Практические методы защиты от DDoS-атак: реальные примеры и рекомендации

За последние несколько лет DDoS-атаки стали одной из самых распространенных и опасных угроз в сфере информационной безопасности. По данным DDoS-Guard, в 2022 году количество обращений на подключение защиты выросло на 56%. Сегодня проблема противодействия кибератакам остается не менее актуальной. Рассмотрим в статье, какие методы помогут своевременно обезопасить ваши веб-ресурсы от DDoS.

Почему вопросы защиты от DDoS-атак касаются любого бизнеса

Цифровизация бизнеса развивается в различных секторах экономики, особенно в сфере услуг, и число атак неуклонно растет. Напряженная геополитическая ситуация также привела к мощному всплеску атак на Рунет: по статистике DDoS-Guard, количество атак на российские веб-ресурсы в 2022 выросло на 700% по сравнению с 2021 годом. В 2023 также наблюдается прирост атак, хотя и не такого масштаба: чуть больше 5% по сравнению с 2022 (по данным на конец третьего квартала). Можно сказать, что мы вышли на «плато» и что DDoS-атаки стали новой нормой жизни.

Риск стать жертвой атаки и понести серьезные потери сохраняется. Кто находится в зоне риска? В первую очередь атакам подвергались и продолжают подвергаться СМИ, госсектор, финансовые организации и банки. За ними следуют развлекательные ресурсы, а также логистические компании и реселлеры, включая e-commerce. Оказаться под атакой конкурентов или хактивистов сегодня может любой бизнес.

Какие меры можно предпринять для самостоятельной защиты от DDoS-атак

Чтобы минимизировать ущерб от возможных DDoS-атак и снизить количество потенциальных точек входа для хакеров, DDoS-Guard рекомендует:

• Подготовить план реагирования на атаку и донести его до ответственных сотрудников.
• Организовать защищенные каналы связи, а не использовать каналы от обычных операторов.
• Следить за динамикой трафика вашего ресурса, чтобы определить показатели «нормы» в разное время суток – это позволит своевременно идентифицировать аномальное количество запросов.
• Использовать CDN – географически распределенную сеть доставки контента, при которой файлы вашего сайта хранятся на серверах по всему миру, и пользователи получают контент из ближайшей локации. Благодаря такому распределению трафика и уменьшению нагрузки на каждый отдельный сервер, сеть доставки контента помогает снизить натиск DDoS-атаки.
• Использовать механизмы сигнатурного и поведенческого анализа для выявления роботизированного трафика на сети, применять CAPTCHA.
• Сервис WAF – Web Application Firewall – поможет защититься от расширенного списка более сложных киберугроз, если это необходимо.

Ни одна из мер сама по себе не дает стопроцентной гарантии противодействия DDoS-атакам, особенно, если речь идет о массированных интенсивных атаках. Даже защиты не специализированных провайдеров может быть недостаточно для отражения мощных массированных атак ввиду ограниченных ресурсов фильтрации трафика. Чтобы быть уверенным в бесперебойной работе веб-ресурса, необходима профессиональная защита от DDoS.

Подходы к профессиональной защите от DDoS-атак

Существуют два основных решения. Крупные компании и дата-центры могут оборудовать собственный центр очистки трафика – программно-аппаратный комплекс, который будет осуществлять фильтрацию прямо на территории организации. Установка и эксплуатация такого комплекса требуют как значительных финансовых вложений, так и наличия в штате специалистов, обладающих компетенциями для настройки и обслуживания центра очистки.

Более доступный и вариант, подходящий как небольшим проектам, так и крупным организациям, – облачная защита специализированного провайдера, к инфраструктуре которого подключается защищаемый веб-ресурс.

По модели OSI можно выделить два типа защиты от DDoS: защита сетевой инфраструктуры и уязвимых мест сетевых протоколов TCP/IP (уровни L3, L4) и защита на уровне веб-приложений (уровень L7). Здесь специалисты провайдера могут предложить различные опции, например, установку специализированного ПО или фильтрацию трафика по технологии обратного проксирования. Эта технология позволяет клиенту под атакой буквально в считанные минуты защитить свой ресурс — удаленно, без серьезных технических познаний и IT-специалистов в штате.

Ответственность клиента в данном случае заключается в выборе подходящего под его потребности провайдера и донесения до него полной информации о своем проекте, а специалисты возьмут на себя обеспечение безопасности веб-ресурса.

На что обратить внимание при выборе поставщика защиты

К выбору провайдера защиты от DDoS-атак необходимо подходить тщательно. В первую очередь, необходимо проанализировать характеристики своего проекта и определиться с его потребностями и целями защиты.

Важно изучить функционал и возможности предлагаемого сервиса и задать поставщику все интересующие вопросы. Каков механизм подключения защиты подрядчика и насколько быстро она может быть активирована – это может оказаться критическим фактором, если сайт под атакой.

