Внимание
У Вас отключена поддержка Cookie в браузере. Возможно некорректное отображение сайта!
en ru de
В блог

Самые опасные DDoS-атаки современности

По мере роста проекты и организации приобретают новые ресурсы, но также оказываются и перед лицом новых угроз. Иногда даже незначительные по масштабу компании становятся жертвами киберпреступников.

Причины атак на цифровые ресурсы могут быть различными — от охоты за ценными сведениями и доступом до намеренного причинения репутационного или финансового ущерба. В любом случае безопасность должна стоять на первом месте.

За прошедшие несколько лет облачная инфраструктура, особенно публичные облака, приобрела большую популярность. Тысячи компаний по всему миру — от малого бизнеса до настоящих гигантов — полагаются на облачные сервисы.

Киберугрозы могут поставить под удар любой онлайн-бизнес, если не принимать меры для защиты.

Какие бывают DDoS-атаки

DDoS-атака (Distributed Denial of Service) — одна из самых распространённых киберугроз. Её цель дословно — «отказ в обслуживании».

Такие атаки нарушают работу серверов, сайтов и веб-сервисов посредством избыточного потока запросов. Не рассчитанные на высокие нагрузки ресурсы перестают работать, в результате чего они становятся недоступными для всех пользователей. Также в рамках DDoS-атак используются уязвимости на уровне сетевых протоколов и непосредственно приложений.

Термин “distributed” (от англ. ‘распределённый’) применительно к данному виду атак предполагает, что в качестве их источника злоумышленниками скрытно используются целые сети заражённых устройств — ботнеты. Зачастую владельцы не подозревают, что с их устройств и IP-адресов осуществляются атаки. Особенно подходят для таких целей IoT-девайсы, количество которых непрерывно растёт, а защищённость остаётся на низком уровне.

Несмотря на то что почти половина всех DDoS-атак имеет смешанный характер, выделяют три основные категории.

Volumetric-атаки

Объёмные атаки или флуд. Это самый распространённый тип. Злоумышленники посылают большое количество запросов на сервер, а образовавшийся трафик перекрывает всю пропускную способность сети.

Объём атаки может доходить до нескольких терабит в секунду. В результате неподготовленная инфраструктура не выдерживает и перестаёт отвечать на запросы.

К Volumetric-атакам относятся:

DNS Amplification. К публичному DNS-серверу от имени жертвы (в запросах прописывается IP-адрес атакуемого сервера) идут многочисленные запросы, требующие объёмных ответов, которые, в свою очередь, перенаправляются на сервер жертвы.

DNS Flood. Отправка запросов DNS-серверу с многочисленных IP-адресов. Среди полученных сервером пакетов весьма тяжело обнаружить вредоносные.

ICMP Flood. ICMP-пакеты не требуют подтверждения о получении, поэтому их крайне трудно отделить от вредоносного трафика.

SYN Flood. Отправка избыточного количества запросов на открытие новых сессий с целью исчерпать память таблицы соединений.

Protocol-атаки

Разновидность атак, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP (3-й и 4-й уровни модели OSI). В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объёмом трафика, сколько точечными действиями, использующими несовершенства сети.

Пример Protocol-атаки:

POD (Ping of Death) — пинг сервера с помощью ICMP-пакетов, в которых содержимое искажено или объём которых превышает максимально допустимый.

Application-атаки

Это атаки на уровне приложения (7-й уровень модели OSI). Они направлены на веб-серверы и приложения, например CMS сайта. Главная цель — вывести веб-ресурс из строя. В частности, это может быть чрезмерная нагрузка на CPU или RAM.

Цель может быть достигнута с помощью внешнего HTTP-запроса — в ответ на него система начинает исполнение такого числа внутренних запросов, на которое просто не рассчитана.

К атакам на уровне приложений относятся:

HTTP Flood. Избыточное количество GET- и POST-запросов к серверу для получения самых «тяжёлых» элементов сайта.

Slowloris. Бот открывает множество сессий на сервере, не отвечая на них и провоцируя тайм-аут. В результате такие поддельные сессии забирают на себя ресурсы сервера и приводят к его недоступности.

Наиболее опасные DDoS-атаки современности

Из-за высокой эффективности некоторых атак злоумышленники проявляют к ним особый интерес. Самые серьёзные инциденты современности связаны с DDoS-атаками особого типа.

DNS Reflected Amplification

Подвид Volumetric-атак, суть которых — в комбинации двух вредоносных факторов. Во-первых, имитируя запрос с сервера жертвы путём подстановки его IP-адреса в запрос, атакующий использует публичный DNS-сервер как рефлектор, то есть «отражатель». Тот, получив запрос якобы от атакуемого сервера, возвращает ответ ему же, «отражая» запрос.

