Как защититься от DDoS-атак на уровне L7

Весной 2024-го наши аналитики выяснили, что 46% компаний из списка ТОП-100 в России не используют профессиональную защиту от DDoS-атак на уровне приложений (L7 OSI).

С одной стороны, цифра вполне логичная. Среди тех, кто ещё не позаботился о специальных средствах защиты, оказалось много компаний ТЭК. Цифровизация в большинство из них пришла намного позднее, чем в ритейл или банки. Многие ещё только выстраивают комплексную кибербезопасность, в том числе на уровне сайтов и приложений. Но, с другой стороны, по нашим оценкам, на L7 приходятся 90% DDoS-атак в мире и России. А это значит, что крупнейшие компании без специализированной защиты находятся под двойной угрозой.

Изменилась ли статистика к сегодняшнему дню, обсудим в следующих статьях. А сейчас предлагаем погрузиться в матчасть. Расскажем, что представляют собой DDoS-атаки на L7, почему они так популярны и какие решения обычно используются для защиты от них. 

Что нужно знать об L7 

В одной из последних статей мы представили сравнение моделей и OSI TCP/IP. Выяснили, что в обоих случаях эксперты выделяют прикладной уровень (Application Layer) — один из важнейших элементов сети. По большому счёту, он предоставляет приложениям и пользователям доступ к различным сетевым сервисам и ресурсам. А если копнуть глубже — к нему относятся почти все действия, которые доступны пользователям в онлайне.

Самые распространённые протоколы, работающие на L7 OSI, — это HTTP(S), SMTP, FTP и RDP. Они позволяют нам искать информацию в интернете, подключаться к удалённому рабочему столу, скачивать файлы с сайтов, делиться фотографиями в мессенджерах, отправлять электронные письма и заказывать товары в приложении маркетплейса.

Помимо протоколов, на L7 также работает множество сетевых служб. Они отвечают за корректную работу пользовательских процессов: пересылку сообщений, возможность работать с базами данных, удалённый доступ к файлам в облаке и т.д.

В плане кибербезопасности прикладной уровень OSI имеет особое значение. Именно здесь проводится идентификация пользователей по логинам, паролям и другим данным. Также на этом уровне предоставляются данные об ошибках, в том числе связанные с отсутствием прав на запрос. И наконец, L7 чаще остальных подвергается DDoS-атакам. 

Цель злоумышленника остаётся той же — сделать веб-ресурс жертвы недоступным или вызвать сбои в его работе. Логика действий вполне проста. Если количество запросов на сайте или в приложении превышает лимиты, то веб-сервер не может их отработать и перестаёт отвечать на новые обращения пользователей. 

Популярность DDoS на L7 тоже вполне очевидна. Атаки на этом уровне более выгодны злоумышленникам, чем удары по L3/L4. На сетевом и транспортном уровнях атаки обычно проходят с большим количеством трафика или высокой пакетной активностью. В то же время L7-атака может быть менее объёмной по трафику, но включать намного больше запросов, что вызывает проблемы в работе защищаемого ресурса. Зачастую хакерам достаточно выявить брешь в безопасности сайта или приложения и направить точечную DDoS-атаку через неё. 

К тому же, отделить легитимный трафик от зловредного на прикладном уровне — непростая задача. Боты обращаются к формам авторизации, используют решения для поиска данных, скачивают файлы — в общем, по поведению мало отличаются от реальных пользователей. Именно поэтому для эффективной защиты приложений от DDoS-атак на прикладном уровне требуются специализированные решения и соответствующая экспертиза. 

Как свести угрозу к минимуму 

Для начала рекомендуем найти решение, которое позволит проверять трафик и отличать легитимные запросы от вредоносных. Вторым шагом стоит позаботиться о корректной и надёжной блокировке DDoS-атак. 

К стандартным способам защиты на L7 относят ограничение количества запросов в секунду, минуту или другой отрезок времени. Однако на практике такой подход требует много времени и сил. Чтобы ограничение было корректным и не приводило к недовольству реальных пользователей, нужно тщательно продумывать лимиты для всех возможных запросов. 

Кроме того, во многих случаях используется блокировка IP-адресов по геолокации. Однако сейчас этот способ защиты уже нельзя назвать достаточно эффективным. Сегодня есть немало инструментов для обхода геоблокировок. В их числе proxy programs, smart DNS и VPN-сервисы. К тому же, ограничение по геолокации не защищает от DDoS-атак с IP-адресов, находящихся в той же стране. 

Также владельцы сайтов для предотвращения атак часто используют капчу. Это может быть любая задача, с которой легко справится человек: от выбора картинок с велосипедом до математических задач. В любом случае важно помнить, что боты становятся умнее, и многие виды капчи им уже сейчас по зубам. 

Кроме того, проверка на легитимность запроса может проводиться по данным о браузере, с которого обращается пользователь. Обычно это происходит на уровне веб-сервера. Благодаря специальным фреймворкам он определяет, какой браузер используется при запросе — реально существующий или его имитация. Последний вариант — верный признак того, что вы имеете дело с попыткой автоматизированной DDoS-атаки. 

И наконец, чаще всего в защите от спамного трафика применяется анализ данных о запросах, включая их заголовки, payload (полезную нагрузку) и т.д. Метод достаточно эффективный, но предполагает масштабный анализ исторических данных, беспрерывный поиск аномалий в текущих запросах и оперативное блокирование подозрительных запросов. Всё это — задачи специализированных средств защиты от DDoS-атак. Автоматизация позволяет реагировать на аномалии в течение первых минут, что практически невозможно сделать вручную. 

Когда нужен сервис для защиты L7

Здесь всё просто — смотрим на модель угроз. Если безопасность приложения или сайта критична для бизнеса, то сомнений нет — вам нужно подключать специализированное средство защиты. И лучше, если это будет готовое решение для защиты сайтов и веб-приложений от DDoS-атак от провайдера, который давно и эффективно обеспечивает безопасность онлайн-активов других компаний.

В специализированном сервисе заранее учтены паттерны известных видов атак. Продумывать алгоритмы реагирования тоже не нужно — этим занимаются опытные специалисты провайдера. Они настраивают правила защиты с учётом особенностей вашей компании и актуальных для неё угроз. 

Ещё один важный момент — вместе с сервисом защиты от DDoS-атак на L7 вы получаете гарантии качества от провайдера. Он заинтересован в том, чтобы клиенты были довольны. Именно поэтому ключевые показатели эффективности сервиса — скорость реагирования и процент блокируемого DDoS-трафика — фиксируются в SLA. 

А ещё специализированный сервис — идеальное решение, если вы уже находитесь под DDoS-атакой. Подключив и настроив защиту за несколько минут, вы быстро восстановите работу веб-ресурса и значительно снизите возможные убытки от его простоя.