Почему защита от DDoS на уровне приложения может не сработать? Разбор примера из практики
Пятница, 14:30 рабочего дня. В отдел информационной безопасности поступает тревожный звонок от заказчика:
– Нас атаковали! Защита от DDoS-атак включена, но в офисе нет интернета, ничего не работает! Что случилось?
Открываем панель управления и видим, что на сайт и веб-сервисы компании идёт мощная DDoS-атака. Однако защита на уровне приложения работает исправно, успешно блокируя «плохие» запросы.
Давайте разберёмся, что пошло не так и как избежать подобных ошибок.
Почему ресурсы защищенной компании оказались недоступны
DDoS можно разделить на 3 категории:
– Атаки на исчерпание каналов (L3, Network Layer – сетевой уровень).
Злоумышленники генерируют огромный объём трафика, перегружая пропускную способность каналов. Когда канал полностью занят обработкой нежелательного трафика, легитимные запросы больше не проходят. Итог – сбои, а затем полная остановка работы сети.
– Переполнение таблиц сессий (L4, Transport Layer – транспортный уровень).
На этом уровне атакующие стремятся перегрузить протоколы TCP и UDP. Они посылают множество сессий, исчерпывая ресурсы серверов или оборудования. Даже если L7-запросы блокируются, серверы и устройства могут быть парализованы, что приводит к недоступности всей системы.
– Отказ приложений (L7, Application Layer – уровень приложения).
Цель DDoS-атак на прикладном уровне – остановить работу конкретных веб-ресурсов. Для этого перегружают запросами сервера, на которых работает приложение.
Как же напали на нашего заказчика? Подключаем другие отделы, начинаем расследование и через час выясняем: атакуют не только уровень приложений (L7), но и сетевой (L3) и транспортный (L4) уровни. Это и стало причиной паралича.
Вывод: одно решение не закрывает все точки входа, так как:
– в случае L7 атакуют публичные веб-сайты, сервисы и приложения, «торчащие» наружу;
– на L3-L4 атакам подвергается внутренняя инфраструктура: маршрутизаторы, шлюзы, сервера, VPN.
Чтобы атаковать L7, злоумышленникам достаточно узнать адрес публичного ресурса. Для атаки на L3-L4 нужно знать номер AS (автономной системы). Как это возможно?
Очень просто 🙂
В подавляющем большинстве случаев номера автономных систем организаций размещены в открытом доступе. То есть, остановить работу незащищенных на L3-L4 организаций может любой желающий. Занавес.
Наш пример – не единичный случай, когда ИТ-системы компании попали под удар именно на уровнях L3-L4.
Так, 14 октября 2024 года каналы связи и инфраструктура нескольких операторов связи и инфраструктура крупного хостинг-провайдера подверглись массированным DDoS-атакам с максимальной мощностью до 1,73 Тбит/с. А 2 ноября 2024 года новосибирский интернет-провайдер «Сибсети» вовсе приостановил работу из-за DDoS-атаки на инфраструктуру.
Как защититься от DDoS-атак на всех уровнях
Потушить пожар удалось только через 8 часов, к 22:30. Ошибка заказчика, которая привела к многочасовому простою, заключалась в том, что защита была сфокусирована только на внешних ресурсах (L7), в то время как внутренние компоненты (L3-L4) остались без защиты.
Вот лишь несколько последствий от атак на разных уровнях:
L3 – потери из-за простоя. Без интернета офис не работает, срываются сделки, образуются убытки.
L4 – недоступность критических систем. VPN, базы данных, файловые хранилища становятся недоступны, блокируя доступ к ресурсам даже внутри компании.
L7 – репутационные потери. Недоступность сайтов и приложений наносит удар по имиджу компании и вызывает недовольство клиентов.
Чтобы избежать подобных инцидентов, нужна комплексная защита на всех уровнях:
Важно: защита на уровнях L3-L4 требуется только тем, у кого есть собственная инфраструктура. Иначе что здесь защищать? 🙂
Фундамент, на котором находится эффективная и комплексная защита от DDoS:
– Строим каналы связи от 1 Тбит/c.
– Закупаем оборудование для очистки трафика – от 6 млн рублей.
– Защищаемся на L3-L7. Нужны 3-5 стоек серверов для фильтрующей ноды.
Сама защита не настроится и не среагирует при возникновении угрозы. Нужна команда, которая возьмёт защиту на себя.
Ещё можно облегчить себе путь и обратиться к поставщику услуг, который защитит сервисы компании на всех уровнях – обнаружит атаку, отразит и спасёт бизнес от простоя. Это распространенная практика. 82% компаний намерены отдать на аутсорсинг защиту от кибератак в 2025 году. Около 60% компаний хотя бы раз прибегали к услугам сторонних организаций по кибербезопасности.
Мы защищаем клиентов от атак на всех уровнях – L3, L4, L7. В том числе, от сложноорганизованных, многовекторных, целенаправленных атак с участием человека. Здесь можно почитать о том, что мы делали, когда обычная защита от DDoS перестала работать.
Начать можно с анализа ИТ-инфраструктуры на соответствие требованиям регуляторов. Заполните эту форму, чтобы запросить аудит. Поможем выявить слабые места в вашей инфраструктуре и расскажем, как построить надежную защиту.