Выйти из системы

Сменить пользователя

Защита от DDoS в России в 2024 году: что делать, если атакуют прямо сейчас?

В начале 2024 года на российский бизнес обрушилось в 2 раза больше DDoS-атак, чем в те же месяцы годом ранее. За первый квартал эксперты зафиксировали 119 000 кибернападений.

DDoS-атаки сыпятся на бизнес ещё с прошлого века. Но никто до сих пор так и не придумал способ, как победить это зло.

Мы уже рассказывали про самые крупные инциденты, из-за которых российский бизнес потерял миллиарды рублей. В этой статье сосредоточимся на типах DDoS-атак и на том, что делать, если атакуют здесь и сейчас на уровнях приложения (L7), сетевом (L3) и транспортном (L4). 

Как атакуют на сетевом уровне – L3, Network Layer

Такие атаки направлены на то, чтобы исчерпать ресурсы сетевой инфраструктуры. Задача хакера — переполнить сеть жертвы большим потоком трафика, чтобы сделать её услуги недоступными для клиентов в онлайне.

Примеры DDoS атак на уровне L3:

ICMP Flood
Атакующий отправляет большое количество ICMP Echo Request (ping) пакетов, чтобы перегрузить сеть или хост. Другой вариант: отправка ICMP пакетов на широковещательный адрес, что вызывает лавинообразное увеличение трафика, так как все устройства в сети будут отвечать.

IP/ICMP Fragmentation Attack:

– Ping of Death
Отправка слишком больших ICMP-пакетов, которые разбиваются на фрагменты. При сборке таких пакетов на стороне жертвы может произойти переполнение буфера и отказ в обслуживании.

– Teardrop
Отправка специально сформированных фрагментированных IP-пакетов, которые при сборке вызывают ошибки и могут привести к отказу в обслуживании.

Как атакуют на транспортном уровне – L4, Transport Layer 

Злоумышленники используют уязвимости в правилах передачи данных по интернету (перегружают транспортные протоколы TCP и UDP), чтобы быстро исчерпать ресурсы серверов и сделать их недоступными для обычной работы.

Примеры DDoS атак на уровне L4:

SYN Flood

Атакующий отправляет большое количество TCP SYN-запросов с поддельными исходными IP-адресами. Сервер отвечает SYN-ACK, но не получает ответа ACK, что вызывает переполнение таблицы соединений и отказ в обслуживании.

ACK Flood

Атакующий отправляет большое количество TCP ACK-пакетов чтобы перегрузить сеть или сервер. 

UDP Flood

Отправка большого количества UDP-пакетов на случайные порты жертвы. Сервер должен проверить, какие приложения прослушивают эти порты, что потребляет значительные ресурсы и может привести к перегрузке.

TCP Connection Flood

Атакующий устанавливает большое количество TCP-соединений с сервером и удерживает их открытыми как можно дольше.

Fragmented Packet Flood

Отправка большого количества фрагментированных TCP или UDP пакетов. Сервер должен собрать все фрагменты перед обработкой данных, что может привести к исчерпанию ресурсов и отказу в обслуживании.

UDP Amplification Attack

Использование открытых UDP-сервисов, таких как DNS, NTP, SSDP, для отправки запросов с поддельным исходным IP-адресом (адрес жертвы). Ответы этих сервисов гораздо больше по объему, что приводит к увеличению трафика и перегрузке сети жертвы.

TCP Amplification Attack

Подобно UDP Amplification, но использует TCP-сервисы для генерации большого объема ответного трафика к жертве.

Уровень приложения – L7, Application Layer

Такие DDoS-атаки стремятся положить сервера и приложения, работающие на них. Делается это путем перегрузки серверов легитимными, на первый взгляд, запросами.

Вот несколько типов DDoS-атак на уровне L7:

HTTP Flood

Атакующий отправляет большое количество HTTP GET-запросов или HTTP POST-запросов к веб-серверу, исчерпывая его ресурсы и снижая производительность.

Slowloris

Хакер открывает множество соединений с веб-сервером и удерживает их открытыми как можно дольше, отправляя неполные HTTP-запросы. 

Slow POST (R.U.D.Y.)

Атакующий отправляет HTTP POST-запросы с очень низкой скоростью передачи данных, удерживая соединения открытыми как можно дольше и перегружая сервер.

HTTP Cache-Busting

Атакующий отправляет HTTP-запросы с уникальными параметрами в URL, чтобы обойти кэширование на сервере и заставить сервер обрабатывать каждый запрос как новый.

DNS Query Flood

Атакующий отправляет большое количество DNS-запросов к DNS-серверу.

API Abuse

Атака направлена на API сервер: атакующий отправляет большое количество API-запросов.

Как снизить последствия от DDoS атак при самостоятельной защите

Представьте ситуацию: рабочий день, и вдруг во всём офисе пропадает интернет. Никто не может работать, потому что каналы связи забиты. Что делать, чтобы снизить риски, выиграть время и минимизировать негативные последствия?

Анализ и мониторинг

Используйте системы мониторинга и анализа сетевого трафика для выявления аномалий и подозрительного трафика.

– Настройте оповещения для быстрого реагирования на потенциальные атаки.

Фильтрация и блокировка

– Настройте файрволы и маршрутизаторы для фильтрации подозрительного трафика (например, блокировка ICMP Echo Request или ограничение частоты).

– Включите анти-спуфинг фильтрацию для предотвращения атак с поддельными IP-адресами.

Rate Limiting

– Установите лимиты на количество пакетов от одного источника за определенный промежуток времени, чтобы ограничить эффект атак.

Redundancy and Failover

– Используйте в своей сетевой инфраструктуре несколько uplinks для распределения нагрузки между каналами связи. Или используйте другие uplinks с шириной полосы пропускания большего объема для переключения на них в случае DDoS-атаки. 

Важно!

Перечисленные рекомендации помогут лишь минимизировать последствия – то есть, выиграть время для того, чтобы начать отбивать атаку. 

Есть два способа, как вообще не попасть под атаку. 

  1. Построить защиту самостоятельно. Три кита, на которых она должна держаться:
    – Для ИТ-инфраструктуры нужны каналы более 1 Тбит/c.
    – Когда построили каналы, вводим оборудование для очистки трафика. Стоимость такого железа – от 6 млн рублей.
    – Защищаемся на L3-L7. Нужны 3-5 стоек серверов для фильтрующей ноды.

Помимо всего прочего требуется команда, которая будет заниматься настройкой правил фильтрации, мониторингом и сопровождением оборудования.

  1. Обратиться к поставщику услуг, который защитит сервисы компании на всех уровнях – обнаружит атаку, отразит и защитит бизнес от простоя. 

Мы защищаем клиентов от атак на всех уровнях – L3, L4, L7 на сертифицированном оборудовании в соответствии со всеми требованиями регуляторов:

– Сеть фильтрации позволяет защитить приложения от любых DDoS-атак вне зависимости от полосы и сложности

– WAF 

– Отказоустойчивый DNS – низкие задержки и стабильность подключения более чем в 100 точках присутствия в 65 городах по всему миру

– CDN – глобальная сеть доставки контента.

– Балансировщик нагрузки

Дополнительно мы проведём анализ ИТ-инфраструктуры на соответствие требованиям регуляторов. А контролировать структуру затрат и SLA вы будете в удобном личном кабинете с индивидуальной конфигурацией.

Если вы устали отбиваться от DDoS-атак или боитесь, что вам положат сервера и всё встанет, напишите нам. Проведем аудит и расскажем, как построить непреодолимый заслон от неприятелей.