Cloud Networks • Аналитика • Как защититься от DDoS-атак российскому бизнесу?
DDoS
02.03.2022

Как защититься от DDoS-атак российскому бизнесу?

Методы и решения проблем с DDoS атаками

Государственные, военные и банковские веб-ресурсы России с 24 февраля страдают от сбоев. В ИТ-сообществах по всему миру продолжают запускать распределенные атаки типа «отказ в обслуживании» против российских сайтов и компаний.

Эти кибератаки направлены не только на инфраструктурные предприятия РФ и правительственные сайты, но также на банки и даже аптеки. Украинская группа программистов disBalancer выложила в общий доступ инструкции, как провести DDoS-атаку на российские веб-ресурсы. Поэтому вопрос времени, когда хакеры переключаться на отечественный бизнес-сегмент.

DDoS-атаки на российские сайты

24 февраля на государственные сайты и приложения обрушился поток веб-трафика. В течение недели атаки типа «отказ в обслуживании» на какое-то время отключили следующие службы:

  • налоговый сайт,
  • портал Госуслуг,
  • новостной сайт RT,
  • интернет-ресурсы РЖД,
  • приложения и службы Яндекс,
  • веб-сайт и приложение Госзакупок,
  • веб-сайты служб ГИБДД, МВД, ФСС,
  • сайт канала Russia Today и многих других,
  • веб-сайты Росреестра, Роскомнадзора, Горздрава,
  • энергетическая компания «Газпром»,
  • сайты ТАСС, Коммерсантъ, Такие дела, Право, Известия.

DDoS-атакам также подверглись Сбербанк, Альфа-банк, военные домены РФ, официальные сайты Кремля, Министерства обороны, РБК и другие. Anonymous взяли ответственность за хакерские атаки на сайт RT.

Как утверждает RT, около 27% адресов, с которых осуществлялись DDoS-атаки, принадлежат США. Однако из-за доступности программ для DDoS и инструкций по проведению кибератак, любой может попытаться обрушить чужой сервер.

Как и зачем проводятся масштабные DDoS-атаки?

Успешная атака типа «отказ в обслуживании» (DoS) или распределенная атака типа «отказ в обслуживании» (DDoS) нарушает нормальный трафик целевого сервера, службы или сети, переполняя ее инфраструктуру Интернет-трафиком.

Распределенный отказ в обслуживании (ддос-атака) делает целевую онлайн-службу непригодной для использования. Масштабные атаки исходят из ботнета — преступной сети взломанных компьютеров, разбросанных по всему миру.

Как защититься от DDoS-атак российскому бизнесу? - 1

Ботнет — скомпрометированные машины (стационарные компьютеры, ноутбуки, серверы, IoT-устройства), которые контролируются киберпреступниками. Через них злоумышленники создают источники трафика для атаки и перегрузки инфраструктуры организаций.

Можно выделить следующие типы DDoS-атак:

  1. Атаки уровня приложений – нацелены на веб-серверы, платформы и веб-приложения, но не на сеть. Злоумышленники используют известные уязвимости приложений и злоупотребляют протоколами более высокого уровня (HTTPS, SNMP). Из-за меньшей полосы пропускания, не всегда можно увидеть увеличение трафика. Атаки измеряются количеством запросов в секунду.
  2. Сетевые атаки – атаки на протоколы приводят к отказам и нарушению корректной работы протоколов уровня 3 и 4 модели OSI. Атаки измеряются в пакетах в секунду.
  3. Флуд-атаки – огромный объем трафика пускается в сеть жертвы для заполнения большой пропускной способности, что в итоге приводит к отказу в доступе. Ботнеты помогают злоумышленникам запускать массовые DDoS-атаки, скорость которых может варьироваться от 100 Гб/с до Тб/с.

Объектом DDoS-атак могут стать любые организации. Согласно исследованиям Qrator Labs, в 2021 году злоумышленники атаковали компании в основном для сбора данных, а от атак больше всех пострадали розничные сети, сфера образования и организации с электронной коммерцией.

Компания Stormwall опубликовала отчет исследование, согласно которому чаще DDoS-атакам в РФ подвергается финансовый сектор (43 %), ритейл-индустрия (31 %) и игровая сфера (18 %). Теперь же злоумышленники стали массово выводить из строя государственные онлайн-службы, значимые российские сайты и приложения.

