DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Привет, vc.ru!

У меня хорошие новости — вы в опасности.

Ваши рабочие процессы, дорогое оборудование, ценные данные, постоянные клиенты — всё это может встать, выйти из строя и/или исчезнуть. И я не про месяцы и годы, а про сейчас: масштабная DDoS-атака может начаться в любую секунду.

Про DDoS-атаки сказано много (бам, бам) — и не только на площадке, куда Цукерберг таки не позвонил (вспомнят не только лишь все читатели facebookru.com*).

В этой я расскажу всё, что нужно знать про DDoS-атаки на серверы: что это, зачем, какие риски для бизнеса, как защититься и как оправиться, если допустили.

Не знаю как вам, а мне читать канцелярский текст больно физически, поэтому у статьи разговорный стиль. Заваривайте чай, кофе, нарезайте бутерброды — и приступим :)

Структура статьи:

Что такое DDoS: Скрытая угроза

Когда готовишься разносить автора статьи в комментах.
Когда готовишься разносить автора статьи в комментах.

DDoS-атака (Distributed Denial of Service или распределённый отказ в обслуживании) — это кибератака на IT-инфраструктуру, перегружающая эту самую инфраструктуру огромным количеством запросов и трафика. Серверы под DDoS-атакой полностью перестают обслуживать обычные запросы пользователей (или делают это очень плохо, если атака недостаточно сильна).

Простая аналогия: если в обычную раковину с нормальным сливом льет один кран, то раковина без проблем справится. Но если в эту раковину добавить ещё штук 10 шлангов и всё открыть на полную, то будет потоп.

DDoS-атака — это более простой в реализации подвид DoS-атаки, которая также направлена на отказ в обслуживании, но исходит из сотен и тысяч источников, а не из одного, как при DoS.

Вспомните интернет-магазины во время запуска новых продуктов или распродажи — страницы не грузятся, купить ничего не получается, так как тысячи людей одновременно обновляют сайт, свайпая на телефоне или прожимая Ctrl+R на ПК. Техническая цель DDoS-атак — добиться отказа оборудования и/или сервисов, но не естественным наплывом пользователей, а целенаправленной атакой.

Ещё есть знаменитый Хабраэффект (он же Слэшдот-эффект), когда на небольшой сайт приходит очень много людей после размещения ссылки в популярном блоге. Сайт, рассчитанный, например, на 500 людей, не выдерживает наплыва тысяч посетителей и падает (полностью или просто). Получается что-то вроде непредумышленной DDoS-атаки.

Но настоящая DDoS-атака — это не естественный наплыв посетителей, а целенаправленное и незаконное действо. Хакер добивается полного или частичного отказа оборудования и сервисов какой-либо компании.

Как в старом добром анекдоте :)

Как китайцы взломали серверы Пентагона.

  1. Каждый китаец попробовал один пароль.
  2. Каждый второй пароль был «Мао Цзедун».
  3. На 74 357 181 попытке сервер согласился, что его пароль — «Мао Цзедун».
Генерал Гривус, атакует джедая четырьмя световыми мечами, но мечей может быть и тысячи, как при DDoS-атаке.
Генерал Гривус, атакует джедая четырьмя световыми мечами, но мечей может быть и тысячи, как при DDoS-атаке.

Виды DDoS-атак: Атака клонов

Тысячи штурмовиков — идеальная аналогия DDoS-атакам.
Тысячи штурмовиков — идеальная аналогия DDoS-атакам.

Есть сетевая модель OSI (Open Systems Interconnection, взаимосвязь открытых систем). Она делит IT-инфраструктуру на 7 уровней. Разбирать все я конечно же не буду, но вы можете подробно изучить каждый в таблице снизу.

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

DDoS-атаки разделяют на два уровня (по атакуемым уровням открытой системы): низкоуровневые и... барабанная дробь… высокоуровневые.

  • Низкоуровневая DDoS-атака — на уровни L3 (сетевой) и L4 (транспортный).
  • Высокоуровневая DDoS-атака — на уровень L7 (приложения).

Например, если 10 000 000 людей запустят ping одного хоста — это DDoS. Или если 1000 человек используют запрос, который сервер будет обрабатывать полчаса из-за уязвимости\ошибки в конфигурации — это тоже DDoS.

Как выглядит DDoS-атака: штурмовики

Штурмовики aka DDoS.
Штурмовики aka DDoS.

Есть DoS-атаки, когда выводят систему из строя из одного источника, а есть DDoS, то есть распределённая DoS-атака, от которой сложнее защититься.

