Защита от DDoS-атаки

После сообщения правоохранительными органами США, Великобритании, Нидерландов о масштабном задержании и прекращении работы сразу 15 крупных сервисов организации DDoS-атак по найму, IT-мир на минуточку смог откинуть «визор», чтобы глотнуть свежего воздуха. После этого события, что произошло в декабре 2018 года, масштабность DDoS-атак по найму сократилась до 85%. Пока хакерские сервисы восстанавливаются от потрясения, рекомендуем воспользоваться информацией из статьи и предупредить будущие атаки, применив комплекс мер, именуемый защита от DDoS.

Краткая характеристика DDoS-атак

Получить развернутый ответ о DDoS-атаках можно в статье на соседней странице сайта. В этом разделе поверхностно оговорим основные нюансы хакерских атак, знания о которых нужны при рассмотрении мер защиты от них.

DDoS-атака – это не несущий никакой полезной информации трафик, поступающий на узел или к конечному адресату, с целью вывести его из строя.

Цели, преследуемые хакерами при проведении таких действий: нарушение работы сервисов и подрыв доверия к содержащим их организациям, кража данных или угроза от их избавления с целью выкупа, политические или социальные цели.

Последствия DDoS атак – массовый страх людей перед потерей ценностей (репутационных, финансовых и личной информации).

Типы DDoS-атак, применяемые в современности – это массовые атаки на протокольном уровне и уровне приложений. Об уровнях (layer) можно узнать, взглянув на сетевую модель стека протоколов данных OSI:

В последние годы приобрели популярность комбинированные DDoS-атаки Layer 3/4 с Layer 7. Атаки на сетевом и транспортном уровне сами по себе опасны для стойкости сайта, а ДДос прикладного уровня направлен на хищение или изменение данных. Подобное комбинирование опасно для незащищенного сетевого ресурса, и хакеры действуют через многовекторную атаку с применением ботнета и Amplification по DNS-серверу.

Как отличить DDoS-атаки от других?

DDoS-атака – это улучшенная версия DoS-атаки, о которой, вероятно, немногие слышали. Разница в том, что DDoS – генерация мусорного пакета с множества компьютеров, а DoS – генерация трафика только с одного.

Последний способ для хакерской деятельности малоэффективен и сможет быть отражен даже сисадмином-самоучкой. Вычислив «спамное IP», администратор ресурса просто забанит, отправит его в бан-лист. Этим он защитит от DDoS-атак ПК или веб-сервис.

Первенство сейчас имеют три класса атак, что используют огромные объемы фиктивного трафика для вывода из строя сетевых ресурсов:

1. ICMP, UDP – отправление поддельного пакета с подменой собственного адреса на адрес жертвы. Все узлы, на которые был послан пакет, отвечают на переадресованный адрес. Для усиления эффекта, ответ возвращается с большим в несколько раз числом символов (большим размером). Еще, для усиления эффекта используется ботнет, состоящий из сотен, тысяч и более сетевых устройств (компьютеры, смартфоны, сетевые узлы, IP-камеры и умные вещи «IoT»).
2. SYN Floods и SmurfDDoS – одновременный запуск огромного количества TCP-соединений через посылку SYN-пакета с обратным адресом, который попросту не существует. Данный тип атаки больше направлен на сетевую инфраструктуру и инструменты для управления ею.
3. Layer 7 – отправка запросов, трудно отличимых от тех, что посылаются обычными пользователями. Для отправки используется ботнет сеть. Принцип нападения – отправка URL, ведущего на тяжелый PDF-файл или запрос на открытие огромной БД, и повторение такой операции сотни и тысячи раз в секунду.

Некоторые атаки могут носят деликатный характер, если хакер найдет в программном коде уязвимости и использует их в корыстных целях. В таком случае создаются программы-эксплоиты, которые способны сводить на нет защиту организаций.

