Выйти из системы

Сменить пользователя

Почему защита от DDoS на уровне приложения может не сработать? Разбор примера из практики

Пятница, 14:30 рабочего дня. В отдел информационной безопасности поступает тревожный звонок от заказчика:

– Нас атаковали! Защита от DDoS-атак включена, но в офисе нет интернета, ничего не работает! Что случилось?

Открываем панель управления и видим, что на сайт и веб-сервисы компании идёт мощная DDoS-атака. Однако защита на уровне приложения работает исправно, успешно блокируя «плохие» запросы. 

Давайте разберёмся, что пошло не так и как избежать подобных ошибок.

Почему ресурсы защищенной компании оказались недоступны

DDoS можно разделить на 3 категории:

Векторы DDoS-атак

– Атаки на исчерпание каналов (L3, Network Layer – сетевой уровень).

Злоумышленники генерируют огромный объём трафика, перегружая пропускную способность каналов. Когда канал полностью занят обработкой нежелательного трафика, легитимные запросы больше не проходят. Итог – сбои, а затем полная остановка работы сети.

– Переполнение таблиц сессий (L4, Transport Layer – транспортный уровень).

На этом уровне атакующие стремятся перегрузить протоколы TCP и UDP. Они посылают множество сессий, исчерпывая ресурсы серверов или оборудования. Даже если L7-запросы блокируются, серверы и устройства могут быть парализованы, что приводит к недоступности всей системы.

– Отказ приложений (L7, Application Layer – уровень приложения).

Цель DDoS-атак на прикладном уровне – остановить работу конкретных веб-ресурсов. Для этого перегружают запросами сервера, на которых работает приложение. 

Как же напали на нашего заказчика? Подключаем другие отделы, начинаем расследование и через час выясняем: атакуют не только уровень приложений (L7), но и сетевой (L3) и транспортный (L4) уровни. Это и стало причиной паралича.

Вывод: одно решение не закрывает все точки входа, так как:

– в случае L7 атакуют публичные веб-сайты, сервисы и приложения, «торчащие» наружу; 

– на L3-L4 атакам подвергается внутренняя инфраструктура: маршрутизаторы, шлюзы, сервера, VPN.

Чтобы атаковать L7, злоумышленникам достаточно узнать адрес публичного ресурса. Для атаки на L3-L4 нужно знать номер AS (автономной системы). Как это возможно?

Очень просто 🙂

В подавляющем большинстве случаев номера автономных систем организаций размещены в открытом доступе. То есть, остановить работу незащищенных на L3-L4 организаций может любой желающий. Занавес.

Наш пример – не единичный случай, когда ИТ-системы компании попали под удар именно на уровнях L3-L4. 

Так, 14 октября 2024 года каналы связи и инфраструктура нескольких операторов связи и инфраструктура крупного хостинг-провайдера подверглись массированным DDoS-атакам с максимальной мощностью до 1,73 Тбит/с. А 2 ноября 2024 года новосибирский интернет-провайдер «Сибсети» вовсе приостановил работу из-за DDoS-атаки на инфраструктуру. 

Как защититься от DDoS-атак на всех уровнях

Потушить пожар удалось только через 8 часов, к 22:30. Ошибка заказчика, которая привела к многочасовому простою, заключалась в том, что защита была сфокусирована только на внешних ресурсах (L7), в то время как внутренние компоненты (L3-L4) остались без защиты. 

Вот лишь несколько последствий от атак на разных уровнях:

L3 – потери из-за простоя. Без интернета офис не работает, срываются сделки, образуются убытки.

L4 – недоступность критических систем. VPN, базы данных, файловые хранилища становятся недоступны, блокируя доступ к ресурсам даже внутри компании.

L7 – репутационные потери. Недоступность сайтов и приложений наносит удар по имиджу компании и вызывает недовольство клиентов.

Чтобы избежать подобных инцидентов, нужна комплексная защита на всех уровнях:

Защита от DDoS на L3, L4, L7

Важно: защита на уровнях L3-L4 требуется только тем, у кого есть собственная инфраструктура. Иначе что здесь защищать? 🙂

Фундамент, на котором находится эффективная и комплексная защита от DDoS:

– Строим каналы связи от 1 Тбит/c.

– Закупаем оборудование для очистки трафика – от 6 млн рублей.

– Защищаемся на L3-L7. Нужны 3-5 стоек серверов для фильтрующей ноды.

Сама защита не настроится и не среагирует при возникновении угрозы. Нужна команда, которая возьмёт защиту на себя.

Ещё можно облегчить себе путь и обратиться к поставщику услуг, который защитит сервисы компании на всех уровнях – обнаружит атаку, отразит и спасёт бизнес от простоя. Это распространенная практика. 82% компаний намерены отдать на аутсорсинг защиту от кибератак в 2025 году. Около 60% компаний хотя бы раз прибегали к услугам сторонних организаций по кибербезопасности.

Мы защищаем клиентов от атак на всех уровнях – L3, L4, L7. В том числе, от сложноорганизованных, многовекторных, целенаправленных атак с участием человека. Здесь можно почитать о том, что мы делали, когда обычная защита от DDoS перестала работать.

Начать можно с анализа ИТ-инфраструктуры на соответствие требованиям регуляторов. Заполните эту форму, чтобы запросить аудит. Поможем выявить слабые места в вашей инфраструктуре и расскажем, как построить надежную защиту.