Каждые сутки хакеры проводят около 2000 атак по всему миру. Представители малого и среднего бизнеса теряют в среднем 50 000$ за одну атаку, крупные компании — до 500 000$ и больше. Uber выплатил 149 миллионов долларов клиентам, чьи данные были украдены, Facebook заплатил штраф в размере 5 миллиардов долларов. Цели большинства атак: похищение конфиденциальных данных, вымогательство, желание сделать бяку конкуренту.
Что такое DDoS?
DDoS — Distributed Denial Of Service Attack или, по-русски говоря, — «доведение сервера до обморока». Множественные запросы посылаются на главный компьютер, снижая пропускную способность канала связи.
Когда пользователь заходит на сайт, браузер отправляет запрос на сервер, в ответ получая пакет с данными — на экране появляются текст и мультимедийный контент. Если сервер загружен, приходится долго ждать отрисовки картинок. DDoS-атака может замедлить работу сервера или «положить» его, то есть сделать сайт недоступным для пользователя.
Кого и зачем атакуют
Хакеры в основном совершают «налеты» на банкиров, IT-сектор, государственные сайты, образовательные платформы, киберспортивные состязания, онлайн-кинотеатры, реже на ритейлеров и новостные агентства.
Школьники учатся программированию и хакингу, тренируясь на «кошках». Профессиональные хакеры делают то же самое, но на более качественном уровне, с целью вымогательства и похищения данных. Частные и государственные структуры используют дудос, чтобы повлиять на ход выборов в других странах. Иногда заказчиками являются конкуренты по бизнесу — личная обида или желание «завалить» товарища в период активных продаж.
Знай врага в лицо
Последние годы наблюдается тренд на организованные совместные атаки — профессиональные взломщики сбиваются в стайки и называют себя RedDoor, Lizard Squad, ezBTC. Пока вы мирно смотрите очередной блокбастер, ваш компьютер атакует Пентагон. Сеть из множества ПК, в едином порыве занимающихся коллективным дудосом, называют «ботнетом».
IoT-боты стали бичом современности. Хакерская атакующая когорта может состоять из бытовых приборов «умного дома» — у каждого такого устройства есть персональный IP-адрес, с которого отправляются запросы на сервер.
Кроме настольного друга, DDoS-атакой в вашем доме может заниматься холодильник, электрочайник, видеокамера и даже умная лампочка.
Что нужно для DDoS-атаки и сколько это стоит
Самый простой способ сделать подножку ненавистному сайту — заказать стресс-тест у сервиса, предлагающего защиту от атак. Это работает только с самыми простенькими сайтами на бесплатных CMS и дешевых виртуальных хостингах. Тест длится от 2 до 20 минут. Более серьезную атаку можно организовать с помощью автоматических инструментов.
Цена DDos-атаки стартует с 50$, конечная стоимость будет зависеть от количества задействованных ресурсов. Сервисы, предоставляющие услуги, предлагают анонимную консультацию, «манибэк», отчет о выполненных работах и даже дают почитать отзывы довольных клиентов.
Если у жертвы есть надежная защита, «налет» обойдется намного дороже. Атака на VDS-сервер стоит 75–100 долларов за 5 минут, если сайт использует услуги anti-DDoS, стоимость начинается уже с 250 долларов. Блокировка домена на уровне регистратора — от 1000 долларов. Взлом Skype — 75 долларов.
Как вычисляют жертву?
У каждого сайта есть свой персональный адрес. Мы видим только название ресурса, программы, его IP-адрес. Нападению может подвергнуться не только сайт, но и конкретный пользователь. Приличный хакер перед атакой проведет «пентест». Военные назвали бы этот метод «разведка боем». Суть пентеста в небольшой контролируемой атаке, с помощью которой можно узнать уровень защиты сайта.
