DDoS-атака — боль нашего времени. Как избежать и что делать, если вас атаковали?

Ваши рабочие процессы, дорогое оборудование, ценные данные, постоянные клиенты — всё это может встать, выйти из строя и/или исчезнуть. И я не про месяцы и годы, а про сейчас: масштабная DDoS-атака может начаться в любую секунду.

Про DDoS-атаки сказано много (бам, бам) — и не только на площадке, куда Цукерберг таки не позвонил (вспомнят не только лишь все читатели facebookru.com*).

В этой я расскажу всё, что нужно знать про DDoS-атаки на серверы: что это, зачем, какие риски для бизнеса, как защититься и как оправиться, если допустили.

Не знаю как вам, а мне читать канцелярский текст больно физически, поэтому у статьи разговорный стиль. Заваривайте чай, кофе, нарезайте бутерброды — и приступим 🙂

Структура статьи:

• Что такое DDoS: Скрытая угроза
• Виды DDoS-атак: Атака клонов
• Как выглядит DDoS-атака: Штурмовики
• Что такое ботнеты? R2-D2
• Зачем устраивают DDoS-атаки: Месть ситхов
• Риски для бизнеса из-за DDoS-атак: Новая надежда
• Как защититься от DDoS: Империя наносит ответный удар
• Кто занимается защитой от DDoS: Возвращение джедая
• Что делать после DDoS-атаки: Пробуждение силы
• Выводы по DDoS-атакам: Последние джедаи

Что такое DDoS: Скрытая угроза
Когда готовишься разносить автора статьи в комментах.

DDoS-атака (Distributed Denial of Service или распределённый отказ в обслуживании) — это кибератака на IT-инфраструктуру, перегружающая эту самую инфраструктуру огромным количеством запросов и трафика. Серверы под DDoS-атакой полностью перестают обслуживать обычные запросы пользователей (или делают это очень плохо, если атака недостаточно сильна).

Простая аналогия: если в обычную раковину с нормальным сливом льет один кран, то раковина без проблем справится. Но если в эту раковину добавить ещё штук 10 шлангов и всё открыть на полную, то будет потоп.

DDoS-атака — это более простой в реализации подвид DoS-атаки, которая также направлена на отказ в обслуживании, но исходит из сотен и тысяч источников, а не из одного, как при DoS.

Вспомните интернет-магазины во время запуска новых продуктов или распродажи — страницы не грузятся, купить ничего не получается, так как тысячи людей одновременно обновляют сайт, свайпая на телефоне или прожимая Ctrl+R на ПК. Техническая цель DDoS-атак — добиться отказа оборудования и/или сервисов, но не естественным наплывом пользователей, а целенаправленной атакой.

Ещё есть знаменитый Хабраэффект (он же Слэшдот-эффект), когда на небольшой сайт приходит очень много людей после размещения ссылки в популярном блоге. Сайт, рассчитанный, например, на 500 людей, не выдерживает наплыва тысяч посетителей и падает (полностью или просто). Получается что-то вроде непредумышленной DDoS-атаки.

Но настоящая DDoS-атака — это не естественный наплыв посетителей, а целенаправленное и незаконное действо. Хакер добивается полного или частичного отказа оборудования и сервисов какой-либо компании.

Как в старом добром анекдоте 🙂

Как китайцы взломали серверы Пентагона.

1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун».
3. На 74 357 181 попытке сервер согласился, что его пароль — «Мао Цзедун».

Генерал Гривус, атакует джедая четырьмя световыми мечами, но мечей может быть и тысячи, как при DDoS-атаке.

Виды DDoS-атак: Атака клонов
Тысячи штурмовиков — идеальная аналогия DDoS-атакам.

Есть сетевая модель OSI (Open Systems Interconnection, взаимосвязь открытых систем). Она делит IT-инфраструктуру на 7 уровней. Разбирать все я конечно же не буду, но вы можете подробно изучить каждый в таблице снизу.

DDoS-атаки разделяют на два уровня (по атакуемым уровням открытой системы): низкоуровневые и. барабанная дробь… высокоуровневые.

