5 советов по борьбе с DDOS-атаками

Это должен был быть один из самых успешных дней для вашего бизнеса, но неожиданно ваш сайт оказался недоступен, а информация обо всех заказах пропала. Если это случилось с вами, вероятно, вы стали очередной жертвой DDoS атаки.

Основой данных атак является бомбардировка IP адреса большим объемом трафика. Если по данному IP вы обращаетесь на какой-либо сервер, тогда этот сервер (или маршрутизаторы, являющиеся промежуточным звеном между нарушителем и сервером) может быть перегружен. Легитимные запросы, обращенные к серверу, не будут обработаны ввиду его перегруженности, и сайт станет недоступным. В обслуживании отказано.

Распределенная DoS-атака – особый тип атак «отказ в обслуживании». Основополагающий принцип атаки остается прежним, а трафик, бомбардирующий IP адрес, теперь генерируется несколькими источниками, управляемыми из одной точки. Благодаря тому, что источники трафика являются распределенными - часто по всему миру - , DDoS атаки являются значительно более трудными для блокирования, чем атака с одного IP.

DDoS становится все более пугающим.

С течением времени данные атаки становятся все более существенной проблемой. Согласно последнему квартальному отчету по DDoS атакам, опубликованному компанией Prolexic, специализирующейся на противодействии DDoS атакам, рост их использования за последние 12 месяцев вырос на 22%.

Кроме того, на 21% возросла и продолжительность атак (с 28,5 до 34,5 часов). Также атаки стали гораздо более интенсивными, в среднем, с почти 7-кратным увеличением объема генерируемого трафика с 6,1 Гб/с до 48,25 Гб/с. По некоторым отчетам при атаке на Spamhaus – организацию, занимающуюся противодействием спаму – в марте трафик генерировался со скоростью почти 300 Гб/с.

Исследования, проводимые Arbor Networks и Akamai Technologies, подтверждали увеличение частоты и интенсивности DDoS атак.

По словам Тима Пэта Даффиси, управляющего директора ServerSpace (компания предоставляет услуги по хостингу, а также является Интернет-провайдером), барьер для преодоления DDoS атак в большинстве случаев стал недостижим. «Это значит, что каждый может произвести подобную атаку: преступные организации, шантажисты, даже обиженный на свое начальство уволенный сотрудник или конкурент. Жертвой может стать каждый. Один из наших клиентов – небольшая тренинговая компания в сфере строительного бизнеса – подверглась атаке, продолжительностью 2 недели.»

Раньше запустить DDoS атаку было технически непросто, сейчас же есть возможность арендовать ботнет из десятков или даже сотен тысяч зараженных машин за весьма скромную плату, после чего использовать эти компьютеры для проведения атаки. А благодаря высоким темпам развития интернета, зараженные компьютеры используют высокоскоростные каналы связи, по которым можно отправлять большие объемы трафика.

Существуют специальные средства для DDoS на основе Web, например, Low Orbit Ion Cannon или RussKill, в запуске которых может разобраться даже ребенок.

Возникает вопрос, что можно предпринять для защиты?

Своевременное определение DDoS атаки.

Если у вас есть собственные сервера, вам необходимо иметь средства для определения совершаемой на вас атаки. Чем раньше вы определите, что проблемы с доступностью вашего сайта возникли из-за DDoS атаки, тем раньше вы можете предпринять меры для ее отражения.

Определить DDoS можно с помощью реализации механизма профилей входящего трафика. Если вы знаете среднестатистический объем и динамику изменения трафика на вашем сервере, у вас повышается шанс быстрого определения не характерных изменений. Большинство DDoS атак характеризуются резким увеличением объема принимаемого трафика, и механизм профилей поможет определить, является ли данный скачок атакой или нет.

Также хорошей идеей будет назначить сотрудника вашей компании, ответственного за противодействие DDoS.

Дополнительные каналы связи для увеличения пропускной способности

Неплохой идеей является подключение дополнительных каналов связи, даже если расчеты пропускной способности показывают, что они вам не нужны. В этом случае вы сможете без последствий преодолеть неожиданные скачки трафика, которые могут быть, например, результатом рекламной кампании, специальных предложений или упоминания вашей компании в СМИ.

При реализации DDoS атаки, вероятно, вас не спасет даже 500%-ный запас пропускной способности, но он даст вам несколько дополнительных минут для реализации необходимых мер по противодействию.

Защита сетевого периметра (если у вас есть собственный сервер)

Существует несколько довольно простых технических мер для частичного снижения эффективности атаки, особенно в ее начале.