Частный случай
Проникнуть в любую сеть можно через Wi-Fi. Хакеры удаленно перезагружают устройство с помощью программы типа Websploit. Роутер возвращается к базовым настройкам и стандартному паролю. Злоумышленник получает доступ ко всему трафику организации.
Выявить адрес жертвы можно с помощью Skype или другого мессенджера. Делается это с помощью хакерского ПО на Linux. На полученный адрес посылается множество пакетов данных. Бонусом можно поставить программку автодозвона на определенный номер.
На рабочей панели отображается адрес, статус, вид операции. Подготовка пакета с ложными данными займет пару минут и в дело вступит автоматика, — но это вариант для «ламеров».
Настоящие «кулхацкеры» собирают собственную команду, заражая десятки тысяч компьютеров и утюгов. Иногда мелкие сети объединяются в более крупные, но тут не обойтись без рисков. Часто злоумышленники крадут друг у друга ключи доступа к «армиям», чтобы потом перепродать «войско».
Можно обойтись и без армии компьютеров, как говорится: «Не имей 100 рублей, а имей 100 друзей». Правда друзей потребуется 100 000, а лучше пару миллионов. Такой флэшмоб организовывается очень просто — через социальные сети.
Виды DDoS-атак
«Пинг смерти» — слишком большой пакет размером более 65535 байт. Такой вид хаккинга был популярен в 90-х годах, он приводил к ошибкам или отключению сервера.
HTTP(S) GET-флуд — на сервер отправляется ничего не значащая информация, забивающая канал передачи данных и расходующая ресурсы сервера.
Smurf-атака — взломщик отправляет операционной системе запрос с подменным mac-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул воришка.
HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.
UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.
SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».
POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»
Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых — коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.
Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.
Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.
Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.
Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.
Что делать во время DDoS-атаки
Можно провести обратную DDoS-атаку, перенаправив присланную бяку, атакующему. Если повезет, выведите из строя его оборудование. Для этого надо знать адрес сервера хакера и обладать хорошими навыками программирования. Без специалиста в этой области не обойтись — они редки и очень дорого стоят.
Активные методы защиты
Построение распределенных систем — целое искусство, позволяющее раскидывать запросы по разным узлам единой системы, если какие-то сервера стали не доступными. Вся информация дублируется, физически сервера находятся в Data-центрах разных стран. Такой подход имеет смысл использовать только для крупных проектов с большим количеством пользователей или высокими требованиями к бесперебойному доступу — банки, социальные сети.
Если у сервера нет надежной защиты или принятые меры не дали результатов — руби канаты.
Весь DDoS-трафик поступает от одного провайдера и магистрального маршрутизатора, поэтому можно заблокировать все, подключившись к резервной линии Интернет-соединения. Метод действенный, пока вас снова не обнаружат.
Самый надежный способ защититься — поставить на сайт заглушку, заварить чаек, усесться в позу «ждуна» и наслаждаться представлением. Рано или поздно атака прекратится по причине исчерпания бюджета.
«Заглушка» — контрольно-пропускной пункт, специальная страница весом около 2 килобайт с кодом фильтра и текстовым сообщением об атаке. Фильтр отделяет данные, отсылаемые атакующими от реальных пользователей, автоматически присваивает юзерам «куки» и перенаправляет на искомую страницу сайта. Но этот вариант не подходит банкам, крупным торговым сетям, организаторам киберспортивных состязаний. Для установки заглушки потребуется программист.
«Дальше действовать будем мы»
Конечно, в идеале сделать это до того, как сисадмин начнет бегать по офису с криками «Все пропало!», но и во время атаки не поздно обратиться в сервис по комплексной защите от DDoS-атак. На рынке представлено несколько десятков программно-аппаратных комплексов для защиты от хакеров: Juniper, F5, Cisco, Arbor Networks, Qrator, Selectel, CloudFlare и другие.
Как защищают сервисы
Весь интернет-трафик, поступающий на сайт, перенаправляется на сервера программно-аппаратных комплексов защиты, клиент получает только очищенный входящий трафик. Исходящий проходит через другие сервера.
