Ваши рабочие процессы, дорогое оборудование, ценные данные, постоянные клиенты — всё это может встать, выйти из строя и/или исчезнуть. И я не про месяцы и годы, а про сейчас: масштабная DDoS-атака может начаться в любую секунду.
Про DDoS-атаки сказано много (бам, бам) — и не только на площадке, куда Цукерберг таки не позвонил (вспомнят не только лишь все читатели facebookru.com*).
В этой я расскажу всё, что нужно знать про DDoS-атаки на серверы: что это, зачем, какие риски для бизнеса, как защититься и как оправиться, если допустили.
Не знаю как вам, а мне читать канцелярский текст больно физически, поэтому у статьи разговорный стиль. Заваривайте чай, кофе, нарезайте бутерброды — и приступим 🙂
Структура статьи:
- Что такое DDoS: Скрытая угроза
- Виды DDoS-атак: Атака клонов
- Как выглядит DDoS-атака: Штурмовики
- Что такое ботнеты? R2-D2
- Зачем устраивают DDoS-атаки: Месть ситхов
- Риски для бизнеса из-за DDoS-атак: Новая надежда
- Как защититься от DDoS: Империя наносит ответный удар
- Кто занимается защитой от DDoS: Возвращение джедая
- Что делать после DDoS-атаки: Пробуждение силы
- Выводы по DDoS-атакам: Последние джедаи
Что такое DDoS: Скрытая угроза
Когда готовишься разносить автора статьи в комментах.
СКОЛЬКО СТОИТ DDOS-АТАКА?
DDoS-атака (Distributed Denial of Service или распределённый отказ в обслуживании) — это кибератака на IT-инфраструктуру, перегружающая эту самую инфраструктуру огромным количеством запросов и трафика. Серверы под DDoS-атакой полностью перестают обслуживать обычные запросы пользователей (или делают это очень плохо, если атака недостаточно сильна).
Простая аналогия: если в обычную раковину с нормальным сливом льет один кран, то раковина без проблем справится. Но если в эту раковину добавить ещё штук 10 шлангов и всё открыть на полную, то будет потоп.
DDoS-атака — это более простой в реализации подвид DoS-атаки, которая также направлена на отказ в обслуживании, но исходит из сотен и тысяч источников, а не из одного, как при DoS.
Вспомните интернет-магазины во время запуска новых продуктов или распродажи — страницы не грузятся, купить ничего не получается, так как тысячи людей одновременно обновляют сайт, свайпая на телефоне или прожимая Ctrl+R на ПК. Техническая цель DDoS-атак — добиться отказа оборудования и/или сервисов, но не естественным наплывом пользователей, а целенаправленной атакой.
Ещё есть знаменитый Хабраэффект (он же Слэшдот-эффект), когда на небольшой сайт приходит очень много людей после размещения ссылки в популярном блоге. Сайт, рассчитанный, например, на 500 людей, не выдерживает наплыва тысяч посетителей и падает (полностью или просто). Получается что-то вроде непредумышленной DDoS-атаки.
Но настоящая DDoS-атака — это не естественный наплыв посетителей, а целенаправленное и незаконное действо. Хакер добивается полного или частичного отказа оборудования и сервисов какой-либо компании.
DDoS-атака: организация, защита и истории
Как в старом добром анекдоте 🙂
Как китайцы взломали серверы Пентагона.
- Каждый китаец попробовал один пароль.
- Каждый второй пароль был «Мао Цзедун».
- На 74 357 181 попытке сервер согласился, что его пароль — «Мао Цзедун».
Генерал Гривус, атакует джедая четырьмя световыми мечами, но мечей может быть и тысячи, как при DDoS-атаке.
Виды DDoS-атак: Атака клонов
Тысячи штурмовиков — идеальная аналогия DDoS-атакам.
Есть сетевая модель OSI (Open Systems Interconnection, взаимосвязь открытых систем). Она делит IT-инфраструктуру на 7 уровней. Разбирать все я конечно же не буду, но вы можете подробно изучить каждый в таблице снизу.
DDoS-атаки разделяют на два уровня (по атакуемым уровням открытой системы): низкоуровневые и. барабанная дробь… высокоуровневые.