• Низкоуровневая DDoS-атака — на уровни L3 (сетевой) и L4 (транспортный).
• Высокоуровневая DDoS-атака — на уровень L7 (приложения).

Например, если 10 000 000 людей запустят ping одного хоста — это DDoS. Или если 1000 человек используют запрос, который сервер будет обрабатывать полчаса из-за уязвимости\ошибки в конфигурации — это тоже DDoS.

Как выглядит DDoS-атака: штурмовики
Штурмовики aka DDoS.

Есть DoS-атаки, когда выводят систему из строя из одного источника, а есть DDoS, то есть распределённая DoS-атака, от которой сложнее защититься.

Простая аналогия:

• DoS — мандалорец, одиночка, охотник за головами;
• DDos — штурмовики, обезличенные войны в огромной армии, несущие волю Императора.

Мандалорец aka. DoS-атака.

Если вкратце, то при DDoS атакующий трафик и запросы генерируют из сотен, тысяч или миллионов взломанных (заражённых, если угодно) устройств и сетей: роутеры, серверы, ПК, IoT/интернет вещей. Да, взломанный умный чайник может быть угрозой бизнесу! Поэтому сложно отследить первоисточник атаки и однозначно заблокировать его.

Что такое ботнеты: Галактическая Империя
Армия: имперский флот, шагоходы, отряды штурмовиков, генералы — аналогия к ботнетам.

Это и есть сеть заражённых устройств для DDoS-атак. Ваш и мой компьютер вполне могут быть частью крупного ботнета. Как только ботмастер (управляющий ботнетом, не путать с боксмастер) даст сигнал, подконтрольные устройства в сети начнут DDoS-атаку, например, на Amazon или другую компанию. Ботнеты могут не только в DDoS, но и в кейлоггинг, спам-атаки, кражу платёжных данных и многое другое.

В 2021 году ботнет Mēris (“чума” с латышского) обрушил крупнейшую в истории Рунета DDoS-атаку на Яндекс: почти 22 миллионов запросов в секунду (RPS).

Визуализация DDoS-атаки на материковую Северную Америку.

Некоторые любители атаковать мусорным трафиком арендуют облачные серверы, мощности и ботнеты. Они платят деньги, чтобы остановить работу неугодной организации. Конечно, не получится смоделировать полноценную DDoS-атаку из нескольких виртуальных машин, но некоторые пишут проприетарные программы для DOS-атак на конкретные уровни OSI конкретной компании, что потенциально опасно.

А вот атака с арендованного ботнета — настоящее зло.

Реклама ботнета Mirai (400+ девайсов).

Что тут важно знать? 50000 устройств с атакой в 1 час и перерывами на 5-10 минут стоят $3000-4000 на две недели. На день или неделю арендовать нельзя, только 14 дней. То есть любой человек, у которого есть 200 тыс. рублей, может парализовать чей-то бизнес на 2 недели.

Зачем устраивают DDoS-атаки: Месть ситхов
Админ, перешедший на Тёмную сторону Силы, планирующий DDoS-атаку.

У хакеров (ты должен был бороться со злом, а не примкнуть к нему!) есть несколько мотивов для DDoS-атак: обучение и практика, развлечение, месть за что-либо, вымогательство (выкуп, чтобы остановить атаку), политика, репутационный ущерб или устранение конкурентов.

Выкуп — частая причина. Например, хахер запросит 500 тыс. рублей (бизнес за пару недель простоя может потерять в разы больше). Если на DDoS он потратит 200 т.р., то за вычетом получит 300 т.р. за пару дней (могут и быстрее начать молить о пощаде). 200 тыс. снова пойдут в оборот, а 100 тыс. — в карман. Или же можно вложить все 300 тыс., арендовать больше ботов и повысить ставки (взять рыбку покрупнее).

