e Dos против DDoS-атак: различия и методы борьбы

DoS vs DDoS-атака: отличия и профилактика

Для хорошей работы любого сайта важно обеспечить надёжное подключение и защитить его от атак и взломов. Ведь хакерские атаки, независимо от их разновидности, приводят к одному — неработоспособности сайта или подмене копией от злоумышленников. Минимизировать ущерб от «искусственных сбоев» получится только тогда, когда администратор сервера поймёт, с какой проблемой он столкнулся.

Сегодня рассказываем подробнее о DoS- и DDoS-атаках.

Что такое DoS-атака?

DoS-атака (Denial of Service) — буквально «отказ в обслуживании». Это тип атаки, в котором мошенники нападают с целью вызвать перегрузку подсистемы сервиса. В этом случае компьютер (или компьютеры) используется для заполнения сервера пакетами TCP и UDP.

Особенности DoS-атак

Одиночная атака. Отправка вредоносных пакетов производится из одной сети.
Высокая заметность. Попытки «положить» сайт заметны по содержимому лог-файла.
Лёгкость подавления. DoS-атаки можно легко предотвратить, заблокировав источник. Это может сделать системный администратор или сетевые фильтры, анализирующие трафик.

Простота координации DoS-атак означает, что они стали одна из самых распространённых угроз кибербезопасности с которыми сталкиваются современные организации. DoS-атаки просты, но были очень эффективны в 90 годы. Сейчас же они преобразовались в DDoS-атаки и могут нанести сокрушительный ущерб компаниям или частным лицам, на которых они направлены. Одной атакой организация может быть выведена из строя на несколько дней или даже недель.

Немного истории

Первая успешная DoS атака состоялась в 1974 году, когда 13-летний школьник Дэвид Деннис вызвал перебои в функционировании терминалов Лаборатории компьютерных вычислений Университета Иллинойса. Он обнаружил особенность, при которой команда EXT приводила к зависанию терминал, если он не имел периферийных устройств. Он написал небольшую программу, посылавшую команду EXT на все доступные машины, и одновременно подвесил 31 терминал.

Что такое DDoS-атака?

DDoS-атака (Distributed Denial of Service) — по сути, это та же DoS-атака, но реализованная с нескольких машин на один целевой хост. Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика, поэтому этот тип атаки занимает важное место в арсенале хакеров.

Во время DDoS-атаки возникают большие сложности с обнаружением её источника, так как хакер использует целую сеть связанных между собой машин или ботов. Традиционно атаки ведутся с заражённых вирусами компьютеров обычных пользователей, которые даже не подозревают, что стали невольными соучастниками правонарушения. Но не так давно появился новый способ — проводить атаки с помощью IoT устройств (умные чайники, кофеварки, пылесосы и другая техника). Дело в том, что раз у умных гаджетов есть доступ в интернет, а значит есть и возможность участвовать в DDoS-атаке.

Эти компьютеры и техника образуют ботнет — единую сеть, которой управляет злоумышленник — он же ботмастером, с главного контрольного сервера (C&C). Подобная структура позволяет хакеру координировать атаки одновременно с нескольких системам, численность которых колеблется от десятков до миллионов устройств.

Один из ярких примеров — ботнет Mirai. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов — сейчас он атакует и заражает не только ПК, но и умную технику. Уже в 2019 году Mirai захватил почти 500 000 устройств и повредил сервисы, например, Xbox Live и Spotify и веб-сайты, такие как BBC и Github.

Особенности DDoS

Многопоточная атака. Благодаря возможности организовать атаку на ресурс с нескольких хостов шансы «положить» сервер намного выше, чем у нападения методом DoS. Если в подчинении злоумышленника сотни, тысячи, а то и миллионы ботов на разных хостах, то атаку не выдержат даже самые мощные и защищённые системы.
Скрытность. Вредоносный трафик с нескольких хостов выглядит «живым» для защитных фильтров и администраторов, что усложняет обнаружение DDoS. Но, если сохранять бдительность и следовать рекомендациям, что мы дадим в конце статьи, обнаружить атаку всё же можно.
Сложность подавления. Остановить мощную DDoS-атаку крайне сложно. Трудности может вызвать не только подавление уже начавшегося нападения, но и обнаружение самого факта атаки. Дело в том, что для остановки DoS-атаки админу достаточно забанить всего один IP-адрес. Если же говорить о DDoS, то речь может идти о +100500 IP-адресах, с которыми тяжело оперативно справиться.

А когда была первая DDos-атака?

22 июля 1999 года сервер Университета Миннесоты перестал отвечать. Админы проанализировали сетевой трафик и поняли, что университетский сервер находится под атакой, с какой ещё никому не доводилось сталкиваться. Так началась эра DDoS.

Делаем вывод, что главные отличая DoS от DDoS...

