Як ефективно захиститись від DDoS-атак? Основні типи атак, атака для одержання викупу. Що робити, якщо сайт зазнав атаки?


Як ефективно захиститись від DDoS-атак? Основні типи атак, атака для одержання викупу. Що робити, якщо сайт зазнав атаки?
Опубликовано: 04.03.2022


читать на русском   read in English

Власникам веб-сайтів не потрібно чекати, поки їхній сайт зазнає атаки, перш ніж діяти. Рекомендується застосовувати запобіжний підхід до DdoS-атак й ось кілька ефективних рішень для захисту сайту від цього шкідливого трафіку.


Сьогодні, із широкомасштабним поширенням складних інструментів кібератак, усе більше людей отримують доступ до складних шкідливих програм, які полегшують DDoS-атаки. Враховуючи це значне зростання, сьогоднішні організації повинні бути готові захищатися від DDoS-атак або ризикувати перебоями у роботі та іншим збитком.


У лютому 2014 року мережа доставки контенту Cloudflare зазнала DDoS-атаки зі швидкістю 400 Гбіт/с, у якій використовувалася вразливість у протоколі мережного часу - NTP, що синхронізує годинник ПК. Атака працювала приблизно так, як атака відбитого посилення DNS, у якій зловмисник відправляв невеликі пакети, кожен із яких генерував великі відповіді, спрямовані на підроблену IP-адресу жертви. Зловмисник, можливо, із одного сервера, використав 4529 загальнодоступних NTP-серверів у 1298 мережах для проведення атаки зі швидкістю 400 Гбіт/с, найбільшою у історії на той момент.


Вимоги у захисті від DDoS-атак у воєнний час. Як діє DdoS-атака


Ті самі функції, які роблять Інтернет таким простим у використанні, також дозволяють роботам легко збирати величезні обсяги інформації. Програмні роботи дуже поширені та сайт часто отримує кілька спроб бот-атак на добу.


Хакери використовують кілька типів атак проти однієї мети. Як ніколи важливо, щоб сучасні рішення для захисту від DDoS-атак відповідали кожній із чотирьох вимог:


  • - точність;
  • - масштабованість;
  • - ефективність реагування у воєнний час;
  • - доступність.

Ефективні стратегії захисту від DDoS-атак зазнають невдачі, якщо вони не є всеосяжними. Компанії та державні організації повинні надавати перевагу багаторівневим гібридним рішенням, які можуть забезпечити постійний захист від будь-якого типу DDoS-атак.


Більшість DDoS-атак розраховані на використання усієї доступної пропускної спроможності або ресурсів мережі у цільовій мережі, системі чи веб-сайті. Зловмисник використовує один із багатьох доступних методів та інструментів, щоб завалити мету шквалом шкідливих чи неприємних запитів або зловжити протоколом чи внутрішньою вразливістю, коли система більше не може відповідати на запити. Наслідки DDoS-атаки трохи нагадують вхід на концертний майданчик, який раптово забив автобусами порушників спокою із підробленими квитками. Законні власники квитків, які стоять у впорядкованій черзі, ніколи не потраплять усередину.


Нарешті, у цьому векторі атаки зловмисник запускає дію DDoS проти сервера-жертви, щоб відвернути групу безпеки та фахівців із реагування на інциденти, тоді як зловмисник використовує різні методи для проникнення у мережу. Одним із популярних варіантів цієї атаки є постійне заповнення серверів жертви до тих пір, поки вона не заплатить викуп, у біткойнах, що не відслідковуються.


Атака, що виходить із одного джерела, називається атакою типу відмова у обслуговуванні - DoS. Однак сьогодні набагато більш поширені розподілені атаки типу відмова у обслуговуванні - DDoS, які запускаються на ціль із кількох джерел, але координуються із центральної точки. Розподілені атаки масштабніші, потенційно більш руйнівні і у деяких випадках жертві складніше їх виявити та зупинити.