Как правило, стоимость таких услуг довольна высока. Эти же сервисы предлагают постоянный мониторинг и выделенный IP, чтобы скрыть реальный адрес. Деньги берут в зависимости от объема трафика, поступающего на сервер. Расходы на защиту колеблются от 250 до нескольких тысяч долларов год.
Выбор стратегии зависит от серьезности угрозы и важности бесперебойной работы ресурса. Для большинства сайтов достаточно превентивных мер:межсетевые экраны, фильтрация запросов по ACL-списку, установка программ пассивного мониторинга, создание резервной линии Интернет-соеденения. Если доход от сайта исчисляется сотнями тысяч в день, стоит подумать о надежной защите на постоянной основе.
Количество атак увеличивается каждый год на 200%. Видеокамеры объединяются «в группы по интересам», атакуя финансовые организации, холодильники «названивают» в Uber, а на Amazon ополчились кофемолки. В следующий раз, смотря на свой «умный» чайник, приглядитесь повнимательней, может именно в этот момент он тащит пароли от ВК или пытается похитить данные банковской карточки.
Что такое DDoS-атака? – Distributed Denial of Service
Распределенная атака типа «отказ в обслуживании» – или DDoS (Distributed Denial of Service) – представляет из себя одновременную и массированную отправку информационных запросов на центральный сервер. Злоумышленник формирует такие запросы с помощью большого количества скомпрометированных систем.
Действуя подобным образом, злоумышленник стремится израсходовать на атакуемой системе ресурсы интернет-соединения и оперативную память. Конечной целью является вывод из строя целевой системы и причинение ущерба компании.
- Смотреть видео
С какой целью проводятся DDoS-атаки?
Атакующая сторона может использовать DDoS-атаку для вымогательства у компании денег. DDoS-атаки также могут приносить выгоду конкурентам компании, либо политические дивиденды правительствам или «хакерам-активистам». Сбой в работе сетевой инфраструктуры может быть выгоден многим людям.
Какая может быть продолжительность у DDoS-атак?
Продолжительность DDoS-атак может быть разной. Атака «смертельный эхо-запрос» (Ping of Death) может быть кратковременной. Для реализации атаки Slowloris необходим более продолжительный период времени. Согласно отчету компании Radware, 33 процента DDoS-атак продолжаются менее одного часа, 60 процентов атак длятся менее суток и 15 процентов атак – порядка одного месяца.
Какие меры предпринимаются для защиты от DDoS-атак?
Защита компаний от DDoS-атак является важнейшим элементом сетевой безопасности. Для защиты сетевой инфраструктуры от широкого спектра атак необходимо руководствоваться комплексным и целостным подходом в сфере ИТ, при котором используются компоненты, эффективно работающие вместе.
3 наиболее распространенных типа DDoS-атак
Атаки с исчерпанием ресурсов
Атака с насыщением пакетами UDP: атака с насыщением пакетами по протоколу UDP проводится на случайно выбираемые порты удаленного сервера с помощью запросов, называемых UDP-пакетами. Хост проверяет порты на наличие соответствующих приложений. Если приложение найти не удается, система отправляет в ответ на каждый запрос пакет «получатель недоступен». Формируемый в результате этого трафик может превысить ресурсы сети.
Атака с насыщением пакетами ICMP (эхо-запросы): при атаке с насыщением пакетами по протоколу ICMP на хост отправляются пакеты эхо-запросов по этому протоколу («пинги»). Эхо-запросы обычно используются для проверки связи между двумя серверами. После отправки эхо-запроса сервер сразу же на него отвечает. При атаке с насыщением эхо-запросами злоумышленник использует избыточное количество эхо-запросов, чтобы исчерпать пропускную возможность во входящем и исходящем направлениях на целевом сервере.