Простая аналогия:

  • DoS — мандалорец, одиночка, охотник за головами;
  • DDos — штурмовики, обезличенные войны в огромной армии, несущие волю Императора.
Мандалорец aka. DoS-атака.
Мандалорец aka. DoS-атака.

Если вкратце, то при DDoS атакующий трафик и запросы генерируют из сотен, тысяч или миллионов взломанных (заражённых, если угодно) устройств и сетей: роутеры, серверы, ПК, IoT/интернет вещей. Да, взломанный умный чайник может быть угрозой бизнесу! Поэтому сложно отследить первоисточник атаки и однозначно заблокировать его.

Что такое ботнеты: Галактическая Империя

Армия: имперский флот, шагоходы, отряды штурмовиков, генералы — аналогия к ботнетам.
Армия: имперский флот, шагоходы, отряды штурмовиков, генералы — аналогия к ботнетам.

Это и есть сеть заражённых устройств для DDoS-атак. Ваш и мой компьютер вполне могут быть частью крупного ботнета. Как только ботмастер (управляющий ботнетом, не путать с боксмастер) даст сигнал, подконтрольные устройства в сети начнут DDoS-атаку, например, на Amazon или другую компанию. Ботнеты могут не только в DDoS, но и в кейлоггинг, спам-атаки, кражу платёжных данных и многое другое.

В 2021 году ботнет Mēris (“чума” с латышского) обрушил крупнейшую в истории Рунета DDoS-атаку на Яндекс: почти 22 миллионов запросов в секунду (RPS).

Визуализация DDoS-атаки на материковую Северную Америку.
Визуализация DDoS-атаки на материковую Северную Америку.

Некоторые любители атаковать мусорным трафиком арендуют облачные серверы, мощности и ботнеты. Они платят деньги, чтобы остановить работу неугодной организации. Конечно, не получится смоделировать полноценную DDoS-атаку из нескольких виртуальных машин, но некоторые пишут проприетарные программы для DOS-атак на конкретные уровни OSI конкретной компании, что потенциально опасно.

А вот атака с арендованного ботнета — настоящее зло.

Реклама ботнета Mirai (400+ девайсов).
Реклама ботнета Mirai (400+ девайсов).

Что тут важно знать? 50000 устройств с атакой в 1 час и перерывами на 5-10 минут стоят $3000-4000 на две недели. На день или неделю арендовать нельзя, только 14 дней. То есть любой человек, у которого есть 200 тыс. рублей, может парализовать чей-то бизнес на 2 недели.

Зачем устраивают DDoS-атаки: Месть ситхов

Админ, перешедший на Тёмную сторону Силы, планирующий DDoS-атаку.
Админ, перешедший на Тёмную сторону Силы, планирующий DDoS-атаку.

У хакеров (ты должен был бороться со злом, а не примкнуть к нему!) есть несколько мотивов для DDoS-атак: обучение и практика, развлечение, месть за что-либо, вымогательство (выкуп, чтобы остановить атаку), политика, репутационный ущерб или устранение конкурентов.

Выкуп — частая причина. Например, хахер запросит 500 тыс. рублей (бизнес за пару недель простоя может потерять в разы больше). Если на DDoS он потратит 200 т.р., то за вычетом получит 300 т.р. за пару дней (могут и быстрее начать молить о пощаде). 200 тыс. снова пойдут в оборот, а 100 тыс. — в карман. Или же можно вложить все 300 тыс., арендовать больше ботов и повысить ставки (взять рыбку покрупнее).

Немного про устранение конкурентов:

Servermall — крупный дистрибьютер в своём сегменте. Мы не акулы Enterprise, но в своё время первыми в России начали восстанавливать серверы и продавать их с 5-летней гарантией. Сейчас же мы выросли до крупного международного дистрибьютора (РФ, ЕАЭС, ЕС) — с огромной сетью партнёров, опытом и клиентской базой. Очевидно, что наши успехи и быстрый рост не остались без внимания конкурентов. Мы видим это и с точки зрения маркетинга, и с точки зрения враждебной DDoS-активности.

Недавно на IT-инфраструктуру Servermall устроили крупную DDoS-атаку и запросили деньги, чтобы прекратить её. Вероятность, что после выплаты атака остановится, стремится к нулю (она может идти, пока не закончится оплаченное в ботнете время). 5-летних гарантий уж точно нет и не будет.

