+7 (495) 798 11 14
ЛИКБЕЗ
Что такое DDoS
Атаки типа «распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS) являются подклассом атак более общего типа «отказ в обслуживании» (Denial of service, DoS). При DDoS-атаке одновременно используется множество онлайн-устройств, включенных в единую сеть, обобщенно называемую ботнет. Эти устройства используются для перегрузки целевого веб-сайта фальшивым трафиком.
В отличие от других видов кибератак, DDoS-атаки не направлены на нарушение периметра безопасности. Скорее, цель DDoS-атаки – сделать ваш веб-сайт и серверы недоступными для законных пользователей. DDoS также может использоваться в качестве дымовой завесы для других вредоносных действий и для отключения устройств безопасности, нарушая периметр безопасности цели.
Успешная распределенная атака типа «отказ в обслуживании» – это весьма заметное событие, влияющее на всю базу онлайн-пользователей. Это делает его популярным оружием среди кибер-вандалов, вымогателей и всех, кто хочет высказать свою точку зрения (например, подвергнуть DDoS-атаке веб-ресурс за несогласие с политикой его владельцев).
DDoS-атаки могут осуществляться короткими очередями или могут повторяться, но в любом случае воздействие на веб-сайт или бизнес может длиться днями, неделями и даже месяцами, пока организация пытается восстановиться. Это может сделать DDoS чрезвычайно разрушительным для любой онлайн-организации. Помимо прочего, DDoS-атаки могут привести к потере доходов, подорвать доверие потребителей, вынудить предприятия тратить огромные суммы на компенсации и нанести долгосрочный ущерб репутации.
Успешная распределенная атака типа «отказ в обслуживании» – это весьма заметное событие, влияющее на всю базу онлайн-пользователей. Это делает его популярным оружием среди кибер-вандалов, вымогателей и всех, кто хочет высказать свою точку зрения (например, подвергнуть DDoS-атаке веб-ресурс за несогласие с политикой его владельцев).
DDoS-атаки могут осуществляться короткими очередями или могут повторяться, но в любом случае воздействие на веб-сайт или бизнес может длиться днями, неделями и даже месяцами, пока организация пытается восстановиться. Это может сделать DDoS чрезвычайно разрушительным для любой онлайн-организации. Помимо прочего, DDoS-атаки могут привести к потере доходов, подорвать доверие потребителей, вынудить предприятия тратить огромные суммы на компенсации и нанести долгосрочный ущерб репутации.
Разница между DoS и DDoS
Различия между регулярными и распределенными атаками типа «отказ в обслуживании» весьма существенны.
При DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы либо воспользоваться уязвимостью программного обеспечения, либо забросать цель поддельными запросами — обычно в попытке исчерпать ресурсы сервера (например, ОЗУ и ЦП).
Атаки типа «распределенный отказ в обслуживании» (DDoS) запускаются с нескольких подключенных устройств, которые распределены по Интернету. Эти атаки, состоящие из нескольких человек и множества устройств, как правило, сложнее отразить, в основном из-за огромного количества задействованных устройств. В отличие от DoS-атак с одним источником, DDoS-атаки, как правило, нацелены на сетевую инфраструктуру, пытаясь насытить ее огромными объемами трафика.
DDoS-атаки также различаются по способу их выполнения. Грубо говоря, атаки типа «отказ в обслуживании» запускаются с использованием самодельных сценариев или инструментов DoS (например, Low Orbit Ion Canon), тогда как DDoS-атаки запускаются из ботнетов – больших кластеров подключенных устройств (например, мобильных телефонов, компьютеров или маршрутизаторов), зараженных вредоносным ПО, которое позволяет злоумышленнику удаленно управлять.
Атаки типа «распределенный отказ в обслуживании» (DDoS) запускаются с нескольких подключенных устройств, которые распределены по Интернету. Эти атаки, состоящие из нескольких человек и множества устройств, как правило, сложнее отразить, в основном из-за огромного количества задействованных устройств. В отличие от DoS-атак с одним источником, DDoS-атаки, как правило, нацелены на сетевую инфраструктуру, пытаясь насытить ее огромными объемами трафика.
