Рост кибератак на бизнес в России и всём мире многократен и возрастает каждый год. Набирающая обороты тенденция к удаленному формату работы только увеличила риски в этой сфере. 

В этой статье мы рассмотрим один из видов киберугроз – DdoS-атаку, а также: 

  • Как работает DdoS-атака
  • В чем цель DdoS-атаки
  • Разница между DoS-атакой и DdoS-атакой
  • Признаки DdoS-атаки
  • Типы DdoS-атак
  • Варианты защиты от DdoS-атаки 

Атака распределенного отказа в обслуживании (DDoS) – это ненавязчивая Интернет-атака, направленная на то, чтобы отключить целевой веб-сайт или замедлить его работу, заполнив сеть, сервер или приложение фальшивым трафиком. 

Простыми словами злоумышленник искусственно создает целую лавину запросов на интернет-ресурс, чтобы под огромной нагрузкой тот вышел из строя. Для некоторых сайтов, не защищенных от подобных всплесков трафика, даже небольшое превышение будет критичным. 

Сбой в работе сайта может быть и «естественным». Такое может случиться, например, в онлайн-магазине во время сезонных распродаж. Ресурс не справляется с нагрузками и перестает работать из-за наплыва посетителей.

Подвергнуться такой атаке может любой онлайн-ресурс и даже телефонная линия, в результате организация-владелец будет нести серьезные убытки.

Как работает DdoS-атака?

Для совершения DDoS-атаки злоумышленник использует подготовленную заранее «ботнет-сеть». Такая сеть состоит из множества (до нескольких сотен тысяч) взломанных компьютеров с запущенными на них ботами и контролируется взломщиком удаленно. Кстати, в ботнет-сеть сегодня могут входить и «умные устройства»: колонки, смарт-телевизоры, пылесосы, холодильники и прочее. Эти IoT-устройства более уязвимы, чем компьютер, потому что на их защиту обращают меньше внимания.

Киберпреступник через свою сеть генерирует лавину запросов на определенный ресурс, вызывая таким образом сбои в его работе. Количество запросов в этом случае больше, чем ресурс-жертва может обработать. Из-за эффекта усиления от применения таких подчиненных ботов атака может сначала быть слабой и не вызвать подозрения, а потом нарастать. Так как при этом формируются ещё и поддельные запросы, то серверу приходится обрабатывать гораздо больший трафик, чем на него направлен на самом деле. Но усиление на этом не останавливается: истощаются ресурсы сервера, страдает ЦП, память и даже вся сеть.

Даже если работа сайта или приложения не остановилась, то из-за замедления работы посетители уходят, не добившись желаемого результата. А это уже репутационные потери для компании.

Например, 6 мая 2022 года Сбербанк пережил самую масштабную DdoS-атаку за всю свою историю. Она была нацелена на сайт банка, а источниками вредоносного трафика стали более 27000 устройств в Тайване, США, Японии и Великобритании. 

В чем цель DdoS-атаки?

Если сбои в работе онлайн-ресурса вызваны не естественными причинами, то кто-то в них заинтересован. Целью DDoS-атаки является предотвращение доступа законных пользователей к сайту для:

  • Отмены или переноса какого-то онлайн-мероприятия (экзамен или занятие);
  • Вымогательства у владельцев за возвращение доступа, т.е. прекращение кибератаки;
  • Устранения конкурентов в определенном секторе деятельности;
  • Проявления хактивизма, то есть идейной протестной деятельности с целью привлечь внимание к деятельности определенной компании или требованию злоумышленников;
  • Отвлечения внимания от более крупных киберпреступлений, например, кражи информации или внедрения программ-шпионов;
  • Обучения хакеров, когда атака носит пробный характер, а в процессе отрабатывается алгоритм действий и испытывается ботнет-сеть;
  • Выражения личной неприязни без какой-либо конкретной цели. Таким атакам, например, могут подвергнуться сайты известных личностей.

Как уже было сказано, в любом случае DDoS-атака приводит как к потерям финансовым, так и репутационным. 

Хотя сами DDoS-атаки не могут привести к краже информации о посетителях сайта или окончательном прекращении его работы, но могут быть одной из ступеней полномасштабной атаки на сайт или приложение.