У міру вдосконалення механізмів захисту від DDoS із роками зловмисники стали винахідливішими та агресивнішими, запускаючи багатовекторні DDoS-атаки. Такі атаки можуть починатися із того, що зловмисник виконує розвідувальне сканування мережі для виявлення вузьких місць у мережі, внутрішніх серверів та ресурсомістких служб додатків. Потім зловмисник може вимагати здирства, а потім почати традиційну атаку мережі у діапазоні десятків гігабіт на секунду, що достатньо, щоб викликати занепокоєння й відвернути групу мережевих операцій. За «справжньою» атакою піде масивна атака рівня 7 на конкретну програму проти порту 80, націлена на: сервери доставки контенту, які підтримують програму, або інші служби програм, що відчувають брак ресурсів. Такі атаки можуть виходити із тисяч окремих IP-адрес та можуть досягати сотень гігабіт за секунду або, як ми бачили у наведених вище прикладах, терабіт за секунду.


Що таке атака типу відмова у обслуговуванні?


Атака типу відмова в обслуговуванні - DoS відбувається, коли законні користувачі не можуть отримати доступ до інформаційних систем, пристроїв та інших мережних ресурсів через дії зловмисника. Ці послуги можуть включати електронну пошту, веб-сайти, облікові записи у Інтернеті. Наприклад, банківські послуги або інші служби, що залежать від ПК або мережі. Стан відмови у обслуговуванні досягається шляхом переповнення цільового хосту або мережі трафіком до тих пір, поки ціль не зможе відповісти або вийде із ладу, перешкоджаючи доступу законних користувачів. DoS-атаки можуть коштувати організації часу та грошей, у той час як її ресурси та послуги недоступні.


Які поширені атаки типу відмова у обслуговуванні?


Існує безліч різних методів проведення дос атаки. Найпоширеніший метод атаки виникає, коли зловмисник заливає мережевий сервер трафіком. У цьому типі дос-атаки зловмисник відправляє кілька запитів на цільовий сервер, перевантажуючи його трафіком. Ці запити на обслуговування є незаконними та мають сфабриковані зворотні адреси, які вводять сервер у оману, коли він намагається автентифікувати сторону, що запитує. Оскільки небажані запити обробляються постійно, сервер перевантажено. Це викликає стан DoS для законних запитувачів. У атаці Smurf зловмисник відправляє широкомовні пакети протоколу керуючих повідомлень Інтернету на кілька хостів із фальшивою вихідною адресою інтернет-протоколу IP, що належить цільовій машині. Потім одержувачі цих підроблених пакетів дадуть відповідь та цільовий хост буде завалений відповідями.


SYN-флуд виникає, коли зловмисник відправляє запит на підключення до цільового сервера, але не завершує з'єднання за допомогою триетапного рукостискання - методу, який використовується у мережі TCP/IP для створення з'єднання між локальним хостом клієнта та сервером. Незавершене рукостискання залишає підключений порт у зайнятому стані та недоступним для подальших запитів. Зловмисник продовжуватиме надсилати запити, заповнюючи всі відкриті порти, щоб законні користувачі не могли підключитися. Окремі мережі можуть стосуватися DoS-атаки без прямої атаки. Якщо мережевий постачальник інтернет-послуг ISP або постачальник хмарних послуг став мішенню та атакований, мережа також перестане працювати.


Що таке розподілена атака типу відмова у обслуговуванні (DDoS)?


Розподілена атака типу відмова в обслуговуванні - DDoS відбувається, коли кілька ПК працюють разом для атаки на одну мету. Зловмисники ДДОС часто використовують ботнет - групу захоплених пристроїв, підключених до Інтернету, для проведення великомасштабних атак. Зловмисники використовують вразливість системи безпеки або слабкі місця пристроїв для керування численними пристроями за допомогою ПЗ для керування та контролю. Отримавши контроль, зловмисник може дати команду своєму ботнету провести DDoS на мету. І тут заражені пристрої також стають жертвами атаки. Ботнети, що складаються зі зламаних пристроїв, також можуть бути здані у оренду іншим потенційним зловмисникам. Часто ботнет надається службам атак по найму, які дозволяють некваліфікованим користувачам запускати ддос атаки. DDoS дозволяє надсилати експонентно більше запитів до мети, що збільшує потужність атаки.


Це також збільшує складність атрибуції, оскільки справжнє джерело атаки найважче визначити. Масштаби DDoS-атак збільшилися у міру того, як все більше й більше пристроїв підключаються до Інтернету через Інтернет речей IoT. Пристрої IoT часто використовують стандартні паролі та не забезпечують надійний захист, що робить їх вразливими для компрометації та експлуатації. Зараження пристроїв IoT часто залишається непоміченим користувачами та зловмисник може легко скомпрометувати сотні тисяч таких пристроїв, щоби провести великомасштабну атаку без відома власників пристроїв.