Атаки на уровне приложений
Атака с насыщением пакетами HTTP: атаки с насыщением пакетами HTTP проводятся на Уровне 7, соответствующем приложениям, при этом используются ботнеты, которые часто называют «армией зомби». При данном типе атаки выполняется насыщение ресурсов веб-сервера или приложения с помощью стандартных запросов GET и POST. Сервер переполняется запросами и может прекратить работу. Эти атаки особенно трудно выявить, так как они выглядят как абсолютно нормальный трафик.
Атака типа Slowloris: обозначается названием примата «толстый лори» (Slowloris), который водится в Азии и очень медленно передвигается. При данной атаке на сервер отправляются небольшие части HTTP-запросов. Эти части отправляются через определенные интервалы времени, чтобы не истекал соответствующий период ожидания запроса, и сервер ожидал его полного получения. Такие незавершенные запросы расходуют пропускную способность и влияют на способность сервера обрабатывать легитимные запросы.
Атаки на уровне протоколов
Атака с переполнением пакетами SYN: при атаке с переполнением пакетами SYN злоумышленник отправляет внешне нормальные SYN-запросы на сервер, который отвечает отправкой запроса SYN-ACK (подтверждение синхронизации). В обычных условиях клиент после этого отправляет запрос ACK, и устанавливается сетевое соединение. Но при атаке с переполнением SYN злоумышленник не отправляет последний запрос ACK. Сервер оказывается в ситуации с большим количеством незавершенных запросов SYN-ACK, которые создают большую нагрузку на систему.
Атака «смертельный эхо-запрос» (Ping of Death): при атаке «смертельный эхо-запрос» (Ping of Death) злоумышленник пытается вывести из строя или остановить функционирование сервера с помощью отправки эхо-запросов, которые либо являются фрагментированными, либо имеют излишне большой размер. Стандартный размер заголовка IPv4 равен 65 535 байтам. При отправке эхо-запроса большего размера целевой сервер вынужден разделить файл на фрагменты. Затем при формировании сервером ответа и сборке этого крупного файла может произойти переполнение буфера и выход системы из строя.
DDoS-атака: что это такое и как мы боролись с хакерами
21 октября наш сервис подвергся DDoS-атаке. Это была самая крупная атака за последние несколько лет. Из-за нее некоторые сайты были недоступны, но благодаря вашей поддержке и непрекращающейся работе нашей команды, мы смогли отбиться от атаки. В этой статье наш технический директор Егор Курьянович рассказал, что такое DDoS-атака и как мы с ней боролись.
Что такое DDoS-атака
Представьте, что кто-то захотел нарушить работу автобусов. Тысячи человек садятся в начале маршрута и бесцельно катаются по городу от конечной до конечной, не выходя на остановках. Транспорт продолжает ездить, но фактически движение парализовано. Жители стоят на промежуточных остановках и грустно смотрят вслед переполненным автобусам, не сумев протолкнуться. Люди не могут добраться домой, автобусная компания терпит убытки из-за низкого пассажиропотока. Зато злоумышленники потирают ручки, а владельцы такси считают прибыль.
В реальном мире такую ситуацию практически невозможно претворить в жизнь. В интернете похожим образом хакеры парализуют работу сайтов с помощью DDoS-атак.
Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что в дословном переводе означает «Распределенный отказ от обслуживания». Это означает, что на сервер поступает слишком много запросов с разных компьютеров. Он не выдерживает такого наплыва посетителей и отключается. Сайт, на который направлена атака, недоступен.
Любой сайт — это набор файлов, которые лежат на специальном сервере. В упрощенном виде сервер — это очень мощный компьютер. Он соединен с другими компьютерами в сеть. Это значит, что один компьютер может отправить другому сообщение, а тот может ответить. Например, вы хотите зайти на сайт vigbo.com. Когда вы набрали адрес в поисковой строке и кликнули на ссылку, ваш компьютер отправил нашему серверу запрос «Покажи мне главную страницу vigbo.com». Сервер его получил, обработал и отправил вам в ответ информацию о странице.
