На сегодняшний день практически у каждой организации есть свой сайт, даже фрилансеры теперь создают визитную карточку в интернете, в целях привлечения наибольшего потока клиентов.
DDoS (от англ. Distributed Denial of Service) — распределенные атаки типа «отказ в обслуживании» направлены, прежде всего, на доступность ресурса, поэтому сферы бизнеса, напрямую зависящие от доступности ресурса пользователям, наиболее подвержены таким атакам. Например: турагентства, системы онлайн-банкинга, игровые порталы, интернет-магазины, порталы госуслуг, облачные сервисы и даже интернет-ресурсы образовательных организаций (электронные дневники, системы дистанционного обучения) и др. Интересным фактом является то, что подобные атаки часто осуществляются в целях отвлечения внимания от более серьезных.
Продолжительность атак может составлять от нескольких минут до нескольких часов и даже дней, все зависит от атакуемого ресурса, его системы защиты, скорости реагирования на инциденты, возможностей атакующего, выбранного способа атаки.
Например, такой феномен, как хактивизм (единство социальной активности и хакерства), можно встретить повсеместно в докладах по ИБ. Понять реальные мотивы людей, промышляющих этим, достаточно сложно. Никто не застрахован от таких незваных гостей.
В совокупности DDoS-атаки можно разделить на три группы:
- направленные на объем;
- на уровне протоколов;
- на уровне приложений.
Одним из самых популярных видов атак является флуд, и его цель — отправка такого количества запросов, что серверное оборудование будет вынуждено отказаться от обслуживания пользовательских сервисов.
Атаке может подвергнуться абсолютно любая часть сети: сетевые интерфейсы; инфраструктура; серверы протоколов приложений базы данных. При построении правильной стратегии защиты от DDoS-атак необходимо помнить, что блокировка всей подсети таит в себе риск блокирования доступа к ресурсу для легальных клиентов. Но этот метод идеально подходит для защиты внутренних серверов компании.
Следует заметить, что универсальных методов борьбы не существует. Так, например, от некоторых атак можно защититься, правильно настроив WAF или реализовав DAST в сочетании с системой предотвращения вторжений, в то время как другие требуют аппаратной или внешней фильтрации.
В интернете, кроме большого количества возможностей для реализации DDoS, существует также множество сервисов, которые помогают защититься от них. Для защиты от DDoS-атак, кроме привлечения средств защиты и третьих лиц, надо выполнить ряд профилактических мероприятий, перечисленных ниже:
- Сетевой анализ. Изучение объемов трафика в разный промежуток времени нужно для того, чтобы в самом начале выявить признаки аномального поведения и принять соответствующие меры. Также на данном этапе должен быть проведен анализ рисков, в ходе которого необходимо найти наиболее уязвимые ресурсы, рассчитать бюджет, который компания готова вложить в защиту от DDoS-атак, а также проанализировать атаки, которые уже были проведены, если таковые имели место, и последствия от них.
- Назначение ответственных лиц и подготовка плана действий на случай экстренной ситуации.
- Проведение систематических тренингов для работников, взаимодействующих с защищенным ресурсом.
- Правильная настройка брандмауэра, а также улучшение существующих ресурсов, если это возможно.
После проведения всех вышеперечисленных мероприятий необходимо принять решение о привлечении внешних организаций к защите от DDoS-атак.
Классическая техника защиты: поиск ботов по журналам и блокировка тех, кто попадает под их описание. Но, следует заметить, что, эта техника работает не всегда действенно. Еще одним вариантом является использование готовых модулей, которыми наполнены интернет-ресурсы, в этом случае важно принять во внимание все риски, сопровождающие эксплуатацию таких ресурсов. Также нужно помнить, что кроме преимуществ, у этих инструментов есть и недостатки, например, такой модуль может не защитить от всех ботов, или наоборот, не впустить легальных пользователей, которые по тем или иным причинам прошли фильтрацию. Вы также можете быстро закрыть какую-то часть атакованного сайта, т. е. фильтруйте по URL, отфильтровывайте пользователей по географическим объектам, но и в этом случае присутствуют подводные камни. Однако есть и более интересные решения, основанные на нейронных сетях, и даже они далеки от совершенства.