Як не стати частиною проблеми при DDos-атаці?


Незважаючи на те, що немає способу уникнути атаки DoS або DDoS, адміністратори можуть зробити запобіжні кроки, щоб зменшити наслідки атаки на свою мережу.


1. Зареєструйтесь у службі захисту від DoS-атак


Зареєструйтесь у службі захисту від DoS-атак, яка виявляє аномальні потоки трафіку та перенаправляє трафік із вашої мережі. Трафік DoS відфільтровується й чистий трафік передається у вашу мережу.


2. Створіть план аварійного відновлення (бекап)


Створіть план аварійного відновлення (бекап), щоб забезпечити ефективний зв'язок, пом'якшення наслідків та відновлення у разі атаки.


3. Вживайте заходів для підвищення безпеки всіх підключених до Інтернету пристроїв


Також важливо вжити заходів для підвищення рівня безпеки всіх ваших підключених до Інтернету пристроїв, щоб запобігти їх компрометації.


4. Встановіть та підтримуйте антивірусне програмне забезпечення


Встановіть брандмауер та налаштуйте його для обмеження трафіку, що входить та надходить із вашого ПК. Оцініть параметри безпеки та дотримуйтесь передових методів безпеки, щоб звести до мінімуму доступ інших людей до інформації та керувати небажаним трафіком.


Як дізнатися, чи був напад на сайт?


Симптоми DoS-атаки можуть нагадувати проблеми із доступністю, які не схожі на злам, наприклад, технічні проблеми із певною мережею або технічне обслуговування системного адміністратора. Однак такі симптоми можуть вказувати на дос-або ддос-атаку:


надзвичайно низька продуктивність мережі. При цьому відкриття файлів або доступ до веб-сайтів, відсутність певного веб-сайту або неможливість доступу до будь-якого веб-сайту.


Найкращий спосіб виявити та ідентифікувати DoS-атаку - відслідковувати та аналізувати мережевий трафік. Мережевий трафік можна відстежувати за допомогою брандмауера або системи виявлення вторгнень. Адміністратор може навіть настроїти правила, які створюють попередження при виявленні аномального навантаження трафіку та визначають джерело трафіку або відкидають мережеві пакети, що відповідають певним критеріям.


Що робити, якщо вам здається, що у вас є атака?


Якщо ви вважаєте, що ви або ваш бізнес зазнали дос- або ддос-атаки, важливо звернутися за допомогою до відповідних технічних фахівців. Зверніться до адміністратора мережі, щоб дізнатися, чи вимкнено службу технічного обслуговування або внутрішню проблему мережі. Мережеві адміністратори також можуть відстежувати мережевий трафік для підтвердження наявності атаки, визначити джерело та вирішити ситуацію, застосовуючи правила брандмауера та, можливо, перенаправляючи трафік через службу захисту від DoS-атак. Контактуйте зі своїм інтернет-провайдером, щоб дізнатися, чи є перебої із їхнього боку, або навіть якщо їхня мережа є метою атаки, а ви є непрямою жертвою. Можливо, вони зможуть порадити правильний курс дій. У разі атаки не забувайте про інші хости, активи або служби, що знаходяться у вашій мережі. Багато зловмисників проводять атаки, щоб відвернути увагу від наміченої мети та використати можливість для проведення вторинних атак на інші служби у вашій мережі.


DDoS-атака дозволяє хакеру залити мережу чи сервер підробленим трафіком. Занадто великий трафік перевантажує ресурси та порушує контакт, заважаючи системі обробляти запити користувачів. Послуги стають недоступними, а цільова компанія страждає від тривалих простоїв, втраченої вигоди та незадоволених клієнтів.


Для додаткового захисту хмарних сервісів Microsoft використовує Azure DDoS Protection - систему захисту від DDoS-атак, вбудовану у процеси безперервного моніторингу та тестування на проникнення Microsoft Azure. Захист від DDoS-атак Azure призначений не тільки для захисту від зовнішніх атак, але й від атак із боку інших клієнтів Azure. Система використовує стандартні методи виявлення та зменшення наслідків, такі як файли cookie SYN, обмеження швидкості та кількість підключень для захисту від DDoS-атак. Для підтримки автоматичних засобів захисту, група реагування на інциденти DDoS із різним навантаженням визначає ролі та обов'язки між командами, критерії ескалації та протоколи обробки інцидентів серед порушених груп.


