Что такое DDoS-атаки и как от них защититься

Под термином DOS-атака (отказ в обслуживании) понимаются особые способы причинения вреда целевой системе, влекущие за собой негативные последствия, такие как остановка или же замедление обработки запросов клиента. Веб-портал или же приложение могут стать недоступными для клиентов.

Стандартно, «злоумышленниками» создается серьёзное число запросов для создания критической перегрузки целевой системы, что, несомненно, влияет на её корректную работоспособность.

«DDoS-атака» (распределённый отказ в обслуживании) – процесс, в котором преступники отправляют серьёзное число запросов.

В стандартном виде, атака подразделяется на несколько видов, зависящих от того, на каком уровне OSI она осуществляется. OSI – это набор протоколов, позволяющий компьютерам обмениваться информацией внутри локальных сетей и всего интернета.

Для наглядности рассмотрим таблицу OSI:

Самыми распространенными являются:

· атака на сетевом уровне (3);

· атака на транспортном уровне (4);

· атака на уровне представления (6);

· атака на уровне приложений (7).

Подразделяются на 2 ключевые группы:

1. Атака уровня 3 и 4 (инфраструктуры).

2. Атака уровня 6 и 7 (приложение).

Атаки уровня инфраструктуры являются наиболее встречающимися.

В неё входят следующие векторы:

· SYN-флуд;

· UDP-флуд.

Она, чаще всего, является массовой.

Её основная задача – перегрузка пропускной способности сети. Она обладает конкретными «симптомами», по которым её легко обнаруживают.

Атаки на приложение, зачастую, проводятся на шестом и седьмом уровнях. Они не такие массовые, по сравнению с атаками инфраструктуры.

Её основная задача – сделать приложение недоступным для пользователей, «ударив» по его конкретным ценным частям. К примерам таких можно отнести серьёзное число запросов на страничку входа и атаки Wordpress Pingback

Сокращение локации возможной атаки – это один из популярных и действенных вариантов защиты от DDoS-атак. Используя этот способ, клиент оберегает свой сайт и приложение от серьёзного числа возможных сбоев, вызванных атаками.

Метод выполняет две главные задачи:

1. Осуществление централизованной и надежной защиты.

2. Сокращение возможностей для злоумышленников.

Следует убедиться, что доступ к приложению/ресурсам не разрешён для портов/протоколов, с которыми не должно осуществляться работы. Дополнительно, проверить не разрешает ли приложение доступ к сторонним программным продуктам, которые не должны взаимодействовать с приложением (если да – запретить).

Уменьшив размер таких зон, метод позволяет более качественно и структурированно работать над устранением проблем. Бывают моменты, когда это можно реализовать благодаря размещению собственных вычислительных мощностей за CDN или же нагрузочными балансировщиками. Ограничивается прямой трафик к конкретным элементам собственной инфраструктуры (к примеру, серверы БД). Дополнительно можно применять стандартные брандмауэры или же ACL для контролирования того, какой трафик идет в приложение.

Это второй способ, позволяющий уберечь портал и приложение от DDoS-атак.

Существует 2 ключевых момента, позволяющих нейтрализовать серьёзные атаки:

1. Транзитный потенциал.

2. Вычислительная мощность сервера, обеспечивающая поглощение и устранение атак.

Транзитный потенциал. Когда сайт находится на этапе проектирования, следует проверить, что поставщик хостинга располагает избыточным транзитным потенциалом подключения к глобальной сети, помогающим производить обработку серьёзного числа запросов (трафик). Так как финальной задачей DDoS-атак считается максимально негативное влияние (доступность ресурсов и приложений) на портал, то следует располагать ресурсы вблизи не только с клиентами, но и с крупнейшими узлами обмена трафиком между сетями, запросто обеспечивающими клиентам доступ в приложение при серьёзном числе запросов (трафик).

Если для работы использовать онлайн-приложение, то это обеспечит ещё большее число возможностей. В данной ситуации можно применять CDN и сервисы DNS, создающие ещё один уровень инфраструктуры сети, позволяющий обслуживать контент и разрешать DNS-запросы из локаций, которые, чаще всего, находятся ближе к конечным пользователям.

Вычислительная мощность сервера. Преобладающая часть атак является объёмной и потребляет огромное количество мощностей. По этой причине нужно обладать возможностью мгновенного повышения или же понижения мощности собственной производительности. Данный момент можно реализовать, применив серьёзный объём мощностей или же ресурсов со специальными возможностями.

К примеру:

1. Сетевые интерфейсы с более высокими показателями производительности.

2. Усовершенствованная конфигурация сети.

Трафик при этом будет иметь возможность стабильно обрабатываться в больших объёмах. Дополнительно применяются разнообразные балансировщики, позволяющие регулярно контролировать и распределять нагрузку между ресурсами, а также защищать от перегруза каждый ресурс в отдельности.

Когда трафик, попадающий на хост, увеличивается в объёмах, то в виде некоего ориентира можно использовать такой максимальный трафик, обработку которого хост может выполнить без понижения показателей его доступности. Вся эта концепция именуется ограничением скорости.

Другие способы защиты имеют расширенные возможности и способны использовать лишь разрешённый трафик, анализируя конкретные пакеты. Для применения таких средств следует выявить какими параметрами обладает хороший трафик, получаемый целевым объектом, а также иметь возможности для сравнения каждого пакета с выбранным вариантом.

Межсайтовые запросы, а также SQL-код и SQL-инъекции – это специальные атаки, использующие уязвимость приложений, для борьбы с которыми стоит применять, например, WAF.

Такие атаки уникальны, поэтому пользователю предстоит самостоятельно устранять запрещенные запросы, обладающие конкретными параметрами. Примерами могут являться запросы, отправленные со странных IP-адресов, месторасположений и так далее. Зачастую для решения такой сложной проблемы приходиться обращаться к специалистам.