Владельцам веб-сайтов не нужно ждать, пока их сайт подвергнется атаке, прежде чем действовать. Рекомендуется применять упреждающий подход к DDoS-атакам, и вот несколько эффективных решений для защиты сайта от этого вредоносного трафика.
Сегодня, с широкомасштабным распространением сложных инструментов кибератак, все больше и больше людей получают доступ к сложным вредоносным программам, которые облегчают DDoS-атаки. Учитывая этот значительный рост, сегодняшние организации должны быть готовы защищаться от DDoS-атак или рисковать перебоями в работе и другим ущербом.
В феврале 2014 года сеть доставки контента Cloudflare подверглась DDoS-атаке со скоростью 400 Гбит/с, в которой использовалась уязвимость в протоколе сетевого времени - NTP, синхронизирующем часы компьютеров. Атака работала примерно так же, как атака отраженного усиления DNS, в которой злоумышленник отправлял небольшие пакеты, каждый из которых генерировал большие ответы, направленные на поддельный IP-адрес жертвы. Злоумышленник, возможно, с одного сервера, использовал 4529 общедоступных NTP-серверов в 1298 сетях для проведения атаки со скоростью 400 Гбит/с, крупнейшей в истории на тот момент.
Требования в защите от DDoS-атак в военное время. Как действует DDoS-атака
Те же функции, которые делают Интернет таким простым в использовании, также позволяют ботам легко собирать огромные объемы информации. Программные боты очень распространены, и сайт нередко получает несколько попыток бот-атак в день.
Хакеры используют несколько типов атак против одной цели. Как никогда важно, чтобы современные решения для защиты от DDoS-атак соответствовали каждому из четырех требований:
- - точность;
- - масштабируемость;
- - эффективность реагирования в военное время;
- - доступность.
Эффективные стратегии защиты от DDoS-атак терпят неудачу, если они не являются всеобъемлющими. Компании и государственные организации должны отдавать предпочтение многоуровневым гибридным решениям, которые могут обеспечить постоянную защиту от любого типа DDoS-атак.
Большинство DDoS-атак рассчитаны на использование всей доступной пропускной способности или ресурсов сети в целевой сети, системе или веб-сайте. Злоумышленник использует один из многих доступных методов и инструментов, чтобы завалить цель шквалом вредоносных или неприятных запросов или злоупотребить протоколом или внутренней уязвимостью, когда система больше не может отвечать на запросы. Последствия DDoS-атаки немного напоминают вход на концертную площадку, внезапно забитую автобусами нарушителей спокойствия с поддельными билетами. Законные владельцы билетов, стоящие в упорядоченной очереди, никогда не попадут внутрь.
Наконец, в этом векторе атаки злоумышленник запускает действие DDoS против сервера-жертвы, чтобы отвлечь группу безопасности и специалистов по реагированию на инциденты, в то время как злоумышленник использует различные методы для проникновения в сеть. Одним из популярных вариантов этой атаки является постоянное заполнение серверов жертвы до тех пор, пока она не заплатит выкуп, в неотслеживаемых биткойнах.
Атака, исходящая из одного источника, называется атакой типа отказ в обслуживании - DoS. Однако сегодня гораздо более распространены распределенные атаки типа отказ в обслуживании - DDoS, которые запускаются на цель из нескольких источников, но координируются из центральной точки. Распределенные атаки более масштабны, потенциально более разрушительны, и в некоторых случаях жертве сложнее их обнаружить и остановить.
По мере совершенствования механизмов защиты от DDoS с годами злоумышленники стали более изобретательными и агрессивными, запуская многовекторные DDoS-атаки. Такие атаки могут начинаться с того, что злоумышленник выполняет разведывательное сканирование сети для обнаружения узких мест в сети, внутренних серверов и ресурсоемких служб приложений. Затем злоумышленник может потребовать вымогательства, а затем начать традиционную атаку сети в диапазоне десятков гигабит в секунду, что достаточно, чтобы вызвать беспокойство и отвлечь группу сетевых операций. За «настоящей» атакой последует массивная атака уровня 7 на конкретное приложение против порта 80, нацеленная на: серверы доставки контента, которые поддерживают приложение, или другие службы приложений, испытывающие нехватку ресурсов. Такие атаки могут исходить с тысяч отдельных IP-адресов и могут достигать сотен гигабит в секунду или, как мы видели в приведенных выше примерах, терабит в секунду.