DDoS-атаки также различаются по способу их выполнения. Грубо говоря, атаки типа «отказ в обслуживании» запускаются с использованием самодельных сценариев или инструментов DoS (например, Low Orbit Ion Canon), тогда как DDoS-атаки запускаются из ботнетов – больших кластеров подключенных устройств (например, мобильных телефонов, компьютеров или маршрутизаторов), зараженных вредоносным ПО, которое позволяет злоумышленнику удаленно управлять.
DDoS-ботнеты: проведение масштабных атак
Ботнет – это совокупность захваченных подключенных устройств, используемых для кибератак и управляемых удаленно из Центра управления и контроля (Command & Control Center, C&C). Обычно это персональные компьютеры, мобильные телефоны, незащищенные устройства Интернета вещей и даже ресурсы общедоступных облачных сервисов. Злоумышленники используют вредоносное ПО и другие методы для компрометации устройства, превращая его в «зомби» в ботнете злоумышленника.
Ботнеты позволяют злоумышленникам осуществлять DDoS-атаки, используя мощность множества машин и скрывая источник трафика. Поскольку трафик распределен, инструментам безопасности и командам сложно обнаружить, что происходит DDoS-атака, пока не станет слишком поздно.
Ботнеты позволяют злоумышленникам осуществлять DDoS-атаки, используя мощность множества машин и скрывая источник трафика. Поскольку трафик распределен, инструментам безопасности и командам сложно обнаружить, что происходит DDoS-атака, пока не станет слишком поздно.
Ботнеты позволяют злоумышленникам осуществлять DDoS-атаки, используя мощность множества машин и скрывая источник трафика.
Виды DDoS-атак
DDoS-атаки можно разделить на две общие категории — атаки уровня приложений и атаки сетевого уровня. Каждый из этих типов DDoS-атак имеет определенные параметры и поведение, используемые во время атаки, а также цель атаки.
1
Атаки прикладного уровня (также известные как «атаки уровня 7») могут представлять собой либо DoS-, либо DDoS-угрозы, направленные на перегрузку сервера путем отправки большого количества запросов, требующих ресурсоемкой обработки и обработки. Среди других векторов атак в эту категорию входят HTTP-флуды, медленные атаки (например, Slowloris или RUDY ) и атаки DNS-запросов.
Пример того, как игровой сайт пострадал от массивного DNS-наводнения, максимальная скорость которого составила более 25 миллионов пакетов в секунду.
Размер атак на уровне приложений обычно измеряется в запросах в секунду (Requests Per Second, RPS), при этом для повреждения большинства веб-сайтов среднего размера требуется не более 50–100 RPS.
2
Атаки сетевого уровня (также известные как «атаки уровня 3–4») почти всегда представляют собой DDoS-атаки, направленные на засорение «трубопроводов», соединяющих сеть. Векторы атак в этой категории включают UDP-флуд , SYN-флуд, атаки с усилением NTP и усилением DNS и многое другое.
Любое из них может быть использовано для предотвращения доступа к вашим серверам, а также приведет к серьезным эксплуатационным повреждениям, таким как приостановка учетной записи и крупные платежи за превышение лимита.
DDoS-атаки почти всегда представляют собой события с высоким трафиком, обычно измеряемые в гигабитах в секунду, Гбит/с (Gigabits per second, Gbps) или пакетах в секунду (Packets Per Second, PPS). Крупнейшие атаки на сетевом уровне могут превышать сотни Гбит/с; однако скорости от 20 до 40 Гбит/с достаточно, чтобы полностью отключить большинство сетевых инфраструктур.
Любое из них может быть использовано для предотвращения доступа к вашим серверам, а также приведет к серьезным эксплуатационным повреждениям, таким как приостановка учетной записи и крупные платежи за превышение лимита.
DDoS-атаки почти всегда представляют собой события с высоким трафиком, обычно измеряемые в гигабитах в секунду, Гбит/с (Gigabits per second, Gbps) или пакетах в секунду (Packets Per Second, PPS). Крупнейшие атаки на сетевом уровне могут превышать сотни Гбит/с; однако скорости от 20 до 40 Гбит/с достаточно, чтобы полностью отключить большинство сетевых инфраструктур.