- Низкоуровневая DDoS-атака — на уровни L3 (сетевой) и L4 (транспортный).
- Высокоуровневая DDoS-атака — на уровень L7 (приложения).
Например, если 10 000 000 людей запустят ping одного хоста — это DDoS. Или если 1000 человек используют запрос, который сервер будет обрабатывать полчаса из-за уязвимостиошибки в конфигурации — это тоже DDoS.
Как выглядит DDoS-атака: штурмовики
Штурмовики aka DDoS.
Есть DoS-атаки, когда выводят систему из строя из одного источника, а есть DDoS, то есть распределённая DoS-атака, от которой сложнее защититься.
Простая аналогия:
- DoS — мандалорец, одиночка, охотник за головами;
- DDos — штурмовики, обезличенные войны в огромной армии, несущие волю Императора.
Мандалорец aka. DoS-атака.
Если вкратце, то при DDoS атакующий трафик и запросы генерируют из сотен, тысяч или миллионов взломанных (заражённых, если угодно) устройств и сетей: роутеры, серверы, ПК, IoT/интернет вещей. Да, взломанный умный чайник может быть угрозой бизнесу! Поэтому сложно отследить первоисточник атаки и однозначно заблокировать его.
Что такое ботнеты: Галактическая Империя
Армия: имперский флот, шагоходы, отряды штурмовиков, генералы — аналогия к ботнетам.
Это и есть сеть заражённых устройств для DDoS-атак. Ваш и мой компьютер вполне могут быть частью крупного ботнета. Как только ботмастер (управляющий ботнетом, не путать с боксмастер) даст сигнал, подконтрольные устройства в сети начнут DDoS-атаку, например, на Amazon или другую компанию. Ботнеты могут не только в DDoS, но и в кейлоггинг, спам-атаки, кражу платёжных данных и многое другое.
В 2021 году ботнет Mēris (“чума” с латышского) обрушил крупнейшую в истории Рунета DDoS-атаку на Яндекс: почти 22 миллионов запросов в секунду (RPS).
Визуализация DDoS-атаки на материковую Северную Америку.
Некоторые любители атаковать мусорным трафиком арендуют облачные серверы, мощности и ботнеты. Они платят деньги, чтобы остановить работу неугодной организации. Конечно, не получится смоделировать полноценную DDoS-атаку из нескольких виртуальных машин, но некоторые пишут проприетарные программы для DOS-атак на конкретные уровни OSI конкретной компании, что потенциально опасно.
А вот атака с арендованного ботнета — настоящее зло.
Реклама ботнета Mirai (400+ девайсов).
Что тут важно знать? 50000 устройств с атакой в 1 час и перерывами на 5-10 минут стоят $3000-4000 на две недели. На день или неделю арендовать нельзя, только 14 дней. То есть любой человек, у которого есть 200 тыс. рублей, может парализовать чей-то бизнес на 2 недели.
Зачем устраивают DDoS-атаки: Месть ситхов
Админ, перешедший на Тёмную сторону Силы, планирующий DDoS-атаку.
У хакеров (ты должен был бороться со злом, а не примкнуть к нему!) есть несколько мотивов для DDoS-атак: обучение и практика, развлечение, месть за что-либо, вымогательство (выкуп, чтобы остановить атаку), политика, репутационный ущерб или устранение конкурентов.
Выкуп — частая причина. Например, хахер запросит 500 тыс. рублей (бизнес за пару недель простоя может потерять в разы больше). Если на DDoS он потратит 200 т.р., то за вычетом получит 300 т.р. за пару дней (могут и быстрее начать молить о пощаде). 200 тыс. снова пойдут в оборот, а 100 тыс. — в карман. Или же можно вложить все 300 тыс., арендовать больше ботов и повысить ставки (взять рыбку покрупнее).
Немного про устранение конкурентов:
Servermall — крупный дистрибьютер в своём сегменте. Мы не акулы Enterprise, но в своё время первыми в России начали восстанавливать серверы и продавать их с 5-летней гарантией. Сейчас же мы выросли до крупного международного дистрибьютора (РФ, ЕАЭС, ЕС) — с огромной сетью партнёров, опытом и клиентской базой. Очевидно, что наши успехи и быстрый рост не остались без внимания конкурентов. Мы видим это и с точки зрения маркетинга, и с точки зрения враждебной DDoS-активности.