Что такое атака типа отказ в обслуживании?
Атака типа отказ в обслуживании - DoS происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злоумышленника. Затронутые службы могут включать электронную почту, веб-сайты, учетные записи в Интернете. Например, банковские услуги или другие службы, зависящие от затронутого компьютера или сети. Состояние отказа в обслуживании достигается путем переполнения целевого хоста или сети трафиком до тех пор, пока цель не сможет ответить или выйдет из строя, препятствуя доступу законных пользователей. DoS-атаки могут стоить организации времени и денег, в то время как ее ресурсы и услуги недоступны.
Каковы распространенные атаки типа отказ в обслуживании?
Существует множество различных методов проведения дос атаки. Наиболее распространенный метод атаки возникает, когда злоумышленник заливает сетевой сервер трафиком. В этом типе дос-атаки злоумышленник отправляет несколько запросов на целевой сервер, перегружая его трафиком. Эти запросы на обслуживание являются незаконными и имеют сфабрикованные обратные адреса, которые вводят сервер в заблуждение, когда он пытается аутентифицировать запрашивающую сторону. Поскольку нежелательные запросы обрабатываются постоянно, сервер перегружен. Это вызывает состояние DoS для законных запрашивающих. В атаке Smurf злоумышленник отправляет широковещательные пакеты протокола управляющих сообщений Интернета на несколько хостов с поддельным исходным адресом интернет-протокола IP, который принадлежит целевой машине. Затем получатели этих поддельных пакетов ответят, и целевой хост будет завален ответами.
SYN-флуд возникает, когда злоумышленник отправляет запрос на подключение к целевому серверу, но не завершает соединение с помощью трехэтапного рукопожатия - метода, используемого в сети TCP/IP для создания соединение между локальным хостом клиента и сервером. Незавершенное рукопожатие оставляет подключенный порт в занятом состоянии и недоступным для дальнейших запросов. Злоумышленник будет продолжать отправлять запросы, заполняя все открытые порты, чтобы законные пользователи не могли подключиться. Отдельные сети могут быть затронуты DoS-атаками без прямой атаки. Если сетевой поставщик интернет-услуг ISP или поставщик облачных услуг стал мишенью и атакован, сеть также перестанет работать.
Что такое распределенная атака типа отказ в обслуживании (DDoS)?
Распределенная атака типа отказ в обслуживании - DDoS происходит, когда несколько компьютеров работают вместе для атаки на одну цель. Злоумышленники ддос часто используют ботнет - группу захваченных устройств, подключенных к Интернету, для проведения крупномасштабных атак. Злоумышленники используют уязвимости системы безопасности или слабые места устройств для управления многочисленными устройствами с помощью ПО для управления и контроля. Получив контроль, злоумышленник может дать команду своему ботнету провести DDoS на цель. В этом случае зараженные устройства также становятся жертвами атаки. Ботнеты, состоящие из взломанных устройств, также могут быть сданы в аренду другим потенциальным злоумышленникам. Часто ботнет предоставляется службам атак по найму, которые позволяют неквалифицированным пользователям запускать ддос атаки. DDoS позволяет отправлять экспоненциально больше запросов к цели, что увеличивает мощность атаки.
Это также увеличивает сложность атрибуции, поскольку истинный источник атаки сложнее определить. Масштабы DDoS-атак увеличились по мере того, как все больше и больше устройств подключаются к Интернету через Интернет вещей IoT. Устройства IoT часто используют пароли по умолчанию и не обеспечивают надежную защиту, что делает их уязвимыми для компрометации и эксплуатации. Заражение устройств IoT часто остается незамеченным пользователями, и злоумышленник может легко скомпрометировать сотни тысяч таких устройств, чтобы провести крупномасштабную атаку без ведома владельцев устройств.