Методы защиты от DDoS-атак

Не так страшен черт, как его малюют, тем более, если заранее подготовиться к защите и подойти к этому вопросу ответственно. Алгоритм мер по предоставлению защиты следующий:

1. Программный код должен соответствовать всем нормам современной безопасности. Используйте стандарты «безопасного кодирования» и тщательно тестируйте применяемое программное обеспечение на предмет межсайтовых скриптов и различных SQL-инъекций.
2. Разработайте план осуществления работ по обновлению ПО. Не допускайте проблем с откатом до предыдущей версии.
3. Проводите обновление программного обеспечения своевременно. При возникших проблемах новой версии, вы уже разработали план, указанный во втором пункте.
4. Ограничивайте доступ правильно и своевременно. Учетные записи администраторов нужно защищать сильными паролями и регулярно их менять.
5. Проводите аудит прав доступа, своевременно удаляйте из системы учетные записи уволившихся сотрудников.
6. Панель админа должна быть доступна только во внутренней сети инфраструктуры или через VPN. Закрывайте доступ профилей к VPN уволившихся и уволенных сотрудников в этот же день или на следующий. Не затягивайте и своевременно решайте этот вопрос.
7. Продумайте план аварийного восстановления. Включите в него устранение последствий «хакерских операций». План должен содержать способы выявления факта проводимой DDoS-атаки, контакты для оперативной связи с хостинг и интернет-провайдером, дерево увеличения масштабов проблемы, для каждой структуры в вашей фирме.
8. Сканируйте системы и программы вашей структуры на предмет уязвимостей. Примените тест OWASP Top 10 Vulnerability для выявления брешей в защите. Еще, полезными станут тесты на проникновение.
9. Используйте аппаратные средства для генерации защиты. Но такой способ влетит в копеечку. Возможна альтернатива, в качестве «защита от DDoS-атак по требованию». Подразумевает собой смену схемы маршрутизации поступающего трафика при детектировании экстренной ситуации.
10. Работайте через CDN. Распределенная сеть позволяет не только уменьшать задержку в обработке данных для географически удаленных от сервера юзеров, но и послужит препятствием между сервером и атакующим.
11. Фаерволл для веб-приложений мониторит трафик между веб-сайтом и клиентской программой/браузером, проверяя законность приходящих запросов. Используйте Web Application Firewall, работающим на уровне приложений, чтобы выявлять и пресекать необычное поведение трафика.

Насчет практики, отличные методы защиты: обратное проксирование, использование защищенного хостинга, приобретение устройств для фильтрации трафика (для крупных предприятий).

Обратное проксирование (reverse proxy)

Простой, и в то же время действенный способ защиты от DDoS. Суть такова:

1. Провайдер, работающий с защитным сервером, выдает ресурсу новый IP-адрес, что вводится в А-запись.
2. При изменении А-записи, весь трафик будет пропускаться через «фильтрующий сервер», а после очистки и фильтрации лог-файлов HTTP-сервера, поступать на IP-адрес настоящего сервера.
3. Так называемая обманка, принимающая основной удар на себя.
4. При этом ресурсу не нужно менять свой IP-адрес, и он может размещаться на том же хостинге, где размещался ранее.

Настройка в общей сложности занимает 20 минут и не требует специальных знаний и спецификаций работы.

Защищенный хостинг

Если в первом случае используется сервер, то во втором можно использовать ресурсы защищенного сервера как услугу. Защищенный хостинг (или выделенный сервер) предлагается хостинг-провайдерами, уже подключенными к системе защиты. Плюсы защищенного от хакерских атак хостинга:

1. Доступное решение даже для физических лиц, так как оплата идет только за часть ресурсов, а не за все модули стойки.
2. Перенос с незащищенного хостинга на защищенный выполняется бесплатно.
3. За подключение, настройку и обслуживание полностью отвечают служба технической поддержки.
4. Можно перейти с хостинга на выделенный сервер при развитии проекта без каких-либо проблем с защитой.

Покупка фильтрующих устройств

Стоит дорого, но это того стоит. По сути, вы приобретаете собственные фильтрующие устройства, которые помогут вам с конфиденциальностью информации, так как вы не будете ее предоставлять третьей стороне (у которой можно арендовать аналогичные мощности).

Минусы:

1. Не дешевое оборудование.
2. Затраты на прокладку кабеля.
3. Оперативное расширение канала связи невозможно.
4. Наличие специалиста для работы с аппаратурой.

Такое оборудование рекомендуется применять финансовым структурам и тем, которые обрабатывают персональные данные.

Заключение

Если большие организации могут себе позволить закупку фильтрующих устройств и монтаж, оплату труда новых сотрудников, то для малого бизнеса такой вариант защиты сайтов и веб-сервисов не целесообразен. Лучше применять первые два метода защиты от DDoS атак. Также не игнорируйте алгоритм защиты данных и советы, приведенные в пунктах этого алгоритма.