Но зачем злоумышленники атакуют онлайн-ресурсы?

Основные причины – нанесение ущерба для прибыли и репутации. Остановка работы сервисов может привести к финансовым издержкам и потери клиентов. Давайте разберемся в видах кибератак прежде, чем приступить к борьбе с наплывом трафика.

Какие виды DDoS-атак существуют?

Существует несколько видов DDoS-атак:

  • HTTP и POST-флуд,
  • синхронный флуд,
  • усиление DNS,
  • DNS-флуд,
  • UDP и ICMP-флуд,
  • Переполнение MAC-адресов,
  • атаки на протокол «Ping of death».

 

Название видаКраткое пояснениеДействия злоумышленниковИтоги атаки
HTTP и POST-флудОтправка непрерывного потока HTTP-запросов и POST без ожидания ответа.Трафик имитирует законные HTTP-запросы и POST, поэтому обнаружить злонамеренные действия сложно.Сервер пытается ответить на все запросы, но его ресурсы быстро заканчиваются, что приводит к сбою.
Синхронный флудОбъемная атака, манипулирующая TCP для подключения клиента к серверу.Злоумышленник загружает сервер дополнительными синхронными запросами.Сервер связан с «полуоткрытыми» соединениями и не может отвечать на новые запросы.
Атаки с усилением DNSОтправка DNS-ответов в систему жертвы при использовании общедоступных серверов.Злоумышленник отправляет запросы на поиск DNS, подделывая IP-адрес источника на IP жертвы. И запросы исходят будто бы от пострадавшего от DDoS-атаки.Сервис заваливается нежелательными ответами и начинает виснуть.
DNS-флудВерсия UDP-флуда для конкретного приложения.Злоумышленник отправляет огромное количество фальшивых DNS-запросов на DNS-сервер для его перегрузки.DNS-сервер пытается ответить на все запросы и перегружается, из-за чего веб-сайт становится недоступным.
UDP и ICMP-флудЗаполнение случайных или определенных портов на хосте жертвы. Злоумышленник отправляет пакеты UDP на порты жертвы, после проверки сервис ответит пакетом ICMP. Увеличение потока пакетов сделает порты недоступными для клиентов.При атаке потребляются целевые ресурсы, что в итоге приводит к недоступности сервера.
Переполнение MAC-адресовАтака направлена на нарушение безопасности сетевых коммутаторов.Злоумышленник отправляет недействительные MAC-адреса и заполняет исходную таблицу. После достижения предела MAC-адресов удаляются законные адреса.После удаления всех рабочих MAC-адресов клиенты не могут получить доступ в Интернет. Пользователи получают флуд-рассылку по всей сети.
Ping of deathТип атаки на протокол с использованием пакетов, разработанных для сбоя системы на стороне сервера.Злоумышленник использует уязвимости в целевой системе с пакетным содержимым и доводит ее до зависаний и сбоев. Атаки распространяются на ICMP и другие протоколы.Сервер начинает зависать и сбоить.

Методы защиты компаний от DDoS-атак

Существует ряд способов защититься от распределенных атак и избежать «отказа в обслуживании». Начнем с подготовки инфраструктуры:

  1. Создайте возможности мониторинга для обнаружения ранних признаков DDoS-атак.
  2. Создайте инфраструктуру, которая может перенаправлять и очищать DDoS-трафик.
  3. Установите устойчивые сетевые компоненты, способные адаптироваться к сценариям атак, создающим нагрузку трафика выше обычного уровня.

Отличным следующим шагом будет создание плана и рабочей группы для устранения DDoS-атаки.

Для поддержки постоянного доступа к сайтам и веб-службам:

  • Увеличьте пропускную способность, чтобы обеспечить устойчивость инфраструктуры в случае всплеска трафика.
  • Используйте CDN для автоматической фильтрации вредоносных запросов. CDN сбалансирует веб-трафик и распределит ваш трафик между серверами из разных точек, что затруднит проведение атак.
  • Прибегните к облачному или гибридному сервису, чтобы получить неограниченную пропускную способность и усилить кибербезопасность.
  • Защититесь от DDoS-атак на уровне сервера через веб-хостинговые компании.
  • Измените конфигурации сетевого оборудования для предотвращения ддос-атак.

