Статья

Защита от DDoS: советуют профессионалы

Телеком Безопасность Контент Ритейл
мобильная версия

DDoS-атака – один из самых недорогих и надежных способов давления на конкурентов. Прибыль этого криминального бизнеса достаточно велика, а попытки противостоять давлению кибер-преступников стандартными методами редко бывают успешными. Стоит ли смириться с потоком флуда и ждать окончания атаки, наблюдая за потерями? Существуют ли эффективные системы защиты?

Изначально то, что сейчас называют распределенными DoS-атаками, использовали лишь для проверок пропускной способности сети. Но злоумышленники довольно быстро осознали вредоносный потенциал этой технологии. В 1997 году посредством DDoS-атаки был почти на сутки выведен из строя сайт Microsoft. В 1999 году злоумышленники обрушили серверы таких крупных компаний, как Yahoo, CNN, eBay и так далее. Октябрь 2002 года ознаменовался крупнейшей атакой на корневые серверы интернета. Тогда жертвой хакеров пали семь из тринадцати серверов.

DDoS-атака не проходит бесследно ни для одной компании: кому-то это грозит потерей прибыли, а кому-то и потерей репутации.

DoS-атака (от анг.яз. Denial of Service — "отказ в обслуживании") и DDoS-атака (Distributed Denial of Service — "распределенный отказ обслуживания") — это разновидности атак злоумышленника на компьютерные системы. Их целью является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднен.

Например, они особенно опасны для компаний, которые связаны с телеком-рынком и просто не могут себе позволить стать жертвами злоумышленников. Помимо репутационных потерь, компании несут и вполне ощутимые финансовые убытки, как прямые, так и косвенные. Заблокированный сайт для множества организаций означает упущенную выгоду, а затраты на отражение атаки или обращение к сторонним сервис-провайдерам достаточно ощутимы для бюджета. Защита от DDoS-атак особенно важна для интернет-магазинов, блогерских сервисов, новостных ресурсов и других компаний, деятельность которых предполагает постоянное обращение пользователя к ресурсу.

От кого защищать?

Если в первое время DDoS-атаками баловались больше "ради славы" или из чувства мести, то сейчас этот бизнес приносит своим организаторам вполне ощутимые доходы. Например, DDoS-атаки используются для шантажа, в этих случаях преступная группа обещает прекратить поток флуда в обмен на некоторое количество наличных денег. Правда, этот метод не слишком популярен, поскольку позволяет проследить организаторов DDoS-атаки. Тем не менее, известно, что многие онлайн-казино и оффшорные компании платят хакерам превентивно.

DDoS-атака может использоваться и в качестве прикрытия для запуска других вредоносных программ, при помощи которых злоумышленник может выкрасть конфиденциальные данные, которые потом продаются конкурентам.

Несмотря на то, что государства ЕС постоянно ужесточают меры по противодействию кибер-преступлениям (например, в Германии хакер может лишиться свободы на срок до 10 лет), количество подобного рода правонарушений не уменьшается. Компания Symantec назвала использование зомби-сетей для DDoS-атак одной из главных угроз ИБ в прошедшем году. Действия российских злоумышленников попадают под статью 273 уголовного кодекса и караются лишением свободы на срок от трех до семи лет, однако практически ни один отечественный преступник еще не был за это осужден.

Зомби-сети – группы компьютеров в сети, зараженные специальным кодом (ботом), позволяющим управлять ими всеми одновременно удаленно через интернет одному человеку. Обычно используются для запуска DDoS-атак или спамовых кампаний, так как удачно подходят для обмана следящего ПО.

В первую очередь это связано с тем, что злоумышленника не так просто обнаружить. Теперь организацией DDoS-атак занимаются не энтузиасты-одиночки, а преступные группы. Организация атаки требует серьезной подготовки: необходимо написать и запустить программы, которые возьмут под контроль тысячи и тысячи пользовательских компьютеров, с которых будет осуществляться распределенная атака, получившаяся зомби-сеть и будет генерировать вредоносный трафик. Однако больших финансовых вложений подготовка DDoS-атаки не требует, что делает этот бизнес особенно привлекательным в глазах преступников.

Таким образом, DDoS-атаки становятся мощнейшим средством нечистоплотной конкуренции, политического давления или биржевых махинаций.

Какие атаки различают?

DDoS-атаки не имеют общепризнанной классификации. В настоящее время специалисты по информационной безопасности выделяют несколько методов нанесения DDoS-атак. Первый, HTTP GET, - это спланированная отправка на web-сервер большого количества запросов с "зомби"-сети, что особенно дорого обходится для ресурсов атакуемого web-сервера. Следующий, DNS flood, – это передача большого числа DNS-запросов, в результате чего сервер службы доменных имен становится недоступным для пользователей, так как его ресурсы заняты обработкой этих запросов.

Еще один метод, UDP flood, – это отправка на адрес атакуемой системы множества пакетов UDP (User Datagram Protocol) большого размера. Этим, как правило, достигается исчерпание полосы пропускания каналов передачи, ведущих к атакуемой системе. И последний, TCP SYN flood, – это отправка большого количества запросов на инициализацию TCP-соединений с узлом-"мишенью", которому в результате приходится расходовать все свои ресурсы на обработку этих частично открытых соединений.