Что такое DDoS-атака и как от неё защититься?

Распределенная DDoS-атака выполняется одновременно с большого числа устройств — злоумышленники получают контроль над ними и по команде генерируют потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети. В этой статье подробно расскажем о том, как работают DDoS-атаки и как обеспечить эффективную DDoS-защиту.

DDoS-атака: цели, причины, последствия

Что такое DDoS-атака?

Атака типа «распределенный отказ в обслуживании» (DDoS) — это атака, которая направлена на сетевой ресурс или онлайн-сервис с целью остановки его работы для обычных пользователей. Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей. 

Как работает DDoS-атака: принцип действия

В ходе DDoS-атаки злоумышленники используют большое количество компьютеров или устройств, известных как «ботнет», для одновременного отправления огромного количества запросов к целевому ресурсу. Это создает огромную нагрузку на серверы или сетевую инфраструктуру, что приводит к перегрузке и невозможности доступа к ресурсу для обычных пользователей.

Подавляющее большинство атак происходит в следующей последовательности:

1. сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
2. подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
3. генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
4. анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Читайте также: Признаки DDoS-атаки. Как обнаружить угрозу вовремя.

Мотивация атакующих

Мотивация злоумышленников может быть различной. Чаще всего мотивом становится недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро оплачивается, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Подробнее: Причины DDoS-атак и психология атакующего.

Ущерб от DDoS-атак

Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.

Узнайте больше о том, чем опасны DDoS-атаки для бизнеса.

Объекты DDoS-атак

DDoS-атаки могут коснуться любой компании, имеющей онлайн-присутствие. Однако чаще всего объектами DDoS-атак оказываются финансовые и государственные учреждения, телеком, сфера развлечений и ритейл. Это подтверждает отчёт аналитического центра StormWall за 2024 год: 

В России всё чаще главной мишенью для хакеров становится телекоммуникационная отрасль. На неё в 2024 году пришлось 31% всех атак — это намного больше, чем годом ранее. Тогда доля телекома была всего 14%. Чаще всего за атаками на эту отрасль стоят хактивисты с политическими мотивами, которые хотели навредить российскому бизнесу. 

В 2024 году хакеры в России активно атаковали не только телеком, но и другие сферы. В частности, государственный сектор стал целью 17% всех DDoS-атак. При этом 42% таких инцидентов оказались успешными — злоумышленники добивались отказа сайтов и других веб-ресурсов организаций.

Ещё одной популярной мишенью ежегодно становится ритейл. В 2024 году в России на него пришлось 14% DDoS-атак. Основные всплески активности хакеров пришлись на ключевые периоды: рождественские распродажи, подготовку к 8 Марта, начало учебного года, Чёрную пятницу и предновогодние праздники. Чаще всего атаки на ритейлеров были связаны с жёсткой конкуренцией на рынке, а также с попытками вымогательства и шантажа.

StormWall регулярно собирает статистику наиболее пострадавших отраслей — читайте наши отчёты о DDoS-атаках в России и в мире.

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Самые распространенные виды атак происходят на сетевом уровне (L3), транспортном (L4) и на уровне приложений (L7).

Ещё один частый способ классификации — по способу воздействия:

• объемные атаки перегружают сеть жертвы трафиком, делая её недоступной для легитимных пользователей;
• протокольные атаки используют уязвимости протоколов для нарушения работы сети жертвы;
• атаки прикладного уровня нацелены на конкретные приложения или сервисы, работающие на целевой системе.

Также можно классифицировать DDoS-атаки по протоколам: TCP, UDP и другие.

Подробнее обо всех видах современных DDoS-атак читайте в статье «Различные типы DDoS-атак».

DDoS-защита: способы и технологии защиты от DDoS-атак

Как защититься от DDoS?

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищённости интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищённости нужно:

• предоставить как можно меньше информации атакующему;
• предоставить как можно больше информации DDoS-защитнику;
• обеспечить понятные возможности фильтрации атаки;
• обеспечить надежность сервиса под атакой.

Материал по теме: «Как подготовиться к отражению DDoS-атаки».

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак.

Защищаемость от DDoS-атак на этапе проектирования системы

Подробнее о защищаемости от DDoS-атак и о том, что на нее влияет, можно узнать в этом видео:

Технологии DDoS-защиты

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные, по спектру функций защиты — на защиту на уровнях L3-L4, L3-L7 или L3-L7 c использованием WAF, по формату подключения — на симметричную и асимметричную DDoS-защиту.

Подробный материал по теме: «Методы и средства защиты от DDoS-атак».

Локальные решения

Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридные решения

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

Защита от DDoS-атак на уровнях L3, L4 и L7 по модели OSI

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

• защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
• защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7 (как защититься от DDoS-атак на уровне L7 — читайте подробнее в другой нашей статье);
• защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоёмкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.

Симметричная и асимметричная DDoS-защита

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Выбор поставщика услуг DDoS-защиты

Следует позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник. И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

StormWall предлагает своим клиентам сервисы для защиты сайтов и защиты сетей, которые помогают обеспечить комплексную защиту проектов любых размеров. Чтобы подобрать подходящее вам решение по защите от DDoS, оставьте заявку, и наши менеджеры расскажут вам все подробности, а также предложат индивидуальный подход к организации защиты для вашей компании.