Весной 2024-го наши аналитики выяснили, что 46% компаний из списка ТОП-100 в России не используют профессиональную защиту от DDoS-атак на уровне приложений (L7 OSI).
С одной стороны, цифра вполне логичная. Среди тех, кто ещё не позаботился о специальных средствах защиты, оказалось много компаний ТЭК. Цифровизация в большинство из них пришла намного позднее, чем в ритейл или банки. Многие ещё только выстраивают комплексную кибербезопасность, в том числе на уровне сайтов и приложений. Но, с другой стороны, по нашим оценкам, на L7 приходятся 90% DDoS-атак в мире и России. А это значит, что крупнейшие компании без специализированной защиты находятся под двойной угрозой.
Изменилась ли статистика к сегодняшнему дню, обсудим в следующих статьях. А сейчас предлагаем погрузиться в матчасть. Расскажем, что представляют собой DDoS-атаки на L7, почему они так популярны и какие решения обычно используются для защиты от них.
Что нужно знать об L7
В одной из последних статей мы представили сравнение моделей и OSI TCP/IP. Выяснили, что в обоих случаях эксперты выделяют прикладной уровень (Application Layer) — один из важнейших элементов сети. По большому счёту, он предоставляет приложениям и пользователям доступ к различным сетевым сервисам и ресурсам. А если копнуть глубже — к нему относятся почти все действия, которые доступны пользователям в онлайне.
Самые распространённые протоколы, работающие на L7 OSI, — это HTTP(S), SMTP, FTP и RDP. Они позволяют нам искать информацию в интернете, подключаться к удалённому рабочему столу, скачивать файлы с сайтов, делиться фотографиями в мессенджерах, отправлять электронные письма и заказывать товары в приложении маркетплейса.
Помимо протоколов, на L7 также работает множество сетевых служб. Они отвечают за корректную работу пользовательских процессов: пересылку сообщений, возможность работать с базами данных, удалённый доступ к файлам в облаке и т.д.
В плане кибербезопасности прикладной уровень OSI имеет особое значение. Именно здесь проводится идентификация пользователей по логинам, паролям и другим данным. Также на этом уровне предоставляются данные об ошибках, в том числе связанные с отсутствием прав на запрос. И наконец, L7 чаще остальных подвергается DDoS-атакам.
Цель злоумышленника остаётся той же — сделать веб-ресурс жертвы недоступным или вызвать сбои в его работе. Логика действий вполне проста. Если количество запросов на сайте или в приложении превышает лимиты, то веб-сервер не может их отработать и перестаёт отвечать на новые обращения пользователей.
Популярность DDoS на L7 тоже вполне очевидна. Атаки на этом уровне более выгодны злоумышленникам, чем удары по L3/L4. На сетевом и транспортном уровнях атаки обычно проходят с большим количеством трафика или высокой пакетной активностью. В то же время L7-атака может быть менее объёмной по трафику, но включать намного больше запросов, что вызывает проблемы в работе защищаемого ресурса. Зачастую хакерам достаточно выявить брешь в безопасности сайта или приложения и направить точечную DDoS-атаку через неё.
К тому же, отделить легитимный трафик от зловредного на прикладном уровне — непростая задача. Боты обращаются к формам авторизации, используют решения для поиска данных, скачивают файлы — в общем, по поведению мало отличаются от реальных пользователей. Именно поэтому для эффективной защиты приложений от DDoS-атак на прикладном уровне требуются специализированные решения и соответствующая экспертиза.
Как свести угрозу к минимуму
Для начала рекомендуем найти решение, которое позволит проверять трафик и отличать легитимные запросы от вредоносных. Вторым шагом стоит позаботиться о корректной и надёжной блокировке DDoS-атак.
К стандартным способам защиты на L7 относят ограничение количества запросов в секунду, минуту или другой отрезок времени. Однако на практике такой подход требует много времени и сил. Чтобы ограничение было корректным и не приводило к недовольству реальных пользователей, нужно тщательно продумывать лимиты для всех возможных запросов.
Кроме того, во многих случаях используется блокировка IP-адресов по геолокации. Однако сейчас этот способ защиты уже нельзя назвать достаточно эффективным. Сегодня есть немало инструментов для обхода геоблокировок. В их числе proxy programs, smart DNS и VPN-сервисы. К тому же, ограничение по геолокации не защищает от DDoS-атак с IP-адресов, находящихся в той же стране.
Также владельцы сайтов для предотвращения атак часто используют капчу. Это может быть любая задача, с которой легко справится человек: от выбора картинок с велосипедом до математических задач. В любом случае важно помнить, что боты становятся умнее, и многие виды капчи им уже сейчас по зубам.
Кроме того, проверка на легитимность запроса может проводиться по данным о браузере, с которого обращается пользователь. Обычно это происходит на уровне веб-сервера. Благодаря специальным фреймворкам он определяет, какой браузер используется при запросе — реально существующий или его имитация. Последний вариант — верный признак того, что вы имеете дело с попыткой автоматизированной DDoS-атаки.
И наконец, чаще всего в защите от спамного трафика применяется анализ данных о запросах, включая их заголовки, payload (полезную нагрузку) и т.д. Метод достаточно эффективный, но предполагает масштабный анализ исторических данных, беспрерывный поиск аномалий в текущих запросах и оперативное блокирование подозрительных запросов. Всё это — задачи специализированных средств защиты от DDoS-атак. Автоматизация позволяет реагировать на аномалии в течение первых минут, что практически невозможно сделать вручную.
Когда нужен сервис для защиты L7
Здесь всё просто — смотрим на модель угроз. Если безопасность приложения или сайта критична для бизнеса, то сомнений нет — вам нужно подключать специализированное средство защиты. И лучше, если это будет готовое решение для защиты сайтов и веб-приложений от DDoS-атак от провайдера, который давно и эффективно обеспечивает безопасность онлайн-активов других компаний.
В специализированном сервисе заранее учтены паттерны известных видов атак. Продумывать алгоритмы реагирования тоже не нужно — этим занимаются опытные специалисты провайдера. Они настраивают правила защиты с учётом особенностей вашей компании и актуальных для неё угроз.
Ещё один важный момент — вместе с сервисом защиты от DDoS-атак на L7 вы получаете гарантии качества от провайдера. Он заинтересован в том, чтобы клиенты были довольны. Именно поэтому ключевые показатели эффективности сервиса — скорость реагирования и процент блокируемого DDoS-трафика — фиксируются в SLA.
А ещё специализированный сервис — идеальное решение, если вы уже находитесь под DDoS-атакой. Подключив и настроив защиту за несколько минут, вы быстро восстановите работу веб-ресурса и значительно снизите возможные убытки от его простоя.
Защита веб-сайтов от DDoS-атак
- Подключение за 10 минут
- Поддержка 24×7