Недавно на IT-инфраструктуру Servermall устроили крупную DDoS-атаку и запросили деньги, чтобы прекратить её. Вероятность, что после выплаты атака остановится, стремится к нулю (она может идти, пока не закончится оплаченное в ботнете время). 5-летних гарантий уж точно нет и не будет.
Наш IT-директор атаку отразил, но пару дней сайт незначительно поштормило (увеличилось время загрузки некоторых страниц и изображений). Защиту после этого усилили, уязвимость закрыли, хакер — кроме расходов — ничего не получил. Денег и клиентов мы не потеряли, а что нас не убивает…
Платить хакерам — идея так себе: когда атакующим захочется больше золота и построить зиккурат, они вернутся, так как знают, что вы платили тогда и заплатите сейчас. Наверняка хакеры ведут таблички с курицами, несущими золотые яйца. И не забываем, что есть персонажи с неденежными интересами, а значит можно попасть под несколько независимых DDoS-атак. Особенно, если вы крупный бизнес.
Правильный подход — усиливать защиту, не допускать или отражать кибератаки, а после — выявлять и закрывать уязвимости.
Именно так мы и поступили.
Источник: vc.ru
Что такое DoS-атаки и как они влияют на интернет
Продолжаем рассказывать про то, как устроен интернет изнутри и как там дела с безопасностью. Сегодня поговорим про DoS-атаки — с ними может столкнуться каждый владелец сайта, онлайн-приложения или своего сервера.
Это статья для расширения ИТ-кругозора — почему иногда не работают сайты и что за этим стоит. Если нужно что-то более практичное, почитайте наш цикл про компьютерное зрение или посмотрите, насколько сейчас перспективна профессия Python-разработчика.
Что такое DoS
DoS — это сокращение от английского Denial of Service, что означает «отказ в обслуживании». Что это значит:
- злоумышленник отправляет на сервер слишком много запросов; параллельно обычные пользователи тоже отправляют свои обычные запросы;
- возможности сервера ограничены, поэтому он вынужден ставить все запросы в длинную очередь — и обычные, и зловредные;
- сервер будет отвечать очень медленно или вообще перегрузится и перестанет отвечать;
- в результате сайты не открываются, онлайн-сервисы не работают; мобильные приложения, которые зависят от данных с сервера, тоже перестают работать.
Если запросов достаточно много и они приходят достаточно быстро, сервер просто перестанет отвечать на запросы и начнёт выдавать ошибку 500 — внутреннюю ошибку сервера. Эта ошибка необязательно означает, что сайт подвергся DoS-атаке, но она всё равно говорит о том, что с сервером что-то не так:
Что такое DDoS
Чтобы сгенерировать настолько много запросов, что сервер с ними не справится, одного компьютера недостаточно — крупные провайдеры и дата-центры могут обрабатывать десятки гигабит входящих данных в секунду. Но если собрать много компьютеров и заставить их массово отправлять запросы, то провайдеры могут и не справиться с такой нагрузкой.
Такой вид атаки называют DDoS, а первая буква D означает Distributed — то есть распределённая DoS-атака. Для её организации чаще всего используют ботнеты — сети из обычных компьютеров, на которых дремлет специальное ПО. В нужный момент это ПО активируется, и компьютер начинает слать запросы на выбранный сервер, чтобы его перегрузить.
Владельцы компьютеров чаще всего даже не знают, что их техника является частью ботнета. Внешне это проявляется как то, что компьютер начал немного тормозить и резко упала скорость интернета. А всё потому, что для DoS-атаки каждый компьютер в ботнете использует по максимуму свой канал связи и не даёт другим программам им пользоваться.
Зачем это делают
Смысл любой DDoS-атаки — на время сделать так, чтобы сайт или сервер перестали работать. Если речь идёт об интернет-магазине, то, пока не работает сайт, он может недополучить часть выручки. Иногда хакерские группировки так делают, чтобы заявить о себе или показать свою силу.