Наш IT-директор атаку отразил, но пару дней сайт незначительно поштормило (увеличилось время загрузки некоторых страниц и изображений). Защиту после этого усилили, уязвимость закрыли, хакер — кроме расходов — ничего не получил. Денег и клиентов мы не потеряли, а что нас не убивает…

Платить хакерам — идея так себе: когда атакующим захочется больше золота и построить зиккурат, они вернутся, так как знают, что вы платили тогда и заплатите сейчас. Наверняка хакеры ведут таблички с курицами, несущими золотые яйца. И не забываем, что есть персонажи с неденежными интересами, а значит можно попасть под несколько независимых DDoS-атак. Особенно, если вы крупный бизнес.

Правильный подход — усиливать защиту, не допускать или отражать кибератаки, а после — выявлять и закрывать уязвимости.

Именно так мы и поступили.

Риски для бизнеса из-за DDoS-атак: Новая надежда

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Дарт-Вейдер с имперские штурмовиками (хакер с ботнетом) могут в любой момент напасть на ваш корабль (начать DDoS-атаку на компанию), и последствия у этого будут.

Риски для бизнеса из-за DDoS-атак:

  • Потеря доходов из-за недоступности сервера, сайта, сервиса или приложения;
  • Потеря клиентов и репутационный ущерб из-за ненадежности компании;
  • Непредвиденные расходы на защиту от DDoS-атак и восстановление после: перегрузка серверов и сетей нередко выводит оборудование из строя;
  • Угроза взлома. Иногда вместе с DDoS-атакой (которая упрощает процесс), взламывают IT-инфраструктуру и крадут данные. Утечка конфиденциальной информации и данных компании + дальнейший шантаж (например, в игровой индустрии требуют деньги, чтобы не выкладывать исходный код или ранние билды игр);
  • Если из-за DDoS вас взломают, украдут персональные данные пользователей и выложат в есть, то вы нарушите закон о защите информации и получите штраф (а возможно и иски от недовольных клиентов);
  • Многие другие.

Если IT-инфраструктура вашей компании работает на собственных серверах или в облаках с доступом в глобальную сеть, то всё может упасть в любую секунду.

Не... не так :)

БИЗНЕС ВСТАНЕТ.

Во, другое дело!

И если быстро не поднимите (правило 5 секунд), то начнёте терять деньги. Учтите, что вас может задеть по касательной при аренде виртуальной машины (VPS/VDS, Virtual Private Server/Virtual Dedicated Server) или использовании недорогих хостингов, когда на одном IP-адресе работает несколько сотен сайтов разных компаний. Так бывает, когда атакуют дата-центр или вашего “соседа” по серверу, использующего тот же сетевой канал и физическое оборудование. Если квартира соседа горит, то и вам достанется. Принцип аналогичен, а с огнём лучше не играть.

Как защититься от DDoS: Империя наносит ответный удар

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Скажу сразу, что таблетки от всех болезней нет, как и нет способа на 100% защититься от DDoS-атак. И таки да — если пропускная способность сетевого канала сервера 1 Гб/c, а DDoS-атака флудом (просто генерация мусорного трафика) идёт в 10 Гб/c, то забьётся порт — и никакие фильтры и блоки на сервере не помогут.

Но у джедая нет цели, только путь — и сегодня снова в дорогу. Хакеры совершенствуются, ботнеты растут; мы тоже должны не отставать и улучшать методы защиты. Если же мидихлориан не хватает, то нужно делегировать это дело обученным (и совершенствующимся людям).

Несколько методов защиты от кибератак:

1. Пакетный фильтр (Packet Filter, PF): речь не про альтернативное заваривание specialty-кофе, а про первый тип фаервола/брандмауэра aka сетевого экрана.

Фильтрация пакетов данных — это принудительный контроль, ограничение или блокировка нежелательного трафика в сети: входящего и исходящего.

Можно заблокировать отдельные IP-адреса (неэффективно при спуфинге) и порты, но я советую попробовать геоблок. Геоблок — это отключение целых географических регионов. Можно вообще оставить только страну, где работает компания (но чревато рисками, что клиент не сможет одновременно смотреть, например, Netflix и ваш сайт).

Другой вариант — закрутить краник: ограничить максимальную пропускную способность канала или перенаправить трафик; а можно проанализировать и разделить поступающий трафик (этот протокол HTTPS сойдёт, а этот ваш трафик с http://titspicks.com нам и даром не нужон). Наличие фаервола ничего не гарантирует — нужно правильно настроить и использовать его.

Фильтрация трафика работает на разных уровнях: внешние (network-based), внутренние (host-based), программные и аппаратные сетевые экраны, роутеры и т.д.

