DDoS-чума, или Атака всемогущих чайников

Чем глубже в сеть, тем больше DDoS - в настоящее время это действительно так. Чем больше людей переходит на удаленную работу, чем популярней онлайн-сервисы и магазины, тем более распространенными становятся DDoS-атаки. В преддверии «черных пятниц» и естественных DDoS мы решили поделиться основными сведениями об этой проблеме.

• Что такое DDoS-атака?
• Зачем предпринимают DDoS-атаки?
• Всемогущие «чайники» для DDoS-атак
• Просто ли организовать DDoS-атаку?
• DDoS-чума 2021 года
• Защита от DDoS атаки

Что такое DDoS-атака?

Полностью DDoS расшифровывается как Distributed Denial of Service - это класс распределенных атак, называемый «отказ в обслуживании». Суть явления в следующем: любой ресурс имеет свою пропускную способность, рассчитанную на определенное количество запросов в единицу времени. Если этот показатель превышает критические пределы, ресурс перестает адекватно работать.

Проще всего проиллюстрировать это на примере так называемых естественных DDoS-атак. Допустим, имеется интернет-магазин. На носу «черная пятница». Отдел рекламы устроил невероятно эффективную кампанию. Наступило время распродажи. Все сотрудники на низком старте, готовы получать заказы и тут же их отправлять. Три, два, один - «черная пятница» началась, нетерпеливые покупатели бросились приобретать товары, прошло несколько минут и сайт лег, потому что вместо 2-3 человек в минуту на него обрушился неуемный энтузиазм целой тысячи. Неприятность, не правда ли? Примерно так и выглядит DDoS-атака. Только для этого не нужны тысячи покупателей - достаточно тысяч и миллионов телевизоров, видеонянь и, возможно, даже чайников. Серьезно? Вполне. Если раньше DDoS-атаки использовали зараженные компьютеры, то сейчас для создания ботнетов прекрасно подходят элементы IoT (интернета вещей) и это новый уровень. Так что сайты могут атаковать пылесосы со встроенными видеокамерами, электроплиты, стиральные и посудомоечные машины.

Зачем предпринимают DDoS-атаки?

Первый класс причин продиктован скорее личными, нежели финансовыми мотивами. Например, месть за что-то, иногда протест, иногда желание развлечься, самоутвердиться или привлечь внимание.

Второй класс причин, напротив - сугубо прагматичен и четко направлен на получение выгоды в том или ином ее виде: недобросовестная конкуренция, шантаж или вымогательство, или… вот неожиданность - попытка сорвать контрольную работу или экзамен. Притом не забываем, что под прикрытием DDoS-атак нередко происходит кража данных.

Всемогущие «чайники» для DDoS-атак

С DDoS-атаками разобрались. Вопрос - как это происходит? DDoS-атаки проводятся с помощью ботнетов - компьютерных сетей, в которые входят зараженные вредоносными программами устройства с доступом в интернет: компьютеры, ноутбуки и, да, всемогущие злоумышленники «чайники» в лице бытовых IoT-устройств - как без них? А управляет всем этим бот-мастер, который по команде запускает одновременную отправку с различных ip-адресов на тот или иной атакуемый ресурс огромное количество запросов с зараженных устройств. И дальше одно из двух - либо падает сервер, либо не хватает полосы пропускания канала связи. Но результат один - пользователи не могут подключаться к атакуемому серверу или даже серверам, если они используют для связи один и тот же канал для трафика.

Есть еще несколько разновидностей DDoS-атак. Например, можно обрушить сервер с помощью отправки тяжелых запросов. Как это выглядит? Очень просто - допустим, есть форма обратной связи с возможностью приаттачить картинку или иной файл… нам продолжать? Картинки бывают очень разные, иногда очень и очень тяжелые. А если картинок много? Тогда в результате атаки переполняются диски, и все повисает.

Просто ли организовать DDoS-атаку?