Правильная настройка брандмауэра и маршрутизатора позволит отбрасывать входящие пакеты ICMP или блокировать ответы DNS. Для настройки файрволла используйте код с Рисунка № 2.

Как защититься от DDoS-атак российскому бизнесу? - 2

Для отправки каждого соединения в цепочку брандмауэра используется следующий код:

Как защититься от DDoS-атак российскому бизнесу? - 3

Далее необходимо добавить правило с параметром «dst-limit»:

Как защититься от DDoS-атак российскому бизнесу? - 4

То есть N-пакетов сопоставляется с пакетами из потока адресов назначения и источника, который обновляется каждые t-секунд. Правило будет работать до тех пор, пока не будет превышена заданная скорость.

В случае DoS и DDoS-атак буфер «dst-limit» переполнится и новый трафик не будет поступать. Поэтому необходимо поставить правила при атаке. Для начала создадим список атакующих и целей для удаления:

Как защититься от DDoS-атак российскому бизнесу? - 5

Через фильтр брандмауэра злоумышленники добавляются в список «ddos-attackers», а цели (жертвы) в список «ddos-targets»:

Как защититься от DDoS-атак российскому бизнесу? - 6

Вы также можете ввести геозону для блокирования доступа людям, находящимся не в России. Используйте разные тактики смягчения последствий, чтобы полностью защититься от DDoS-атак. И помните, что абсолютно любая организация (даже самая маленькая) может подвергнуться DDoS-атаке. Малый и средний бизнес чаще страдают от кибератак, ведь крупные компании внедряют решения по информационной безопасности.

Anti-DDoS решения от Cloud Networks

DDoS-атаки трудно остановить с помощью традиционных форм фильтрации кибербезопасности. Распределенный характер DDoS затрудняет блокировку потока вредоносного трафика, поэтому стоит обратить внимание на конкретные решения для защиты от всех видов DDoS-атак и уменьшения их последствий.

Cloud Networks – ИТ-партнер и интегратор продуктов для предотвращения DDoS-атак. Среди наших партнерских решений:

  • Kaspersky DDoS Protection – решение отечественного производителя. В решении используются локальные и облачные технологии. Анализирует трафик и обеспечивает доступность всей инфраструктуры и веб-сервисов. Продукт оповещает о возможных DDoS-атаках и уменьшает их последствия.
  • Check Point DDoS Protector – гибкое решения для защиты от кибератак. Вы можете развернуть защиту в облаке, локально или с помощью Cisco Firepower. Максимальная доступность и комплексная защита от аномальных потоков. Встроен Cisco SecureX.
  • FortiDDoS – решение с минимальным ложным срабатыванием для противостояния всем DDoS-аакам. Используется технология защиты на основе поведения. Обеспечивает мониторинг огромного количества параметров и защиту DNS-служб.

Команда Cloud Networks не только подберет для вас наилучшее решение, но также интегрирует его в вашу стратегию кибербезопасности и поможет вернуть 50 % расходов на ПО.

В заключение — защита от DDos

Количество DDoS-атак значительно увеличилось, и каждая из них может вывести из строя любую компанию. Веб-сервисы, сайты и приложения должны обеспечить доступность к своим ресурсам. Независимо от размера бизнеса, последствия могут оказаться серьезными. Поэтому стоит задуматься о тактике предотвращения и смягчения последствий от DDoS-атак.

Вы можете добиться надежной защиты от распределенных атак типа «отказ в обслуживании», разработав средства защиты, подготовив план реагирования на кибератаки и обеспечив упреждающие меры в виде настроек брандмауэра и установки специальных Anti-DDos решений. Отслеживайте тенденции угроз для понимания изменений в методах кибератак.

Тактики выше помогут вам повысить безопасность вашего сайта. Подписывайтесь на наши новости, чтобы оставаться в курсе кибер-событий.

Автор: Александра Соколова

Поделитесь этим с другими!
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
О нас
Решения
Блог
+7 (495) 255-06-30
info@cloudnetworks.ru
ООО «Облачные сети»
г. Москва, Сущевский вал, 18, этаж 15
Политика конфиденциальностиАнтикоррупционная политика
to-top