Нередко в СМИ встречаются сообщения о том, что тот или иной сайт
подвергся DDoS-атаке и временно перестал функционировать. DDoS-атака
(Distributed Denial of Service) – это ситуация, когда злоумышленники
генерируют столько запросов к серверу, что он не в состоянии обработать
такое количество. Конечно, один компьютер не способен сделать столько
обращений, чтобы даже относительно слабый сервер не смог с ними
справиться. Для атаки используется множество компьютеров (зараженный
вирусом «ботнет» – компьютеры, находящиеся под контролем хакера без
ведома их владельцев), которые одновременно и постоянно посылают запросы
на сервер, что влечет за собой его перегрузку и отказ.
Иногда некоторое подобие DDoS может получиться и без хакеров-киберзлодеев. Например, когда на сверхпопулярном сайте размещается ссылка на сайт на слабом виртуальном хостинге – и вследствие ограниченных технических возможностей сервер не выдерживает перегрузки и становится недоступен. Хостеры даже могут временно отключать сайты на виртуальных серверах, если те внезапно становятся мишенью десятков тысяч запросов. Это необходимо понимать – для сайтов с серьезной посещаемостью и высокими пиковыми нагрузками виртуальный хостинг за 200 рублей в месяц не подойдет.
DDoS-атаки могут быть организованы по разным причинам: из-за конкуренции, чтобы «положить» чужой сайт и забрать часть его целевой аудитории, с целью получения выкупа за разблокировку атакованного ресурса и даже для развлечения. Также часто причиной нападения злоумышленников становится нестабильная политическая ситуация в стране – противоборствующие группировки могут осуществлять атаки на сообщества конкурентов. Если ваш сайт посвящен бисероплетению или какому-то другому мирному занятию и имеет относительно небольшую аудиторию, то опасаться DDoS-атаки не стоит, для этого просто не будет причин – если у вас нет личного врага, который может «заказать» ваш сайт. Кроме всего прочего осуществить такую атаку довольно дорого, ведь в зомби-сетях (ботнетах) должны быть задействованы тысячи зараженных компьютеров, это дело для серьезных хакеров.
Уровни защиты
Чтобы защититься от DDoS, нужно выстроить довольно серьезный комплекс мер против таких вторжений – одного барьера будет недостаточно, особенно если ваш сайт реально подвергается атакам. Можно выделить несколько уровней защиты:
Защита на уровне программного обеспечения сервера Сервер должен быть тщательно проверен на предмет безопасности. Все ПО сервера должно быть обновлено, необходимо поставить все значимые патчи. То есть все известные «дыры» в защите должны быть тщательно закрыты. Для этого можно составить список всего ПО, по которому можно будет удобно следить за обновлениями и патчами.
Защита на уровне сети Еще на стадии старта постарайтесь заблокировать абсолютно все, что может дать хоть какую-нибудь информацию для организатора DDoS-атаки. В список для блокировки и скрытия входят трейс и пинг. Очень полезным действием является включение механизма NAT (Network Address Translation), то есть преобразования сетевых адресов. Еще один важный момент – маскировка IP-адреса, эта мера эффективно помогает защититься от злоумышленников, усложняя их работу. Для скрытия IP существует довольно много способов, и они являются популярной мерой для защиты от сетевых атак.
Защита на уровне провайдера На этом уровне меры защиты заключаются в анализе пакетов получаемых данных и блокировке IP-адресов. Как это работает? Как правило запросы осуществляются с разных машин, но их объединяет очень похожий тип трафика. Пакеты данных подвергаются анализу, в ходе которого выявляются похожие. Вручную, да еще в реальном времени отслеживать трафик, проверяя логи, практически нереально. Такую работу могут осуществлять специальные программы, например Tcpdstats или Tcptrace. С их помощью легко определить тип преобладающего трафика и вовремя принять меры.
Чтобы заблокировать IP-адреса атакующих машин, надо сначала вычислить их в общем трафике. Это можно сделать на основе анализа частоты обращений к серверу. Обычный пользователь может делать до нескольких обращений в секунду, но от него будут исходить запросы к нескольким URL (URL самой страницы, картинок, java-скриптов и прочие), а атакующая машина как правило несколько раз в секунду обращается к одному и тому же URL-адресу. По этому принципу можно вычислить атакующие IP-адреса и занести их в список адресов, от которых не принимается никакой трафик.
Защита на уровне аппаратного обеспечения Этот уровень защиты сервера от DDoS-атак намного серьезнее других, следовательно и требует намного больших затрат. Стоимость комплексных решений может достигать нескольких десятков тысяч долларов. Поэтому меры на уровне hardware скорее подходят серьезным и большим проектам, где эти затраты будут полностью оправданы.
