Современные распределенные атаки типа “отказ в обслуживании” (DDoS) не только пытаются вывести из строя веб-сайты и приложения, но и часто используются для отвлечения персонала ИТ-безопасности от более серьезных угроз, таких как утечка данных, атаки программ-вымогателей и другие вредоносные средства.
Кроме того, современные DDoS-атаки теперь очень сложны и могут сочетать в себе DDoS-атаки с низкой и медленной пропускной способностью, объемные атаки и DDoS-атаки на основе аутентификации.
В общем, если у вас отсутствует комплексная защита от ДДОС, следующая атака может нанести катастрофический ущерб. Далее мы обсудим, как вам следует подготовиться к DDoS-атаке, различные методы защиты от DDoS-атак и какую модель защиты от DDoS-атак следует выбрать в зависимости от ваших потребностей.
DDoS и DoS-атаки: в чем разница?
Важно не путать DDoS-атаку (распределенный отказ в обслуживании) с DoS-атакой (отказ в обслуживании). Хотя их разделяет только одно слово, эти атаки существенно различаются по характеру.
- Строго говоря, типичная DDoS-атака манипулирует многими распределенными сетевыми устройствами между злоумышленником и жертвой для проведения невольной атаки, используя законное поведение.
- Традиционная DoS-атака не использует несколько распределенных устройств и не фокусируется на устройствах между злоумышленником и организацией. Эти атаки также, как правило, не используют несколько интернет-устройств.
DDoS-атаки и модель OSI
Атаку распределенного отказа в обслуживании (DDoS) можно классифицировать в зависимости от уровня модели OSI (взаимодействие открытых систем), который подвергается атаке.
Модель OSI представляет концептуальную структуру, описывающую сетевую или телекоммуникационную систему, состоящую из 7 различных “уровней”:
- Физический
- Канальный
- Сетевой
- Транспортный
- Сеансовый
- Представительный
- Прикладной
DDoS-атаки наиболее часто направлены на сетевой (3) и транспортный (4) уровни, известные как объемные атаки. Атаки на представительный уровень (6) и прикладной уровень (7) считаются более изощренными: они могут быть низкими и медленными, но их последствия могут быть такими же разрушительными.
Понимание того, на каком уровне (или уровнях) происходит DDoS-атака, является крайне важным для разработки эффективных мер защиты от таких атак.
Типы DDoS-атак
Существуют различные типы DDoS-атак. Вот некоторые из наиболее распространенных:
Ping Of Death
Атака Ping of Death – это тип DDoS-атаки, цель которой – вывести из строя компьютер или сеть, воспользовавшись недостатком в способе, которым некоторые компьютеры обрабатывают запросы Ping. Злоумышленник отправит запрос Ping, размер которого превышает максимальный размер, который может обработать компьютер, что приведет к сбою компьютера.
SYN-флуд
SYN-флуд – это тип DDoS-атаки, цель которой – вывести из строя компьютер или сеть, воспользовавшись недостатком в способе обработки некоторыми компьютерами запросов на установление соединения. Злоумышленник отправит большое количество запросов SYN в целевую систему, но не ответит на ответ SYN-ACK, который система отправляет обратно, так и не завершив соединение. Это может привести к нехватке ресурсов системы и сбою.
Атака с усилением DNS
Атака с усилением DNS – это тип атаки, целью которой является отключение компьютера или сети путем усиления трафика DNS, отправляемого в целевую систему. Злоумышленник отправит большое количество DNS-запросов на общедоступные DNS-серверы, которые затем ответят еще большими DNS-ответами. Это может перегрузить целевую систему и вызвать ее сбой.
Атаки Teardrop
Атака Teardrop – это тип атаки, направленный на вывод из строя компьютера или сети путем отправки им серии перекрывающихся фрагментов. Это может привести к сбою системы, поскольку она не может правильно собрать фрагменты.
Каковы причины DDoS-атак?
- Это прибыльный бизнес для “плохих ребят”. Злоумышленники с крупными ботнетами получают деньги за атаки.