Системи виявлення вторгнень: рішення IDS надають деякі можливості виявлення аномалій, щоб вони могли розпізнавати, коли дійсні протоколи використовуються як засіб атаки. Їх можна використовувати разом із брандмауерами для автоматичного блокування трафіку. Вони не автоматизовані, тому їх потрібно налаштовувати вручну експертами із безпеки і вони часто дають неправдиві спрацьовування.


Атаки розподіленої відмови у обслуговуванні із метою отримання викупу (R-DDoS)


Згідно із The Daily Swig, у 2021 році кілька постачальників засобів кібербезпеки спостерігали зростання кількості атак розподіленої відмови в обслуговуванні із метою отримання викупу. Такі атаки, також відомі як R-DDoS, є чистим вимаганням. Напади такого типу завдають біль їхнім жертвам; окрім страждань від простоїв та перебоїв у обслуговуванні, існують потенційні фінансові витрати на виплату викупу. Навіть якщо організація сповнена рішучості не поступатися здирникам, боротьба із загрозою вимагає дорогоцінного часу та людських ресурсів. Як повідомляється, злочинці іноді загрожують заподіяти додаткові страждання за допомогою DDoS після того, як спочатку запустили атаку із шифруванням програм-вимагачів. Програми-здирники самі по собі досить небезпечні, але у поєднанні із DDoS-атакою вони стають неприємними, руйнівними та дорогими. Націлення на серверну інфраструктуру може призвести до тривалого простою.


Посилаючись на R-DDoS-атаки у серпні 2020 року на Новозеландську фондову біржу, Кріс Морган, старший аналітик із кіберзагроз у Digital Shadows, як повідомляється, сказав:


Зважаючи на те, що більшість DDoS-здирників часто націлені на загальнодоступні сайти своїх жертв, у результаті цієї діяльності неодноразово націлювалися на серверну інфраструктуру, кінцеві точки API, DNS-сервери та навіть на постачальників інтернет-послуг NZX. Це зрушення у бік серверних систем може пояснити тривалі простої, викликані цими атаками.


У статті Daily Swig зазначається, що зловмисники використовують безліч векторів, починаючи від поширених мережевих протоколів, таких як служби віддаленого управління Apple - ARMS, динамічне виявлення веб-служб WS-DD та протокол обмежених додатків - CoAP, до векторів посилення, таких як Відповідь DNS , SSDP, NTP або Memcache.


За словами Алана Колдера, засновника та виконавчого голови IT Governance, фірми із управління кіберризиками та конфіденційністю, тенденція полягала у більш короткій тривалості атаки, але більшій кількості атак із пакетом на секунду. Часто зловмисники запускають багатовекторні атаки, які швидко та автоматично перемикаються між векторами, що ускладнює їх виявлення та усунення. Оскільки аналітики безпеки не можуть вручну виявити ці атаки й досить швидко відреагувати, щоб унеможливити простої, важливо мати автоматизоване зменшення наслідків DDoS у режимі реального часу, щоб захищатися від будь-яких багатовекторних DDoS-атак.


Що робити, якщо ви зіткнулися із R-DdoS-атакою


Як і інші урядові правоохоронні органи, ми у АйтіВін завжди рекомендуємо не платити викуп, оскільки це тільки заохочить подальшу злочинну поведінку та призведе до атак на інші організації, думаючи, що вони мають можливість збирати більше викупу. Що багато організацій можуть відчувати, що вони не мають вибору, якщо вони вже зазнали атаки й не мають автоматичного захисту від DDoS-атак у режимі реального часу. Це тому, що часто важливо повернути послуги у оперативний режим якнайшвидше. Якщо ви зазнали DDoS-атаки, контактуйте із провайдером інтернет послуг, щоб дізнатися, як можна вам допомогти.


Buy Me A Coffee

Мы являемся сертифицированным партнером компании TemplateMonster


Закрыть

Заказ сайта


Заполните, пожалуйста, форму заказа сайта. После обработки мы свяжемся с Вами и уточним детали.





Я согласен с Пользовательскими соглашениями

Закрыть

Написать письмо


Заполните форму. После ознакомления мы свяжемся с Вами.






Закрыть

Заказ обратного звонка


Оставьте Ваш контактный номер и наш оператор перезвонит Вам в течении часа.



Например: +38(063) 012-34-56

Вверх
@
заказать звонок
+