Но если цель DDoS-атаки — корневые сервера интернета, CDN-провайдеры или, например, DNS-сервера, то последствия может ощутить весь интернет: большинство сайтов начинает тормозить или не открываться совсем. Иногда это используют для того, чтобы подменить настоящий сайт фальшивым и с его помощью украсть данные пользователей.
Одна из таких серьёзных атак случилась в сентябре 2012 года — целью стал CDN-провайдер CloudFlare, серверы которого расположены почти по всему миру. Мощность атаки тогда составила 65 гигабит в секунду — с такой нагрузкой в то время компания справиться не смогла. В итоге несколько дней все замечали падение скорости интернета — а всё потому, что не работал глобальный кэш, который ускорял загрузку контента.
Сегодня рекорд по мощности DDoS-атаки принадлежит голландскому провайдеру CyberBunker — он в марте 2012 года атаковал компанию Spamhaus с мощностью почти в 300 гигабит в секунду. А всё из-за того, что Spamhaus внёс этого провайдера в список спамеров.
Как защититься
Нам с вами от DDoS-атак не защититься никак: это задача провайдеров и хостеров. Но на всякий случай всегда важно иметь свежие бэкапы, чтобы, если что, — быстро переехать на новый сервер или восстановить утраченные данные.
Если вы администратор сайта, вам могут оказать услуги DDoS-щитов: тогда ваш сайт скрывается за неким агентом, который принимает на себя весь входящий трафик. Если видно, что началась DDoS-атака, этот агент может отфильтровать плохой трафик, сохранив работоспособность сайта.
Если вы хотите работать в ИТ и защищать компании от таких атак — присмотритесь к профессиям системного администратора или девопса.
Если есть опыт в ИТ и желание разобраться, что к чему — приходите сюда:
Если опыта нет, но хочется уже начать — начните с профессии инженера по тестированию. А как появятся нужные навыки — переходите на новый уровень:
Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Источник: thecode.media
Что такое DDoS-атаки и почему они опасны для любого IT-сервиса
Расскажем, что такое DDoS-атаки, какие они бывают, почему так опасны и что нужно знать, чтобы им противостоять.
Всё, что создано человеком, можно сломать и повредить. В огромной степени это справедливо для компьютерных программ. Вредоносным и исследовательским вмешательством в работу софта занимаются хакеры. Сегодня мы рассмотрим один из самых смертоносный приемов из их арсенала — это DDoS-атаки, от которых не застрахована ни одна программа в мире.
Что такое DDoS-атака на сервер: объясняем принцип на пальцах
Допустим, на вашем сервере расположен интернет-магазин, который исправно обслуживает покупателей. Конечно, с ним может случиться неприятность, если вы заранее не позаботились о достаточном количестве ресурсов на случай роста трафика. Тогда, если на сайт придет слишком много клиентов, серверу станет трудно отвечать на большое количество запросов. А значит, сайт начнет подтормаживать.
Если сайт расположен не на обычном сервере, а на облачном , такого не случится. Вы можете сразу получить нужное количество дополнительных мощностей, и сервер легко обработает возросшее число запросов.
Но представьте, что на ваш магазин обрушивается не просто поток покупателей, а настоящий шторм запросов — в таком количестве, в котором их просто невозможно обслужить. Тогда любой сайт может перестать отвечать совсем. Покупатели заходят на страницу — и видят лишь крутящуюся иконку загрузки. Ни картинок, ни текстов — просто пустой экран.
Разочарованные клиенты ищут похожий магазин и уходят. Как потом выяснится, взломщики в течение многих часов слали на ваш сервер миллионы запросов в секунду и парализовали его возможность отвечать на них.
Такой шквал запросов называется DoS-атакой — это denial-of-service , атака отказом оборудования. А если она производится не с одного компьютера, а сразу с нескольких, то говорят, что это DDoS-атака — distributed denial-of-service , распределенная атака отказом оборудования.
Вот так можно изобразить простейшую схему DDoS-атаки
В общем, отличие DoS и DDoS только в количестве атакующих компьютеров: для первого типа атак он один, а жертвой обычно становится небольшой проект. Второй тип атак требует нескольких устройств, а под раздачу обычно попадают крупные компании.