- Это экономически эффективный инструмент против конкурентов. DDoS-атаки могут использоваться для недобросовестной конкуренции. Уничтожение конкурента в период распродаж может принести пользу другим игрокам.
- Атака DDoS может использоваться как дымовая завеса. Это может иметь цель отвлечь внимание, когда происходит другой тип атаки.
- Хактивизм. Атака DDoS может использоваться для привлечения внимания к таким причинам, как глобальное потепление, изменение климата, вырубка тропических лесов и т. д.
- Политика. Группа может атаковать другую, чтобы повредить кампании или заставить противников замолчать.
- Месть. Если кто-то подвергся DDoS-атаке и думает, что знает, кто виноват, он может вернуть «жест».
- Просто потому, что кто-то может. Да, киберпреступник может нацелиться на вас только для того, чтобы попробовать свои силы, только для того, чтобы доказать, что это возможно.
Различные модели защиты от DDoS-атак
Локальная модель
Локальная модель защиты от DDoS-атак предполагает размещение системы защиты на территории предприятия, в центре обработки данных. Она обеспечивает прямой контроль над системой защиты и позволяет мгновенно реагировать на атаки. Гибкость, масштабируемость и эффективность против низкоуровневых атак являются преимуществами данной модели. Однако она может ограничиваться в масштабе при крупномасштабных атаках и требовать значительных инвестиций. Совместимость с облачными решениями также может быть проблемой.
Преимущества локальных решений
- Минимальное влияние на задержку благодаря локальной установке;
- Возможность гибкой интеграции решения в существующую инфраструктуру;
- Возможность глубокой настройки защиты без посторонней помощи;
Однако эти решения также имеют несколько ограничений, а именно:
- Высокие аппаратные, программные и личные расходы;
- Необходимость нанять или обучить сотрудников, настроить мониторинг сети и разработать стратегии реагирования на инциденты;
- Функционал фильтрации, ограниченный защитой от флуда пакетов (L3-L5). Невозможность защиты от атак ботов на уровне HTTP (L7) делает этот тип решения далеко не идеальным для защиты веб-сайтов.
- Ограничения по пропускной способности: например, при работе с каналами на 40 Гбит/с атака на 50 Гбит/с легко пробьёт защиту.
Облачная модель
Облачная модель защиты от DDoS-атак предлагает доступные и экономически эффективные решения без необходимости инвестировать в дорогостоящее оборудование. Переход на облачные решения также позволяет снизить затраты на обслуживание и поддержку. Однако перед выбором облачного решения необходимо учесть несколько факторов, включая репутацию провайдера, поддержку протоколов, масштабируемость, подход к анализу трафика и системам отчетности. Важно выбрать надежного провайдера и понимать, что в облачной модели у нас нет прямого контроля над услугами, поэтому надежность и безопасность провайдера являются ключевыми факторами для обеспечения защиты от DDoS-атак.
Преимущества облачных решений
- Низкие затраты за счет подписки;
- Решение не требует найма или обучения персонала;
- Высокая фильтрующая способность;
- Высокая скорость соединения;
- Фильтрация атак на прикладном уровне.
Гибридная модель
Гибридная модель защиты от DDoS-атак комбинирует локальные и облачные решения, обеспечивая эффективную защиту на разных уровнях. Она объединяет преимущества локальной защиты на сетевом и приложении уровня с масштабируемостью и гибкостью облачных решений. Гибридный подход позволяет более детально анализировать и отслеживать атаки, а также адаптировать стратегию защиты в режиме реального времени. Это обеспечивает надежную защиту от различных типов DDoS-атак и повышает устойчивость системы.
В качестве заключения
В сегодняшней быстро развивающейся среде DDoS-атак, каждая онлайн-организация должна серьезно рассмотреть стратегию защиты от таких атак. При выборе подхода к защите, важно взвесить потенциальные риски атаки и доступный бюджет, а также способность эффективно справиться с DDoS-атакой.
Будьте активны и постоянно ищите оптимальные решения для защиты от DDoS. Не ждите, пока атака произойдет, так как в таком случае время на планирование будет ограничено. Заранее разработайте и внедрите решение, чтобы быть готовым к любым потенциальным атакам.