Общепризнанными лидерами в области подобной защиты являются Cisco и 3com. Эти производители выпускают довольно эффективные аппаратные средства для противостояния сетевым атакам, также предлагаются комплексные решения для защиты. Механизмы работы этих устройств основаны на анализе входящего трафика с помощью специальных алгоритмов и последующей фильтрации. То есть нужные запросы, которые прошли проверку, не подвергаются блокировке, а подозрительные и их начальные сегменты сети – блокируются. Таким образом осуществляется отсев трафика при бесперебойной работе сайта.
Защита на уровне поддержки хостера Специалисты хостинговых компаний используют способы анализа логов файерволла, которые позволяют выделять IP-адреса тех машин, с которых осуществляется атака. При наличии списка таких адресов можно попытаться блокировать их. При этом другие адреса заблокированы не будут, то есть запросы от обычных пользователей смогут нормально обрабатываться на сервере, и посетители смогут заходить на сайт.
Существует также много фирм, которые предоставляют услугу защиты от DDoS-атак. Есть разные тарифные планы по защите от атак разной мощности. Владельцы могут выбрать оптимальный в зависимости от масштабов своего проекта и бюджета. Среди таких компаний, профилем которых является защита и предотвращение DDoS-атак, можно назвать ddoshosting.ru, ddosoff.ru и digilex.ru. Следует отметить, что некоторые компании предлагают свои услуги по защите от сетевых атак бесплатно. Делается это в рамках тестирования различных систем безопасности. Но полностью рассчитывать на такие решения не следует.
Еще один немаловажный момент – это выбор хостинг-провайдера по критерию степени защиты. То есть о защите от DDoS-атак можно позаботиться еще на стадии выбора хостера. Практически все поставщики хостинг-услуг используют экраны, которые работают по принципу анализа и фильтрации пакетов. Надо подробно прочитать или поинтересоваться в службе поддержки о мерах защиты виртуальных серверов. Часто хостинг-провайдеры предоставляют защиту от DDoS как дополнительную услугу. Не стоит надеяться, что дешевый хостинг спасет от сетевой атаки: хостеры часто экономят на оборудовании и программном обеспечении для защиты.
Выводы
Если у вас обычный сайт-визитка или небольшой интернет-магазин, то поводы для беспокойства из-за возможной DDoS-атаки сводятся к минимуму, большие траты на защиту не будут оправданы. Но если тематика сайта или другие причины могут вызвать общественный резонанс, то есть смысл обезопасить его от возможных нападений. Сайты политических партий и движений обязательно должны иметь прочную защиту от злоумышленников, так как довольно часто становятся мишенью для распределенных атак.
Иногда некоторое подобие DDoS может получиться и без хакеров-киберзлодеев. Например, когда на сверхпопулярном сайте размещается ссылка на сайт на слабом виртуальном хостинге – и вследствие ограниченных технических возможностей сервер не выдерживает перегрузки и становится недоступен. Хостеры даже могут временно отключать сайты на виртуальных серверах, если те внезапно становятся мишенью десятков тысяч запросов. Это необходимо понимать – для сайтов с серьезной посещаемостью и высокими пиковыми нагрузками виртуальный хостинг за 200 рублей в месяц не подойдет.
DDoS-атаки могут быть организованы по разным причинам: из-за конкуренции, чтобы «положить» чужой сайт и забрать часть его целевой аудитории, с целью получения выкупа за разблокировку атакованного ресурса и даже для развлечения. Также часто причиной нападения злоумышленников становится нестабильная политическая ситуация в стране – противоборствующие группировки могут осуществлять атаки на сообщества конкурентов. Если ваш сайт посвящен бисероплетению или какому-то другому мирному занятию и имеет относительно небольшую аудиторию, то опасаться DDoS-атаки не стоит, для этого просто не будет причин – если у вас нет личного врага, который может «заказать» ваш сайт. Кроме всего прочего осуществить такую атаку довольно дорого, ведь в зомби-сетях (ботнетах) должны быть задействованы тысячи зараженных компьютеров, это дело для серьезных хакеров.
Уровни защиты
Чтобы защититься от DDoS, нужно выстроить довольно серьезный комплекс мер против таких вторжений – одного барьера будет недостаточно, особенно если ваш сайт реально подвергается атакам. Можно выделить несколько уровней защиты:
- доступ к серверу;
- ПО сервера;
- сеть;
- провайдер;
- специализированное оборудование;
- администрация сервера.
Защита на уровне программного обеспечения сервера Сервер должен быть тщательно проверен на предмет безопасности. Все ПО сервера должно быть обновлено, необходимо поставить все значимые патчи. То есть все известные «дыры» в защите должны быть тщательно закрыты. Для этого можно составить список всего ПО, по которому можно будет удобно следить за обновлениями и патчами.