Немного про устранение конкурентов:

Servermall — крупный дистрибьютер в своём сегменте. Мы не акулы Enterprise, но в своё время первыми в России начали восстанавливать серверы и продавать их с 5-летней гарантией. Сейчас же мы выросли до крупного международного дистрибьютора (РФ, ЕАЭС, ЕС) — с огромной сетью партнёров, опытом и клиентской базой. Очевидно, что наши успехи и быстрый рост не остались без внимания конкурентов. Мы видим это и с точки зрения маркетинга, и с точки зрения враждебной DDoS-активности.

Недавно на IT-инфраструктуру Servermall устроили крупную DDoS-атаку и запросили деньги, чтобы прекратить её. Вероятность, что после выплаты атака остановится, стремится к нулю (она может идти, пока не закончится оплаченное в ботнете время). 5-летних гарантий уж точно нет и не будет.

Наш IT-директор атаку отразил, но пару дней сайт незначительно поштормило (увеличилось время загрузки некоторых страниц и изображений). Защиту после этого усилили, уязвимость закрыли, хакер — кроме расходов — ничего не получил. Денег и клиентов мы не потеряли, а что нас не убивает…

Платить хакерам — идея так себе: когда атакующим захочется больше золота и построить зиккурат, они вернутся, так как знают, что вы платили тогда и заплатите сейчас. Наверняка хакеры ведут таблички с курицами, несущими золотые яйца. И не забываем, что есть персонажи с неденежными интересами, а значит можно попасть под несколько независимых DDoS-атак. Особенно, если вы крупный бизнес.

Правильный подход — усиливать защиту, не допускать или отражать кибератаки, а после — выявлять и закрывать уязвимости.

Именно так мы и поступили.

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом.

Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти полное прекращение работы веб-ресурса – «отказ в обслуживании» или DoS (Denial-of-service).

Также, в зависимости от целей злоумышленника, результатом работы могут быть:

• Существенное замедление время ответа на запросы;
• Отказ в обслуживании части пользовательских запросов;
• Прикрытие другой зловредной активности на web-ресурсе жертвы;

Топливо для DDoS-атак

Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров» и любых других устройств, подключённых к сети.

Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.

Масштабы зомби-сетей впечатляющие. Например, вовремя не обновлённая уязвимость домашних роутеров одно известного вендора позволила заразить и управлять сетью из более 500.000 устройств по всему миру.

Природа современных DDoS-угроз

С ростом количества устройств подключённых к Интернет, зачастую не защищенных от заражения, стоимость организации DDoS-атак существенно снизилась, что соответственно привело к их увеличению.

Одина из распространённых причин DDoS-атак это вымогательство за остановку атаки тем более, что выплаты с развитием криптовалют зачатую помогают сохранить анонимность злоумышленника. Такие атаки сопровождается письмом с требованием выплаты за прекращение атаки.

В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента: замедлить/Остановить процессы продаж, обслуживания, информирования, атака на SEO позиции и пр. Такая атака оплачивается соответственно конкурентом.

Также нередко встречается «хактивизм» — привлечение внимания к проблеме путем проведения «громких» атак.

Меры противодействия DDoS-угрозам

В настоящее время такая преступная деятельность получила колоссальное распространение. Количество и мощность DDoS-атак растет. Однако количество успешных DDoS-атак уменьшается. Это обусловлено в основном техническими контрмерами, которые успешно применяются для противодействия DDoS-атакам.

В подавляющем большинстве случаев для защиты от DDoS-атак задействуются специализованные компании, что гораздо дешевле самостоятельно организации защиты внутри компании и уж тем более, стоимости последствий успешной DDoS-атаки.

Другие статьи и ссылки по теме «Распределенные сетевые атаки»

• Меры защиты отDDoS-атак
• Что такое троянская программа?
• Что такое компьютерный вирус или компьютерный червь?
• Adware, Pornware и Riskware
• Кто создает вредоносные программы?

Как работает DDoS-атака

DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.

При подготовке материала использовались источники:
https://vc.ru/flood/597069-ddos-ataka-bol-nashego-vremeni-kak-izbezhat-i-chto-delat-esli-vas-atakovali
https://www.kaspersky.ru/resource-center/threats/ddos-attacks