Автор: Интернет Хостинг Центр

Атаки хакеров, какими бы различными они не были, сводятся к тому, что сайт становится неработоспособным или, его подменяют на фальшивку. Продолжительность «нападений» может составлять от пары-тройки минут до нескольких часов. Свести ущерб к минимуму от dos ddos возможно в том случае, когда администратор ресурса понимает, с чем он имеет дело. В противном случае это грозит утечкой информации, испорченными файлами, спам-рассылками, полной потерей бизнес-проекта или вымогательством денег.

Сегодня постараемся понять, что представляют собой dos и ddos атаки, какие существуют отличия, как с ними бороться.

Понятие DoS-атаки

Denial of Service – атака злоумышленника с целью привести вычислительную систему к отказу. Перегрузка системы не позволяет обыкновенным пользователям получить доступ к определенному ресурсу. Негативное DoS влияние идет с одного сервера и может быть направлено на домен, виртуальную машину.

Особенности DoS-атак

Как понять, что идет именно ДОС нападение:

  • Атака носит одиночный характер – в запуске нелегитимного трафика участвует только одна подсеть.
  • Приметность процесса – попытку вывести из строя сайт можно определить по нетипичным данным лог-файла.
  • Простота блокировки – вторжение легко подавляется инструментом защиты от интернет-угроз брандмауэром.

Понятие DDoS-атака

В отличие от DoS, DDoS-атака представляет собой распределенный (distributed) отказ. Это значит, что вмешательство идет с использованием определенного количества хостов. Успешность защиты в данном случае зависит от числа машин, отправляющих вредоносный трафик.

Особенности DDoS-атак

Спутать этот тип атак с DoS невозможно, так как он имеет:

  • Нескольких потоков трафика – такая стратегия упрощает блокировку ресурса, так как отфильтровать все «вражеские» IP-адреса почти невозможно.
  • Хорошую маскировку – продуманная атака дает возможность скрыть ее начало, выдав за естественный трафик. Далее происходит постепенное увеличение нагрузки на веб-сайт фейковыми запросами, отказ в обслуживании обыкновенных клиентов.
  • Сложность блокировки – непросто определить начало атаки.

В связи с тем, что невозможно отличить обыкновенные хосты, от агрессивных, ручной анализ лог-файлов результата не дает. Все усложняется тем, что в 9 из 10 случаев «агрессором» выступают ресурсы, которые были взломаны или заражены вирусами. Они объединяются в сеть (ботнет) и влияют на интенсивность, силу атаки.

Самые распространённые виды атак

На сегодняшний день существует много способов помешать работе ресурса, и на каждый способ требуется определенный вариант противодействия. Рассмотрим несколько из распространенных разновидностей атак, их отличия друг от друга.

UDP Flood

Цель атак – порты хоста. Влияние на сайт сводится к многочисленным запросам. «Жертва» получает большой массив пакетов с дейтаграмм-структурой. Сайт вынужден каждый раз реагировать и отправлять ответ «адресат недоступен» в виде пакета ICMP. Через некоторое время все его мощности будут загружены выполнением бесполезных действий, обслуживание реальных задач сведется к нулю.

SYN Flood

Мишенью является ТСР-стек ресурса. Хакер по протоколу ТСР создает некое количество деактивированных подключений с сервером, отправляет SYN-запросы для подсоединения, «жертва» отвечает пакетом SYN-ACK. Однако хакер не отвечает. Это повторяется до тех пор, пока не отреагирует система ограничений на число открытых подключений, и тогда сайт перестает взаимодействовать с запросами от добропорядочных посетителей.

HTTP Flood

Целью становятся сервера и веб-приложения. Главная задача хакера – создать как можно больше процессов по обработке запросов. Для этого НТТР-серверу направляются фейковые запросы на получение данных (GET), отправку (POST) через ботнет. Это приводит к сведению лимита размера лог-файла к нулю, и система уже не отвечает реальным пользователям.

