DDOS розшифровується як Distributed Denial-Of-Service. Це тип кіберзлочинності, коли одна або кілька сторін намагаються перервати трафік сервера або веб-сайту. Щоб бути ефективними, вони використовують для атаки не лише один комп’ютер, а часто цілу мережу.
Але це не лише машини зловмисника – існують види шкідливих програм і вірусів, які можуть вплинути на комп’ютер звичайного користувача та перетворити його на частину атаки. Навіть пристрої IoT не є безпечними – якщо у вас вдома є розумний пристрій, теоретично його можна використовувати для такої атаки.
Як це працює?
Найпростіший спосіб пояснити DDOS-атаки — порівняти їх із заторами. Звичайний транспортний потік переривається через те, що десятки (або сотні, тисячі тощо) несподіваних автомобілів зливаються з головною дорогою, не випускаючи інших автомобілів.
Збої, що з’являється, заважає звичайним водіям досягти своєї мети – у випадку DDOS це буде сервер або веб-сайт, який вони шукають.
Існують різні типи атак, спрямовані на різні елементи звичайного зв’язку клієнт-сервер.
Атаки рівня програм спробуйте вичерпати ресурси цілі, змушуючи її багаторазово завантажувати файли або запити до бази даних – це уповільнює роботу сайту і в крайніх випадках може викликати проблеми з сервером, перегріваючи його або підвищуючи потужність використання. Від цих атак важко захиститися, оскільки їх важко помітити – важко сказати, чи сплеск використання пов’язаний із збільшенням справжнього трафіку чи зловмисною атакою.
HTTP Flood атаки по суті, оновлюючи сторінку браузера знову і знову – за винятком мільйонів разів. Цей потік запитів до сервера часто призводить до того, що він буде перевантажений і більше не відповідає на (справжні) запити. Захист включає наявність серверів резервного копіювання та достатньої потужності для обробки запитів. Наприклад, така атака майже точно не спрацює проти Facebook, оскільки їхня інфраструктура настільки сильна, що може впоратися з такими атаками.
Протокольні атаки спробуйте виснажити сервер, споживаючи всю потужність, яку мають такі речі, як веб-додатки, тобто повторюючи запити до елемента сайту чи служби. Це призведе до того, що веб-додаток перестане відповідати. Часто використовуються фільтри, які блокують повторні запити з одних і тих самих IP-адрес, щоб запобігти атакам і підтримувати роботу служби для звичайних користувачів.
SYN Flood Attacks здійснюються, по суті, шляхом багаторазового запиту сервера отримати елемент, а потім не підтверджувати його отримання. Це означає, що сервер утримує елементи й чекає квитанції, яка ніколи не надійде, доки врешті-решт він не зможе більше утримувати й не почне скидати їх, щоб забрати більше.
Об'ємні атаки спробуйте штучно створити перевантаження, спеціально зайнявши всю пропускну здатність сервера. Це схоже на атаки HTTP Flood, за винятком того, що замість повторних запитів надсилаються дані до сервер, таким чином залишаючи його занадто зайнятим, щоб реагувати на звичайний трафік. Для здійснення цих атак зазвичай використовуються ботнети – вони також часто використовують розширення DNS.
Порада: посилення DNS працює як мегафон – менший запит або пакет даних представляється набагато більшим, ніж він є. Це може бути зловмисник, який запитує все, що може запропонувати сервер, а потім просить повторити все, що просив зловмисник – відносно невеликий і простий запит в кінцевому підсумку займає багато ресурсів.
Як захиститися від DDOS-атак?
Перший крок до боротьби з цими атаками — переконатися, що вони дійсно відбуваються. Помітити їх не завжди легко, оскільки стрибки трафіку можуть бути нормальною поведінкою через часові пояси, випуски новин тощо. Щоб змусити свої атаки спрацювати, зловмисники DDOS намагаються максимально приховати свою поведінку в звичайному трафікі.
Інші процедури для пом’якшення DDOS-атак – це чорні діри, обмеження швидкості та брандмауери. Чорні діри є досить крайнім заходом – вони не намагаються відокремити справжній трафік від атаки, а перенаправляють кожен запит із сервера, а потім відкидають його. Це можна зробити, наприклад, під час підготовки очікуваного нападу.
Обмеження швидкості є трохи менш грубим для користувачів – воно встановлює штучне обмеження для кількості запитів, які буде приймати сервер. Цього ліміту достатньо для проходження звичайного трафіку, але занадто багато запитів автоматично перенаправляється та відкидається – таким чином сервер не може бути перевантажений. Це також ефективний спосіб зупинити спроби злому пароля методом грубої сили – скажімо, після п’яти спроб IP-адреса просто блокується.
Брандмауери корисні не лише для захисту вашого власного комп’ютера, а й на стороні сервера від веб-трафіку. Між Інтернетом і сервером, зокрема, встановлюються брандмауери веб-додатків – вони захищають від кількох різних типів атак. Хороші брандмауери також здатні швидко налаштувати індивідуальні реакції на атаки, коли вони відбуваються.
Порада: якщо ви хочете захистити свій сайт або сервер від якоїсь атаки DDOS, вам знадобиться набір різних рішень (швидше за все, включаючи брандмауер). Найкращий спосіб зробити це – проконсультуватися з консультантом з кібербезпеки та попросити його розробити індивідуальний план, який відповідає вашим потребам. Універсального рішення не існує!