DDoS-атаки: что это такое, виды и цели, как защитить свои сайт

Оглавление

11 ноября на радость всем шопоголикам проходит знаменитая «черная пятница». Тот самый день, когда нужно успеть купить то, что еще вчера стоило в 3 раза дешевле.

В последние годы это мероприятие превратилось из однодневной акции в массовую многодневную распродажу. Однако не только любители шопинга с нетерпением ждут этой даты — киберпреступники тоже держат её в календаре. В этот период они активно пытаются атаковать онлайн-магазины, и их DDoS-атаки способны полностью парализовать доступ к сайтам в пиковые часы скидок.

Механизм DDoS-атаки

Аббревиатура DDoS (от англ. Distributed Denial of Service) в переводе означает «распределенный отказ в обслуживании», то есть сайт буквально «откажется» обслуживать пользователей. Он становится недоступным или работает крайне медленно, с постоянными зависаниями.

Слово «распределенный» означает, что такая атака распределена между множеством устройств, которые заражены вредоносным ПО. Злоумышленники создают из них огромную сеть – ботнет. При запуске атаки устройства в сети одновременно начинают отправлять запросы к одному сайту.

Когда сервер перегружается стихийным потоком ложных запросов, он уже не может обработать ни их, ни запросы реальных онлайн-посетителей. Сайт «упал», потенциальные клиенты ушли, владелец интернет-магазина грустно подсчитывает недополученную выручку. Без надежной защиты от DDoS-атак любые веб-ресурсы максимально уязвимы.

На что могут быть нацелены DDoS-атаки

DDoS-атаки происходят на разных уровнях модели OSI, которая описывает, как устройства в сети должны взаимодействовать друг с другом. Модель состоит из семи уровней. Каждый из них отвечает за определенные задачи, связанные с передачей данных.

DDoS-атакам обычно подвергаются три из семи уровней: сетевой, транспортный и прикладной.

1. Атака на сетевом уровне (уровень L3 по модели OSI). Обобщенно этот тип DDoS называют атаками на переполнение канала, поскольку страдает сетевая инфраструктура и интернет-канал.

Допустим, в компании подключен интернет-канал на 100 Мбит/с. Злоумышленники могут переполнить его запросами так, что их общий объем в секунду превысит 100 Мбит. Из-за этого сетевые устройства – маршрутизаторы, роутеры – не смогут подключиться к интернету. Их запросы просто «не уместятся» в канал, забитый паразитными запросами.

Если вернуться к нашей «черной пятнице», такую атаку можно сравнить с наплывом посетителей в магазине, когда в помещение, рассчитанное на 100 человек, пытается попасть 1000 покупателей одновременно.

2. Атака на транспортном уровне (уровень L4 по модели OSI). Это группы атак на пользовательские сессии. Мишенью становится, например, протокол TCP – правила обмена данными между устройствами в сети.

Зараженные устройства могут отправлять массовые запросы для установки соединения с сервером. Он, в свою очередь, будет генерировать множество ответов и таким образом исчерпывать свои ресурсы.

Аналогия с «черной пятницей»: множество покупателей в магазине начинают одновременно звать консультантов, которые обязаны к ним подойти. Продавцы будут буквально сбиваться с ног, пытаясь ответить всем.

3. Атака на прикладном уровне (уровень L7 по модели OSI). В этом случае «ддосят» интернет-ресурсы. Как раз о таких атаках мы говорили в начале статьи. Их цель – отказ работы сайтов и веб-приложений.

DDoS-атака на прикладном уровне находит у ресурсов слабые места. Как правило, к ним относятся формы, с помощью которых пользователь взаимодействует с сайтом: поисковая строка, форма заказа или регистрации. Если начать вводить в строку поиска огромное количество запросов в секунду, сервер, не рассчитанный на такую нагрузку, не сможет их обработать. И реальный пользователь, который в этот момент попытается что-то найти на сайте, в лучшем случае увидит бесконечно крутящийся значок загрузки. В худшем – ресурс будет недоступен.

На примере «черной пятницы» в реальном магазине такая DDoS-атака выглядела бы как множество людей, которые очень долго консультируются у продавцов, а потом уходят без покупок. В итоге персонал тратит ресурсы на обслуживание «фальшивых» клиентов, а реальные устают ждать своей очереди и уходят.

