Распределенная атака DDoS (отказ в обслуживании) — злонамеренное действие киберпреступников, результатом которого является невозможность обрабатывать запросы к серверу. С технической точки зрения, кибератака данного типа является одной из наиболее простых. Ее суть заключается в отправке большого количества запросов на сервер, в результате чего вычислительной мощности машины становится недостаточно для обработки всего трафика.

pasted image 0.png

Для остановки атаки и восстановления системы необходимо выполнить несколько шагов, которые позволят эффективно среагировать на возникшую угрозу и свести ее последствия к минимуму. В данном материале рассмотрим три основные этапа реагирования и восстановления, а также что делать, если «ддосят» сервер или злоумышленники атакуют коммутационное оборудование.

Этап І: Блокировка DDoS-атаки

После попадания под атаку распределенного типа скорость работы IT-инфраструктуры критически снижается. Поэтому программное внесение изменений в работу сервера часто бывает затруднительным или невозможным. Для восстановления вычислительных ресурсов необходимо предпринять шаги по остановке обработки большого количества трафика.

На сегодняшний день существуют различные возможности, которые можно использовать для борьбы с подобными угрозами. Далее рассмотрим основные категории таких инструментов.

Службы реагирования

Объем средней DDoS-атаки интернет-ботами составляет до 11 ГБ в секунду. Однако в некоторых случаях этот показатель может быть на несколько порядков выше. Например, специалистами компании Google была заблокирована атака, объем которой составил 3.47 ТБ в секунду, что эквивалентно 46 миллионам запросов.

Одним из эффективных вариантов защиты для небольших компаний являются услуги профессиональных специалистов, которые часто предоставляют интернет-провайдеры. Однако такая возможность доступна не всегда.

Фильтрация IP-адресов

pasted image 0 (1).png

Одним из инструментов временного облегчения нагрузки на систему является блокировка интернет-адресов, которые генерируют большое количество вредоносного трафика. Определить такие IP можно при анализе файлов журналов и системных логов. Вместо блокировки, действенным способом является перенаправление полезного трафика на новый IP-адрес.

Чтобы понять, что значит подозрительный трафик, рекомендуется проанализировать сетевой журнал за период нормальной работы сервера и сравнить его с трафиком во время атаки. Сравнение должно показать, какие именно запросы несут дополнительную нагрузку на IT-инфраструктуру.

Включение доступных средств защиты

Специалистам по кибербезопасности компании необходимо проверить, включены ли все доступные программные средства защиты, при необходимости установить соответствующую прошивку на роутере, проверить настройку соответствующего ПО на сервере, настройку ограничения скорости запросов на хост и других опций, позволяющих фильтровать вредоносный трафик. В некоторых случаях также может помочь включение геоблокировки, если всплески трафика исходят из определенного географического местонахождения.

Остановка атакуемых служб

Иногда действенным вариантом является отключение атакуемых систем. На некоторое время это приостановит их работу, однако позволит предпринять дополнительные меры по защите перед последующим запуском. Чтобы не отключать весь ресурс, а исключительно атакуемую службу, необходимо распознать конкретный тип атаки. Например, атака типа GET по протоколу HTTP может попытаться загрузить документы большого размера. Цель состоит в том, чтобы временно отключить доступные ссылки на такие документы, оставив при этом полностью функциональной остальную часть вебсайта.

Внедрение дополнительных систем защиты

pasted image 0 (2).png

Справиться с большим количеством вредоносного трафика поможет внедрение дополнительных аппаратных и программных средств защиты. В частности, к ним относятся:

безопасные вебшлюзы;
программные брандмауэры и файрволы, ограничивающие лишние запросы по заранее определенным установленным правилам;
аппаратные устройства защиты и др.

Основная задача всех вышеперечисленных инструментов заключается в мониторинге запросов в реальном времени с целью обнаружения вредоносного трафика и его отсечения до того, как он достигнет цели.

Этап ІІ: Определение типа DDoS-атаки

Лучшая защита от ДДоС должна включать в себя этап обнаружения и идентификации типа атаки. Идеальным вариантом является заблаговременное получение предупреждений от системы специалистами по безопасности и реагированию. Это позволяет своевременно принять меры для обеспечения защиты информационной инфраструктуры.

Однако, часто владельцы бизнеса пренебрегают установкой систем безопасности. Например, отправка оповещений и создание сетевого журнала могут быть осуществлены только после начала атаки, что снижает возможности эффективного противодействия злоумышленникам. Рассмотрим основой алгоритм выявления и определения типа DDoS.

1. Признаки начала атаки

pasted image 0 (3).png

Первое подозрение должно возникнуть при проседании производительности системы. Работа корпоративных служб, ПО, основного сервера существенно замедлится. Если в IT-инфраструктуре предусмотрены средства мониторинга, то они зафиксируют всплески трафика.

С течением времени, негативные последствия будут нарастать. Возможно полное отключение доступа к ресурсам и диагностическим программам, в том числе к системным логам и журналам. Поэтому команда реагирования должна работать максимально быстро.

2. Анализ статистических данных

Анализ системной информации позволит выявить резкое проседание производительности сервера, уменьшения объема памяти, снижение пропускной способности и другие факторы. Если в корпоративной сети отсутствуют инструменты мониторинга и предупреждения, то узнать об атаке будет сложнее. В таком случае придется анализировать негативные отзывы клиентов и сотрудников.

Все обнаруженные негативные факторы рекомендуется документировать. В будущем это упростит расчет понесенного ущерба и позволит обратиться в страховые компании для получения компенсации, если такая опция предусмотрена.

3. Характеристика атаки

Определение конкретных характеристик облегчит выявление вредоносного трафика DDoS. Программа реагирования может зависеть от конкретного профиля атаки. Например, атака на уровне приложений, нацеленная на выведение из строя конкретного ПО и низкоуровневая атака для нарушения работы всей инфраструктуры требуют разного подхода к реагированию и восстановлению.

Для поиска источника угрозы может быть применена трассировка, в процессе которой обнаруживаются IP-адреса источников трафика.

Этап ІІІ: восстановление

pasted image 0 (4).png

Эффективное выполнение вышеперечисленных рекомендаций может свести к минимуму ущерб компании без необходимости восстановления данных и IT-инфраструктуры. Если атака состоялась, рекомендуется воспользоваться следующим алгоритмом:

Оценка ущерба. Окончательная сумма ущерба может отличаться в зависимости от конкретной компании и мощности атаки. Согласно исследованию специалистов Imperva, средний DDoS наносит организациям ущерб, эквивалентный сумме в $40000 в час. Подробное документирование ущерба позволит обратиться за компенсацией в страховую компанию и спланировать бюджет на кибербезопасность.
Внесение изменений в IT-инфраструктуру. Процесс восстановления включает в себя подробное изучение инфраструктуры с целью определения и исправления существующих уязвимостей. В некоторых случаях может потребоваться диагностика и полная переустановка операционных систем на рабочих машинах с целью выявления и удаления вредоносного ПО.
Использование резервных копий. В случае потери данных, единственным и последним вариантом их восстановления служат заранее подготовленные резервные копии. Поэтому не стоит пренебрегать регулярным созданием бэкапов критически важных данных. В случае непредвиденных ситуаций и кибератак они помогут в кратчайшие сроки возобновить работу, максимально снизив понесенный в результате кибератаки ущерб.