Советы по борьбе с DDoS атаками

За последние пару лет DDoS-атаки стали не только более изощрёнными — они стали политизированными. Нападавшие таким образом проявляют свою социальную активность. Виновные редко подвергаются какому-либо наказанию, и у судов нет возможности ориентироваться на какую-либо правоприменительную практику.

«Это уже не скрыть. Это всем хорошо известно, — говорит Нил Куинн, вице-президент Prolexic, компании, которая специализируется на смягчении атак DDoS. — Речь не только об анонимных группах. Многие открыто используют DDoS, чтобы отстоять свою точку зрения. Это мейнстрим».

DDoS-атаки более сложно предотвратить, чем другие виды атак. Большинство DDoS-атак не пользуются уязвимостями в коде, они просто изнуряют ресурс.

Многие слои общества поддерживают их по социально-политическим причинам. Часто политически активные группы обсуждают свои цели на общественных форумах, объявляют о своих планах прессе, а затем атакуют. Организации, выбранные в качестве мишени, в некоторых случаях теряют больше, если пытаются принять правовые меры против правонарушителей, а не спокойно переносят атаки.

Объём DDoS-атак продолжает расти. Раньше атака в 1 Гбит/с считалась огромной. Теперь, по словам Куинна, его компания регулярно регистрирует атаки размером выше 20 Гбит/с.

Усложняет задачу и то, что нападавшие перешли от нацеленности на уровни маршрутизации и передачи к уровню приложений. Они определяют, например, какие элементы наиболее популярны на веб-страницах жертвы, изучают график посещаемости и подбирают время, чтобы создать максимальный эффект избыточности.

«Злоумышленники теперь гораздо более тщательно исследуют приложения, с которыми работают их жертвы, чтобы создать максимум проблем с конкретным приложением, — говорит Куин. — Например, они могут разведать, какой URL вызовет наиболее ресурсоёмкие обновления веб-страницы».

Наиболее изощрённые DDoS хакеры атакуют по многим направлениям одновременно. Например, могут начать с простого флуда по протоколам ICMP или UDP и так раздуть трафик, что жертва не сможет его регулировать. А если жертва управится с флудом ICMP или UDP, злодеи переключаются на TCP. Когда жертва начинает управляться с флудом по новому протоколу, злоумышленник может увеличить количество ботов и объём трафика.

Часто подобные многоуровневые многодневные нападения используют в качестве уловки, чтобы отвлечь внимание от более разрушительных атак в другом месте сети. «Когда компания-жертва понимает, что её ддосят, она обычно впадает в панику и начинает использовать свои лучшие кадры, чтобы решить проблему. Это отвлекает людей от других своих обычных обязанностей», — говорит Куинн.

У меня есть друзья, которые успешно подавляли атаку за атакой, только для того, чтобы в результате их отключил провайдер за большое количество фиктивного трафика. Партнеры по бизнесу понимают — что разработчики не виноваты в подобных отказах обслуживания, но тем не менее уходят туда, где всё работает.

Куинн дал несколько советов, как парировать DDoS-атаки:

1. Оптимизируйте производительность. Убедитесь, что ваши ресурсы и устройства настроены на максимальную производительность. Большинство провайдеров имеют анти-ддосовские настройки и их легко включить для ваших открытых серверов, которые могут стать мишенью для атак DDoS.
2. Убедитесь, что ни один элемент вашего веб-сервера или сервиса, который раньше не испытывался на нагрузку, не окажется вдруг слабым звеном. Не позволяйте нападавшим опередить вас в анализе ваших сайтов на предмет производительности и безопасности.
3. Имейте план, как действовать в случае экстремального трафика. Определите, есть ли у вас быстрый способ справиться с избыточным трафиком, например, с помощью пиринговых соглашений, облачных сервисов, или сервисных соглашений по DDoS.
4. В настройках своих DNS-записей установите достаточно низкое значение TTL (времени жизни), чтобы иметь возможность быстро переключиться на защищённый к атаке DNS.
5. Настройте раннее оповещение. Таким образом, вы будете сразу предупреждены, что ваш сайт атакован и перестает отвечать на запросы. Убедитесь, что у вас есть хороший внутренний и внешний контроль. Сервисов с такого рода услугами достаточно много.

«Знайте заранее, кого вы должны вызвать при атаке и как вы будете реагировать, шаг за шагом, при её усилении, — резюмирует Куинн. — Если хотите, чтобы ваш ответ был адекватным, будьте всегда впереди нападающих».

infoworld

Если вам интересна практическая защита от DDOS, наша компания настроит для вас защищённые к атакам службу DNS и прокси-сервер, которые выдержат возможный удар злоумышленников.