Для этого не нужно быть хакером, да и вообще хватит самых поверхностных знаний: подключаемся к даркнету (хотя при желании кое-что можно найти и просто в интернете), покупаем абонемент, стоимость которого зависит от количества и силы атак. А потом достаточно просто ввести адрес приговоренного сайта. Цены начинаются от $50 и поднимаются до $1,5-2 тыс. за месяц. Увы, такого рода «развлечения» доступны даже школьникам, которые, к слову, зачастую этим пользуются, когда наступает горячая пора экзаменов или контрольных.

DDoS-чума 2021 года

Локдауны и общий переход на удаленку привели к тому, что многие рабочие процессы были переведены в онлайн-режим, а где много онлайна и нагрузки на сервера, там большой соблазн вмешаться и, издав зловещий хохот темного властелина, обрушить серверы по разным соображениям. Государственные сервисы, интернет-банкинг и торговля, компьютерные игры, медиа и прочее, прочее. Все это - потенциальные цели для серверных DDoS-атак, количество которых все возрастает.

Согласно данным «Лаборатории Касперского», количество атак в Q4 выросло на 52% относительно Q3 и более чем в 4,5 раза по сравнению с аналогичным периодом прошлого года. Настоящая DDoS-чума XXI века. И слово «чума» здесь неслучайно - дело в том, что в сентябре 2021 года компания «Яндекс» отразила крупнейшую в истории атаку DDoS. Целую неделю серверы «Яндекса» выдерживали невероятно большой поток фальшивых запросов, количество которых доходило до 22 млн в секунду в момент пиковой нагрузки 5 сентября! Удивительно, но серверы устояли, и пользователи почти ничего не заметили. Эксперты считают, что новый ботнет может включать более 20 тыс. устройств из 125 стран. Правда, на сей раз атака велась не с помощью устройств для интернета вещей или компьютеров и гаджетов. Источником угрозы служило мощное сетевое оборудование, как предполагают, латвийской компании MikroTik. В соответствии с этим всю сеть ботов назвали Meris, что в переводе с латышского означает «чума».

Создатели Meris еще раньше, в августе, предприняли атаку на американского облачного провайдера Cloudflare, того самого, который предлагает клиентам приложения и услуги по защите от DDoS-атак, притом неплохие. Так что, если вы видите при заходе на сайт картинку (см. ниже), можете быть уверены - сайт стал жертвой атак и включил защиту, которая, оттягивая ваше обращение к ресурсу, тем самым отсеивает ботов.

За Q4 решение «Лаборатории Касперского» DDoS Intelligence зафиксировало 86 710 DDoS-атак. Самые тихие дни квартала пришлись на периоды распродаж: китайский День холостяка и Черную пятницу. 94,29% атак продлились менее 4 часов. Половина DDoS-атак представляла собой UDP-флуд. 

Как ни странно, одним из факторов, сдерживающим DDoS-атаки, являются майнеры. У них одна и та же ресурсная база и потому есть конкуренция за умные интернет-устройства. Так и живут - кто-то майнит биткойны, а кто-то - атакует сайты и сервера.

Защита от DDoS-атак

К сожалению, сейчас не существует универсальной защиты от DDoS-атак, тем более что они бывают направлены на разные цели.

Первичной мерой могут быть правильные настройки хостинга веб-ресурса, dns серверов и протоколов, введение ограничений и фильтрации на закачку файлов в форме обратной связи, капчи на выполнение действий, способных в потенциале перегрузить сайт пакетами.

Также следует всегда иметь определенный резерв производительности сервера, а также распределенные и дублирующие системы.

В качестве более продвинутой меры существуют программные и аппаратные серверные решения различных вендоров, которые помогут защититься от атак.

В том случае, если для вас актуален вопрос защиты серверов от DDoS-атак, но есть сложности с выбором решения, подходящего для вашего сайта или портала - вам всегда помогут специалисты компании Softline.