Причины DDoSинга: мотивы злоумышленников
«DDoSинг» описывает процесс проведения DDoS-атаки. Атаки типа «отказ в обслуживании» инициируются отдельными лицами, предприятиями и даже национальными государствами, каждое из которых имеет свою собственную мотивацию.
Хактивизм (Hacktivism)
Хактивисты используют DDoS-атаки как средство выражения своей критики в отношении всего, начиная с правительств и политиков, включая «большой бизнес», и текущих событий. Если хактивисты с вами не согласятся, ваш сайт выйдет из строя (так называемое «tango down»).
Менее технически подкованные, чем другие типы злоумышленников, хактивисты, как правило, используют готовые инструменты для атак на свои цели. Anonymous, пожалуй, одна из самых известных групп хактивистов.
Менее технически подкованные, чем другие типы злоумышленников, хактивисты, как правило, используют готовые инструменты для атак на свои цели. Anonymous, пожалуй, одна из самых известных групп хактивистов.
Кибер-вандализм Кибер-вандалов часто называют «скрипт-кидди» (script kiddies) – за то, что они полагаются на готовые сценарии и инструменты, чтобы причинять неприятности другим пользователям в Интернете. Эти вандалы нередко являются скучающими подростками, жаждущими выброса адреналина или стремящихся выразить свой гнев или разочарование против учреждения (например, школы) или человека, который, якобы, их обидел. Некоторые, конечно, просто ищут внимания и уважения сверстников. Но бывают и более взрослые кибервандалы. Помимо готовых инструментов и скриптов, кибервандалы также будут использовать услуги по найму DDoS (также известные как загрузчики или стрессеры). |
Вымогательство Все более популярной мотивацией DDoS-атак становится вымогательство. Киберпреступник требует денег в обмен на прекращение (или непроведение) разрушительной DDoS-атаки. Несколько известных компаний-разработчиков онлайн-программного обеспечения, в том числе MeetUp, Bitly, Vimeo и Basecamp, пострадали от этих сообщений о DDoS-атаках, причем некоторые из них отключились от сети после того, как отказались поддаться угрозам вымогателей . Подобно кибервандализму, этот тип атаки возможен благодаря существованию служб стресса и загрузки (stresser and booter services). |
Бизнес конкуренция DDoS-атаки все чаще используются в качестве конкурентного бизнес-инструмента. Некоторые из этих атак направлены на то, чтобы удержать конкурента от участия в значимом мероприятии, в то время как другие предпринимаются с целью полного закрытия онлайн-бизнеса на длительный срок (до нескольких месяцев). Так или иначе, идея состоит в том, чтобы вызвать сбои, которые побудят клиентов перейти к конкуренту, а также нанесут финансовый и репутационный ущерб. Атаки, направленные на вражду с бизнесом, часто хорошо финансируются и выполняются профессиональными «наемниками», которые проводят раннюю разведку и используют собственные инструменты и ресурсы для выдерживания чрезвычайно агрессивных и постоянных DDoS-атак. |
Кибервойна
Спонсируемые государством DDoS-атаки используются в качестве средства для нарушения важнейших финансовых, медицинских и инфраструктурных услуг во враждебных странах.
Эти атаки поддерживаются национальными государствами, а это означает, что они представляют собой хорошо финансируемые и организованные кампании, проводимые технически подкованными профессионалами.
Эти атаки поддерживаются национальными государствами, а это означает, что они представляют собой хорошо финансируемые и организованные кампании, проводимые технически подкованными профессионалами.
Личное соперничество DDoS-атаки могут использоваться для сведения личных счетов или срыва онлайн-соревнований. Подобные нападения часто происходят в контексте многопользовательских онлайн-игр, где игроки устраивают DDoS-атаки друг против друга и даже против игровых серверов, чтобы получить преимущество или избежать неминуемого поражения, «перевернув стол». Атаки на игроков часто представляют собой DoS-атаки, выполняемые с помощью доступного вредоносного программного обеспечения. И наоборот, атаки на игровые серверы, скорее всего, будут представлять собой DDoS-атаки, запускаемые стрессерами и загрузчиками. |
DDoS напрокат: DDoS-серы, бутеры и стрессеры
Провайдеры DDoS по найму предлагают выполнять DDoS-атаки от имени других за плату. Эти злоумышленники известны под разными именами, включая DDoSser, бутеры (booters) и стрессеры (stressers). Широкая доступность такого рода предложений позволяет практически каждому проводить масштабные DDoS-атаки.
