С конца февраля 2022-го в России ежедневно фиксируются десятки, а иногда и сотни тысяч киберугроз. DDoS-атакам зачастую подвергаются сайты, которые обрабатывают персональные данные клиентов или запрашивают информацию о банковских картах для онлайн-платежей. Например, интернет-магазины, кафе и рестораны, страховые компании, игровые серверы и т.д.
«Акулы» рынка уже знают алгоритмы борьбы с DDoS-атаками и без труда обеспечивают стабильную работу своих сайтов. В этой статье мы поможем разобраться в теме представителям малого и среднего бизнеса.
Что такое DDoS-атака
DDoS-атака (Distributed Denial of Service) — это распределенная сетевая атака, цель которой полностью или частично вывести сайт из строя. При DDoS-атаке пользователи теряют доступ к ресурсу, а бизнес, владеющий им, рискует остаться без прибыли и допустить утечку данных клиентов.
Как происходит DDoS-атака
Хакеры заражают компьютеры и телефоны обычных пользователей вирусом, например, трояном, и создают из них сеть. Она называется ботнетом, а устройства, входящие в нее, — ботами или зомби. Причем владельцы компьютеров и телефонов даже не подозревают, что помогают киберпреступникам: их устройства работают в обычном режиме.
Злоумышленники удаленно управляют ботами и вынуждают их атаковать выбранный сайт. Зараженные компьютеры и смартфоны выполняют вредоносные сетевые запросы, в результате чего сервер не выдерживает нагрузки и перестает работать на несколько часов или дней.
Разница между DoS и DDoS
Главное различие — в технической реализации. При DDoS-атаке киберпреступники используют сеть компьютеров, а при DoS-атаке — только одно устройство. Поэтому и предотвратить такую угрозу гораздо проще. Достаточно отследить, с какого IP-адреса выполняются запросы, и заблокировать его.
Кто и зачем устраивает DDoS-атаки
Атаки устраивают хакеры — самостоятельно или по просьбе заказчика. Причины для этого разные: от личной неприязни и борьбы с конкурентами до кражи персональных данных и вымогательства. Ниже рассмотрим самые популярные причины.
- Борьба с конкурентами. Чаще всего это касается малого и среднего бизнеса. Например, цветочные магазины могут атаковать друг друга в преддверии праздников — Дня всех влюбленных, 8 Марта или Дня учителя. Цель — остановить работу сайтов конкурентов, привести покупателей в свой интернет-магазин и продать им как можно больше букетов.
- Кража персональных данных. С помощью самой DDoS-атаки получить доступ к платежной информации клиентов, паспортным данным или номерам телефонов нельзя, но она может быть использована как отвлекающий маневр: пока компания разбирается с атакой, злоумышленники используют другие методы, чтобы заполучить персональные данные.
- Вымогательство. В этом случае хакеры атакуют сайт до тех пор, пока не получат деньги от владельца.
- Личная неприязнь или протест. Например, из зависти, желания отомстить или несогласия с политической или активистской деятельностью злоумышленники нередко атакуют сайты региональных СМИ, коммерческих и правительственных организаций и т. д.
- Обучение или развлечение. Молодые хакеры могут атаковать небольшие сайты, чтобы проверить свои силы, набраться опыта или похвастаться перед друзьями и коллегами.
Чем опасна DDoS-атака для бизнеса и клиентов
Если ваш сайт «ддосят», вы рискуете испытать временные трудности в работе: например, остаться без связи с сотрудниками разных отделов. Кроме того, вы можете потерять:
- клиентов и партнеров;
- прибыль;
- репутацию.
Объяснить это просто. При DDoS-атаке клиенты не могут попасть на ваш сайт и обращаются к конкурентам, а компании теряют желание с вами партнериться, опасаясь повторения атаки.
Вдобавок вы остаетесь без денег: тратитесь на восстановление работы и замену оборудования, теряете прибыль. Чтобы понять, например, какой суммы лишился онлайн-магазин, достаточно посмотреть среднюю статистику интернет-заказов за час или сутки, а затем умножить эту цифру на количество часов простоя сайта.
Во время атаки компания также может потерять репутацию как в глазах клиентов, особенно при утечке данных, так и в глазах других компаний, что отразится на цене активов.
Как узнать, что сайт атакуют
Успешно проведенная DDoS-атака приводит к тому, что сайт частично или полностью перестает работать. Но распознать угрозу можно и на начальном этапе. Например, вы заметите:
- лавинообразный поток запросов;
- ошибку 503 (Service Temporarily Unavailable), которая означает, что ваш сервер временно не может обрабатывать запросы;
- ошибки 502 (Bad Gateway) или 504 (Gateway Timeout) — означает, что сайт недоступен;
- однообразные запросы и запросы на несуществующие страницы.
Примеры DDoS-атак
- HTTP-флуд. Это один из наиболее распространенных типов DDoS-атаки, при котором на сайт или приложение посылаются стандартные GET- и POST-запросы или другие. Первые используют для получения объемных данных, вторые — для отправки на сервер бесполезной информации. В итоге результат один: сайт оказывается перегружен и недоступен.