Разница между DoS-атакой и DdoS-атакой

Атаки типа «отказ в обслуживании» (DoS) и атаки «распределенный отказ в обслуживании» (DDoS) очень похожи. По сути, DDoS-атака – это разновидность DoS-атаки.

Отличие заключается в источнике угрозы. DoS-атака (организация потока запросов) происходит с одного устройства, в то время как для DdoS-атаки используется множество объединенных между собой приборов. 

Распространение DoS/DDoS-атак напрямую связано с распространением рынка DDoS-услуг по найму (или Booter Services).

Признаки DdoS-атаки

Определить, что сайт или другой ресурс подвергся DDoS-атаке, можно по следующим признакам:

  • Сайт отвечает медленно;
  • Сайт не отвечает;
  • У пользователя проблемы с доступом к сайту;
  • Проблемы с подключением к Интернету, если вы являетесь целью.

Кроме этого, признаком можно считать увеличение запроса от тех пользователей, которые до этого не входили в целевую аудиторию онлайн-ресурса.

Типы DdoS-атак

  • «Пинг смерти» (Ping of Death). Из-за отправки данных большого объема сервер либо медленно работает, либо совсем отключается. Системы последних поколений защищены от таких атак.
  • HTTP(S) GET/POST-флуд. На сервер отправляются объемные, но бесполезные данные, чтобы заполнить каналы связи и заставить его потратить ресурсы на обработку бесполезного запроса.
  • Smurf-атака. Система-жертва получает ICMP-ответы от ботов на специально направленный вопрос.
  • UDP-флуд. Отправляется лавина UDP-пакетов на разные порты, чтобы заставить атакуемую систему обрабатывать множество ошибок приема пакетов генерировать на них ответы.
  • SYN-флуд. Из-за одномоментного, параллельного запуска многих TCP-соединений с неправильным обратным адресом сервер опять «зависает».
  • Layer 7 HTTP-флуд. В этом типе атаки ресурсы веб-сайта исчерпываются, потому что вынуждены обрабатывать поток «тяжелых» HTTP-запросов.
  • Атака на DNS-серверы. Сбои в работе сервера возникают из-за отправки типовых, пустых запросов.
  • Амплификация атаки. В этой DDoS-атаке используется эффект усиления, когда несколько ботов отправляют огромное количество ложных данных.

Варианты защиты от DdoS-атаки 

Количество и масштабы DdoS-атак неуклонно возрастают. Чем лучше и продуманнее защита, тем больше гарантий отражения DdoS-атак.

Есть несколько путей по построению защиты сетевого ресурса от кибератак этого типа.

  1. Масштабирование вычислительных возможностей сервера. При выборе облачных серверов для гибкого изменения производительности системы в любой текущий момент можно избежать перегрузки производительности сервера или снижения пропускной способности подключения при DdoS-атаке.
  2. Локализация точек атаки и уменьшение их числа. Защита ресурса тем эффективнее, чем меньше уязвимых зон для вмешательства хакера. В этом случае поможет Elastic Load Balancing (или другой балансировщик сетевой нагрузки) и ACL (network access control list), CDN (Content Delivery Network). ACL, например, позволяет настроить фильтрацию трафика и автоматически заблокировать вредоносный, CDN повысит производительность сайта.
  3. Специальные брандмауэры. С их помощью можно локализовать некоторые типы DDoS-атак. В их число входят WAF-экраны, например, «Брандмауэр для интернет-приложений AWS». Этот тип брандмауэра может противодействовать даже сложным по структуре кибератакам, а также отличить вредоносный трафик от качественного и автоматически его отсечь.
  4. Потенциал пропускной способности. Здесь нужно заранее убедиться, что хостинг-услуги позволят при необходимости увеличить пропускную способность ресурса. Или/и использовать специальные сетевые приложения, чтобы подстраиваться под запрос реального клиента, например, тот же CDN. Опять же этот вариант поможет только от DDoS-атак, угрожающих именно пропускной способности.
  5. Ориентир на максимальное количество трафика, которое в штатном режиме передать хостинг сайта. В этом случае сначала определяются признаки хорошего трафика, а потом проводятся технические решения, чтобы при вероятной атаке сравнить подозрительный запрос с идеальным. Трафик, который не прошел такое сравнение сразу отключается. 

Чаще всего для защиты привлекаются специализированные ресурсы и компании. Хотя их услуги платные, но финансовые расходы всё равно меньше, чем при успешной DdoS-атаке.