...проявляются в способе технической реализации. DoS-атаки исходят исключительно из одного источника, тогда как DDoS-атаки проводятся с двух и более хостов. Обнаружить многопоточное нападение методом DDoS значительно сложнее, потому что запросы выглядят «живыми» и вызывают меньше подозрений у админа. При этом DDoS-атаки дают возможность хакеру отправлять большие объёмы трафика в целевую сеть.

Можно сказать, что все DDoS = DoS, но не все DoS = DDoS ;).

Почему DoS и DDoS атаки происходят?

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Существует огромное количество причин, из-за которых злоумышленники приводят бизнес в автономный режим. Например:

Вымогательство — одна из распространённых причин для атаки. После успешной попытки взлома злоумышленники потребуют выкуп, чтобы остановить атаку и вернуть сайт в оперативный режим. Но, конечно же, отдавать деньги хакерам не стоит — нет никакой гарантии, что работа вашего сайта будет восстановлена.
Недобросовестная конкуренция. Отключив корпоративную сеть, конкуренты пытаются украсть ваших клиентов у вас.
Развлечение — молодые программисты запускают атаки ради хвастовства перед друзьями, знакомыми, коллегами.
Неприязнь личного, политического характера. Здесь мотивом становится либо несогласие с политикой компании.
Также нельзя исключать личную неприязнь недовольных сотрудников, которые уволились или ещё продолжают работать, но уже готовы пакостить своему работодателю.

Примеры крупнейших атак

Впервые серьезное нападение произошло в 2000 году. Жертвами стали серверы и сайты eBay, Amazon, CNN и Yahoo. Виновником стала самописная программа, созданная 16-летним хакером-энтузиастом. Вредоносный алгоритм под названием Sinkhole зафлудил машины жертв и обрушил их.

В 2013 году в результате конфликта между голландским хостинг-провайдером Cyberbunker и Spamhaus (организация занимается составлением списков спамеров) первые начали атаку на последних. Первый удар на себя приняла CDN CloudFlare, далее вредоносный трафик переключился на её провайдеров. Нагрузка на канал составила 300 Гбит/с.

Ещё один пример — DDoS-атака на Dyn (провайдера доменов), которая произошла произошла в октябре 2016 года. Мы уже упоминали эту атаку, когда рассказывали про ботнет Mirai. Её мощность составила один терабит в секунду, а, по некоторым сведениям, могла достигнуть и 1,5 терабит в секунду — очередной «рекорд» для данной индустрии. Из-за настолько серьёзного напора сервисы Dyn были отключены — вместе с этим упал целый ряд известных сайтов, среди которых GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb.

Как понять, что на мой сайт напали?

Если злоумышленнику удалось достичь цели и «положить» сервер, не заметить атаку — невозможно. Но, есть некоторые «звоночки», благодаря которым сисадмин сможет понять, что сайт в опасности. Например:

Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и так далее).
Резкий рост нагрузки на процессор, оперативную память и накопитель по сравнению с исходным уровнем.
Увеличение объёма трафика на один или несколько портов.
Многократные обращения клиентов к одним и тем же ресурсам. Это может быть открытие одной страницы сайта или скачивание одного и того же файла.
Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира.

А есть профилактика против атак?

К сожалению, универсального способа борьбы с мошенниками нет. Но, если выполнять рекомендации и сохранять бдительность, вы сможете обезопасить себя.

Например, наиболее эффективный способ защиты от DDoS атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг или интернет-провайдера. Причём выполняться это может как средствами сетевых маршрутизаторов, так и с помощью специального оборудования.

Вести контроль версий ПО и сетевых служб — необходимо своевременно обновлять программное обеспечение сетевых служб.

Тщательно выбирать хостинг-провайдера. Выбирайте поставщика, дающего гарантии защиты от всех современных угроз. Например, в REG.RU защита от DDoS подключается к услугам хостинга (Shared Hosting), виртуальных серверов (VPS) и выделенных физических серверов (Dedicated) автоматически для всех пользователей.

Используйте брандмауэр приложений и автоматизируйте проверку сетевого трафика и валидации запросов к портам и службам сервера.

Распределяйте трафик с помощью CDN, чтобы ускорить обработку трафика и запросов за счёт распределённого хранения контента.

Не забывайте про балансировщик нагрузки — при подозрительно нагрузке программа определяет самый незагруженный сервер и отправляет клиента на него.

Плюс желательно иметь чёткий план действий на случай краха сайта. В него могут входить мероприятия по оперативному подключению другого сервера, перенастройке DNS-хостов и так далее.

И, конечно же, сохраняйте бдительность.

⌘⌘⌘

Надеемся, что наш пост поможет защитить вашу инфраструктуру от атак. Мы всегда готовы поделиться полезным опытом!

Читайте наши статьи по «Безопасности», где ведущие специалисты REG.RU делятся с вами полезными советами, и выбирайте надёжный хостинг с встроенной защитой от DDoS-атак.

Заказать защищённый хостинг