DDoS-атака: що це таке та в чому небезпека для сервера?

Останнім часом все частіше з'являються повідомлення про дії хакерів та злом програмного забезпечення. Часто згадуються DDoS-атаки без жодних роз'яснень, що це таке і яку небезпеку вони становлять для серверів. Ми розповімо вам, що це за явище, розглянемо його ознаки та основні різновиди, а також методи протидії.

Термін DDoS-атака походить від скорочення "Distributed Denial of Service", що означає розподілена атака типу "відмова в обслуговуванні". Мета DDoS-атаки – порушення нормальної роботи сервера, служби або локальної мережі, доведення до відмови або утруднення доступу до них сумлінних користувачів. Завдання досягається шляхом створення такого інтернет-трафіку, для обробки якого обчислювальна система не має достатніх ресурсів.

Атакуючий трафік генерується кількома комп'ютерами або локальними мережами, у тому числі пристроями IoT. В результаті зловмисних дій окремого хакера або групи формується безліч запитів в обчислювальну систему, що атакується, що дозволяє зловмисникам отримати несанкціонований доступ до цінної інформації. Це можуть бути конфіденційні бази даних, програмний код або версія програмного забезпечення.

Найкращою аналогією для DDoS-атаки в повсякденному житті є автомобільна пробка, створена спеціально з використанням декількох транспортних засобів. Внаслідок цього звичайні водії не можуть проїхати до місця свого призначення.

Як здійснюється розподілена атака типу "відмова в обслуговуванні"?

Піддатися DDoS-атаці можуть лише ті обчислювальні системи, які мають підключення до Інтернету. Глобальна мережа складається з безлічі комп'ютерів та інших пристроїв, що мають підключення до Інтернету, і деякі з них різними методами впроваджується шкідливе (вірусне) ПЗ. Останні серед фахівців називаються ботами (на сленгу – «зомбі»), які групи – відповідно ботнетом.

Відразу після створення такої системи хакер отримує можливість організувати DDoS-атаку, яка здійснюється наступним чином:

• Для кожного окремого робота розробляється спеціальна інструкція, яка передається на нього через мережу.
• Після її отримання керований комп'ютер або система починає формувати і надсилати запити на IP-адреси локальної мережі або сервера, що атакується.
• Спочатку це викликає уповільнення обробки трафіку, перевантажене обладнання починає збити. В результаті відбувається відмова в обслуговуванні всього трафіку, у тому числі від звичайних користувачів.

Основна проблема протидії розподіленим DDoS-атакам полягає в тому, що відрізнити атакуючий трафік від нормального виключно складно. Кожен із залучених хакерами ботів є законними інтернет-пристроями та відокремити зловмисні запити від звичайних вкрай непросто.

Основні ознаки DDoS-атаки на сервер

Раптове уповільнення роботи сервера, відсутність доступу до сервісу або окремого сайту може свідчити про неправомірні дії хакерів. При цьому складнощі можуть виникати і внаслідок природних причин, наприклад, різке зростання нормального трафіку. Загальнодоступні послуги аналітики дозволяють виявити DDoS-атаку за низкою характерних ознак:

• Значні обсяги трафіку від однієї або кількох IP-адрес, що належать до одного діапазону.
• Поодинокі поведінкові профілі (геолокація, версія браузера або тип пристрою) у багатьох користувачів, від яких надходять запити доступу до аналізованих веб-сторінок.
• Різке зростання трафіку через певні проміжки часу, наприклад через кожні дві-три години або за іншим розкладом.
  
• Вибухове збільшення кількості запитів до одного з інтернет-сервісів або веб-сторінок.
  

Крім перерахованих існують інші ознаки, притаманні тих чи інших типів розподілених DDoS-атак. У таких випадках можливостей звичайних інструментів інтернет-аналітики може бути недостатньо, і для їх виявлення знадобиться спеціалізоване програмне забезпечення.

Класифікація DDoS-атак: найпоширеніші типи

Арсенал засобів, які застосовують хакери для зламування сайтів, відрізняється різноманітністю. DDoS-атаки певного типу націлені на ті чи інші компоненти інтернет-ресурсу, сервера чи комп'ютера. Щоб розібратися в алгоритмах їх роботи, необхідно розуміти як здійснюється конкретне мережне з'єднання.

Інтернет-підключення забезпечується спеціальним програмним забезпеченням, яке складається з багатьох різних компонентів-«шарів». Вони становлять модель і кожен з них має своє призначення як, наприклад, опорні, що несуть і захищають конструкції будівлі, що будує.

