🕵 Захищаємось від DDoS-атак: що робити до, під час та після атаки

У статті розберемося з атаками зловмисників «типу відмова в обслуговуванні» (DDoS) та поділимося планом реагування на випадок раптової атаки.

Що таке DDoS простими словами?

Розподілені атаки типу DDoS - це набір хакерських дій, спрямованих на збій або порушення працездатності різних видів інфраструктур в мережі, будь то простий веб-сайт або великий клієнтський сервіс. Принцип атаки простий і полягає у створенні лавиноподібного зростання запитів до онлайн-ресурсу для штучного збільшення навантаження на нього та подальшого виведення його з ладу.

Складність захисту від DDoS-атак полягає у розподілі атакуючих хостів. Заблокувати трафік за допомогою брандмауера досить складно.

Існує безліч різних типів DDoS-атак. Ми розділимо їх на три основні категорії: об'ємні, протокольні та прикладні. Давайте розглянемо кожен із них докладно.

Широкомасштабні DDoS-атаки

Широкомасштабні DDoS-атаки створені для навантаження трафіком пропускного каналу жертви. Одним із найбільш популярних її видів є атака відображення (reflection). Принцип її наступний:

1. Зловмисники, змінивши свою IP-адресу на адресу мети, відсилають, нібито від неї, запити серверам, на яких працюють UDP або TCP.

2. Приймаючі сервери відображають сигнал, надсилаючи відповіді на IP-адресу відправника, використовуючи той самий протокол.

Ви запитаєте, навіщо такий мудрий алгоритм дій? Чи не простіше безпосередньо атакувати об'єкт? Справа в тому, що пакети у відповідь зазвичай набагато більше, ніж пакети вихідних. Наприклад, відповідь на DNS-запит може бути в 28–54 рази більшою від вихідного запиту. Якщо таких пакетів багато – масштаб збитків може бути критичним.

Протокольні та прикладні DDoS-атаки

Протокольні DDoS-атаки (наприклад, SYN-флуд) виявляють слабкі місця у роботі протоколу, використовуючи принцип триетапного рукостискання.

Коли зловмисник відправляє на машину велику кількість пакетів SYN (synchronize – запит на синхронізацію), сервер виділяє ресурси для цього запиту та відправляє назад пакет SYN ACK (acknowledges, готовність до прийняття пакета), припускаючи, що це початок запиту на підключення.

Зазвичай інший сервер відповідає ACK, запускаючи з'єднання. У разі атаки зловмисник продовжує відправляти SYN-запити, не завершуючи з'єднання, доки на сервері не закінчаться ресурси і він більше не зможе прийняти будь-який додатковий трафік.

Прикладні DDoS-атаки націлені на слабкі місця роботи додатків. Наприклад, атака Slowloris дуже схожа на SYN-флуд і працює так: зловмисник методично відправляє HTTP-запити, не завершуючи їх, залишаючи з'єднання відкритим. А оскільки з'єднання ніколи не завершуються, вони поглинають усі доступні ресурси сервера доти, доки він не вийде з ладу.

Захист від DDoS-атак

Найважливішою частиною захисту від таких атак є профілактика. Краще заздалегідь усе передбачити, аніж потім боротися з наслідками. Отже, що ж у такій ситуації можна зробити:

Збільшити пропускну спроможність

Один із способів упоратися з широкомасштабними атаками — збільшити пропускну здатність у відповідь. На жаль, це досить складно, якщо тільки атакована організація не є постачальником послуг. У такій ситуації все залежатиме від розміру атаки та здатності зловмисника масштабувати її у відповідь.

Відповіді на аутсорсинг

Невеликі організації можуть передати відповіді іншим спеціалізованим фірмам або своєму інтернет-провайдеру. Однак договір із такими компаніями має бути укладений до того, як відбудеться атака. У такому разі провайдер перенаправляє трафік у своє середовище, тим самим розвантажуючи ваші сервери.

Мати чіткий план реагування

Навіть якщо організація передала захист від DDoS-атак на аутсорсинг, ключовим моментом є наявність плану реагування на такий випадок.

Він має включати таке.

Перед атакою:

1. Створіть якомога точніші принципові схеми з планом локалізації у разі непередбаченої ситуації, з чітко прописаними діями кожного співробітника компанії.

2. Визначте, коли і як залучити вашого інтернет-провайдера чи організацію із запобігання DDoS-атакам

3. Складіть список тих, кого слід повідомити і коли (контактна інформація групи безпеки, відповідні контакти мережної команди тощо)

4. Переконайтеся, що ваша команда зі зв'язків із громадськістю має план того, як і що повідомляти ваших клієнтів, у разі інциденту, що призводить до втрати активів.

5. Усі ці документи та списки контактів слід регулярно (не рідше одного разу на квартал) переглядати.

Дуже важливо, щоб цей план було роздруковано і поширено серед працівників, і у разі відмови системи, він був доступний кожному.

Під час атаки:

1. Класифікуйте подію як DDoS-атаку, щоб підтвердити, що це не просто короткий сплеск великого трафіку чи помилка, допущена кимось у мережі. В ідеалі необхідно визначити її тип та обсяг.

2. По можливості заглушіть трафік і зверніться до спеціалістів з безпеки або до свого оператора зв'язку.

Після атаки:

1. Зберіть якомога детальнішу інформацію про інцидент.

2. На підставі аналізу того, що сталося, оновіть план реагування.

Створення стійкої архітектури

Архітектура відмовостійких систем потребує комплексного підходу щодо забезпечення безперервності бізнесу. При їх проектуванні вам потрібно уникнути потенційно небезпечних вузьких місць, мати географічно розкидані мережі та різноманітних постачальників.

Мережі розповсюдження контенту (CDN) – це один із способів покращити реакцію на DDoS, оскільки вони надають географічно розподілену мережу проксі-серверів, які значно підвищують стійкість роботи системи.

Хмарна архітектура також дозволяє організаціям будь-якого розміру створювати повністю резервовані системи, які можна вмикати та вимикати одним натисканням кнопки. Вона має географічно різнорідну інфраструктуру та можливість збільшувати або зменшувати навантаження за необхідності.

А ще не варто забувати про оновлення апаратного заліза, адже деякі типи DDoS-атак дуже старі, і їх можна пом'якшити за допомогою нового обладнання. Наприклад, від багатьох атак, будь то SYN-флуд або Slowloris, можна захиститися за допомогою відповідних мережевих брандмауерів та балансувальників навантаження, що відстежують відповідні порушення в роботі системи та закривають нестійкі з'єднання.

Не можна недооцінювати

Розглянутий вид атак не можна ігнорувати, оскільки часом наслідки таких дій зловмисників можуть бути непередбачуваними. Зазвичай її запуску застосовуються величезні мережі з кількох сотень і навіть тисяч заражених пристроїв, звані ботнетами. Потужність останніх постійно збільшується та їх запуск може завдати колосальної шкоди. Досить згадати відомий випадок з ботнетом Mirai, який у 2016 році атакував великого DNS-провайдера Dyn, коли через зростання навантаження впав цілий ряд популярних сайтів: GitHub, HBO, Twitter, Reddit, PayPal, Netflix і Airbnb. Mirai на піку навантаження запускав близько 60000 iOT-пристроїв, в основному це були камери та маршрутизатори та фахівці фіксували його активність аж до 2017 року. Тому якщо ви хочете убезпечити свою компанію, подумайте про це заздалегідь. Успіхів!