Примеры распространенных видов DDoS-атак

В зависимости от того, на какой уровень направлена атака, ее целью становятся:

интернет-канал (на сетевом уровне L3)
протоколы обмена данными между устройствами в сети (на транспортном уровне L4)
cайты и веб-приложения (на прикладном уровне L7)

Разберем типовые виды DDoS-атак, которые встречаются на каждом из трех уровней.

DDoS-атака на сетевом уровне L3: ICMP-флуд

Множество устройств с разных IP-адресов начинают одновременно отправлять к серверу жертвы поток ICMP-пакетов, так называемых эхо-запросов. Сервер пытается обработать все эти обращения, чтобы подтвердить свою доступность для установки соединения. В результате канал переполняется и становится недоступным для запросов настоящих пользовательских устройств.

DDoS-атака на транспортном уровне L4: SYN-флуд

Такая атака направлена на то, чтобы нарушить процесс соединения пользователя с сервером. Этот алгоритм называют «трехсторонним рукопожатием», поскольку он состоит из трех последовательных этапов:

1. Устройство пользователя отправляет запрос серверу на подключение.

2. Сервер присылает ответ, подтверждая возможность соединения.

3. Устройство пользователя отправляет финальный запрос и подключается к серверу.

При DDoS-атаке способом SYN-флуд зараженные устройства рассылают волну запросов на подключение, тем самым создавая множество пользовательских сессий. Сервер отправляет подтверждения и «ждет» того самого третьего рукопожатия, которое будет означать успешное подключение. Однако его не происходит, а сервер продолжает тратить свои ресурсы и держать эти пользовательские сессии открытыми, чтобы завершить процесс соединения.

DDoS-атаки на уровнях L3-L4 могут буквально парализовать работу офиса. Перестанут функционировать корпоративные сервисы, например, IP-телефония, остановится работа удаленных сотрудников. Чем мощнее атака, тем больше ущерб: в том числе могут стать недоступными серверы со служебными программами, такими как 1С.

Если такой атаке подвергся оператор связи, у клиентов этого провайдера «отрубится» доступ к сети, или интернет будет работать крайне медленно. Поэтому для телеком-компаний защита от DDoS-атак критически важна.

DDoS-атака на прикладном уровне L7: HTTP-флуд

Допустим, мы хотим скачать с сайта шаблон какого-нибудь документа. В механике работы веб-приложения это означает, что мы создаем HTTP-запрос. В ответ на него сервер должен прислать нам нужный файл.

HTTP-флуд представляет собой шквал таких HTTP-запросов, для обработки и выполнения которых требуются ресурсы сервера. В нашем примере сервер может быть так занят рассылкой файла в ответ на запросы злоумышленников, что у него просто не останется ресурсов, чтобы поддерживать работу ресурса. Итог – сайт недоступен или работает медленно.

Именно атаки на прикладном уровне – на сайты и веб-приложения – с каждым годом набирают обороты. Это логично, поскольку бизнес активно уходит в онлайн: в интернете насчитывается более 1 миллиарда сайтов, и каждые 3 секунды где-то создают новый. Большинство владельцев сайтов на начальном этапе даже не задумываются про необходимость защиты от DDoS-атак, и это привлекает киберпреступников всех уровней.

Кто и для чего устраивает DDoS-атаки на веб-ресурсы

DDoS-атаки на веб-приложения и сайты сложнее распознать, потому что они имитируют действия реальных пользователей: заполнение форм или нажатия на кнопки. При этом ущерб будет ощутимым для бизнеса любого масштаба. Веб-ресурс без защиты от DDoS-атак уязвим даже для неопытных хакеров.