Современные серверы могут одновременно обрабатывать сотни таких запросов. На каждый из них уходит примерно полсекунды, поэтому обычно вы даже не замечаете, как открывается сайт. Но у любого компьютера есть ограничения в мощности. Если одновременно приходит больше запросов, чем он может обработать, они ставятся в очередь. Тогда сайт откроется с задержкой. Постепенно очередь из запросов станет слишком длинной, и у сервера не хватит мощности. Значит, перестанут открываться все сайты, которые на нем лежат.
В чем особенности DDoS-атаки
Если кто-то будет со своего компьютера перезагружать любую страницу сайта тысячу раз в секунду — это тоже хакерская атака. Она называется DoS — Denial of Service, «отказ в обслуживании». Но с ней можно эффективно бороться. Достаточно заблокировать злодея. Поэтому сейчас атаки совершают сразу с миллионов устройств. Так найти ее источник очень сложно. К названию добавилось слово распределенная — Distributed, DDoS.
Схема распределенной DDoS-атаки на сайт
Осталось разобраться, где злоумышленники берут столько устройств. Вы удивитесь, но чаще всего это компьютеры обычных людей. Хакер создает вирус, который попадает на компьютер из интернета при загрузке файлов, просмотре роликов и страниц. Такой вирус незаметно живет и ждет команды. Например, в определенное время подключиться к какому-то сайту. Тогда все зараженные компьютеры начнут одновременно отправлять запросы на сайт-жертву. При этом их владельцы ничего не заметят: так кто угодно может оказаться невольным соучастником.
Почему хакеры атакуют сайты
Заказ конкурентов. Например, если атака началась во время активной рекламной кампании. Конкуренты заказывают DDoS, реклама идет, а прибыли нет из-за перебоев в работе сайта. Еще атака может использоваться, чтобы нанести урон репутации. Допустим, идут напряженные переговоры, и в день презентации партнеры заходят на сайт, а там — 503 ошибка, отказ в обслуживании.
DDoS-атака приводит к тому, что сайт работает очень медленно или «лежит» совсем. Пользователи не могут зайти на сайт и уходят к конкурентам, у которых все хорошо. В результате владелец сайта теряет клиентов. Поэтому чаще всего атаки связаны с бизнесом. Вероятно, атака, которой подвергся наш сервис, совершена по этой причине — кто-то из конкурентов «заказал» сайт архитектурного бюро.
Личная неприязнь. Владелец сайта может кому-то насолить, и в ответ хакер стремится доставить ему неприятности. Сюда можно отнести и случаи, когда поводом для атаки становятся политические разногласия.
Развлечение. Иногда хакеры устраивают атаки, чтобы попробовать свои силы, просто развлечься или продемонстрировать сообществу свои возможности. Хороший пример — хакерская атака в сентябре 2019 года на Википедию, онлайн-игру World of Warcraft Classic и сервис для онлайн-стримов Twitch.
Как мы отразили атаку
Началось все с того, что утром 21 октября на сайте одного нашего клиента мы заметили необычайно высокую активность. Тысячи поисковых роботов стали заходить на сайт студии дизайна интерьеров. Из-за этого все сайты, которые лежали на одном сервере с атакуемым, стали медленно открываться. Стало понятно, что под поисковых роботов маскируются злоумышленники — мы подверглись DDoS-атаке.
Заблокировать роботов дело нехитрое, но помогло это примерно на час. Противники поняли, что что-то не так, и сменили тактику. Мы стали получать запросы, которые маскировались под пользователей: в них была информация о браузерах и их нельзя блокировать. Поэтому мы пытались блокировать сразу IP-адреса — уникальные адреса компьютеров, с которых посылались подозрительные запросы. Но наши оппоненты быстро их меняли и направляли еще больше запросов со всего мира.