Запросить можно не только IP-адрес домена, но и намного больше данных, поэтому ответ DNS-сервера может стать гораздо объёмнее. Наконец, трафик можно довести до предела, осуществляя запросы через ботнет. Таким образом, с высокой вероятностью достигается перегрузка пропускной полосы сервера жертвы.

Атака на GitHub. Самый известный случай применения DNS Reflected Amplification — атака на GitHub в феврале 2018 года, самая крупная из известных DDoS-атак. Она исходила от тысячи различных автономных систем и десятков тысяч уникальных эндпоинтов. В пиковые моменты мощность атаки достигала 126,9 млн пакетов в секунду. Поток трафика достигал 1,35 Тбит/с, а коэффициент усиления (амплификации) — 51 000.

Generated UDP Flood

Generated UDP Flood сочетает генерацию избыточного объёма трафика и элементы атаки уровня протоколов.

Атака с помощью UDP-пакетов, отправляемых с подставных IP-адресов, направлена на IP-адрес и порт сервера. Правильно подобрав параметры пакетов и интенсивность их отправки, можно сымитировать легитимный трафик. Выявить «мусорные» запросы становится крайне трудно.

Такой атаке подвергся сервер MMORPG Albion Online. В качестве решения для устранения угрозы был выбран программный комплекс G‑Core Labs, сочетающий различные методы:

Rate Limiting — ограничение трафика.

Regexp Filtering — фильтрация пакетов, совпадающих с regexp в payload.

Whitelisting — добавление IP-адреса игрока в белый список при прохождении авторизации.

Blacklisting — добавление IP-адреса игрока в чёрный список адресов, не прошедших валидацию.

IP Geolocation Filter — блокировка IP-адресов по геолокации.

G‑Core Labs Challenge Response (CR) — уникальный протокол, интегрируемый на стороне клиента и позволяющий валидировать его IP-адрес.

Как мы защитили Albion Online от сложных и масштабных DDoS-атак

HTTP GET/POST Flood

Это атака на уровне веб-приложения. В данном случае на сервер отправляется непрерывный поток GET- и POST-запросов, легитимных на первый взгляд. Проблема в том, что атакующий не дожидается ответов, а направляет запросы постоянно, вследствие чего ресурсы сервера исчерпываются в процессе их обработки.

Атаки на банки. Согласно открытым источникам, от подобных атак в ноябре 2016 года пострадали сайты ряда крупных российских банков.

HTTP Flood использовали в самом начале, чтобы точно определить частоту запросов и объём трафика, необходимый для отказа в обслуживании. Метод выступил как вспомогательный, после чего в ход пошли другие инструменты.

Hit-and-run

Один из подвидов Volumetric-атак, но Hit-and-run работает особым образом, отличным от большинства других атак. Это непродолжительные всплески трафика объёмом сотни гигабит в секунду, длительностью 20–60 минут, а в ряде случаев — менее минуты. Они многократно повторяются в течение длительных периодов времени — дней и даже недель — с интервалами в среднем 1–2 суток.

Подобные атаки стали популярны из-за своей дешевизны. Они эффективны против защитных решений, активируемых вручную. Опасность Hit-and-run заключается в том, что последовательная защита требует непрерывного мониторинга и готовности систем реагирования.

Основными жертвами атак Hit-and-run становятся серверы онлайн-игр и сервис-провайдеры.

SYN Flood

Очередной пример класса Volumetric-атак. Стандартное соединение с сервером по протоколу TCP производится методом трёх «рукопожатий».

На первом этапе клиент отправляет пакет с флагом SYN для синхронизации. Сервер отвечает пакетом SYN-ACK, уведомляя клиента о получении первого пакета и предлагая отправить завершающий, третий, для подтверждения соединения. Клиент же не отвечает пакетом ACK, продолжая флуд и тем самым перегружая ресурсы сервера.

Атака на Eurobet. SYN Flood и аналогичным атакам в разное время подвергались крупнейшие компании, такие как Amazon, SoftLayer (IBM), Korea Telecom и другие. Одним из серьёзных инцидентов стало выведение из строя сайта спортивных ставок Eurobet Italia SRL в октябре 2019 года. Позднее в том же месяце жертвами TCP SYN-ACK Reflection стали несколько финансовых и телекоммуникационных компаний в Италии, Южной Корее и Турции.

Slowloris

Один из видов DDoS-атак на уровне приложений. Slowloris (или session-атака) нацелена на «изматывание» сервера жертвы. Злоумышленник открывает множество соединений и держит каждое из них открытым как можно дольше, до наступления тайм-аута.