Это не преувеличение: раньше дети развлекались тем, что звонили в дверь и убегали, а сейчас подобной забавой порой становятся DDoS-атаки. ИТ-тема интересует многих подростков, и здесь тоже есть «темная» и «светлая» стороны. В интернете легко найти сообщества, которые публикуют подробные инструкции по организации DDoS-атак, объявляют даты и время атак на конкретные компании или целые отрасли. Для рядовых участников таких кибернападений это кажется развлечением, а инициаторы подобных акций могут преследовать куда более серьезные цели:

Навредить конкуренту. В даркнете масса специалистов, которые готовы «положить» ресурс одной компании по заказу другой. Если у сайта не подключена защита от DDoS-атак, такая услуга будет стоить буквально копейки, а ущерб от нее будет значительным.
Заработать. Киберпрестуники могут атаковать ресурс и вымогать деньги за его восстановление. Такие случаи часто происходят в период, когда онлайн-канал может принести наибольшую прибыль: в период распродаж или перед праздниками.
Скомпрометировать. Политически мотивированными DDoS-атаками уже никого не удивить. Целью таких акций может быть как нанести ущерб конкретным отраслям экономики, атакуя сайты предприятий из одной сферы, так и разместить на ресурсах провокационные лозунги или фейковую информацию.

Наконец, есть такая банальная вещь как личная неприязнь. DDoS-атаки по этой причине распространены, к примеру, среди киберспортивных команд. Целью могут стать конкретные игроки, которым таким образом пытаются отомстить за поражение или ослабить их позиции в игре.

Последствия DDoS-атак для бизнеса

Стереотип о том, что атакуют только ресурсы крупных игроков на рынке уже давно неактуален. Применительно к российскому бизнесу как раз наоборот. За последние 2 года количество DDoS-атак в Центральной России так резко возросло, что организации, базирующиеся в этой части страны, серьезно взялись за безопасность своей ИТ-инфраструктуры и веб-ресурсов. Поэтому злоумышленники направляют свои усилия на регионы, где защита от DDoS-атак для многих компаний пока кажется необязательным элементом. Однако угроза весьма реальна, а последствия – серьезны.

Финансовый ущерб. Самый явный риск для бизнеса. К потерям относится не только прибыль, которой компания лишится из-за простоя в онлайн-продажах. Это также расходы на восстановление работоспособности ресурса и трудозатраты специалистов, которые будут этим заниматься.

Потеря клиентов. Многочисленные исследования доказывают, что люди в среднем готовы ждать не более 3 секунд, пока загрузится страница. 33% пользователей говорят о том, что сразу уйдут на другой сайт. В условиях высокой конкуренции медленная работа интернет-ресурса или его полная недоступность может стать одной из ключевых причин оттока клиентов. Защита от DDoS-атак снижает вероятность ухода пользователей на сайты конкурентов из-за медленной загрузки.

Снижение позиций сайта в поисковиках. Представим, что человек из поиска перешел на страницу и спустя 4-5 секунд покинул ее из-за медленной работы. Такое быстрое закрытие сайта называется отказом. Это один из основных показателей, по которым поисковики ранжируют сайты. Чем выше показатель отказов, тем ниже ресурс находится в поисковой выдаче. Поэтому сайты без защиты от DDoS-атак гораздо сильнее рискуют завоеванными позициями в топе выдачи. Если компания регулярно вкладывает деньги в SEO-продвижение, это означает еще и материальные потери и недополучение лидов.

Непредвиденные расходы. Некоторые DDoS-атаки могут длиться до нескольких недель или месяцев и просто тормозить работу ресурса. В такой ситуации легко ошибиться: предположить, что не хватает мощностей и потратиться на увеличение емкости сервера, который обеспечивает работу сайта. Тогда как на деле причина была в том, что ресурсу просто нужна защита от DDoS-атак.

Удар по имиджу. Недоступность сайта часто приводит к негативу со стороны пользователей. В эпоху социальных сетей любое нарушение работы онлайн-ресурса может стать причиной многочисленных постов с критикой в адрес компании. Также страдает репутация компании в справочных системах, например, Яндекса или Google. Люди ставят плохие оценки, понижая рейтинг организации. Это может повлиять на мнение потенциальных клиентов.

Юридические риски. Во многих организациях веб-ресурсы становятся важной частью рабочих процессов. Недоступность ресурсов из-за отсутствия защиты от DDoS-атак в том числе может привести к нарушению обязательств перед партнерами, подрядчиками или клиентами. Это грозит штрафами и судебными разбирательствами.

Варианты защиты сайта от DDoS

Защита от DDoS-атак стала гигиеническим минимумом для любой компании, у которой сайт существует не для галочки, а для выполнения реальных бизнес-задач.