Главные отличия DoS от DDoS-атаки

Если бы пришлось представлять эти инструменты интернет-преступлений как живых людей, то можно было бы сказать, что DoS – это младшая сестра DDoS. На простом языке значит, что ДОС может быть частью ДДОса, но не наоборот. Это выражается в подходах к исполнению:

  • DoS-атаки совершаются на базе одного компьютера, DDoS-нападения используют 2 и более хостингов.
  • Выявить многопоточное вторжение DDoS сложнее, так как трафик на первых порах выглядит органичным, не вызывает вопросов у админа.
  • DDoS, в отличие от DoS, позволяют хакеру направлять к своей цели значительные объемы трафика.

Какие цели преследуют эти атаки

Вымогательство – одних из основных двигателей хакерства. Подход схож с деятельностью вирусов-вымогателей на локальном компьютере. При активации они требуют с владельцев техники выкуп за восстановление работы Windows. В нашем случае хакер присылает потерпевшему e-mail с определенными требованиями.

Существуют и другие варианты:

  • Забавы молодых программистов – самоутверждение и хвастовство перед сверстниками, коллегами;
  • Проявление недобросовестного соперничества – конкуренты решают пойти коротким путем, «хакернуть» партнера, чтобы занять его место на рынке;
  • Личная, политическая неприязнь – способ выразить несогласие с проводимой политикой, желание навредить организации;
  • Технически выраженное «спасибо» от недовольных бывших или действующих сотрудников компании.
Главные отличия DoS от DDoS-атаки.
Изображение от jcomp на Freepik.

Методы борьбы с атаками

К сожалению, на сегодняшний день универсальных рецептов по защите ресурсов еще не придумали. Но, сохраняя бдительность и применяя профилактические меры, можно, если не предотвратить беду, то хотя бы минимизировать ее.

Мониторинг сетевой активности

Данный способ дает возможность выявить подозрительные, нестандартные попытки получить доступ к приему/передаче данных, системам вообще. Нежелательное присутствие может быть выражено в несанкционированном входе, передачи информации, отличающейся от обычной, в сканировании портов.

С помощью мониторинга можно прослеживать, анализировать трафик, идущий через сеть. Это значит, что анализу подвергаются сетевые пакеты, найденные подозрительные, непривычные соединения, а также результаты контроля сетевого оборудования, степени их активности.

Перед началом основной хакерской атаки часто злоумышленниками проводится «разведка» короткими «набегами». Благодаря контролю сетевой активности можно заранее понять, что скоро могут появиться проблемы.

Настройка фильтрации на уровне хостинга

Популярным способом борьбы против DDoS выступает фильтрация входящего массива информации. Например, разрешение действует только для пакетов, отправленных посредством текущего соединения TCP/IP. В случаях подозрения, что трафик идет от ботов, пакеты, соединения будут удаляться. Без ошибок разделять машинный трафик от органичного помогают предварительно созданные алгоритмы и стандарты фильтрации.

Большая часть крупных провайдеров предоставляют базовую защиту бесплатно. Но предложение имеет недостатки. Основной из них – пользователь не может подстроить параметры фильтрации под свои нужды. В связи с этим, для фильтрации трафика лучше обращаться к сторонним услугам – центрам очистки.

Провести тестовое нападение (пентестинг)

Цель тестирования заключается в выявлении уязвимостей, «брешей» и недоработок, которые приведут к потере конфиденциальности, доступности к данным, могут вызвать сбои в системе. Процесс касается виртуального и физического уровня. Результаты позволяют оценить степень эффективности существующей защиты, ее временные возможности выдержать вторжение.

Суть пентестинга – в моделировании действий взломщика, желающего добраться до инфосистем «жертвы», нарушить конфиденциальность. Объектами тестирования являются:

  • Инструменты управления БД;
  • Сетевое оборудование, службы и такие сервисы, как электронная почта;
  • Прикладное ПО;
  • Инструменты защиты данных, информации;
  • Серверные, ОП пользователей.

Для имитирования нападения существуют специальные программы, которые полноценно выявляют степень защиты сервера.

Заключение

Важно не только понимать природу DoS и DDoS атак, знать отличия, способы им противодействовать, но и иметь продуманный план действий на случай несанкционированного вмешательства в работу website. Это может быть совокупность методов, упомянутых в статье, может быть переподключение к другому серверу и т.д. Помните, здоровье вашего ресурса – это благополучие вашего бизнеса.