Как не стать частью проблемы при DDos-атаке?
Несмотря на то, что нет способа избежать атаки DoS или DDoS, администраторы могут предпринять упреждающие шаги, чтобы уменьшить последствия атаки на свою сеть.
1. Зарегистрируйтесь в службе защиты от DoS-атак
Зарегистрируйтесь в службе защиты от DoS-атак, которая обнаруживает аномальные потоки трафика и перенаправляет трафик из вашей сети. Трафик DoS отфильтровывается, и чистый трафик передается в вашу сеть.
2. Создайте план аварийного восстановления (бэкап)
Создайте план аварийного восстановления (бэкап), чтобы обеспечить эффективную связь, смягчение последствий и восстановление в случае атаки.
3. Примите меры для повышения уровня безопасности всех подключенных к Интернету устройств
Также важно принять меры для повышения уровня безопасности всех ваших подключенных к Интернету устройств, чтобы предотвратить их компрометацию.
4. Установите и поддерживайте антивирусное программное обеспечение
Установите брандмауэр и настройте его для ограничения трафика, входящего и исходящего с вашего компьютера. Оцените параметры безопасности и следуйте передовым методам обеспечения безопасности, чтобы свести к минимуму доступ других людей к информации и управлять нежелательным трафиком.
Как узнать, происходит ли нападение на сайт?
Симптомы DoS-атаки могут напоминать проблемы с доступностью, не связанные со взломом, например, технические проблемы с определенной сетью или техническое обслуживание системного администратора. Однако следующие симптомы могут указывать на дос- или ддос-атаку:
необычно низкая производительность сети. При этом открытие файлов или доступ к веб-сайтам, недоступность определенного веб-сайта или невозможность доступа к любому веб-сайту.
Лучший способ обнаружить и идентифицировать DoS-атаку - отслеживать и анализировать сетевой трафик. Сетевой трафик можно отслеживать с помощью брандмауэра или системы обнаружения вторжений. Администратор может даже настроить правила, которые создают предупреждение при обнаружении аномальной нагрузки трафика и определяют источник трафика или отбрасывают сетевые пакеты, соответствующие определенным критериям.
Что делать, если вам кажется, что у вас атака?
Если вы считаете, что вы или ваш бизнес подверглись дос- или ддос-атаке, важно обратиться за помощью к соответствующим техническим специалистам. Обратитесь к сетевому администратору, чтобы узнать, вызвано ли отключение службы техническим обслуживанием или внутренней проблемой сети. Сетевые администраторы также могут отслеживать сетевой трафик для подтверждения наличия атаки, определить источник и смягчить ситуацию, применяя правила брандмауэра и, возможно, перенаправляя трафик через службу защиты от DoS-атак. Свяжитесь со своим интернет-провайдером, чтобы узнать, есть ли перебои с их стороны, или даже если их сеть является целью атаки, а вы являетесь косвенной жертвой. Возможно, они смогут посоветовать вам правильный курс действий. В случае атаки не упускайте из виду другие хосты, активы или службы, находящиеся в вашей сети. Многие злоумышленники проводят атаки, чтобы отвлечь внимание от намеченной цели и использовать возможность для проведения вторичных атак на другие службы в вашей сети. DDoS-атака позволяет хакеру залить сеть или сервер поддельным трафиком. Слишком большой трафик перегружает ресурсы и нарушает связь, мешая системе обрабатывать запросы пользователей. Услуги становятся недоступными, а целевая компания страдает от длительных простоев, упущенной выгоды и недовольных клиентов.
