Распределенная атака типа «отказ в обслуживании» (DDoS) - это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегружая цель или окружающую инфраструктуру потоком интернет-трафика. Эффективность DDoS-атак зависит от количества скомпрометированных (зараженных вирусами) компьютерных систем в качестве источников трафика атаки. Зараженные машины (зомби, боты) могут включать компьютеры и другие сетевые ресурсы, такие как устройства IoT (умные устройства).
Первые ддос-атаки появились еще в 1996 году, а широко о проблеме заговорили в 1999 году, когда ддосеры положили сайты Amazon, Yahoo, CNN, eBay и других IT-компаний.
По информации от Касперский Лаб нападения на российские компании в 2017 году составило 2,24 % от мирового ддос-трафика. Причем 37 % всех DDoS-атак пришлось на микробизнес, 31 % хакерских ресурсов было направлено на малые и средние предприятия и 39 % — на крупные корпорации.
Есть два основных типа DDoS атак - одни направлены, чтобы перегрузить компьютер через программу, а другие направленны на перегрузку сетевого канала к атакуемому компьютеру.
Атаки, нацеленные на перегрузку компьютера называются атаками 7 уровня (в модели работы ОС семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера, путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Это классические http-атаки на сайт, в результате которых программа (Apache или Nginx) расходует все ресурсы сервера.
Ддос атаки на канал требуют значительно больше ресурсов. Эти атаки относятся к 3 и 4 уровню - атаки на канал или протокол передачи данных. Обычно пропускная способность каналов большинства сайтов - 100 Мбит/с. Многие хостеры предоставляют каналы 1 Гбит/с, но они, соответственно, дороже.
С такими атаками значительно сложнее справиться. Даже если у вас очень хорошо настроена фильтрация ботов, огромное количество подключений может просто забить канал и легитимный трафик пройти не сможет.
Так, для отключения от интернета небольшой страны Либерии потребуется скорость передачи данных до 5 Тб/сек. Для большинства сайтов 20-40 Гб/сек вполне достаточно.
Ддос-атаки чаще всего используются в целях недобросовестной конкуренции. Причем не только в бизнесе, но и в политике.
Жертвы ддос-атак по сферам:
Чаще всего ддосер является исполнителем, но может организовать атаку по своей инициативе, с целью шантажа. Как правило, в таком случае атакуются серые сайты, владельцы которых не будут обращаться в полицию.
В помощью ддос-атак хакеры также выражают протест против тех или иных действий правительственных организаций (интернет-аналог митинга). Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.
Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Первые ддос-атаки появились еще в 1996 году, а широко о проблеме заговорили в 1999 году, когда ддосеры положили сайты Amazon, Yahoo, CNN, eBay и других IT-компаний.
По информации от Касперский Лаб нападения на российские компании в 2017 году составило 2,24 % от мирового ддос-трафика. Причем 37 % всех DDoS-атак пришлось на микробизнес, 31 % хакерских ресурсов было направлено на малые и средние предприятия и 39 % — на крупные корпорации.
Виды ддос атак
Есть два основных типа DDoS атак - одни направлены, чтобы перегрузить компьютер через программу, а другие направленны на перегрузку сетевого канала к атакуемому компьютеру.
Атаки, нацеленные на перегрузку компьютера называются атаками 7 уровня (в модели работы ОС семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера, путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Это классические http-атаки на сайт, в результате которых программа (Apache или Nginx) расходует все ресурсы сервера.
Ддос атаки на канал требуют значительно больше ресурсов. Эти атаки относятся к 3 и 4 уровню - атаки на канал или протокол передачи данных. Обычно пропускная способность каналов большинства сайтов - 100 Мбит/с. Многие хостеры предоставляют каналы 1 Гбит/с, но они, соответственно, дороже.
С такими атаками значительно сложнее справиться. Даже если у вас очень хорошо настроена фильтрация ботов, огромное количество подключений может просто забить канал и легитимный трафик пройти не сможет.
Так, для отключения от интернета небольшой страны Либерии потребуется скорость передачи данных до 5 Тб/сек. Для большинства сайтов 20-40 Гб/сек вполне достаточно.
Мотивы использования DDoS-атак
Ддос-атаки чаще всего используются в целях недобросовестной конкуренции. Причем не только в бизнесе, но и в политике.
Жертвы ддос-атак по сферам:
Чаще всего ддосер является исполнителем, но может организовать атаку по своей инициативе, с целью шантажа. Как правило, в таком случае атакуются серые сайты, владельцы которых не будут обращаться в полицию.
В помощью ддос-атак хакеры также выражают протест против тех или иных действий правительственных организаций (интернет-аналог митинга). Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.
Защита от DDoS-атак
Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
- Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. Например, это может выражаться в самоцензуре.
- Противодействие. Можно попытаться отследить источник атаки, найти организатора (этим занимаются специальные фирмы). Или можно попытаться разрушить сам ботнет. Самый простой способ противодействия - это выкладывание в паблик IP ддос-ботов.
- Анти-ддос программы. Программное и аппаратное обеспечение для фильтрации входящего трафика.
- Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и ACL списков. Использование межсетевых экранов блокирует конкретный поток трафика (например, по странам, как это реализовано в Cloudflare), но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP.
- Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
- Устранение уязвимостей. Данная мера нацелена на устранение ошибок в системах и службах.
- Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки. Такое можно реализовать, например, через DNS Geo IP, когда один сайт может обслуживать несколько серверов в зависимости от страны пользователя.
- CDN-сервисы или проксирование. Особенно актуально при атаках на пропускной канал.