DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Привет, vc.ru!

У меня хорошие новости — вы в опасности.

Ваши рабочие процессы, дорогое оборудование, ценные данные, постоянные клиенты — всё это может встать, выйти из строя и/или исчезнуть. И я не про месяцы и годы, а про сейчас: масштабная DDoS-атака может начаться в любую секунду.

Про DDoS-атаки сказано много (бам, бам) — и не только на площадке, куда Цукерберг таки не позвонил (вспомнят не только лишь все читатели facebookru.com*).

В этой я расскажу всё, что нужно знать про DDoS-атаки на серверы: что это, зачем, какие риски для бизнеса, как защититься и как оправиться, если допустили.

Не знаю как вам, а мне читать канцелярский текст больно физически, поэтому у статьи разговорный стиль. Заваривайте чай, кофе, нарезайте бутерброды — и приступим :)

Структура статьи:

DDoS-атака (Distributed Denial of Service или распределённый отказ в обслуживании) — это кибератака на IT-инфраструктуру, перегружающая эту самую инфраструктуру огромным количеством запросов и трафика. Серверы под DDoS-атакой полностью перестают обслуживать обычные запросы пользователей (или делают это очень плохо, если атака недостаточно сильна).

Простая аналогия: если в обычную раковину с нормальным сливом льет один кран, то раковина без проблем справится. Но если в эту раковину добавить ещё штук 10 шлангов и всё открыть на полную, то будет потоп.

DDoS-атака — это более простой в реализации подвид DoS-атаки, которая также направлена на отказ в обслуживании, но исходит из сотен и тысяч источников, а не из одного, как при DoS.

Вспомните интернет-магазины во время запуска новых продуктов или распродажи — страницы не грузятся, купить ничего не получается, так как тысячи людей одновременно обновляют сайт, свайпая на телефоне или прожимая Ctrl+R на ПК. Техническая цель DDoS-атак — добиться отказа оборудования и/или сервисов, но не естественным наплывом пользователей, а целенаправленной атакой.

Ещё есть знаменитый Хабраэффект (он же Слэшдот-эффект), когда на небольшой сайт приходит очень много людей после размещения ссылки в популярном блоге. Сайт, рассчитанный, например, на 500 людей, не выдерживает наплыва тысяч посетителей и падает (полностью или просто). Получается что-то вроде непредумышленной DDoS-атаки.

Но настоящая DDoS-атака — это не естественный наплыв посетителей, а целенаправленное и незаконное действо. Хакер добивается полного или частичного отказа оборудования и сервисов какой-либо компании.

Как в старом добром анекдоте :)

Как китайцы взломали серверы Пентагона.

Есть сетевая модель OSI (Open Systems Interconnection, взаимосвязь открытых систем). Она делит IT-инфраструктуру на 7 уровней. Разбирать все я конечно же не буду, но вы можете подробно изучить каждый в таблице снизу.

Уровни модели OSI:

DDoS-атаки разделяют на два уровня (по атакуемым уровням открытой системы): низкоуровневые и... барабанная дробь… высокоуровневые.

Например, если 10 000 000 людей запустят ping одного хоста — это DDoS. Или если 1000 человек используют запрос, который сервер будет обрабатывать полчаса из-за уязвимости\ошибки в конфигурации — это тоже DDoS.

Есть DoS-атаки, когда выводят систему из строя из одного источника, а есть DDoS, то есть распределённая DoS-атака, от которой сложнее защититься.

Простая аналогия:

Если вкратце, то при DDoS атакующий трафик и запросы генерируют из сотен, тысяч или миллионов взломанных (заражённых, если угодно) устройств и сетей: роутеры, серверы, ПК, IoT/интернет вещей. Да, взломанный умный чайник может быть угрозой бизнесу! Поэтому сложно отследить первоисточник атаки и однозначно заблокировать его.

Это и есть сеть заражённых устройств для DDoS-атак. Ваш и мой компьютер вполне могут быть частью крупного ботнета. Как только ботмастер (управляющий ботнетом, не путать с боксмастер) даст сигнал, подконтрольные устройства в сети начнут DDoS-атаку, например, на Amazon или другую компанию. Ботнеты могут не только в DDoS, но и в кейлоггинг, спам-атаки, кражу платёжных данных и многое другое.

В 2021 году ботнет Mēris (“чума” с латышского) обрушил крупнейшую в истории Рунета DDoS-атаку на Яндекс: почти 22 миллионов запросов в секунду (RPS).

Некоторые любители атаковать мусорным трафиком арендуют облачные серверы, мощности и ботнеты. Они платят деньги, чтобы остановить работу неугодной организации. Конечно, не получится смоделировать полноценную DDoS-атаку из нескольких виртуальных машин, но некоторые пишут проприетарные программы для DOS-атак на конкретные уровни OSI конкретной компании, что потенциально опасно.

А вот атака с арендованного ботнета — настоящее зло.

