После сообщения правоохранительными органами США, Великобритании, Нидерландов о масштабном задержании и прекращении работы сразу 15 крупных сервисов организации DDoS-атак по найму, IT-мир на минуточку смог откинуть «визор», чтобы глотнуть свежего воздуха. После этого события, что произошло в декабре 2018 года, масштабность DDoS-атак по найму сократилась до 85%. Пока хакерские сервисы восстанавливаются от потрясения, рекомендуем воспользоваться информацией из статьи и предупредить будущие атаки, применив комплекс мер, именуемый защита от DDoS.
Краткая характеристика DDoS-атак
Получить развернутый ответ о DDoS-атаках можно в статье на соседней странице сайта. В этом разделе поверхностно оговорим основные нюансы хакерских атак, знания о которых нужны при рассмотрении мер защиты от них.
DDoS-атака – это не несущий никакой полезной информации трафик, поступающий на узел или к конечному адресату, с целью вывести его из строя.
Цели, преследуемые хакерами при проведении таких действий: нарушение работы сервисов и подрыв доверия к содержащим их организациям, кража данных или угроза от их избавления с целью выкупа, политические или социальные цели.
Последствия DDoS атак – массовый страх людей перед потерей ценностей (репутационных, финансовых и личной информации).
Типы DDoS-атак, применяемые в современности – это массовые атаки на протокольном уровне и уровне приложений. Об уровнях (layer) можно узнать, взглянув на сетевую модель стека протоколов данных OSI:
В последние годы приобрели популярность комбинированные DDoS-атаки Layer 3/4 с Layer 7. Атаки на сетевом и транспортном уровне сами по себе опасны для стойкости сайта, а ДДос прикладного уровня направлен на хищение или изменение данных. Подобное комбинирование опасно для незащищенного сетевого ресурса, и хакеры действуют через многовекторную атаку с применением ботнета и Amplification по DNS-серверу.
Как отличить DDoS-атаки от других?
DDoS-атака – это улучшенная версия DoS-атаки, о которой, вероятно, немногие слышали. Разница в том, что DDoS – генерация мусорного пакета с множества компьютеров, а DoS – генерация трафика только с одного.
Последний способ для хакерской деятельности малоэффективен и сможет быть отражен даже сисадмином-самоучкой. Вычислив «спамное IP», администратор ресурса просто забанит, отправит его в бан-лист. Этим он защитит от DDoS-атак ПК или веб-сервис.
Первенство сейчас имеют три класса атак, что используют огромные объемы фиктивного трафика для вывода из строя сетевых ресурсов:
- ICMP, UDP – отправление поддельного пакета с подменой собственного адреса на адрес жертвы. Все узлы, на которые был послан пакет, отвечают на переадресованный адрес. Для усиления эффекта, ответ возвращается с большим в несколько раз числом символов (большим размером). Еще, для усиления эффекта используется ботнет, состоящий из сотен, тысяч и более сетевых устройств (компьютеры, смартфоны, сетевые узлы, IP-камеры и умные вещи «IoT»).
- SYN Floods и SmurfDDoS – одновременный запуск огромного количества TCP-соединений через посылку SYN-пакета с обратным адресом, который попросту не существует. Данный тип атаки больше направлен на сетевую инфраструктуру и инструменты для управления ею.
- Layer 7 – отправка запросов, трудно отличимых от тех, что посылаются обычными пользователями. Для отправки используется ботнет сеть. Принцип нападения – отправка URL, ведущего на тяжелый PDF-файл или запрос на открытие огромной БД, и повторение такой операции сотни и тысячи раз в секунду.
Некоторые атаки могут носят деликатный характер, если хакер найдет в программном коде уязвимости и использует их в корыстных целях. В таком случае создаются программы-эксплоиты, которые способны сводить на нет защиту организаций.
Методы защиты от DDoS-атак
Не так страшен черт, как его малюют, тем более, если заранее подготовиться к защите и подойти к этому вопросу ответственно. Алгоритм мер по предоставлению защиты следующий:
- Программный код должен соответствовать всем нормам современной безопасности. Используйте стандарты «безопасного кодирования» и тщательно тестируйте применяемое программное обеспечение на предмет межсайтовых скриптов и различных SQL-инъекций.
- Разработайте план осуществления работ по обновлению ПО. Не допускайте проблем с откатом до предыдущей версии.