Для дополнительной защиты облачных сервисов Microsoft использует Azure DDoS Protection - систему защиты от DDoS-атак, встроенную в процессы непрерывного мониторинга и тестирования на проникновение Microsoft Azure. Защита от DDoS-атак Azure предназначена не только для защиты от внешних атак, но и от атак со стороны других клиентов Azure. Система использует стандартные методы обнаружения и смягчения последствий, такие как файлы cookie SYN, ограничение скорости и количество подключений, для защиты от DDoS-атак. Для поддержки автоматических средств защиты группа реагирования на инциденты DDoS с разной нагрузкой определяет роли и обязанности между командами, критерии эскалации и протоколы обработки инцидентов среди затронутых групп.
Системы обнаружения вторжений: решения IDS предоставляют некоторые возможности обнаружения аномалий, чтобы они могли распознавать, когда действительные протоколы используются в качестве средства атаки. Их можно использовать вместе с брандмауэрами для автоматической блокировки трафика. Они не автоматизированы, поэтому их нужно настраивать вручную экспертами по безопасности, и они часто дают ложные срабатывания.
Атаки распределенного отказа в обслуживании с целью получения выкупа (R-DDoS)
Согласно The Daily Swig, в 2021 году несколько поставщиков средств кибербезопасности наблюдали рост числа атак распределенного отказа в обслуживании с целью получения выкупа. Такие атаки, также известные как R-DDoS, являются чистым вымогательством. Нападения такого типа причиняют боль их жертвам; помимо страданий от простоев и перебоев в обслуживании, существуют потенциальные финансовые затраты на выплату выкупа. Даже если организация полна решимости не уступать вымогателям, борьба с угрозой требует драгоценного времени и человеческих ресурсов. Как сообщается, преступники иногда угрожают причинить дополнительные страдания с помощью DDoS после того, как первоначально запустили атаку с шифрованием программ-вымогателей. Программы-вымогатели сами по себе достаточно опасны, но в сочетании с DDoS-атакой они становятся неприятными, разрушительными и дорогостоящими. Нацеливание на серверную инфраструктуру может привести к длительным простоям.
Ссылаясь на R-DDoS-атаки в августе 2020 года на Новозеландскую фондовую биржу, Крис Морган, старший аналитик по киберугрозам в Digital Shadows, как сообщается, сказал: Принимая во внимание, что большинство DDoS-вымогателей часто нацелены на общедоступные сайты своих жертв, в результате этой деятельности неоднократно нацеливались на серверную инфраструктуру, конечные точки API, DNS-серверы и даже на поставщиков интернет-услуг NZX. Этот сдвиг в сторону серверных систем может объяснить длительные простои, связанные с этими атаками.
В статье Daily Swig отмечается, что злоумышленники используют множество векторов, начиная от распространенных сетевых протоколов, таких как службы удаленного управления Apple - ARMS, динамическое обнаружение веб-служб WS-DD и протокол ограниченных приложений - CoAP, до векторов усиления, таких как Ответ DNS, SSDP, NTP или Memcache.
По словам Алана Колдера, основателя и исполнительного председателя IT Governance, фирмы по управлению киберрисками и конфиденциальностью, тенденция заключалась в более короткой продолжительности атаки, но большем количестве атак с пакетом в секунду. Часто злоумышленники запускают многовекторные атаки, которые быстро и автоматически переключаются между векторами, что затрудняет их обнаружение и устранение. Поскольку аналитики безопасности не могут вручную обнаружить эти атаки и достаточно быстро отреагировать, чтобы исключить простои, важно иметь автоматизированное смягчение последствий DDoS в режиме реального времени, чтобы защищаться от любых многовекторных DDoS-атак.
Что делать, если вы столкнулись с R-DDoS-атакой
Как и другие правительственные правоохранительные органы, мы в АйтиВин всегда рекомендуем не платить выкуп, так как это только поощрит дальнейшее преступное поведение и приведет к атакам на другие организации, думая, что они иметь возможность собирать больше выкупа. Что многие организации могут чувствовать, что у них нет выбора, если они уже подверглись атаке и не имеют автоматической защиты от DDoS-атак в режиме реального времени. Это потому, что часто важно вернуть услуги в оперативный режим как можно скорее. Если вы подверглись DDoS-атаке, свяжитесь с провайдером интернет услуг, чтобы узнать, как можно вам помочь.