Контрольно-пропускной пункт во всей красе, но и КПП, как мы знаем, не панацея.

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

2. Сканер уязвимостей (Vulnerability Scanner, VS): довольно гибкий софт, проверяющий сети, порты, оборудование и сервисы на уязвимости и проникновение, а после — выдаёт отчёт и предлагает решение проблемы.

3. Регулярные обновления: разработчики операционных систем (ОС) и другого программного обеспечения (ПО) постоянно выпускают заплатки и патчи безопасности. Это сужает поле для ботнетов и закрывает уязвимости, которые используют для DoS и DDoS-атак.

4. Система предотвращения вторжений (Intrusion Prevention System, IPS): косвенно касается DDoS, но штука полезная. Это ПО или устройство, которое защищает ваш ПК, сервер или сеть от нежелательных действий: вирусы, атаки, несанкционированный доступ. IPS в реальном времени следит за вашей IT-инфраструктурой и блокирует любые попытки взлома или внедрения вредоносного ПО.

5. Система обнаружения вторжений (Intrusion Detection System, IDS): система, похожая на IPS, но только для обнаружения и оповещения администратора о вторжении (необязательно в реальном времени).

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

6. Сеть доставки контента (Content Delivery Network, CDN): геораспределённая инфраструктура, не только ускоряющая загрузку данных в разных точках сети, но и распределяющая входящий трафик, а значит и трафик DDoS-атак.

7. Облачная DDoS-защита: услуга от сторонних провайдеров с собственной экспертизой, технологиями и IT-инфраструктурой. Часто совмещается с CDN из 6-ого пункта.

Чем круто? У облачных провайдеров широкие сетевые каналы. Если ваш сервер с гигабитным каналом не осилит 10 Гбит/с флуда самостоятельно, то с облачной защитой, где канал 100 Гбит/c и трафик распределяется на уровне магистральных провайдеров — очень даже.

Де-факто облачная DDoS-защита — это аренда сетевых фильтров и других технологий, описанных выше. Трафик перед отправкой на ваши серверы мониторят на аномальные события и фильтруют. Отличный вариант для компаний, которым важно сконцентрироваться на продукте, а не наращивать экспертизу в IT и вкладываться в своё оборудование.

8. DDoS-атака на себя: если уровень доступности позволяет, то можно устроить DDoS-атаку на самого себя (например, в ночное время или на праздники), чтобы выявить уязвимость или обкатать новую систему защиты.

Кто занимается защитой от DDoS: Возвращение джедая

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

На уровне организаций: сама компания, облачные провайдеры и интернет-провайдеры.

Но нам важнее джедаи, трудящиеся на благо Республики (кибербезопасности).

Специалисты, занимающиеся защитой от DDoS:

  • Падаваны или Системные администраторы: они настраивают и управляют серверным оборудованием, сетями и ПО, а значит и базовой защитой от DDoS. Админ, с вероятностью 90%, тот же специалист, что занимается большинством технических вопросов в небольшой компании, не концентрируясь только на кибербезопасности. Про важность и правильный подбор системного администратора мы писали здесь.
  • Рыцари-джедаи или Специалисты по кибербезопасности — они анализируют трафик и распознают подозрительную активность, защищают информацию и серверы от вирусов, внешних и внутренних угроз, а также разрабатывают и внедряют решения для защиты от DDoS; проводят аудиты безопасности, разрабатывают и сопровождают процедуры и политики безопасности, а также отвечают на кибератаки и анализируют последствия. Их основная работа — информационная безопасность компании в конкретном направлении.
  • Мастера Ордена или Эксперты по информационной безопасности — высококвалифицированные, опытные и дорогие специалисты с глубоким пониманием проблем кибербезопасности. Они знают, как защитить организацию от киберугроз в разных направлениях: DoS и DDoS, сетевая безопасность, безопасность приложений, безопасность данных, инцидентный менеджмент и регулирование кибербезопасности. Могут быть руководителями, частью большой команды или внешними консультантами.

Что делать после DDoS-атаки: Пробуждение силы

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Выше я рассказал, что абсолютной защиты от DDoS не существует. Ни световой меч, ни Сила, ни деньги вам не помогут на 100%. А значит, нужно подготовиться к атаке.

