Что такое DDoS-атака и как от неё защититься?

Распределенная DDoS-атака выполняется одновременно с большого числа устройств — злоумышленники получают контроль над ними и по команде генерируют потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

DDoS-атака: цели, причины, последствия

Что такое DDoS-атака?

Атака типа «распределенный отказ в обслуживании» (DDoS) — это атака, которая направлена на сетевой ресурс или онлайн-сервис с целью остановки его работы для обычных пользователей. Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей. 

Принцип действия DDoS-атаки

В ходе DDoS-атаки злоумышленники используют большое количество компьютеров или устройств, известных как «ботнет», для одновременного отправления огромного количества запросов к целевому ресурсу. Это создает огромную нагрузку на серверы или сетевую инфраструктуру, что приводит к перегрузке и невозможности доступа к ресурсу для обычных пользователей.

Подавляющее большинство атак происходит в следующей последовательности:

1. сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
2. подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
3. генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
4. анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Мотивация атакующих

Мотивация злоумышленников может быть различной. Чаще всего мотивом становится недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро оплачивается, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Подробнее: Причины DDoS-атак и психология атакующего.

Ущерб от DDoS-атак

Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.

Узнайте больше о том, чем опасны DDoS-атаки для бизнеса.

Объекты DDoS-атак

DDoS-атаки могут коснуться любой компании, имеющей онлайн-присутствие. Однако чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции.

Согласно отчету аналитического центра StormWall о DDoS-атаках за 2023 год, впервые государственный сектор стал второй по масштабу отраслью, где количество атак резко возросло на 108%. Также в прошлом году мы наблюдали сдвиг в сторону критически важной инфраструктуры. Такие отрасли, как транспортный контроль, энергетические сети и государственные службы, стали жертвами DDoS-атак.

Сайты крупнейших государственных и финансовых организаций регулярно подвергаются атакам. Количество DDoS-атак на Сбербанк во втором квартале 2023 года увеличилось в 1,5 раза по сравнению с первым, в ноябре 2023 года банк столкнулся с самой мощной DDоS-атакой за всю историю, а в конце января 2024 года сервисы банка подверглись четырехдневной хакерской атаке, которая сочетала разные способы DDoS-атак. 5 июля 2023 года ОАО «Российские железные дороги» сообщило о множественных атаках с постоянно изменяющимся вектором и инструментами» на сайт и приложение компании. Доступ к веб-ресурсам удалось восстановить только через 2 дня. Однако средний и малый бизнес тоже подвержен DDoS-атакам. Хакеры атакуют любой ресурс, который представляет для них интерес.

StormWall регулярно собирает статистику наиболее пострадавших отраслей — читайте наши отчёты о DDoS-атаках в России и в мире.

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Самые распространенные виды атак происходят на сетевом уровне (L3), транспортном (L4) и на уровне приложений (L7).

Ещё один частый способ классификации — по способу воздействия:

• объемные атаки перегружают сеть жертвы трафиком, делая её недоступной для легитимных пользователей;
• протокольные атаки используют уязвимости протоколов для нарушения работы сети жертвы;
• атаки прикладного уровня нацелены на конкретные приложения или сервисы, работающие на целевой системе.

Также можно классифицировать DDoS-атаки по протоколам: TCP, UDP и другие.

Подробнее обо всех видах современных DDoS-атак читайте в статье «Различные типы DDoS-атак».

DDoS-защита: способы и технологии защиты от DDoS-атак

Как защититься от DDoS?

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищённости интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищённости нужно:

• предоставить как можно меньше информации атакующему;
• предоставить как можно больше информации DDoS-защитнику;
• обеспечить понятные возможности фильтрации атаки;
• обеспечить надежность сервиса под атакой.

Материал по теме: «Как подготовиться к отражению DDoS-атаки».

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак.

Защищаемость от DDoS-атак на этапе проектирования системы

Подробнее о защищаемости от DDoS-атак и о том, что на нее влияет, можно узнать в этом видео:

Технологии DDoS-защиты

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные, по спектру функций защиты — на защиту на уровнях L3-L4, L3-L7 или L3-L7 c использованием WAF, по формату подключения — на симметричную и асимметричную DDoS-защиту.

Подробный материал по теме: «Методы и средства защиты от DDoS-атак».

Локальные решения

Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридные решения

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

Защита от DDoS-атак на уровнях L3, L4 и L7 по модели OSI

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

• защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
• защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
• защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоёмкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.

Симметричная и асимметричная DDoS-защита

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Выбор поставщика услуг DDoS-защиты

Следует позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник. И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

StormWall предлагает своим клиентам сервисы для защиты сайтов и защиты сетей, которые помогают обеспечить комплексную защиту проектов любых размеров. Чтобы подобрать подходящее вам решение по защите от DDoS, оставьте заявку, и наши менеджеры расскажут вам все подробности, а также предложат индивидуальный подход к организации защиты для вашей компании.

cta1