Представьте: на ваш сайт идет большой трафик, системы перегружаются, при этом клиенты жалуются — они не могут зайти ни на сайт, ни в личный кабинет. Возможно, ваши веб-сервисы находятся под DDoS-атакой. Если это так, то трафик создают злоумышленники, а не настоящие клиенты. Если атака продлится часы и дни, компания понесет убытки. 47% крупных компаний столкнулись с атаками на веб-ресурсы, такими как DDoS, в 2022 году, по данным Индекса Кибербезопасности. Больше половины из них понесли финансовый ущерб в размере больше 1 млн рублей.
Специалисты рекомендуют заранее «застраховать» сервисы от DDoS-атак: установить специальное оборудование или подключить сервис, который будет фильтровать поток запросов.
Что такое DDoS-атака
DDoS-атака (англ. Distributed Denial of Services) — это распределенная атака типа «отказ в обслуживании». Ее целью может стать сайт, инфраструктура компании и другие сервисы. Атака называется распределенной, потому, что в ней участвует много устройств из разных точек страны или мира. Эти устройства одновременно посылают большое количество запросов на сервера. Атака может замедлить или заблокировать работу ресурса и доступ будет недоступен легитимным пользователям.
Чаще всего злоумышленники атакуют, чтобы нарушить работу сервиса, сорвать значимое событие, привести к репутационным и финансовым потерям. Недобросовестные конкуренты могут «заказывать» атаки, чтобы временно вывести соперника из игры, например, в период распродаж.
Как защититься от DDoS-атак
Защитить можно любые ресурсы: сайт или другой веб-ресурс, сервисы, ИТ-инфраструктуру компании и IP-адреса. Для этого нужно отличать запросы настоящих пользователей от ботов, отделять атаку и утилизировать ее, то есть, не допустить к ресурсам компании.
Анализ трафика
Системы защиты собирают и анализируют весь трафик, который идет на сервисы. Анализ обычно осуществляется по трем параметрам:
- качественные характеристики трафика (используемые протоколы, порты, флаги и т.д.);
- количество пакетов данных в секунду;
- количество байт в секунду.
В случае аномалии весь трафик направляется на фильтрацию. Когда атака прекращается, трафик минует этап очистки и возвращается на свой обычный маршрут.
Очистка трафика и типы атак
Технологии для противодействия сетевым атакам фильтруют запросы, отделяя вредоносные от легитимных. Затем вредоносный трафик аннулируется, а легитимный беспрепятственно идет в место назначения — например, клиент компании получает доступ к ее сайту.
Чтобы определить тип атаки, существуют правила — их называют специфическими контрмерами. Вот некоторые из них:
Лист Глобальных Исключений (или «база отпечатков пальцев») — статичный набор правил противодействия разным атакам. Список можно пополнять или наоборот, сокращать.
Географический фильтр — фильтрует данные по географическому признаку: например, отсекает трафик из заданных стран.
Базовая очистка — предназначена для блокирования пакетов данных, которые были сформированы некорректно, также не пропускает трафик с аномально большим количеством TCP-сессий и IP-адресов.
Блокирование бот-сетей из регулярно обновляемых списков IP-адресов, которые ранее были замечены в атаках.
Уровни защиты
Защита может работать на разных уровнях сети передачи данных. Чаще всего очистка трафика происходит на одном из уровней по классификации OSI (англ. Open Systems Interconnection model — Открытая сетевая модель).
На уровнях L3-L4 — сетевом и транспортном — защиту предоставляют сервис-провайдеры (ISP), облачные провайдеры, а также возможна установка специализированного оборудования и ПО в контуре компании (on-premise).
На уровнях L5-L7 также работает защита от DDoS-атак. Чтобы защитить только веб‑приложения, используют экраны — WAF. Однако они не способны обезопасить инфраструктуру от вредоносных запросов на канальном и сетевом уровнях.
Способы защиты
Существует несколько способов защититься от атак:
- приобрести защиту у интернет-провайдера;
- подключить облачный сервис;
- установить решение в контуре компании;
- воспользоваться решением с открытым исходным кодом.
Как сервис-провайдер, МегаФон предлагает компаниям услугу защиты от DDoS-атак мощностью вплоть до 300 Гбит/с и соответствующую потребностям в импортозамещении. Суть услуги заключается в том, что в штатном режиме работы оборудование МегаФона собирает и анализирует информацию о маршрутах и трафике, его показатели на пограничных маршрутизаторах сети провайдера.
При детектировании угрозы система направляет трафик на очистку. После прохождения узлов фильтрации очищенный трафик идет на веб-сервисы компании, что не требует организации дополнительных каналов и действий со стороны компании. Когда угроза минует, трафик возвращается на свой стандартный маршрут.
Помимо тонкой очистки МегаФон может блокировать паразитный трафик при превышении емкости очистителей методами BGP Flow Specification и BGP Blackhole.
Облачные провайдеры также предлагают защиту от DDoS-атак. Провайдер выступает как прокси-сервер — меняет IP-адрес клиента в DNS-записи на свой. Таким образом, трафик сначала проходит через облачного провайдера, а затем попадает к клиенту. При этом конечный ресурс остается без защиты на сетевом уровне.
Собственное специальное оборудование устанавливают в контуре (on-premise). Такой подход позволяет не зависеть от сервис-провайдера, однако требует опытных специалистов для установки, настройки и технической поддержки оборудования. Ограничен пропускной способностью оборудования.
Проекты с открытым исходным кодом (Open Source) также предоставляют инструменты для защиты от DDoS-атак. Эти решения бесплатны, но трудозатратны и часто не соответствуют современным требованиям к кибербезопасности.
Кому нужен Анти-DDoS
Практика противодействия угрозам информационной безопасности показывает, что целью злоумышленников может стать любой сайт или ресурс. В 2022 году 37% компаний в России подверглись атакам на веб-ресурсы. В более крупных компаниях угрозы возникают чаще, чем в микробизнесе (47% против 19%), по данным Индекса Кибербезопасности.
Наиболее критичны последствия для контент-провайдеров — стриминговых площадок и игровых сервисов, банков и финансовых организаций, интернет-ресурсов государственных органов, онлайн-магазинов, промышленных организаций, образовательных учреждений и СМИ.
Кратко
DDoS — это хакерская атака, при которой множество устройств одновременно отправляют запросы к серверу, что приводит к перегрузке и отказу в обслуживании настоящих пользователей. Злоумышленники атакуют малый, средний и крупный бизнес всех отраслей, поэтому важно защищать собственные ресурсы. Защититься от атак можно, если заранее установить специальное оборудование, Open Source решение или подключить защиту у облачного или сервис-провайдера.
Как сервис-провайдер, МегаФон предлагает компаниям услугу Анти-DDoS, которая осуществляет анализ трафика и фильтрацию вредоносных запросов. Услуга предоставляется как сервис и позволяет защищать компанию от потенциальных угроз, сохранять ее работоспособность, соблюдать требования, связанные с импортозамещением.
