злоумышленники активно пользуются этим. Они вычисляют слабости и через них могут получить доступ к конфиденциальным данным пользователей.

Web Application Firewall — это защитный экран, который скрывает слабые места приложения и блокирует подозрительный трафик.

<i>При выборе файрвола важно обратить внимание на то, как он устроен. Лучше выбрать «умный» WAF с алгоритмами самообучения. Такие экраны умеют анализировать содержимое пакетов и не заблокируют реальных клиентов заодно с ботами.</i>

4. Финансовые гарантии. Если вы защищаете сайт подручными средствами, нет никакой гарантии, что эти средства помогут. И даже если ваша собственная защита до сегодняшнего дня более или менее справлялась, то завтра хакеры могут изобрести новый тип DDoS-атаки, и ваши методы окажутся бесполезными.

Если вы покупаете профессиональную защиту, хорошие компании всегда дают гарантии на свои услуги. И если защита не будет работать, вы сможете вернуть деньги.

При этом профессиональные системы постоянно развиваются и учитывают появление новых DDoS-атак.

Мы предлагаем защиту сайтов и приложений от ботов и защищённый хостинг на наших серверах. Также мы можем подключить защиту сервера к вашей собственной инфраструктуре.

В основе решения по защите — собственные центры фильтрации трафика в России и Европе. Суммарная полоса фильтрации — более 1,5 Тбит/с.

КАК ЭТО РАБОТАЕТ

Центры фильтрации пропускают через себя весь трафик и анализируют его.
Проверяются не только пакеты, но и поведенческие факторы того, кто отправил запрос. Например, учитывается, сколько времени пользователь провёл на сайте, промежутки между запросами и подзапросами.
Эти данные сравниваются с параметрами, по которым запрос можно считать нелегитимным. Проще говоря, система вычисляет, пришёл на сайт реальный человек или бот.
Если запрос кажется подозрительным, он блокируется.

Система заблокирует любой трафик ботов, в том числе парсинг и брутфорс.

Блокировка идёт по сессиям, а не по IP-адресам. В платформу встроены алгоритмы самообучения. Она запоминает «благонадёжных» клиентов и при следующих запросах от них не проводит проверку. Коэффициент ложных срабатываний — меньше 0,01%.

Блокируем DDoS-атаки с первого запроса.
Обеспечиваем балансировку нагрузки.
Вы платите только за легитимный трафик. При этом мы не учитываем 5% скачков — не придётся платить за естественные всплески, например, во время акций.
Предоставляем отчёты.
Гарантируем доступность ваших сайтов на 99,5%. Вернём деньги, если защита не будет работать.
Чтобы подключить защиту, вам потребуется лишь настроить DNS-запись.

Дополнительно с защитой вы можете купить «умный» файрвол для веб-приложения.

Защитите ваши ресурсы комплексным решением и забудьте о DDoS-атаках.