Одна из причин, по которой поставщики этих услуг могут не скрывать своего имени заключается в том, что они являются юридическими лицами. Например, специалисты по стрессу (стрессеры) обычно заявляют, что предлагают услуги по стресс-тестированию устойчивости серверов. Однако эти субъекты часто не проверяют владельца сервера, который они «тестируют», чтобы убедиться в легитимности тестов.
Напротив, субъекты, называющие себя бутерами (загрузчиками) и DDoS-серами, обычно даже не пытаются скрыть незаконный характер своих услуг.
Одна из причин, по которой поставщики этих услуг могут не скрывать своего имени заключается в том, что они являются юридическими лицами. Например, специалисты по стрессу (стрессеры) обычно заявляют, что предлагают услуги по стресс-тестированию устойчивости серверов. Однако эти субъекты часто не проверяют владельца сервера, который они «тестируют», чтобы убедиться в легитимности тестов.
Напротив, субъекты, называющие себя бутерами (загрузчиками) и DDoS-серами, обычно даже не пытаются скрыть незаконный характер своих услуг.
Пример рекламируемых цен и мощностей бутеров.
Как самостоятельно остановить DDoS-атаки
Вы не можете предотвратить DDoS-атаки. Если киберпреступники собираются атаковать, они планируют поразить свои цели, независимо от имеющейся защиты. Однако есть несколько профилактических мер, которые вы можете предпринять самостоятельно:
Чтобы по-настоящему защититься от современных DDoS-атак, вам следует использовать решение по смягчению последствий DDoS. Решения могут быть развернуты локально, но чаще всего они предоставляются в виде услуги сторонними поставщиками.
- Мониторинг вашего трафика на предмет аномалий, включая необъяснимые всплески трафика и посещения с подозрительных IP-адресов и геолокаций. Все это может быть признаком того, что злоумышленники выполняют «пробные прогоны», чтобы проверить вашу защиту, прежде чем приступить к полноценной атаке. Осознание того, чем они являются, может помочь вам подготовиться к последующему нападению.
- Следите за социальными сетями на предмет угроз, разговоров и хвастовства, которые могут намекать на готовящуюся атаку.
- Рассмотрите возможность использования стороннего DDoS-тестирования (например, pen-тестирования – проверка на проницаемость) для имитации атаки на вашу ИТ-инфраструктуру, чтобы вы могли быть готовы, когда наступит момент истины. Когда вы это сделаете, проверьте себя на широкий спектр атак, а не только на те, с которыми вы знакомы.
- Создайте план реагирования и команду быстрого реагирования, то есть назначенную группу людей, чья задача – свести к минимуму последствия нападения. При планировании разработайте процедуры для групп поддержки клиентов и коммуникаций, а не только для ИТ-специалистов.
Чтобы по-настоящему защититься от современных DDoS-атак, вам следует использовать решение по смягчению последствий DDoS. Решения могут быть развернуты локально, но чаще всего они предоставляются в виде услуги сторонними поставщиками.
Смягчение последствий DDoS: как работает защита от DDoS?
Первым шагом при выборе решения по предотвращению DDoS-атак является оценка вашего риска. Важные базовые вопросы включают в себя:
Получив эту информацию, надо расставить приоритеты для ваших проблем, изучив различные варианты смягчения последствий DDoS в рамках вашего бюджета на безопасность.
- Какие инфраструктурные активы нуждаются в защите?
- Каковы имеющиеся слабые места или единые точки отказа?
- Что нужно, чтобы их защитить?
- Как и когда вы узнаете, что на вас нацелена атака? Не будет ли слишком поздно?
- Каковы последствия (финансовые и другие) длительного простоя?
Получив эту информацию, надо расставить приоритеты для ваших проблем, изучив различные варианты смягчения последствий DDoS в рамках вашего бюджета на безопасность.