В сегодняшней статье мы расскажем, какие шаги нужно предпринять, если на ваш сервер произошла DDoS-атака. Больше подробностей,
Прежде всего следует убедиться, что на ваш сервер действительно происходит DDoS-атака, и дело не в техническом сбое. При взгляде на входящий трафик, как правило, «диагноз» можно поставить сразу. Об атаке свидетельствует резкий аномальный рост входящих запросов, при этом с достаточно однотипным повторяющимся рисунком.
Встречается множество различных видов и типов DDoS-атак, они могут быть нацелены на разные системные уровни по модели OSI. В зависимости от вектора, злоумышленники могут пытаться вывести из строя приложение, сервис или протокол. Возможны атаки на DNS, сервисы аутентификации и другие уязвимые места инфраструктуры.
На уровнях L3-L4 хакеры могут применять техники Synflood или UDP-spoofing, отправляя огромное количество SYN-запросов или UDP-пакетов, чтобы перегрузить сетевое оборудование.
Выявляем источник атаки
Определение источников DDoS-атаки позволит оперативно заблокировать или ограничить каналы, по которым на сервер поступает аномальное число запросов.
В первую очередь необходимо проанализировать IP-адреса, с которых поступают входящие запросы. Если ряд IP-адресов отправляют аномально большое количество запросов за короткий срок, узнать, кому они принадлежат и ограничить трафик из этих источников. Для этого можно использовать специализированное ПО или обратиться к хостинг-провайдеру.
Защита от DDoS через хостинг-провайдера
Гарантировал ли ваш хостинг-провайдер защиту от DDoS-атак? Если да, то что именно вам обещали?
Информация о действиях хостера в случае DDoS-атаки и технических ограничениях содержится в Соглашении об уровне сервиса (Service Level Agreement, SLA). Если там такой информации нет, или если она не соответствует тому, что вы наблюдаете фактически в ходе атаки — самое время сменить хостера.
Снижаем вредоносную нагрузку
Серверу необходимо выделить полосу пропусканию с запасом — так много, сколько есть в наличии. При помощи фаервола рекомендуется разрешить доступ только для критически важных портов и сервисов, все остальное — закрыть.
Также:
Установите лимиты на количество запросов от одного IP-адреса или пользователя. — Сбрасывайте пакеты от адресов, которые идентифицированы как источники атаки.
Задайте пониженные лимиты сброса для SYN-, ICMP-, и UDP-флуда.
Снизьте скорость интернет-соединения, чтобы не перегружать сервер.
Тонкая корректировка
Есть еще несколько вариантов защиты сервера своими руками.
IPTables. Позволяет защититься от умеренно сильных DDoS-атак с помощью фильтрации трафика через специальные таблицы. По умолчанию в сервис встроено две опции: на открытие доступа и его блокировку, при этом функционал может быть расширен. Также через IPTables вы сможете настроить максимальное количество подключений, чтобы исключить перегрузку сервера.
Fail2ban. Представляет собой умную надстройку к фаерволу на уровне ОС. Программа через анализ логов будет блокировать подключения, которые злоупотребляют доступностью сервера в сети, защитить от взлома через брутфорс паролей и DDoS на уровне приложений.
Nftables. Современный инструмент для управления брандмауэром в Linux, который используется для защиты компьютерных сетей от несанкционированного доступа и атак. Он способен настраивать правила для фильтрации сетевого трафика на уровне ядра ОС, что более быстро и эффективно, чем в случае iptables.
Для защиты сервера от DDoS атак с помощью Nftables, можно создать правила, которые будут блокировать трафик от известных источников атак, а также фильтровать подозрительный трафик — например, слишком большие пакеты или слишком частые запросы за короткое время с одного IP-адреса.
Есть и другие программные фильтры трафика на основе JavaScript, которые могут выступить в качестве барьера, не пропускающего трафик ботов.
Подключение профессиональной DDoS-защиты
Все вышеперечисленные меры — лишь временные способы борьбы с DDoS-атаками.
В случае, если злоумышленники проявят действительно серьезный интерес к вашему бизнесу, оградить его от длительных и интенсивных атак сможет только профессиональная защита от DDoS.
Существуют различные ее варианты — защита на уровне L7 обратным проксированием, защита на уровнях L3-4 через туннельное включение, либо же переезд на защищенный выделенный сервер (виртуальный или физический, уровень L3-L7). В любом случае, необходимость такой защиты только растет с каждым годом.