Свернуть Развернуть

Рассылка

Научите свой сайт продавать больше!

Вы занимаетесь интернет-маркетингом или владеете бизнесом? Мы уверены, что ваш сайт может продавать больше!

Читайте о лучших методах интернет-продаж, изучайте реальные кейсы и применяйте советы на практике. Подписывайтесь на рассылку — обучайтесь бесплатно!

Выпуск №31. Защита от DDoS-атак

Последнее время немало разговоров о защите сайтов от DDoS-атак. В статье мы рассмотрим, как определить атаку, а также как защитить свой ресурс.

Что это такое?

DDOS (сокращение от англ. — Distributed Denial of Service Attack) — буквально «отказ в обслуживании».

Сам процесс атаки представляет собой большое количество бессмысленных запросов, которые идут на сайт. Сайт тратит свои ресурсы на обработку этих запросов, что приводит к невозможности обслуживания запросов обычных пользователей и к полному обвалу системы.

Что подвергается атаке?

  • Интернет-магазины.
  • Социальные сети.
  • Политические сайты
  • Банки.
  • СМИ.
  • Игровые порталы.

Основная цель атак — парализование работы ресурса (для прекращения работы конкурента, привлечения внимания, получения важной информации).

Как определить атаку?

Определить атаку можно по следующим признакам:

  • Проблемы с загрузкой сайта.
  • Появление ошибок 403 и 500.
  • Увеличение нагрузок на оборудование.
  • Резкое увеличение трафика.

Как и где обеспечивать безопасность?

Есть несколько болевых точек, которые могут стать узким местом: начиная от оборудования, на котором находится ваш сайт, заканчивая ПО и настройками самого сервера.

Для хорошей защиты нужно:

Обеспечить хорошее оборудование

Использование комплексных решений, но их стоимость обычно очень большая. Такие меры защиты подходят большим и серьезным проектам (подойдут комплексы от Cisco и 3com).

Обратиться в хостинговую компанию

Хостинговая компания, которую вы используете для своего ресурса, наверняка использует экраны, анализирующие и фильтрующие пакеты. Но это может быть дополнительная услуга, а не основная. Вам необходимо узнать о наличии услуги защиты от DDoS у своего провайдера.

Иметь в штате специалиста или пользоваться услугами компаний

Обновление ПО не сможет помочь защититься от атак, разве что в новых версиях будут присутствовать встроенные механизмы для защиты и фильтрации. NAT совсем не поможет отразить атаку, кроме как перенаправить её в другое место, но использование канала от этого сильно не сократиться и будет необходимо тратить ресурсы ещё и на макскарадинг. Tcptrace служит для определения маршрута прохождения пакета по сети и может помочь разве что для попытки определения источника атаки, чтобы локализировать атакующих. Если речь идёт о настоящем DDOS с использованием, скажем, ботнетов, то данное ПО ничем не поможет.

На самом же деле процесс подготовки к возможной DDOS атаки зависит от нескольких факторов:

  • Ниши (проекты в разной тематике по разному подвержены атакам. Скажем, игровые сервера конкуренты DDOS'ят куда чаще, чем сервисы обмена кулинарными рецептами)
  • Размера проекта (мелкие и средние проекты редко попадают под атаки, т.к. не интересны никому. Хорошая DDOS-атака стоит денег, а ради забавы никто не будет вкладывать такие средства)
  • История (бывали ли ранее подобные инциденты)

 

Можно выделить ряд способов защиты

  • локальная (только средствами настройки ОС и сетевых сервисов) - самый дешёвый и простой способ защиты. Ориентирован на небольшие DOS и примитивные DDOS-атаки с малым количеством хостов. Как правило, администраторы ограничивают список открытых портов сервера, оставляя только необходимые сервисы и вводят лимит на количество соединений с одного адреса и / или объём передаваемого трафика за единицу времени с одного IP / сети. Есть различные модули для сервисов, что позволяют вести статистку запросов и находить подозрительные адреса / сети. Такие адреса просто помещаются в список заблокированных и более не обслуживаются сервисами.
     
  • Защита аппаратная на уровне провайдера.
    В подготовке к DDOS очень важным моментом является ширина канала. Чем уже канал - тем проще его "забить". Таким образом, даже если у вас имеется мощный сервер, что способен обрабатывать множество запросов за минимальное время, при исчерпании 100% ширины канала пользователи потеряют доступ к сайту. Из этого вывод - чем шире канал к вашему серверу, тем меньше шансов попасть под атаку.

    Так же на стороне провайдера может быть установлено специальное оборудование, что способно выдерживать большие нагрузки. Это позволяет в случае атаки на одного из клиентов сберечь остальные сервера от проблем с доступностью.

    Есть так же аппаратные решения, что анализируют входящий трафик и способы фильтровать массивные атаки ещё до прихода к серверам клиентом. Хорошим примером может служить (Cisco Guard DDoS Mitigation Appliances) http://www.cisco.com/web/RU/products/ps5888/index.html. Это оборудование дорогостоящее, по этому, увы, мало компаний может позволить себе его использование.


Распределение запросов по нескольким каналам и географически

Как уже было сказано, атаки бывают разные. Хорошо спроектированная DDOS атака может быть столь велика, что ни один ДЦ в мире не сможет устоять под его нагрузкой, не говоря о хостинговых компаниях малого и среднего уровня. С такими атаками нередко сталкиваются крупные регистраторы серверных имён. Для защиты нередко используется несколько серверов, что расположены в разных точках мира. Географическое распределение нагрузки может очень эффективно помочь справится с атакой.

Данный вариант является оптимальным по цене и качеству, но всё равно не может обеспечить 100% защиты от качественной DDOS-атаки.

Так же существуют специальные компании и севрисы, что берут за себя вопрос защиты от отражения DDOS-атак, используя в том числе описанные выше методы. Это удобно тем, что не нужно беспокоится за технические детали защиты, закупать оборудование и нанимать специалистов. От вас потребуется только оплата данных услуг.

Также существуют компании, которые предоставляют услугу защиты от DDoS-атак (например, Ddos-guard, Highloadlab). К ним обычно обращаются, когда атака уже в самом разгаре

Что делать если вас атаковали?

Не редки случаи, когда атака идет забавы ради. Но чаще DDoS заказывают целенаправленно. Это довольно дорогая «услуга», за подобную «работу» платят от 200 долларов в сутки. Помните, что подобные приемы запрещены и уголовно наказуемы. Если вас атаковали, ни в коем случае не пытайтесь ответить тем же.

Вы можете помимо создания хорошей защиты обратиться в Управление К, там охотно берутся расследовать подобные дела. Большинство атакующих не являются суперспециалистами, и их легко вычислить.

Выводы

Если у вас простой сайт, то скорее всего подобные атаки вам не грозят. Большим и сложным проектам следует обеспечивать полноценную защиту на всех уровнях: хостинг, на уровне сети (наличие межсетевого экрана и файервола) и на уровне железа (актуальное оборудование и программы). Лучше всего прибегать к помощи специалиста.


18 октября 2012