- Проводите обновление программного обеспечения своевременно. При возникших проблемах новой версии, вы уже разработали план, указанный во втором пункте.
- Ограничивайте доступ правильно и своевременно. Учетные записи администраторов нужно защищать сильными паролями и регулярно их менять.
- Проводите аудит прав доступа, своевременно удаляйте из системы учетные записи уволившихся сотрудников.
- Панель админа должна быть доступна только во внутренней сети инфраструктуры или через VPN. Закрывайте доступ профилей к VPN уволившихся и уволенных сотрудников в этот же день или на следующий. Не затягивайте и своевременно решайте этот вопрос.
- Продумайте план аварийного восстановления. Включите в него устранение последствий «хакерских операций». План должен содержать способы выявления факта проводимой DDoS-атаки, контакты для оперативной связи с хостинг и интернет-провайдером, дерево увеличения масштабов проблемы, для каждой структуры в вашей фирме.
- Сканируйте системы и программы вашей структуры на предмет уязвимостей. Примените тест OWASP Top 10 Vulnerability для выявления брешей в защите. Еще, полезными станут тесты на проникновение.
- Используйте аппаратные средства для генерации защиты. Но такой способ влетит в копеечку. Возможна альтернатива, в качестве «защита от DDoS-атак по требованию». Подразумевает собой смену схемы маршрутизации поступающего трафика при детектировании экстренной ситуации.
- Работайте через CDN. Распределенная сеть позволяет не только уменьшать задержку в обработке данных для географически удаленных от сервера юзеров, но и послужит препятствием между сервером и атакующим.
- Фаерволл для веб-приложений мониторит трафик между веб-сайтом и клиентской программой/браузером, проверяя законность приходящих запросов. Используйте Web Application Firewall, работающим на уровне приложений, чтобы выявлять и пресекать необычное поведение трафика.
Насчет практики, отличные методы защиты: обратное проксирование, использование защищенного хостинга, приобретение устройств для фильтрации трафика (для крупных предприятий).
Обратное проксирование (reverse proxy)
Простой, и в то же время действенный способ защиты от DDoS. Суть такова:
- Провайдер, работающий с защитным сервером, выдает ресурсу новый IP-адрес, что вводится в А-запись.
- При изменении А-записи, весь трафик будет пропускаться через «фильтрующий сервер», а после очистки и фильтрации лог-файлов HTTP-сервера, поступать на IP-адрес настоящего сервера.
- Так называемая обманка, принимающая основной удар на себя.
- При этом ресурсу не нужно менять свой IP-адрес, и он может размещаться на том же хостинге, где размещался ранее.
Настройка в общей сложности занимает 20 минут и не требует специальных знаний и спецификаций работы.
Защищенный хостинг
Если в первом случае используется сервер, то во втором можно использовать ресурсы защищенного сервера как услугу. Защищенный хостинг (или выделенный сервер) предлагается хостинг-провайдерами, уже подключенными к системе защиты. Плюсы защищенного от хакерских атак хостинга:
- Доступное решение даже для физических лиц, так как оплата идет только за часть ресурсов, а не за все модули стойки.
- Перенос с незащищенного хостинга на защищенный выполняется бесплатно.
- За подключение, настройку и обслуживание полностью отвечают служба технической поддержки.
- Можно перейти с хостинга на выделенный сервер при развитии проекта без каких-либо проблем с защитой.
Покупка фильтрующих устройств
Стоит дорого, но это того стоит. По сути, вы приобретаете собственные фильтрующие устройства, которые помогут вам с конфиденциальностью информации, так как вы не будете ее предоставлять третьей стороне (у которой можно арендовать аналогичные мощности).
Минусы:
- Не дешевое оборудование.
- Затраты на прокладку кабеля.
- Оперативное расширение канала связи невозможно.
- Наличие специалиста для работы с аппаратурой.
Такое оборудование рекомендуется применять финансовым структурам и тем, которые обрабатывают персональные данные.
Заключение
Если большие организации могут себе позволить закупку фильтрующих устройств и монтаж, оплату труда новых сотрудников, то для малого бизнеса такой вариант защиты сайтов и веб-сервисов не целесообразен. Лучше применять первые два метода защиты от DDoS атак. Также не игнорируйте алгоритм защиты данных и советы, приведенные в пунктах этого алгоритма.