Защита на уровне сети Еще на стадии старта постарайтесь заблокировать абсолютно все, что может дать хоть какую-нибудь информацию для организатора DDoS-атаки. В список для блокировки и скрытия входят трейс и пинг. Очень полезным действием является включение механизма NAT (Network Address Translation), то есть преобразования сетевых адресов. Еще один важный момент – маскировка IP-адреса, эта мера эффективно помогает защититься от злоумышленников, усложняя их работу. Для скрытия IP существует довольно много способов, и они являются популярной мерой для защиты от сетевых атак.
Защита на уровне провайдера На этом уровне меры защиты заключаются в анализе пакетов получаемых данных и блокировке IP-адресов. Как это работает? Как правило запросы осуществляются с разных машин, но их объединяет очень похожий тип трафика. Пакеты данных подвергаются анализу, в ходе которого выявляются похожие. Вручную, да еще в реальном времени отслеживать трафик, проверяя логи, практически нереально. Такую работу могут осуществлять специальные программы, например Tcpdstats или Tcptrace. С их помощью легко определить тип преобладающего трафика и вовремя принять меры.
Чтобы заблокировать IP-адреса атакующих машин, надо сначала вычислить их в общем трафике. Это можно сделать на основе анализа частоты обращений к серверу. Обычный пользователь может делать до нескольких обращений в секунду, но от него будут исходить запросы к нескольким URL (URL самой страницы, картинок, java-скриптов и прочие), а атакующая машина как правило несколько раз в секунду обращается к одному и тому же URL-адресу. По этому принципу можно вычислить атакующие IP-адреса и занести их в список адресов, от которых не принимается никакой трафик.
Защита на уровне аппаратного обеспечения Этот уровень защиты сервера от DDoS-атак намного серьезнее других, следовательно и требует намного больших затрат. Стоимость комплексных решений может достигать нескольких десятков тысяч долларов. Поэтому меры на уровне hardware скорее подходят серьезным и большим проектам, где эти затраты будут полностью оправданы.
Общепризнанными лидерами в области подобной защиты являются Cisco и 3com. Эти производители выпускают довольно эффективные аппаратные средства для противостояния сетевым атакам, также предлагаются комплексные решения для защиты. Механизмы работы этих устройств основаны на анализе входящего трафика с помощью специальных алгоритмов и последующей фильтрации. То есть нужные запросы, которые прошли проверку, не подвергаются блокировке, а подозрительные и их начальные сегменты сети – блокируются. Таким образом осуществляется отсев трафика при бесперебойной работе сайта.
Защита на уровне поддержки хостера Специалисты хостинговых компаний используют способы анализа логов файерволла, которые позволяют выделять IP-адреса тех машин, с которых осуществляется атака. При наличии списка таких адресов можно попытаться блокировать их. При этом другие адреса заблокированы не будут, то есть запросы от обычных пользователей смогут нормально обрабатываться на сервере, и посетители смогут заходить на сайт.
Существует также много фирм, которые предоставляют услугу защиты от DDoS-атак. Есть разные тарифные планы по защите от атак разной мощности. Владельцы могут выбрать оптимальный в зависимости от масштабов своего проекта и бюджета. Среди таких компаний, профилем которых является защита и предотвращение DDoS-атак, можно назвать ddoshosting.ru, ddosoff.ru и digilex.ru. Следует отметить, что некоторые компании предлагают свои услуги по защите от сетевых атак бесплатно. Делается это в рамках тестирования различных систем безопасности. Но полностью рассчитывать на такие решения не следует.
Еще один немаловажный момент – это выбор хостинг-провайдера по критерию степени защиты. То есть о защите от DDoS-атак можно позаботиться еще на стадии выбора хостера. Практически все поставщики хостинг-услуг используют экраны, которые работают по принципу анализа и фильтрации пакетов. Надо подробно прочитать или поинтересоваться в службе поддержки о мерах защиты виртуальных серверов. Часто хостинг-провайдеры предоставляют защиту от DDoS как дополнительную услугу. Не стоит надеяться, что дешевый хостинг спасет от сетевой атаки: хостеры часто экономят на оборудовании и программном обеспечении для защиты.
Выводы
Если у вас обычный сайт-визитка или небольшой интернет-магазин, то поводы для беспокойства из-за возможной DDoS-атаки сводятся к минимуму, большие траты на защиту не будут оправданы. Но если тематика сайта или другие причины могут вызвать общественный резонанс, то есть смысл обезопасить его от возможных нападений. Сайты политических партий и движений обязательно должны иметь прочную защиту от злоумышленников, так как довольно часто становятся мишенью для распределенных атак.
Комментариев нет:
Отправить комментарий