В первую очередь для приобретения домена выбирайте проверенных хостинг-провайдеров. Они заботятся о безопасности своей инфраструктуры и анализируют входящий трафик, отсеивая подозрительные запросы на сетевом и транспортном уровнях (L3-L4). Однако для отражения DDoS-атак на прикладном уровне L7 эта защита бесполезна, потому что направлена только на инфраструктуру и логику передачи данных. Сам сайт и сервер остаются уязвимыми.

Регулярно обновляйте программное обеспечение. Устаревшее ПО часто содержит уязвимости, которые легко найти с помощью сканирующих ботов и использовать для атак.

Если у вас есть необходимые технические знания или специалист, который занимается веб-ресурсом, можно предпринять профилактические меры. Они не гарантируют защиту от DDoS-атак, но снижают риск при возникновении реальной киберугрозы:

регулярно анализировать трафик и логи сервера;
использовать сеть доставки контента (CDN) для распределения нагрузки между серверами;
ограничить параметры входящих запросов, чтобы снизить риск прохождения паразитного трафика.

Лучшим вариантом будет дополнить профилактические меры специализированным решением для защиты от DDoS-атак. В их основе лежат технологии, которые в считанные секунды фиксируют атаку и начинают отсеивать подозрительные запросы.

Как правило, внедрение таких сервисов требует тонких настроек и наличия ИТ-специалиста в штате или на постоянном аутсорсе. Однако WEB AntiDDoS от Solar Space – автоматизированное решение, подключением которого справится человек без профильных знаний в разработке сайтов и информационной безопасности. Это готовый сервис для отражения DDoS-атак с доступной стоимостью от 1000 рублей в месяц.

Как работает защита от DDoS-атак

WEB AntiDDoS работает на основе технологии reverse proxy. Это означает, что настоящий IP-адрес сайта заменяется на IP-адрес нашего прокси-сервера. Он выполняет роль фильтра, анализируя весь трафик по ряду параметров. Подозрительные запросы отсеиваются, а обращения от реальных пользователей перенаправляются на защищаемый веб-ресурс.

Для подключения и внедрения сервиса не нужно быть специалистом по информационной безопасности или разбираться в устройстве сайтов. Достаточно зарегистрироваться в личном кабинете, выбрать нужный тариф и после оплаты поставить свой ресурс под защиту. Это займет около 20-30 минут в зависимости от того, как быстро ваш хостинг-провайдер сможет обновить записи, необходимые для смены IP-адреса. После этого защита от DDoS-атак активируется без дополнительных настроек автоматически.

Стоимость сервиса определяется объемом входящего, уже очищенного системой трафика. Клиент оплачивает только обращения к сайту от реальных пользователей. Аномальные всплески в момент атак отсекаются нашим фильтрующим сервером и не тарифицируются.

DDoS-атака, и при чем тут «черная пятница»

Допустим, обычно объем входящего трафика на конкретный веб-ресурс не превышает 5 Мбит/с. Во время «черной пятницы» он подвергся атаке, из-за чего эта цифра увеличилась до 100 Мбит/с. Система защиты от DDoS-атак распознает и отфильтрует паразитные запросы, а единичные скачки трафика не повлияют на сумму ежемесячного платежа.

Широкая линейка тарифов предусматривает защиту от DDоS-атак и для лендингов с небольшим объемом трафика (от 1000 рублей в месяц) и для полноценных интернет-магазинов с множеством посетителей (от 8000 рублей в месяц).

Оставьте заявку на консультацию, и менеджер поможет выбрать подходящий для вашего сайта вариант защиты.

ЗАКЛЮЧЕНИЕ

Еще 10 лет назад мы и подумать не могли, что не выходя из дома сможем подать документы в университет, оформить заказ на букет близкому человеку в другом городе, оформить и оплатить страховку. Что уж говорить о доставке и онлайн-покупках, без которых невозможно представить нашу жизнь.

В мире, где многое доступно «на расстоянии» нескольких кликов, стабильная работа интернет-ресурсов становится критично важной. Защита от DDoS-атак – больше не роскошь, а объективная необходимость для компаний, которые хотят быть конкурентоспособными, развивать цифровые продажи и получать отдачу от инвестиций в онлайн-продвижение.

Защищать веб-ресурсы нужно не только во время «черной пятницы». Не откладывайте безопасность на завтра – обеспечьте надежную работу вашего сайта и интернет-магазина прямо сейчас.