Подобные атаки нелегко обнаружить, так как TCP-соединение уже установлено, HTTP-запросы выглядят легитимными. Через некоторое время такая тактика позволяет занять все соединения, исключив доступ реальных пользователей к серверу.

Атаки в Иране. Slowloris приобрела широкую известность в ходе президентских выборов в Иране, когда атакующие предприняли попытку отключить сайты, принадлежащие правительству страны.

Как организовать надёжную защиту : 3 главных шага

Очевидно, что кибербезопасность — узкая компетенция и её едва ли удастся закрыть так же легко, как HR или бухгалтерию, какой бы продвинутой ни была компания. Важно заботиться о том, чтобы ваши сервис-провайдеры и поставщики инфраструктуры были глубоко погружены в вопросы кибербезопасности и зарекомендовали себя как настоящие профессионалы.

3 главных шага, обеспечивающие надёжную защиту:

  1. Использовать проверенное решение для непрерывной защиты от DDoS-атак.
  2. Разработать план действий на случай атаки.
  3. Регулярно проверять «здоровье» системы (health check) и устранять уязвимости приложений.

Проверенное решение для непрерывной защиты от DDoS-атак

Если рассматривать облачную инфраструктуру, то в данной сфере защита требует особого внимания.

Сервер — одна из основ любого веб-сервиса, приложения, сайта. Если на него совершена атака, которая привела к потере доступа пользователей к ресурсам, последствия могут быть плачевными. Это финансовые и репутационные риски, компрометация конфиденциальной информации, уничтожение ценных ресурсов, судебные риски.

Чтобы сохранить активы в безопасности, важно использовать проверенные средства онлайн-защиты.

Они должны включать такие элементы, как:

  • средства непрерывного мониторинга трафика и выявления подозрительной активности;
  • внесение IP-адресов в белый и чёрный списки;
  • система оповещения об угрозах;
  • система нейтрализации атак.

Особенно важно в процессе ликвидации угрозы не заблокировать вместе с вредоносным и пользовательский трафик.

Показательным примером эффективной точной настройки служит сервис защиты от DDoS-атак G‑Core Labs. Этот сервис полезен любому онлайн-бизнесу: медиаресурсам, разработчикам и издателям игр, телеком-компаниям, страховому бизнесу, банкам, интернет-магазинам.

Интеллектуальная фильтрация трафика на основе анализа статистических, сигнатурных, технических и поведенческих факторов даёт возможность блокировать даже единичные вредоносные запросы, не затрагивая рядовых пользователей.

План действий на случай DDoS-атаки

План реагирования призван ограничить ущерб, причиняемый DDoS-атакой. Это чёткая последовательность действий и мер, незамедлительно принимаемых при возникновении угрозы.

Подробный план действий:

  1. Установление полного перечня ресурсов, подвергшихся атаке.
  2. Локализация угрозы и предотвращение её распространения.
  3. Оповещение ответственных и заинтересованных лиц об инциденте.
  4. Идентификация характера угрозы, обнаружение цифровых следов.
  5. Определение методов и средств, лежащих в основе атаки.
  6. Полное сканирование IT-инфраструктуры, оценка ущерба.
  7. Контроль исходящего трафика и предотвращение утечек информации.
  8. Устранение угрозы.
  9. Подготовка к противодействию аналогичным атакам в будущем.

Регулярная проверка «здоровья» системы и устранение уязвимостей приложения

Чтобы DDoS-атака не застала врасплох и нанесла минимальный урон, следует постоянно совершенствовать защитные механизмы. Правило касается не только инструментов, предназначенных для отражения атак, но и защищаемой инфраструктуры и приложения.

Вот перечень потенциальных угроз:

  • уязвимости на этапе аутентификации;
  • вредоносные вставки кода;
  • межсайтовый скриптинг (cross-site scripting);
  • уязвимости шифрования;
  • логические ошибки, несовершенная структура данных.

Сканирование систем на предмет уязвимостей и постоянное обновление кода приложений поможет поддерживать устойчивость ресурсов компании к большинству известных киберугроз.

Защитите свой бизнес

Решения G‑Core Labs по защите серверов и веб-приложений от DDoS-атак помогают онлайн-бизнесам по всему миру оставаться доступными и не терять клиентов.

Свяжитесь с нами. Наши специалисты расскажут об уникальности технологий и помогут настроить эффективную и надёжную защиту.

Подпишитесь на полезную рассылку

Выгодные предложения и важные новости раз в месяц. Без спама