Определить DDoS- или Dos-атаку на сайт довольно легко — достаточно зафиксировать аномальное число запросов. А вот справиться с такой напастью намного сложнее.
Самое страшное в DDoS-атаках
Самое страшное в ДДоС-атаках — это что их можно применять против любой программы, имеющей доступ в сеть. Если для взлома и получения доступа к конфиденциальной информации хакеру нужно найти дыры в защите и знать, как ими пользоваться, то для DDoS этого не нужно — достаточно располагать мощностью для генерации ядовитых запросов к серверу.
В случае с большими компаниями, выпускающими приложения на тысячах серверов, нужно иметь в распоряжении очень большое число источников вредоносного трафика — такая мощность есть не у всех взломщиков. А в случае с небольшим сервисом достаточно иметь простой ноутбук — этого может оказаться достаточно, чтобы парализовать работу ресурса.
При этом, на самом деле, большие и маленькие проекты одинаково уязвимы — вопрос лишь в силе шторма, который хакеры готовы обрушить на сервер.
Традиционные методы защиты от хакеров не спасут: сколько ни ставь обновлений и ни конфигурируй настройки безопасности — вас всё равно снесет потоком токсичного трафика. DDoS не нужны баги и дыры в программах — для атаки используют штатные средства.
Два фундаментально разных вида DDoS-атак
Первый тип DDoS-атак — на саму сеть и сетевой стек. На сервер обрушивается, допустим, большое количество запросов на установку соединения. Сами запросы могут содержать дополнительные уловки, например, приходить с несуществующего адреса — это усложняет и затрудняет обработку входящего трафика. Через какое-то время сервер перестает отвечать на попытки соединения — его ресурсы загружены на 100%.
Второй тип DDoS-атак — на отказ приложения. Многие сайты содержат сложные и тяжелые функции — например, поиск по каталогу товаров или функции обработки фото. Отправив большое количество запросов, скажем, на поиск отсутствующего в базе товара, хакеры могут полностью загрузить программу на сервере ненужной работой. Причем загрузить так, что она не сможет отвечать на другие типы запросов — например, клиенты не смогут просматривать каталоги и класть товары в корзину.
Для проведения такой атаки зачастую достаточно ноутбука — нужно только найти «тяжелые» куски программы на сервере и написать свою программу, которая генерирует тысячи запросов к этому «тяжелому месту».
Как проводят DDoS-атаки
В самом простом случае, например для атаки на сайт, как мы выяснили, достаточно ноутбука. В случае с серверами помощнее взломщики берут в аренду DDoS-серверы в дата-центрах с сомнительной репутацией и генерируют запросы оттуда.
Еще одно оружие в руках преступников — ботнет. Хакерские группировки заражают обычные компьютеры и ноутбуки особыми вирусами, которые по команде из центра управления дружно обращаются с запросами на выбранный ресурс. Такие зараженные компьютеры и образуют сеть для генерации токсичного трафика — ботнет. Некоторые ботнеты состоят из сотен тысяч компьютеров.
Если каждый из них начнет генерировать некоторое число запросов к атакующему ресурсу, его просто сметет. Мощность самых мощных в мире ботнетов позволяет не то, что положить магазин конкурентов — а даже парализовать работу интернета в небольшой стране.
Что же делать с DDoS-атаками?
Защита своих серверов от DDoS — сложное и дорогое занятие. Потребуется специальное программное обеспечение, резервные серверы и помощь экспертов, которые разбираются в защите.
Если ваши сервисы расположены в облаке, вы можете рассчитывать на защиту провайдера. Облачные провайдеры отсекают однотипные запросы, перераспределяют нагрузку, выделяют резервные каналы и серверы. В облаках доступна защита от типовых DDoS-атак, также эксперты помогают организовать защиту инфраструктуры от более сложных атак.
Например, у Mail.Ru Cloud Solutions есть значительный опыт защиты от DDoS-атак. Социальные сети «ВКонтакте» и Одноклассники, почта Mail.ru — сервисы, с DDoS-атаками на которые мы успешно справляемся, они находятся в тех же самых дата-центрах, которыми пользуются клиенты нашего облака.
Источник: dzen.ru