Для опису структури мережного підключення застосовується семирівнева модель OSI:

• Рівень програм. Програми типу поштових клієнтів, месенджерів або браузерів використовують цей рівень для безпосередньої обробки даних користувача.
• Рівень уявлень. Призначений для підготовки даних (стиснення, переклад та шифрування) для подальшого використання на рівні додатків.
• Сесійний рівень. Забезпечує відкриття каналу зв'язку між двома пристроями в мережі та його закриття після закінчення сеансу.
• Транспортний рівень. Відповідає за наскрізний зв'язок між конкретними пристроями та здійснює управління потоками даних та контроль помилок.
• Мережевий рівень. Використовується лише для передачі даних між пристроями, що належать до різних мереж. На цьому шарі забезпечується оптимальна маршрутизація, поділ інформації на пакети з подальшим збиранням у точці призначення.
• Рівень каналу передачі. Забезпечує обмін даними між пристроями однієї мережі та за розв'язуваними завданнями аналогічний мережевому рівню.
• Фізичний рівень. Включає обладнання, застосовується для обміну даних між пристроями (кабелі, комутатори та інше). На цьому рівні інформаційні пакети трансформуються в бітовий потік і здійснюється узгодження сигналів.

Переважна більшість хакерських DDoS-атак спрямовані на навантаження конкретної мережі або пристрої, які є їхньою метою. Умовно ці дії можна розділити на три категорії за кількістю та характером застосовуваних векторів атаки:

• єдиний;
• множинні;
• циклічні.

Останні переважно використовуються у відповідь на контрдії, що застосовуються для захисту інтернет-ресурсу.

DDoS-атаки, що проводяться на рівні додатків

Щодо наведеної вище моделі такі спроби зламування інтернет-ресурсу називають DDoS-атакою сьомого рівня. Метою її є перевантаження сайту та створення умов, коли обслуговування нормального трафіку стає неможливим.

Хакерські атаки цього типу здійснюються на рівні, на якому відбувається формування веб-сторінки на сервері, і передаються у відповідь на HTTP-запити. На стороні клієнта такі запити не вимагають величезних ресурсів для створення та обробки, водночас серверу доводиться задіяти значні обчислювальні засоби. На цільовому сервері при цьому можуть оброблятися безліч запитів до баз даних і завантажуватися кілька файлів для створення веб-сторінки, що запитується.

Складність захисту від розподілених атак 7-го рівня у тому, що зловмисний трафік від нормального відрізнити непросто.

HTTP-флуд

Хакерські атаки цього типу імітують багаторазове оновлення веб-браузера, яке здійснюється на декількох комп'ютерах одночасно. Немов багато користувачів постійно натискають кнопку перезавантаження, що призводить до формування великої кількості запитів HTTP. В результаті сервер перевантажується, що призводить до відмови в обслуговуванні.

Рівень DDoS-атак типу HTTP-флуд визначається залежно від складності:

• Прості. При їх реалізації забезпечується несанкціонований доступ до однієї URL-адреси при організації узгоджених дій з IP-адрес одного діапазону, а також одних і тих же користувачів агентів і джерел переходу.
• Складні. Нападною стороною використовується істотно більша кількість IP-адрес з випадковими джерелами переходу та користувальницькими агентами для злому відразу кількох веб-сторінок.

Для здійснення складних DDoS-атак потрібні комп'ютери з відповідними характеристиками та ресурсомістке програмне забезпечення.

Атака протоколу

Серед фахівців дії хакерів цього типу називаються атаками і вичерпанням стану. Атаки протоколу ускладнюють роботу служб через надто високе споживання ресурсів сервера або конкретного мережного обладнання, що може призводити до порушень їх роботи. Метою нападників у таких випадках зазвичай є балансувальники навантаження або міжмережеві екрани.

У процесі реалізації атаки протоколів використовуються вразливі місця на третьому та четвертому рівні (стек протоколів) для того, щоб зробити цільову веб-сторінку недоступною.

SYN-флуд

При проведенні такої атаки з роботів відправляється безліч TCP-пакетів з фальшивими IP-адресами. Згадані SYN-пакети призначені для ініціації підключення до мережі. Цільова машина відповідає на них і чекає на підтвердження, якого не отримує. Відповідно ресурси атакованої веб-сторінки вичерпуються і вона перестає відповідати на запити, що надходять.

SYN-флуд можна порівняти з роботою великого магазину, де працівники відділу постачання отримують вказівки з торгового залу на доставку того чи іншого товару. Вони йдуть на склад, знаходять необхідне, але не отримуючи підтвердження замовлення, не розуміють, що їм робити далі. У результаті вони припиняють роботу до з'ясування причин.

DDoS-атаки об'ємного типу

Дії хакерів у цих випадках спрямовані на створення такого навантаження, за якого використовується вся доступна смуга пропускання інтернет-з'єднання. При реалізації об'ємних DDoS-атак на адресу цільового ресурсу відправляються великі пакети даних із використанням різних засобів формування великого трафіку чи інших засобів посилення. У процесі нападу застосовуються як окремі боти, і цілі ботнети, у тому числі генерується безліч запитів до цільової веб-сторінці чи серверу.