Запросы сыпались со всего мира. Чем темнее окрашена страна на карте, тем больше запросов оттуда мы получали
Особенно много запросов было из Таиланда, Индонезии и Голландии
Так война продолжалась до вечера. Несмотря на мощь «вражеской артиллерии», совсем «положить» сервер хакерам так и не удалось. Но нагрузка на него была колоссальной, поэтому сайты очень долго открывались.
К восьми часам вечера количество заблокированных адресов перевалило за тысячу. Наших собственных ресурсов стало не хватать. Поэтому мы решили для фильтрации запросов подключить сторонний сервис CloudFlare. Сервис действует как сито: весь трафик проходит через их центры и фильтруется — боты и подозрительные аккаунты блокируются, а простые пользователи спокойно доходят до сервера, на котором хранится сайт. Так атакуемый сайт будет меньше влиять на работу остальных сайтов на сервере.
CloudFlare пропускает весь трафик через свой сервер и блокирует вредоносные запросы
К счастью, клиент, на сайт которого шла атака, покупал домен у нас и делегировал права на управление им нашей платформе. Поэтому мы смогли оперативно внести изменения в настройки и создать аккаунт в CloudFlare.
Мы увидели, что до нашего сервера доходит все меньше и меньше запросов. Сайты стали оживать, а основной бой был уже на стороне CloudFlare.
Опыт DDoS-атаки показал, что если клиент покупает доменное имя в Vigbo, у наших специалистов есть больше возможностей для защиты сайта.
Атаки продолжались до 5 утра. Самый пик пришелся на 2 часа ночи по московскому времени. CloudFlare зафиксировал 124,5 миллионов запросов. Но мы подключили его не сразу, поэтому реальный масштаб атаки примерно в два раза больше!
Данные CloudFlare о трафике на 5 утра 22 октября
В 6 часов утра наши оппоненты предприняли еще одну попытку: на сайт пришли около 1,3 миллиона ботов. Но на фоне вчерашней битвы эта попытка выглядит довольно бледно.
За время атаки CloudFlare обработал больше 1 ТБ трафика. Это очень много: примерно столько нужно, чтобы скачать копию всей «Википедии», 24 сезона мультсериала «Симпсонов» и 14 сезонов шоу «Разрушители легенд» с канала Discovery.
Интенсивность атаки и суммарный объем трафика, который успел обработать CloudFlare
Мы держали оборону ровно сутки. К 9 утра 22 октября ресурсы хакеров закончились, и количество ботов сошло на нет. Еще в течение суток мы продолжали следить за активностью.
Вместо заключения
К сожалению, хакерские атаки стали современной реальностью: конкуренция зашкаливает, и не все компании используют честные методы. Большинство атак вы даже не ощущаете. Мы успешно боремся с ними практически каждый день — это будничная, рутинная работа наших технических специалистов. Но в этот раз у атаки был совсем другой масштаб.
К сожалению, от таких атак не застрахован никто, и даже самые большие сайты иногда полностью выходят из строя. Иначе «гиганты» вроде Google или Amazon не объявляли бы периодические конкурсы на поиск уязвимостей с миллионными призами. Поэтому нам остается только накапливать компетенции и «точить оружие», чтобы в нужный момент отстаивать интересы наших клиентов.
У нас не находится достаточно теплых слов, чтобы выразить нашу признательность за ваше терпение и понимание. Поэтому мы просто говорим «Спасибо!» нашим клиентам, которые поддержали нас в трудный день 21 октября. Вы сказали много ободряющих слов в Инстаграме, на почте и в чате с техподдержкой. Благодаря вам и ради вас мы бились целые сутки и победили. Спасибо за то, что вы с нами!