Что тут важно знать? 50000 устройств с атакой в 1 час и перерывами на 5-10 минут стоят $3000-4000 на две недели. На день или неделю арендовать нельзя, только 14 дней. То есть любой человек, у которого есть 200 тыс. рублей, может парализовать чей-то бизнес на 2 недели.

У хакеров (ты должен был бороться со злом, а не примкнуть к нему!) есть несколько мотивов для DDoS-атак: обучение и практика, развлечение, месть за что-либо, вымогательство (выкуп, чтобы остановить атаку), политика, репутационный ущерб или устранение конкурентов.

Выкуп — частая причина. Например, хахер запросит 500 тыс. рублей (бизнес за пару недель простоя может потерять в разы больше). Если на DDoS он потратит 200 т.р., то за вычетом получит 300 т.р. за пару дней (могут и быстрее начать молить о пощаде). 200 тыс. снова пойдут в оборот, а 100 тыс. — в карман. Или же можно вложить все 300 тыс., арендовать больше ботов и повысить ставки (взять рыбку покрупнее).

Немного про устранение конкурентов:

Servermall — крупный дистрибьютер в своём сегменте. Мы не акулы Enterprise, но в своё время первыми в России начали восстанавливать серверы и продавать их с 5-летней гарантией. Сейчас же мы выросли до крупного международного дистрибьютора (РФ, ЕАЭС, ЕС) — с огромной сетью партнёров, опытом и клиентской базой. Очевидно, что наши успехи и быстрый рост не остались без внимания конкурентов. Мы видим это и с точки зрения маркетинга, и с точки зрения враждебной DDoS-активности.

Недавно на IT-инфраструктуру Servermall устроили крупную DDoS-атаку и запросили деньги, чтобы прекратить её. Вероятность, что после выплаты атака остановится, стремится к нулю (она может идти, пока не закончится оплаченное в ботнете время). 5-летних гарантий уж точно нет и не будет.

Наш IT-директор атаку отразил, но пару дней сайт незначительно поштормило (увеличилось время загрузки некоторых страниц и изображений). Защиту после этого усилили, уязвимость закрыли, хакер — кроме расходов — ничего не получил. Денег и клиентов мы не потеряли, а что нас не убивает…

Платить хакерам — идея так себе: когда атакующим захочется больше золота и построить зиккурат, они вернутся, так как знают, что вы платили тогда и заплатите сейчас. Наверняка хакеры ведут таблички с курицами, несущими золотые яйца. И не забываем, что есть персонажи с неденежными интересами, а значит можно попасть под несколько независимых DDoS-атак. Особенно, если вы крупный бизнес.

Правильный подход — усиливать защиту, не допускать или отражать кибератаки, а после — выявлять и закрывать уязвимости.

Именно так мы и поступили.

Дарт-Вейдер с имперские штурмовиками (хакер с ботнетом) могут в любой момент напасть на ваш корабль (начать DDoS-атаку на компанию), и последствия у этого будут.

Риски для бизнеса из-за DDoS-атак:

Если IT-инфраструктура вашей компании работает на собственных серверах или в облаках с доступом в глобальную сеть, то всё может упасть в любую секунду.

Не... не так :)

БИЗНЕС ВСТАНЕТ.

Во, другое дело!

И если быстро не поднимите (правило 5 секунд), то начнёте терять деньги. Учтите, что вас может задеть по касательной при аренде виртуальной машины (VPS/VDS, Virtual Private Server/Virtual Dedicated Server) или использовании недорогих хостингов, когда на одном IP-адресе работает несколько сотен сайтов разных компаний. Так бывает, когда атакуют дата-центр или вашего “соседа” по серверу, использующего тот же сетевой канал и физическое оборудование. Если квартира соседа горит, то и вам достанется. Принцип аналогичен, а с огнём лучше не играть.

Скажу сразу, что таблетки от всех болезней нет, как и нет способа на 100% защититься от DDoS-атак. И таки да — если пропускная способность сетевого канала сервера 1 Гб/c, а DDoS-атака флудом (просто генерация мусорного трафика) идёт в 10 Гб/c, то забьётся порт — и никакие фильтры и блоки на сервере не помогут.

Но у джедая нет цели, только путь — и сегодня снова в дорогу. Хакеры совершенствуются, ботнеты растут; мы тоже должны не отставать и улучшать методы защиты. Если же мидихлориан не хватает, то нужно делегировать это дело обученным (и совершенствующимся людям).

Несколько методов защиты от кибератак:

1. Пакетный фильтр (Packet Filter, PF): речь не про альтернативное заваривание specialty-кофе, а про первый тип фаервола/брандмауэра aka сетевого экрана.

Фильтрация пакетов данных — это принудительный контроль, ограничение или блокировка нежелательного трафика в сети: входящего и исходящего.

Можно заблокировать отдельные IP-адреса (неэффективно при спуфинге) и порты, но я советую попробовать геоблок. Геоблок — это отключение целых географических регионов. Можно вообще оставить только страну, где работает компания (но чревато рисками, что клиент не сможет одновременно смотреть, например, Netflix и ваш сайт).

