Что вам нужно знать о DDoS-атаках, чтобы защитить свой бизнес

С развитием возможностей цифровых технологий для бизнеса киберпреступность активно распространяется как новый метод конкуренции. Среди всех возможных киберугроз DDoS-атаки являются наиболее опасными, поскольку они нарушают не только технические аспекты, но и репутацию вашей компании.

Что такое DDoS-атаки?

Каждый из наших проектов использует множество онлайн-ресурсов для автоматизации и эффективного общения: электронные почтовые системы, веб-сайты, платежные платформы. Их интеграция значительно упрощает бизнес-операции; однако это требует надежной защиты от DDoS-атак.

DDoS-атака (Distributed Denial of Service) - это кибератака, целью которой является нарушение или полная остановка работы веб-сайта, сети или других онлайн-сервисов компании на продолжительное время.

Во время DDoS-атаки ИТ-инфраструктура бизнеса атакуется одновременно с большого количества устройств, поэтому ее называют распределенной атакой. DDoS-атака работает следующим образом:

• запросы (фальшивый трафик) наводняют веб-сайт или IP/HTTP-сервисы с огромного количества разных источников одновременно;

• неконтролируемый всплеск запросов истощает сервер или сеть из-за перегрузки, постепенно замедляя их работу;

• остановка потока запросов путем блокировки одного источника невозможна, и перегруженный сервер затрудняет легитимный трафик;

• бизнес теряет эффективность, поскольку потенциальные клиенты не могут получить доступ к веб-сайту, а сотрудники испытывают затруднения с доступом к необходимым системам.

Злоумышленники инициируют DDoS-атаку на один или несколько уровней сетевого соединения цели. Подключение к Интернету работает на 7 различных уровнях в соответствии с моделью OSI. Каждый уровень OSI имеет свои протоколы (правила общения), выполняет определенные функции и взаимодействует с другими. Это обеспечивает бесперебойное соединение и обмен информацией между различными устройствами без сбоев. Если DDoS-атака затрагивает хотя бы один уровень, вся система перестанет функционировать.

На основе воздействия на разные уровни модели OSI три наиболее распространенных типа DDoS-атак сегодня:

• Объемные атаки. Выполняются на уровнях 3 и 4 и характеризуются массовой генерацией трафика. Их наибольшая опасность заключается в том, что этот трафик изначально воспринимается как нормальный. Впоследствии он занимает всю полосу пропускания целевого канала, вызывая перегрузку и блокировку доступа для обычного трафика.

Объемные атаки включают UDP flood и ICMP flood.

При UDP-флуде на целевой сервер направляется большое количество UDP-пакетов с различных поддельных IP-адресов, каждый из которых обрабатывается сервером, исчерпывая его ресурсы.

• Атаки на протоколы. Целевые ограничения и уязвимости в протоколах интернет-соединения на уровнях 3 и 4. В этом случае перегрузка происходит не из-за массового объема трафика. Злоумышленники действуют точечно: эксплуатируя уязвимости сети, они отправляют запросы на соединение только с нескольких IP-адресов, делая услугу недоступной.

Такие DDoS-атаки включают SYN-флуд и RST-Fin флуд. Атаки SYN происходят на уровне протокола TCP, где сервер испытывает тяжелую нагрузку из-за всплеска поддельных SYN-пакетов без необходимого подтверждения отправителя.

• Атаки на уровне приложения. Выполняются на самом высоком уровне 7 и направлены на конкретные службы, работающие на сервере: веб-сайты, API, базы данных, финансовые службы, коммуникационные системы. Большое количество трафика с обычными запросами URL направляется на целевую страницу, потребляя ограниченные ресурсы: дисковое пространство и доступную память.

Примеры таких атак: HTTP flood и Slowloris. В атаке HTTP flood веб-сервер может быть засыпан многочисленными HTTP-запросами до полного насыщения его мощности, что делает пользователей неспособными получить доступ к веб-сайту.

Как защитить бизнес от атак DDoS?

Согласно исследованию Forbes, с начала 2023 года количество атак DDoS увеличилось примерно на 40%, причем финансовый сектор и интернет-торговля стали основными целями. Атаки DDoS становятся все более опасными, приводя к многочисленным негативным последствиям для бизнеса:

• частичное простой веб-сайта делает невозможным размещение заказов на ваши продукты или услуги;

• значительный рост расходов, если ваши серверы размещены в облаке и трафик тарифицируется;

• продолжительная недоступность веб-сайта разрушает доверие клиентов, и даже после восстановления они могут перейти к конкурентам;

• рейтинг веб-сайта в поисковых системах падает, что снижает его видимость и объем органического трафика;

• конкуренты подрывают вашу компанию, получая доступ к корпоративной информации и базам данных клиентов.

Атака DDoS может длиться несколько дней и стоить бизнесу более $100,000 в час. Поэтому инвестирование в надежную систему безопасности определенно будет оправдано и поможет поддерживать стабильную работу вашей компании.

Когда речь идет о защите от DDoS-атак, мы имеем в виду действия, направленные на контроль и фильтрацию всего трафика с учетом его IP-адресов и содержания.

Самым надежным способом обеспечить такую защиту является подключение к услугам, специализирующимся на защите от DDoS-атак. В наших проектах мы используем Cloudflare в этих целях. Этот сервис действует как посредник между пользователем и целевым сервером: трафик проходит проверку сначала, и только отфильтрованные запросы от подлинных клиентов направляются на наш сервер. Cloudflare также скрывает фактический IP-адрес сервера.

Киберпреступники пытаются обойти стандартные протоколы безопасности, и недавно один из наших успешно запущенных проектов подвергся мощной DDoS-атаке. За 2 часа было получено примерно 8 миллиардов запросов, что привело к недоступности платформы в некоторых регионах. Для прекращения атаки наша команда разработала индивидуальные правила для регулирования входящего трафика. Этот опыт позволил нам создать еще более надежную защиту от DDoS.

Расширенная система безопасности строится не только на реализации Cloudflare и использовании встроенных механизмов. Мы установили связь между Cloudflare и нашей системой обновления CI/CD, а также настроили дополнительные защитные фильтры.