DDoS-атаки
Английское сокращение DoS означает Denial of Service, то есть отказ обслуживать что-то. Для интернет-ресурса это невозможность обработать слишком большое количество поступающих извне запросов. Каждый интернет-сайт размещен на сервере, куда и обращаются пользователи. Сервер может быть собственностью администратора сайта или хостинг-провайдера. В любом случае у ресурса есть предел информации, которую он может обработать за единицу времени. Лимит зависит от емкости диска, параметров трафика, в меньшей степени от структуры сайта-мишени. Если на него одновременно приходит много запросов, он начинает сначала тормозить, а потом и вовсе становится недоступен, переставая отвечать на запросы. Если сайт размещен на хостинге, то пострадать могут и другие ресурсы, пользующиеся тем же дисковым пространством. Явление DoS достаточно распространено во Всемирной паутине. Публикация животрепещущих новостей часто приводит к временному сбою работы сайтов новостных агентств, телеканалов, а также сайтов известных личностей. Как правило, ничего криминального за этим не стоит, речь идет лишь о несоответствии мощности сервера тому интересу, который проявила публика.
Методика атаки DDoS
Совсем другая ситуация возникает, когда к сокращению DoS прибавляется еще одна буква D. Аббревиатура DDoS расшифровывается как Distributed Denial of Service, то есть «распределенный отказ от обслуживания». Распределенный – ключевое слово. Оно подразумевает некую организующую силу, которая направляет внешне хаотичные запросы на ресурс жертвы. Причем таких запросов настолько много, что с ними не справляются не только маломощные серверы небольших компаний, но и машины хостинг-провайдеров с пропускной способностью в тысячи и десятки тысяч мегабит в секунду. Как же злоумышленникам удается создать такой трафик?
На сервер сваливается огромное количество запросов, причем большинство из них совершенно бессмысленно. Но лишенный специальной защиты он вынужден анализировать их все подряд и давать какой-то ответ. Это приводит к перегрузке как самого сервера, так и входящего трафика. Если канал узкополосный, то вывести из строя сервер может и несколько сотен обращений. Если его мощность велика, а канал связи имеет высокую пропускную способность, то нужны либо десятки и даже сотни тысяч обращений, либо так называемые тяжелые запросы, ответ на которые отнимает много времени у процессора.
Как заражаются компьютеры
Сначала хакер создает троянскую программу и с помощью массовых рассылок и размещения на сомнительных ресурсах внедряет троянов на дисковое пространство случайных пользователей, которые посетили сомнительный сайт или перешли по ссылке, пришедшей на электронную почту. Самое любопытное то, что антивирус может даже не отреагировать на заражение, так как троян не проявляет к зараженному компьютеру никакой агрессии – он затаивается в ожидании команды своего хозяина.
Когда у хакера появляется объект для ДДоС-атаки, он рассылает своим агентам влияния, которых может накопиться сотни тысяч по всему миру, зашифрованную команду. В ней указан IP-адрес, подлежащий массовому поражению. Рассеянные по миру боты начинают бомбардировать жертву запросами, которые либо ретранслируются с сайта инициатора атаки, либо генерируются на зараженных компьютерах по изначально заданному алгоритму. Так или иначе, никакой явной связи с компьютером инициатора атаки у запросов нет, все ответы идут на адреса бот-сети. Владельцы этих ПК и смартфонов даже не подозревают, что их оборудование используется для атаки. Чем больше работающих компьютеров в ботнете, тем быстрее атака увенчается успехом. Особенно эффективной считается отправка больших пакетов, обработка которых требует значительного времени, либо отправка запросов, на которые компьютер-жертва должен дать развернутый ответ. В первом случае перегружается процессор, во втором – канал связи. И то и другое приводит к выходу системы из строя и многомиллионным убыткам, как это было, например, при атаках на всемирно известные интернет-магазины Amazon или AliExpress.
Типы DDoS
Приведем наиболее популярные виды DDoS-атак. Ограничимся лишь теми методиками, которые имеют целью вывести из строя сайт-жертву, не внедряясь в его структуру и не пытаясь получить права администрирования.
