Защита от DDoS в России в 2024 году: что делать, если атакуют прямо сейчас?
В начале 2024 года на российский бизнес обрушилось в 2 раза больше DDoS-атак, чем в те же месяцы годом ранее. За первый квартал эксперты зафиксировали 119 000 кибернападений.
DDoS-атаки сыпятся на бизнес ещё с прошлого века. Но никто до сих пор так и не придумал способ, как победить это зло.
Мы уже рассказывали про самые крупные инциденты, из-за которых российский бизнес потерял миллиарды рублей. В этой статье сосредоточимся на типах DDoS-атак и на том, что делать, если атакуют здесь и сейчас на уровнях приложения (L7), сетевом (L3) и транспортном (L4).
Как атакуют на сетевом уровне – L3, Network Layer
Такие атаки направлены на то, чтобы исчерпать ресурсы сетевой инфраструктуры. Задача хакера — переполнить сеть жертвы большим потоком трафика, чтобы сделать её услуги недоступными для клиентов в онлайне.
Примеры DDoS атак на уровне L3:
ICMP Flood
Атакующий отправляет большое количество ICMP Echo Request (ping) пакетов, чтобы перегрузить сеть или хост. Другой вариант: отправка ICMP пакетов на широковещательный адрес, что вызывает лавинообразное увеличение трафика, так как все устройства в сети будут отвечать.
IP/ICMP Fragmentation Attack:
– Ping of Death
Отправка слишком больших ICMP-пакетов, которые разбиваются на фрагменты. При сборке таких пакетов на стороне жертвы может произойти переполнение буфера и отказ в обслуживании.
– Teardrop
Отправка специально сформированных фрагментированных IP-пакетов, которые при сборке вызывают ошибки и могут привести к отказу в обслуживании.
Как атакуют на транспортном уровне – L4, Transport Layer
Злоумышленники используют уязвимости в правилах передачи данных по интернету (перегружают транспортные протоколы TCP и UDP), чтобы быстро исчерпать ресурсы серверов и сделать их недоступными для обычной работы.
Примеры DDoS атак на уровне L4:
SYN Flood
Атакующий отправляет большое количество TCP SYN-запросов с поддельными исходными IP-адресами. Сервер отвечает SYN-ACK, но не получает ответа ACK, что вызывает переполнение таблицы соединений и отказ в обслуживании.
ACK Flood
Атакующий отправляет большое количество TCP ACK-пакетов чтобы перегрузить сеть или сервер.
UDP Flood
Отправка большого количества UDP-пакетов на случайные порты жертвы. Сервер должен проверить, какие приложения прослушивают эти порты, что потребляет значительные ресурсы и может привести к перегрузке.
TCP Connection Flood
Атакующий устанавливает большое количество TCP-соединений с сервером и удерживает их открытыми как можно дольше.
Fragmented Packet Flood
Отправка большого количества фрагментированных TCP или UDP пакетов. Сервер должен собрать все фрагменты перед обработкой данных, что может привести к исчерпанию ресурсов и отказу в обслуживании.
UDP Amplification Attack
Использование открытых UDP-сервисов, таких как DNS, NTP, SSDP, для отправки запросов с поддельным исходным IP-адресом (адрес жертвы). Ответы этих сервисов гораздо больше по объему, что приводит к увеличению трафика и перегрузке сети жертвы.
TCP Amplification Attack
Подобно UDP Amplification, но использует TCP-сервисы для генерации большого объема ответного трафика к жертве.
Уровень приложения – L7, Application Layer
Такие DDoS-атаки стремятся положить сервера и приложения, работающие на них. Делается это путем перегрузки серверов легитимными, на первый взгляд, запросами.
Вот несколько типов DDoS-атак на уровне L7:
HTTP Flood
Атакующий отправляет большое количество HTTP GET-запросов или HTTP POST-запросов к веб-серверу, исчерпывая его ресурсы и снижая производительность.
Slowloris
Хакер открывает множество соединений с веб-сервером и удерживает их открытыми как можно дольше, отправляя неполные HTTP-запросы.
Slow POST (R.U.D.Y.)
Атакующий отправляет HTTP POST-запросы с очень низкой скоростью передачи данных, удерживая соединения открытыми как можно дольше и перегружая сервер.
HTTP Cache-Busting
Атакующий отправляет HTTP-запросы с уникальными параметрами в URL, чтобы обойти кэширование на сервере и заставить сервер обрабатывать каждый запрос как новый.
DNS Query Flood
Атакующий отправляет большое количество DNS-запросов к DNS-серверу.
API Abuse
Атака направлена на API сервер: атакующий отправляет большое количество API-запросов.
Как снизить последствия от DDoS атак при самостоятельной защите
Представьте ситуацию: рабочий день, и вдруг во всём офисе пропадает интернет. Никто не может работать, потому что каналы связи забиты. Что делать, чтобы снизить риски, выиграть время и минимизировать негативные последствия?
Анализ и мониторинг
– Используйте системы мониторинга и анализа сетевого трафика для выявления аномалий и подозрительного трафика.
– Настройте оповещения для быстрого реагирования на потенциальные атаки.
Фильтрация и блокировка
– Настройте файрволы и маршрутизаторы для фильтрации подозрительного трафика (например, блокировка ICMP Echo Request или ограничение частоты).
– Включите анти-спуфинг фильтрацию для предотвращения атак с поддельными IP-адресами.
Rate Limiting
– Установите лимиты на количество пакетов от одного источника за определенный промежуток времени, чтобы ограничить эффект атак.
Redundancy and Failover
– Используйте в своей сетевой инфраструктуре несколько uplinks для распределения нагрузки между каналами связи. Или используйте другие uplinks с шириной полосы пропускания большего объема для переключения на них в случае DDoS-атаки.
Важно!
Перечисленные рекомендации помогут лишь минимизировать последствия – то есть, выиграть время для того, чтобы начать отбивать атаку.
Есть два способа, как вообще не попасть под атаку.
- Построить защиту самостоятельно. Три кита, на которых она должна держаться:
– Для ИТ-инфраструктуры нужны каналы более 1 Тбит/c.
– Когда построили каналы, вводим оборудование для очистки трафика. Стоимость такого железа – от 6 млн рублей.
– Защищаемся на L3-L7. Нужны 3-5 стоек серверов для фильтрующей ноды.
Помимо всего прочего требуется команда, которая будет заниматься настройкой правил фильтрации, мониторингом и сопровождением оборудования.
- Обратиться к поставщику услуг, который защитит сервисы компании на всех уровнях – обнаружит атаку, отразит и защитит бизнес от простоя.
Мы защищаем клиентов от атак на всех уровнях – L3, L4, L7 на сертифицированном оборудовании в соответствии со всеми требованиями регуляторов:
– Сеть фильтрации позволяет защитить приложения от любых DDoS-атак вне зависимости от полосы и сложности
– WAF
– Отказоустойчивый DNS – низкие задержки и стабильность подключения более чем в 100 точках присутствия в 65 городах по всему миру
– CDN – глобальная сеть доставки контента.
– Балансировщик нагрузки
Дополнительно мы проведём анализ ИТ-инфраструктуры на соответствие требованиям регуляторов. А контролировать структуру затрат и SLA вы будете в удобном личном кабинете с индивидуальной конфигурацией.
Если вы устали отбиваться от DDoS-атак или боитесь, что вам положат сервера и всё встанет, напишите нам. Проведем аудит и расскажем, как построить непреодолимый заслон от неприятелей.