Когда атакующий знает вашу инфраструктуру лучше, чем вы сами, или самые банальные ошибки в организации DDoS-защиты

2 июня 2022

Владельцы интернет-ресурсов, пытаясь обезопасить их от DDoS-атак, нередко совершают ошибки, которые сводят на нет усилия и инвестиции в защиту. Что самое, пожалуй, опасное при этом – так это то, что организации пребывают в иллюзии, будучи уверены в надежной защите своих ресурсов.

А между тем, злоумышленники могут воспользоваться подобными промахами и узнать о вашей инфраструктуре даже больше, чем вы сами о ней знаете. Например, они могут попытаться провести атаку на внутреннюю часть (бэкенд) вашего интернет-сервиса в обход защиты. В этом им поможет знание об IP-адресах этого сервиса, а также связанных с ними доменах. Как правило, при подключении DDoS-защиты клиенту выдается новый IP-адрес, на который перенаправляется весь трафик. При этом прежний IP-адрес интернет-ресурса может быть либо уже известен злоумышленникам, либо они могут легко его найти через различные сервисы и узнать, например, всю историю его изменений. Также они могут выяснить, на каких IP-адресах в Интернете «засвечен» домен, связанный с прежним IP-адресом. Кроме того, реальный адрес ресурса атакующие могут определить, просматривая заголовки SMTP.

Используя относительно простые методы, злоумышленники могут легко найти все ваши ресурсы, подключенные к Интернету, и выявить среди них незащищенные. К сожалению, это возможно: мы встречали немало клиентов, у которых лишь часть ресурсов защищена от DDoS-атак, тогда как другая часть оставалась без защиты. И если у вас под защитой тоже находится лишь часть ресурсов, то будьте уверены, что при должной мотивации злоумышленники их обязательно «вычислят» и направят атаку прямо на них. В ваших интересах – заранее понять, что в этом случае может произойти с вашей сетью и приложениями, и предпринять меры для их защиты.

Если у вас имеется собственная автономная система и свой префикс или если вы используете динамическую маршрутизацию на основе протокола BGP, то надо защищать не только ваши интернет-ресурсы, но и саму сеть. Атака может напрямую обрушиться на незащищенный IP-адрес, и если она окажется достаточно мощной, то ваша сеть «ляжет», даже если вы используете межсетевой экран (firewall) или ACL, пытаясь «закрыть» этот адрес от ненужного трафика. В декабре 2021 года и январе 2022 мы практически каждый день наблюдали атаки мощностью 1,2 Тбит/с. Такие атаки способны создать чрезмерную нагрузку не только на оборудование и коммутационные порты, но и на всю сеть вашего провайдера. Поэтому надо заранее продумать, как вы будете защищать бэкенд-компоненты ваших интернет-приложений. Если вы используете BGP, то необходима и защита через BGP.

Конечно, надо также предусмотреть возможность атак на DNS. Нужно обязательно оценить, надежно ли работают сервисы DNS, к которым вы подключены, и проанализировать, насколько они защищены. Когда оказавшийся под атакой регистратор доменных имен Nic.ru стал работать нестабильно, многие его клиенты сильно пожалели о том, что не предусмотрели резервное подключение к другому сервису DNS, защищенному от DDoS-атак. Такие возможности предоставляют сегодня не только провайдеры Anti-DDoS, но и многие компании, предоставляющие сервисы DNS. Мы рекомендуем подключаться, как минимум, к двум поставщикам DNS. И будет замечательно, если все эти провайдеры обеспечат DDoS-защиту ваших DNS-серверов.

Как показывает наш опыт, подключать частичную защиту от DDoS-атак, по сути, бесполезно. Нужно комплексно подходить к организации защиты и постараться обезопасить всю цепочку, по которой идет трафик, начиная с уровня DNS и заканчивая бэкенд-компонентами приложений. И, конечно же, необходимо заранее убедиться, что каждый из ваших ресурсов в достаточной степени защищен, не дожидаясь, когда внезапная атака нанесет по ним сокрушительный удар.