Пинг-флуд. Самый простой тип атаки, не требующий бот-сети. С одного или нескольких компьютеров жертва атакуется многочисленными эхо-запросами небольшого объема, которые тем не менее пожирают ее оперативные ресурсы. Для создания флуда и привлечения добровольных помощников существуют специальные программы. Бороться с пинг-флудом сравнительно просто, так как источников немного и их можно блокировать (если знать, как это делать). В компьютере можно отключить опцию ответа на ICMP-запросы или установить алгоритм их приоритетности.
HTTP-флуд. Инициаторы атаки шлют жертве небольшой пакет, требующий развернутого ответа. В результате переполняется исходящий трафик сайта. Хакер использует динамический IP-адрес или действует с узлов пользователей, иначе его компьютер сам окажется завален ответным флудом.
SMURF-атака. Тот же пинг-флуд (Ping-Flood), рассылаемый с использованием разветвленной бот-сети, многократно увеличивающей интенсивность ICMP-запросов.
«Осколочная граната» (англ. Fraggle flood). Технология аналогична предыдущей, но вместо эхо-запросов (ICMP) используются запросы по протоколу UPD.
Хакеры постоянно совершенствуют методики DDOS-атак, создают разветвленные ботнеты, без которых атака на серьезно защищенный ресурс не имеет смысла.
Как обезопасить сайт
Блокировка нежелательных запросов через htaccess. Работа с файлом .htaccess дает возможность на уровне сервера управлять доступом к сайту, не затрагивая коды и скрипты, за счет чего он нагружает ресурс очень слабо. При этом защита сайта осуществляется при помощи введений ограничений по IP-адресам и определенным признакам в запросах.
Защита с помощью PHP-скрипта. Каждый поступивший на сайт запрос анализируется, а IP, от которого он исходил, запоминается. Если команды поступают с привычного IP в промежутки, нетипичные для человека, то ему блокируется доступ к странице. К недостатку данного способа можно отнести то, что от работы скрипта нагрузка на сайт может повыситься.
Сервис для очистки от спамного трафика. К доменному имени вашего сайта добавляется DNS-сервер компании, которая предоставляет услуги защиты. В результате все запросы, поступающие на ваш сайт, сначала идут на IP-адрес фильтрующего сервера. Безопасные пакеты направляются на хостинг вашего ресурса, а подозрительные блокируются. В результате всю лишнюю нагрузку берет на себя специальный сервер.
Правовой аспект
В борьбе с «досерами» наработан немалый опыт у профильного управления «К» российского министерства внутренних дел. В случае откровенной атаки, особенно имеющей корыстную подоплеку, смело обращайтесь к представителям правоохранительных органов – у них есть технические и организационные возможности вам помочь. Хакеры обычно сначала проводят демонстрационную атаку на ресурс, после чего обращаются к владельцам с предложением, от которого невозможно отказаться. Фиксируйте переговоры на диктофон, сохраняйте переписку в социальных сетях и в мессенджерах. Это поможет в организации оперативно-разыскных мероприятий и в ходе судебного разбирательства, если до него дойдет. Деятельность хакеров подпадает под действие статьи 273 Уголовного кодекса, предусматривающей лишение свободы до 4 лет.
Как не пополнить армию ботов
Для простого пользователя главное – помнить, что угроза исходит не от самого злоумышленника, а от зараженных компьютеров. Не открывайте сообщения, поступающие из непроверенных источников. Не переходите по сомнительным ссылкам, даже если они пришли от друзей в социальных сетях. Их аккаунты могут быть перехвачены злоумышленниками. Проверяйте безопасность внешних носителей. Установите на устройства последнюю версию антивируса, желательно полную, обычно не бесплатную. Цена вопроса не так уж велика, зато появится гарантия виртуального «здоровья». То же самое касается мобильного телефона – Интернет сегодня буквально наводнен сомнительными ссылками, причем пользователи гаджетов менее осторожны, чем пользователи десктопов и ноутбуков.