- SYN-флуд. Одна из разновидностей атаки, при которой на сервер с большой скоростью направляются поддельные SYN-запросы, или запросы на подключение. SYN-флуд поражает сервер, нагружая процессор. В результате сервер “падает”.
- ICMP-флуд, или ping-флуд (наводнение запросами). Эта атака перегружает выбранный компьютер служебными запросами, на которые он обязан давать эхо-ответы.
- UDP-флуд. Сетевая атака, при которой хакеры отправляют на выбранный сервер большое число поддельных UDP — это транспортные протоколы для передачи данных в IP-сетях без установки соединения. Сервер пытается проверить пакеты и создать ответные ICMP-сообщения, но в итоге оказывается перегружен.
Распознав киберугрозу, вы сможете подключить защиту сервера от DDoS-атак и обеспечить его стабильную работу. Как именно, расскажем чуть ниже.
На каких уровнях происходят атаки?
Для удобства понимания работу сети Интернет часто описывают с помощью модели OSI (The Open Systems Interconnection Model). В ней семь уровней, которые охватывают все среды коммуникации: физический, канальный, сетевой, транспортный, сеансовый, представления и прикладной. Последний является самым высоким, поскольку обеспечивает полное взаимодействие сети и пользователя и разрешает приложениям получать доступ к сетевым службам.
DDoS-атаки возможны на сетевом уровне (L3-L4) и прикладном (L7).
Как предотвратить DDoS-атаку
К сожалению, нет универсальных методов, которые помогут свести к минимуму риски DDoS-атак на ваш сайт. Но есть основные рекомендации, которые помогут сохранять уверенность в безопасности:
- Убедитесь, что у хостинг-провайдера есть фильтрация входящего трафика. От крупных и сложных атак могут обезопасить сторонние компании, специализирующиеся на этом, но важно, чтобы на стороне провайдера тоже была защита. Например, в RU-CENTER все тарифы хостинга включают защиту L3/L4 уровня — входящий трафик анализируется для выявления аномалий и в случае отклонений в течение минуты переключается на L3/L4 фильтрацию, после чего поступает на ваш сайт. Такой постоянный мониторинг позволяет системе блокировать все высокоскоростные атаки сетевого уровня.
- Вовремя обновляйте ПО. Важно контролировать и не пропускать своевременное обновление программного обеспечения и сетевых служб.
- Будьте бдительны. Составьте план действий, чтобы быстро им воспользоваться, если заметите атаку — например, подключить другой сервер, установить ограничение сервера.
- Приобретите услугу «Защита от DDoS-атак» у сторонней компании. Когда атака начнется, профессиональные компании «возьмут на себя» весь трафик и пропустят только проверенных пользователей.
Если атака уже произошла, вам необходимо отделить мусорные запросы от реальных, чтобы проходили только настоящие. Правда, если атака крупная, собственных сил, даже если у вас есть штатные программисты, может оказаться недостаточно. Тогда с защитой помогут профессиональные компании.
Рассмотрим, какие есть возможности устранить атаку своими силами и при помощи специалистов:
Что можно сделать самому при атаке?
- Установить ограничение скорости обработки запросов и очистить логи сервера, чтобы освободить больше места.
- Уведомить всех об атаке: своих программистов, хостинг-провайдера и т. д. Общими силами можно изменить схемы маршрутизации трафика. Например, выделить дополнительные каналы для увеличения пропускной способности сайта.
- Переждать. Чаще всего атаки длятся несколько часов
Что могут сделать специалисты?
- Вернуть сайт к работе, даже если он уже перестал открываться.
- Предоставить сервисы, которые примут этот и следующие киберудары на свою мощную инфраструктуру. Они сами определяют тип атаки и ее мощность, а затем блокируют поддельные запросы и ведут на сайт клиента только реальный трафик.
Какое наказание предусмотрено за DDoS-атаку
DDoS-атака в России расценивается как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) и создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ). Максимальное наказание — до семи лет лишения свободы.
Уголовных дел, связанных с DDoS-атаками, в России немного, поскольку раскрыть подобные преступления тяжело.
Что важно запомнить
- DDoS-атака может лишить вас клиентов, партнеров и прибыли. Поэтому важно заранее подумать о том, какие методы защиты сайта использовать, чтобы обеспечить его стабильную работу.
- Если вас атаковали, важно оценить масштабы и понять, обойдетесь ли вы силами штатных программистов или вам потребуется помощь профессиональных компаний.
- Нежелательно просто игнорировать атаку в надежде, что она скоро закончится.
- Не стоит рассчитывать, что киберпреступников поймают, а причиненный вам ущерб компенсируют. Выйти на след хакеров крайне тяжело.
В выпуске на нашем YouTube‑канале обсуждаем, как противостоять DDoS‑атакам, с Рамилем Хантимировым, CEO и сооснователем компании StormWall. Смотрите и подписывайтесь на канал, чтобы не пропустить новые видео!