Несколько действий, если ваш сервер, сеть или сервис попали под DDoS-атаку:

  • Не паниковать и не делать поспешных решений: это может быть подвид гибридной атаки — заставить атакуемую сторону запаниковать и совершить ошибку. Например, сервис облачной защиты не справился, компания, не подумав, открывает сервис наружу без защиты, чтобы не терять деньги из-за недоступности сайта — и тут-то его хакеры и ломают. Второй вариант — хакеры запустили короткую DDoS-атаку, а компания уже серверы выключила, шнурки сетевые повыдёргивала и билеты в другой ЦОД заказала.
  • Свяжитесь с провайдером: сообщите облачному или интернет-провайдеру об атаке и попросите его помочь с блокировкой атакующего трафика.
  • Резервное копирование данных: проверьте целостность резервных копий всех важных данных, чтобы не потерять их, если оборудование откажет.
  • Мониторинг системы: начните мониторить свою систему и логи для обнаружения любых подозрительных активностей.
  • Реагирование на атаку: используйте инструменты и технологии из абзаца “Как защититься от DDoS”, чтобы нивелировать последствия атаки.
  • Анализ и отчет: анализируйте атаку и составьте отчет о ней, чтобы лучше понимать ее механизм и предотвратить будущие атаки.
  • По результатам анализа и отчёта разработайте (или дополните) план реагирования на инциденты: чёткий план действий, например, DRP, и инструкции для каждого специалиста помогут лучше реагировать и отбивать DDoS-атаки, быстрее возвращаться к нормальной работе.
  • Модернизируйте инфраструктуру, изучите всё, что у вас есть: IT-инфраструктура с годами усложняется и устаревает, а специалисты приходят и уходят. Актуализируйте данные, составьте карту серверного оборудования, разметьте патч-корды, улучшите СКС, запишите, какие серверы и сервисы работают у вас. Когда появится карта инфраструктуры, можно выявить слабые места, закрыть уязвимые узлы (СУБД и другие) для внешнего доступа, заменить скомпрометированные IP, чтобы другие узлы системы не попали под новую атаку.

Главное — не игнорировать DDoS-атаки и сделать выводы. Лучше модернизировать инфраструктуру, нанять специалистов и отработать план действий.

Быть источником постоянного дохода или развлечения для хакеров — удовольствие сомнительное.

Предположим, что хакер просит меньше, чем вы потратите на специалиста по кибербезопасности и все сопутствующие расходы. Но что будете делать, если вас атакуют несколько независимых хакеров? Всем не заплатите. А если их интерес будет не денежный, а “спортивный” — просто уничтожить ваш бизнес? Тут иначе не выкрутиться, придётся работать.

Выводы по DDoS-атакам: Последние джедаи

DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Количество кибератак растёт каждый год какими-то безумными темпами, а в 2023 году ожидают еще +50%. Под ударом все: малые, средние и крупные компании; государственные структуры, объекты инфраструктуры и целые страны.

При этом DoS и DDoS-атаки — одни из самых распространённых и опасных типов кибератак. Я не пытаюсь повергнуть вас в ужас или заставить вырывать волосы или Ethernet-кабели из серверов. Задача статьи — показать, какие меры вы можете принять уже сегодня, чтобы облегчить себе жизнь завтра :)

Спасибо, что дочитали статью!

Да прибудет с вами Сила

* Организация Meta, а также её продукты Instagram и Facebook, на которые мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

Чуть ниже кнопочка “Подписаться” есть.

Где-то тут↓

Нажимать или нет, решайте сами.

77
8 комментариев

Давно хотел почитать что-то подобное, спасибо!

Мой сайт скорее всего школьники кладут и это часто у них получалось, на 2-3 часа как минимум. Но по итогу именно они помогли мне выявить базовые проблемы сайта, понять что нужно увеличить мощность сервера и т.д.

2
Ответить

Со школьниками — это уже какой-то мем в админских кругах. Но в целом да, накопят с обедов, анонимусы недоделанные, а потом дудосят малый и средний бизнес без IT-компетенций)

1
Ответить

Комментарий недоступен

1
Ответить

Есть "белые" хакеры - компании которые с удовольсвием проверят инфраструктуру на уязвимости и доступность. Так же есть прокси, которые можно купить легально.. Ещё небольшая подсказка - локальные адреса и хосты тоже можно задействовать в таком тестировании.

А если интересуют конкретные инструменты - их полон github. Хотя бы там можно поискать https://github.com/topics/ddos-attack-tools

1
Ответить

https://habr.com/ru/company/pixonic/blog/417441/ — вот, кстати, один из сценариев вспомнился, можно реализовать специально нечто подобное. А в целом нелицензионный софт тоже криминал, но компании его активно юзают в работе :)

Ответить