Другой вариант — закрутить краник: ограничить максимальную пропускную способность канала или перенаправить трафик; а можно проанализировать и разделить поступающий трафик (этот протокол HTTPS сойдёт, а этот ваш трафик с http://titspicks.com нам и даром не нужон). Наличие фаервола ничего не гарантирует — нужно правильно настроить и использовать его.

Фильтрация трафика работает на разных уровнях: внешние (network-based), внутренние (host-based), программные и аппаратные сетевые экраны, роутеры и т.д.

Контрольно-пропускной пункт во всей красе, но и КПП, как мы знаем, не панацея.

2. Сканер уязвимостей (Vulnerability Scanner, VS): довольно гибкий софт, проверяющий сети, порты, оборудование и сервисы на уязвимости и проникновение, а после — выдаёт отчёт и предлагает решение проблемы.

3. Регулярные обновления: разработчики операционных систем (ОС) и другого программного обеспечения (ПО) постоянно выпускают заплатки и патчи безопасности. Это сужает поле для ботнетов и закрывает уязвимости, которые используют для DoS и DDoS-атак.

4. Система предотвращения вторжений (Intrusion Prevention System, IPS): косвенно касается DDoS, но штука полезная. Это ПО или устройство, которое защищает ваш ПК, сервер или сеть от нежелательных действий: вирусы, атаки, несанкционированный доступ. IPS в реальном времени следит за вашей IT-инфраструктурой и блокирует любые попытки взлома или внедрения вредоносного ПО.

5. Система обнаружения вторжений (Intrusion Detection System, IDS): система, похожая на IPS, но только для обнаружения и оповещения администратора о вторжении (необязательно в реальном времени).

6. Сеть доставки контента (Content Delivery Network, CDN): геораспределённая инфраструктура, не только ускоряющая загрузку данных в разных точках сети, но и распределяющая входящий трафик, а значит и трафик DDoS-атак.

7. Облачная DDoS-защита: услуга от сторонних провайдеров с собственной экспертизой, технологиями и IT-инфраструктурой. Часто совмещается с CDN из 6-ого пункта.

Чем круто? У облачных провайдеров широкие сетевые каналы. Если ваш сервер с гигабитным каналом не осилит 10 Гбит/с флуда самостоятельно, то с облачной защитой, где канал 100 Гбит/c и трафик распределяется на уровне магистральных провайдеров — очень даже.

Де-факто облачная DDoS-защита — это аренда сетевых фильтров и других технологий, описанных выше. Трафик перед отправкой на ваши серверы мониторят на аномальные события и фильтруют. Отличный вариант для компаний, которым важно сконцентрироваться на продукте, а не наращивать экспертизу в IT и вкладываться в своё оборудование.

8. DDoS-атака на себя: если уровень доступности позволяет, то можно устроить DDoS-атаку на самого себя (например, в ночное время или на праздники), чтобы выявить уязвимость или обкатать новую систему защиты.

На уровне организаций: сама компания, облачные провайдеры и интернет-провайдеры.

Но нам важнее джедаи, трудящиеся на благо Республики (кибербезопасности).

Специалисты, занимающиеся защитой от DDoS:

Выше я рассказал, что абсолютной защиты от DDoS не существует. Ни световой меч, ни Сила, ни деньги вам не помогут на 100%. А значит, нужно подготовиться к атаке.

Несколько действий, если ваш сервер, сеть или сервис попали под DDoS-атаку:

Главное — не игнорировать DDoS-атаки и сделать выводы. Лучше модернизировать инфраструктуру, нанять специалистов и отработать план действий.

Быть источником постоянного дохода или развлечения для хакеров — удовольствие сомнительное.

Предположим, что хакер просит меньше, чем вы потратите на специалиста по кибербезопасности и все сопутствующие расходы. Но что будете делать, если вас атакуют несколько независимых хакеров? Всем не заплатите. А если их интерес будет не денежный, а “спортивный” — просто уничтожить ваш бизнес? Тут иначе не выкрутиться, придётся работать.

Количество кибератак растёт каждый год какими-то безумными темпами, а в 2023 году ожидают еще +50%. Под ударом все: малые, средние и крупные компании; государственные структуры, объекты инфраструктуры и целые страны.

При этом DoS и DDoS-атаки — одни из самых распространённых и опасных типов кибератак. Я не пытаюсь повергнуть вас в ужас или заставить вырывать волосы или Ethernet-кабели из серверов. Задача статьи — показать, какие меры вы можете принять уже сегодня, чтобы облегчить себе жизнь завтра :)

Спасибо, что дочитали статью!

Да прибудет с вами Сила

* Организация Meta, а также её продукты Instagram и Facebook, на которые мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

Чуть ниже кнопочка “Подписаться” есть.

Где-то тут↓

Нажимать или нет, решайте сами.