Ознакомьтесь с механизмами обнаружения и предотвращения атак подрядчика. Убедитесь, что сервис обладает интерфейсом для мониторинга и анализа вашего трафика, доступом к статистике в личном кабинете.

Узнайте, из чего складывается стоимость услуги, предполагается ли дополнительная тарификация отраженных атак или другие неочевидные платежи, а также – есть ли ограничения по полосе фильтруемого трафика. Необходимо выяснить, как выглядит взаимодействие с технической поддержкой, доступна ли она 24/7, и есть ли другие каналы связи со специалистами, например, мессенджеры. Важно, чтобы в случае экстренной ситуации ответственный сотрудник компании клиента мог быстро связаться с менеджером или командой поддержки заранее оговоренным способом.

Рекомендуем ознакомиться с SLA провайдера защиты – это документ, в котором зафиксирован уровень доступности веб-ресурса, который провайдер обязуется обеспечить.

Масштаб и архитектурные особенности проекта клиента также имеют значение при выборе как поставщика, так и его методов защиты: планируя атаки, злоумышленники прибегают к различным стратегиям и особенно тщательно анализируют веб-ресурсы крупных жертв. При корректно настроенной услуге защиты стандартные бюджетные тарифы вполне покрывают потребности небольших и простых по архитектуре онлайн-проектов. Однако если специфика и масштаб вашего веб-ресурса требуют индивидуального подхода, уточните у провайдера, сможет ли он разработать кастомизированное решение для вас. Для этого важно предоставить специалистам подрядчика максимально подробное описание вашего проекта.

Наконец, если помимо DDoS-атак вам необходимо защититься от других киберугроз, таких как вредоносные боты или угрозы из списка OWASP 10, следует узнать у провайдера, предоставляет ли он соответствующие услуги защиты.

Подготовьте пул вопросов провайдеру и внимательно изучите его ответы, сравните их с информацией других исполнителей, чтобы выбрать оптимальное для себя решение. Кроме того, стоит изучить отзывы существующих клиентов, чтобы убедиться в эффективности предлагаемых услуг.

Тренды DDoS-атак в 2023, кейс защиты DDoS-Guard и рекомендации эксперта компании

Дмитрий Никонов, руководитель направления защиты от DDoS уровня L7 DDoS-Guard, делится своими наблюдениями: «На протяжении последних полутора лет мы наблюдаем эволюцию хакеров и меняющиеся тенденции: новые векторы атак, новые стратегии – от DDoS-атак по целевым IP-адресам и целенаправленных атак по DNS-серверам до утечек данных под прикрытием DDoS».

Дмитрий выделяет следующие тренды DDoS-атак в 2023 году на уровне L7:

• Растущая интенсивность и длительность атак: на одну «жертву» может обрушиться поток вредоносного трафика мощностью более 1 Тбит/с на протяжении 10 и более дней.
• Использование IoT-устройств для ботнет-атак. Объем атак ботнетов на сайты РФ легко перешел порог 1,2 Тбит/с и 500 Mpps.
• «Ковровые» атаки на инфраструктуру операторов связи, использование облачных ЦОДов для организации и монетизации DDoS-атак.
• Применение искусственного интеллекта в атаках на веб-приложения.

Некоторые популярные инструменты защиты теряют эффективность, например, блокировка трафика по географическому признаку: злоумышленники зачастую арендуют VPS на территории России, поэтому атакующий трафик идет из РФ, а не из заблокированных стран. Однако не только хакеры, но и провайдеры защиты не стоят на месте в своем развитии.

На примере одного из кейсов защиты DDoS-Guard отметим важность полностью выстроенной защиты и эффективного взаимодействия клиента и подрядчика. Чтобы парализовать работу крупных и общественно-значимых сервисов корпораций со сложной архитектурой, злоумышленники ищут уязвимости, слепые зоны – как правило, это внутренние сервисы компании, которые не всегда получают должную защиту. Так при атаке на одного из крупных платежных операторов, хакерам удалось обнаружить уязвимости в API и нанести удар по пользовательскому платежному приложению. Благодаря своевременной реакции клиента и команды, удалось в кратчайшие сроки купировать угрозу. Поэтому важно обеспечить защитой все ресурсы компании, не оставляя злоумышленникам слабых мест.

Рекомендуем обратить внимание на следующие потенциально уязвимые места:

• Сетевая инфраструктура: недостаточно защищенные и производительные маршрутизаторы и коммутаторы могут стать точкой входа для злоумышленников.
• Серверы DNS, аутентификации и обслуживающие приложения серверы могут стать потенциальной целью для атак.
• BGP Hijacking (хищение BGP-маршрутов): злоумышленники могут отправить ложные маршрутные обновления, чтобы перенаправить трафик через свои серверы. Это может привести к перехвату данных или даже к отказу в обслуживании.

Для обеспечения комплексной защиты необходимо пропускать весь внешний трафик через защищенные каналы и сети специализированного провайдера, а также закрыть все внешние контуры от несанкционированного доступа.