Посилення DNS

У ході хакерської атаки відправляється запит до відкритого DNS-сервера, в якому міститься IP-адреса цільового пристрою. У відповідь відправляється пакет даних великого обсягу, що нібито запитується. І таких підроблених запитів генерується безліч, що призводить до перевантаження мети і виникнення відмов в обслуговуванні.

DNS-посилення (ампліфікацію) можна порівняти з ситуацією, коли людина дзвонить у ресторан чи супермаркет, оформляє заявку на доставку страв чи товарів та просить передзвонити йому. При цьому дає номер свого сусіда. Таких дзвінків на адресу мети здійснюється величезна кількість великою кількістю користувачів, що остаточно перевантажує службу доставки.

Методи запобігання DDoS-атак

Як уже зазначалося вище, основна складність у забезпеченні захисту від нападів хакерів полягає у визначенні різниці між атакуючим і нормальним трафіком. При проведенні рекламних кампаній нових продуктів на сайт розробника можуть зайти багато користувачів. Це викликає аварійне відключення трафіку та є помилкою. Якщо цей веб-ресурс має сплеск трафіку від відомих хакерських груп, необхідно вживати заходів щодо зменшення впливу від розподіленої DDoS-атаки.

Спроби злому веб-ресурсів можуть приймати різні форми від найпростіших з одним джерелом підозрілого трафіку до найскладніших багатовекторних впливів. В останньому випадку використовуються відразу кілька типів DDoS-атак для того, щоб змусити сторону, що захищається, розпорошити сили і засоби по різних напрямках.

Як приклад такого багатовекторного впливу можна навести комбіновану DDoS-атаку відразу на кількох рівнях: посилення DNS у поєднанні з великою кількістю HTTP-запитів. Для запобігання таким нападам потрібно використати одразу кілька стратегій протидії.

При використанні зловмисниками розподілених атак типу «відмова в обслуговуванні» з комбінуванням різних методів нападу зростає складність протидії їм. Хакери прагнуть максимально змішати атакуючий трафік з нормальним, щоб звести ефективність захисних заходів до нульових показників.

Спроби простого відключення або обмеження трафіку без фільтрації рідко дають позитивний результат. При цьому DDoS-атака адаптується і шукає шляхи обходу контрдій, що приймаються. У разі найкращим рішенням є застосування багаторівневої стратегії захисту.

Маршрутизація Blackhole

Одним з найдоступніших методів захисту мережевих адміністраторів є створення «чорної діри» для підозрілого трафіку. У найпростішому вигляді маршрутизація Blackhole передбачає перенаправлення всіх запитів без поділу на нормальні та шкідливі на нульовий маршрут із подальшим видаленням із мережі.

У разі виявлення DDoS-атаки на певний сайт провайдер має можливість анулювати весь трафік як захист. Таке рішення не найкраще, оскільки зловмисник досягає своєї мети та робить ресурс недоступним.

Обмеження швидкості DDoS-атаки

Кожен сервер може приймати та обробляти певну кількість запитів протягом заданого проміжку часу. Обмеження швидкості DDoS-атаки дозволяється суттєво знизити її ефективність.

При цьому слід розуміти, що цей метод забезпечує суттєве уповільнення крадіжки контенту та програмного коду веб-парсерами та блокує спроби входу з використанням грубої сили. Водночас він недостатньо ефективний проти складних комбінованих атак на кшталт «відмова в обслуговуванні».

Особливості використання брандмауерів веб-додатків

Застосування спеціальних програмних продуктів дозволяє суттєво пом'якшити DDoS-атаки сьомого рівня. Між Інтернетом і сервером, що захищається, є брандмауер (WAF), що працює як зворотний проксі. З його допомогою блокується шкідливий трафік певних типів.

Вхідні запити фільтруються за встановленими правилами, що дозволяє ідентифікувати інструменти DDoS та запобігти атакам сьомого рівня. Однією з основних переваг цього методу є можливість встановлювати свої правила протидії нападу.

Принципи поширення Anycast через мережу

Цей метод забезпечує скорочення шкідливих наслідків від DDoS-атак шляхом перерозподілу трафіку мережею серверів.

Якщо одному й тому серверу одночасно надходить багато запитів, він буде перевантажений трафіком і зможе ефективно відповідати на додаткові вхідні запити. У мережі Anycast замість одного вихідного сервера, що приймає на себе основний тягар трафіку, навантаження буде розподілено між іншими доступними центрами обробки даних, кожен з яких має сервери, здатні обробляти вхідний запит і відповідати на нього. Цей метод маршрутизації може запобігти розширенню ємності вихідного сервера і уникнути переривання обслуговування клієнтів, які вимагають з нього контент.

Найкраща аналогія методу розповсюдження Anycast через мережу – це поділ потоку великої річки з сильною течією по окремих рукавах. В результаті перерозподілу трафіку від DDoS-атаки його руйнівна здатність зменшується до мінімуму і стає повністю керованим.