Личный кабинет
+ 7 (495) 748-09-44 Заказать звонок
Главная Наши решения Защита от DDoS-атак

Защита от DDoS-атак

DDoS-атаки представляют собой существенную угрозу непрерывности бизнеса. По мере того как организации становятся все более зависимыми от Интернета и веб-приложений и служб, их доступность стала критические важной.

Распределенная атака типа "отказ в обслуживании" (DDoS) - это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегрузив целевую инфраструктуру потоком интернет-трафика.

Эффективность атак DDoS достигается за счет использования нескольких скомпрометированных компьютерных систем в качестве источников трафика атак. Эксплуатируемые компьютеры могут включать в себя компьютеры и другие сетевые ресурсы, такие как устройства IoT.

DDoS - это не только угроза для e-commerce и финансовых организаций с очевидной потребностью в доступности. Атаки DDoS также нацелены на критически важные бизнес-приложения, от которых ваша организация зависит в управлении повседневными операциями, такими как электронная почта, автоматизация отдела продаж, CRM и многие другие. 

Кроме того, компании промышленности, фармацевтики и здравоохранения, телекома и энергетики обладают внутренними веб-сервисами, на которые контрагенты и другие деловые партнеры полагаются в повседневной работе. Все это является мишенью для современных изощренных киберпреступников.

Как работает DDoS-атака?

DDoS-атаки проводятся с сетями машин, подключенных к Интернету. Эти сети состоят из компьютеров и других устройств (например, IoT-устройств), зараженных вредоносным ПО, что позволяет злоумышленнику удаленно управлять ими. Эти отдельные устройства называются ботами (или зомби), а группа ботов называется бот-сетью. Как только бот-сеть создана, злоумышленник может направлять атаку, посылая удаленные инструкции каждому боту. Они посылают запросы на IP-адрес цели, что может привести к перегрузке сервера или сети и, как следствие, к отказу в обслуживании нормального трафика. Поскольку каждый бот является легитимным интернет-устройством, отделение трафика атаки от нормального трафика может быть затруднено. 


Как определить DDoS-атаку?

Самым очевидным симптомом DDoS-атаки является то, что сайт или сервис внезапно становится медленным или недоступным. Но так как легитимный всплеск трафика может создать похожие проблемы с производительностью, обычно требуется дальнейший анализ трафика расследование. Инструменты анализа могут помочь вам обнаружить некоторые из признаков DDoS-атаки:

• Подозрительные объемы трафика с одного IP-адреса или диапазона IP-адресов;
• Наводнение трафика от пользователей, которые имеют общий поведенческий профиль, такой как тип устройства, геолокация или версия веб-браузера;
• Необъяснимое увеличение количества запросов на одну страницу или конечную точку.

Типы DDos-атак:

• Атаки на сетевом уровне OSI представляют из себя «забивание» канала. Примером может быть CMP-флуд — атака, которая использует ICMP-сообщения, которые снижают пропускную способность атакуемой сети и перегружают межсетевой экран;
• Атаки транспортного уровня выглядят как нарушение функционирования и перехват трафика. Например, SYN-флуд или Smurf-атака (атака ICMP-запросами с изменёнными адресами). Последствия такой DDoS-атаки — превышение количества доступных подключений и перебои в работе сетевого оборудования;
• На сеансовом уровне атакам подвергается сетевое оборудование;
• Высокоуровневые атаки прикладного уровня ориентированы на стирание памяти или информации с диска, «воровство» ресурсов у сервера, извлечение и использование данных из БД. 

Этапы смягчения DDoS-атак:

Смягчение многовекторной DDoS-атаки требует применения различных стратегий для противодействия различным видам угроз.

Вообще говоря, чем сложнее атака, тем больше вероятность того, что трафик атаки будет сложно отделить от нормального трафика. Цель атакующего - как можно больше влиться в него, сделав усилия по смягчению последствий как можно более неэффективными.

Попытки смягчить атаку, которые включают в себя беспорядочное падение или ограничение трафика, могут вытеснить хороший трафик с плохим, и атака может также измениться и адаптироваться для обхода контрмер. Для преодоления сложной попытки срыва многоуровневое решение даст наибольшую выгоду.

• Обнаружение. Чтобы остановить распределенную атаку, веб-сайт должен уметь отличать атаку от большого объема обычного трафика. IP-репутация, распространенные шаблоны атак и предыдущие данные помогают в правильном обнаружении.
• Ответ. На этом этапе сеть защиты от DDoS реагирует на входящую выявленную угрозу, грамотно сбрасывая трафик вредоносных ботов и поглощая остальной трафик. Используя правила WAF-страниц для атак прикладного уровня (L7) или другой процесс фильтрации для обработки атак более низкого уровня (L3/L4), таких как мемкэширование или усиление NTP, сеть способна смягчить попытку прерывания работы.
• Маршрутизация. Благодаря интеллектуальной маршрутизации трафика эффективное решение для предотвращения атак DDoS разбивает оставшийся трафик на управляемые части, предотвращающие отказ в обслуживании.
• Адаптация. В хорошей сети трафик анализируется на предмет выявления таких закономерностей, как повторные атаки на блоки IP-адресов, отдельные атаки, исходящие из определенных стран, или неправильное использование определенных протоколов. Адаптируясь к шаблонам атак, служба защиты может защититься от будущих вторжений.

Ознакомьтесь с решением Arbor Network APS, Check Point DDoS Protector, Fortinet FortiDDoS и обращайтесь к нам за консультациями по вопросам внедрения и интеграции систем защиты от DDoS-атак в вашу систему.