• Ограничьте пропускную способность вашего маршрутизатора для предотвращения перегрузки сервера
• Добавьте фильтры, чтобы маршрутизатор отклонял пакеты с явно атакующих адресов
• Настройте таймаут полуоткрытых соединений более агрессивно
• Отклоняйте поддельные и искаженные пакеты
• Задайте более низкий порог отказа в обработке для SYN, ICMP и UDP

Но реальность такова, что если раньше данные шаги были достаточно эффективны, то сейчас DDoS атаки слишком глобальны для их нивелирования данными способами. Следует выделить еще раз, основной задачей рассмотренных методик является получение дополнительного времени при атаке.

Позвоните вашему интернет- или хостинг-провайдеру

Следующим шагом будет звонок вашему Интернет-провайдеру (или хостинг-провайдеру, если ваш ресурс расположен на стороннем сервере) и просьба в оказании незамедлительной помощи в связи с атакой. Контактная информация вашего провайдера всегда должна быть под рукой, чтобы в случае ЧП не терять времени на ее поиск. В зависимости от масштаба атаки они уже могут быть в курсе.

Шанс выстоять при DDoS атаке повышается, если используемый вами сервер расположен в хостинг-центре, а не у вас в компании, потому что дата центры имеют гораздо лучшее оборудование и каналы связи, а также более опытный персонал, имеющий представление о подобных атаках. Кроме того, если ваш сервер расположен в дата центре, то при атаке ваша корпоративная сеть не пострадает, поэтому как минимум часть вашего бизнеса, например, электронная почта и служба VoIP, должны функционировать нормально.

Если атака является достаточно сильной, то первым делом ваш Интернет-провайдер отключит маршрутизацию трафика, идущего на ваш веб сервер.

«Допущение DDoS атак на внутрикорпоративную сеть – непозволительная роскошь для провайдеров, потому что DDoS расходует впустую большую часть пропускной способности и может негативно повлиять на работу приложений других клиентов. В связи с этим первым делом при обнаружении атаки мы можем отключить ваше приложение на некоторое время» заявляет Лиам Энтикнап, сетевой инженер Pier 1.

Тим Пэт Даффиси, управляющий директор компании ServerSpace согласен с данной точкой зрения. По его словам самым первым шагом при обнаружении атаки на клиента в его компании является отключение маршрутизации для пакетов, идущих на его web сервер. На эти действия уходит порядка 2 минут, после чего объем загруженности сети резко падает.

Если бы это был конец истории, то атаку можно было бы считать успешной. Для того, чтобы снова сделать web сайт доступным, трафик, идущий к нему, может быть направлен на особый фильтр, пропускающий только легитимные пакеты, которые идут дальше непосредственно на сервер. «мы используем наш опыт и различные средства для того, чтобы понять, каким именно образом изменился трафик после начала атаки, что помогает нам определять вредоносные пакеты» - объясняет Энтикнап.

Он уверяет, что Pier 1 владеет ресурсами, позволяющими принимать, обрабатывать, а затем отправлять дальше трафик на скорости 20 Гб/с. Но учитывая уровни трафика при DDoS атаках, описанные в отчетах Spamhaus, даже такая пропускная способность не принесет нужного эффекта.

Разработайте совместный с вашим провайдером план действий при обнаружении DDoS атак, чтобы обратиться к специалисту с минимальной задержкой по времени.

Найдите специалиста по DDoS

При большинстве серьезных атак, вероятно, единственным способом остаться онлайн для вас будет пользование услугами компании, специализирующейся на противодействии DDoS. Эти организации имеют высокомасштабируюмую инфраструктуру и используют большое количество различных технологий, включая фильтрацию пакетов, что поможет вам остаться онлайн. Вы можете сотрудничать напрямую или через вашего провайдера.

«Если клиенту необходима защита от DDoS, мы перенаправляем его трафик компании Black Lotus, специализирующейся на этом» - говорит Даффиси. «для этого мы используем BGP, поэтому на все уходит пару минут».

Фильтрующий центр компании Black Lotus может справляться с очень большими объемами трафика и отправлять проверенные пакеты на пункт их назначения. Все это выливается в значительное время ожидания для пользователей, но альтернативой может быть и полная недоступность сайта.

Услуги по защите от DDoS атак не бесплатны, поэтому либо вы платите деньги и остаетесь онлайн, либо принимаете весь удар на себя и ждете, пока атака не закончится, и вы не сможете вернуть доступность своему сайту. Данный вид услуг может обойтись вам в несколько сотен долларов в месяц. С другой стороны, если вы будете атакованы не имея каких либо средств защиты, вы можете потерять гораздо больше денег и времени.

Компании, предоставляющие услуги по защите от DDoS атак:

Arbor Networks
Black Lotus
DOSarrest
Prolexic
VeriSign

Об авторе: Пол Рубенс освещал новости в сфере информационной безопасности на протяжении более чем 20 лет. За это время он печатался в таких британских и международных изданиях, как The Economist, The Times, Financial Times, the BBC, Computing and ServerWatch.