Как да защитите сървъра от DDoS атаки

През 2023 година DDoS атаките срещу сървъри стават още по-организирани - нападателите ги автоматизират с помощта на изкуствен интелект. Сега под заплаха са както малки уебсайтове, които стават случайни жертви, така и големи, които са обект на целенасочени атаки.

Какво представлява DDoS атаката в интернет и какви са нейните принципи

Същността на DDoS атаката се състои в опит да се наруши работата на цялата система. Огромен брой пакети или заявки претоварват работата ѝ. Нападателите използват няколко компрометирани източника, за да атакуват сървърите от различни канали.

Принципът на DDoS атаката се състои в активно изпращане на нелегитимен трафик към сървъра, което неминуемо затруднява достъпа на нормалните потребители. В резултат на това сайтовете стават недостъпни или скоростта им на зареждане се забавя значително. DDOS на сървъри за игри е процес, който причинява подобни проблеми на геймърите.

Кой го прави

Животът може да бъде съсипан от различни хора. В него влизат както ученик от гимназията, който има идеята да стане хакер, така и истински професионалист, който изпълнява поръчка или се стреми да се обогати.

Да предположим, че компания А планира да реализира значителна печалба преди Нова година, но нейният основен конкурент, компания Б, предлага по-привлекателни условия за клиентите. Като блокира уебсайта на конкурента, дружество А може да вземе всички поръчки, докато дружество Б ще претърпи загуби.

Законодателството обаче строго забранява DDoS атаките, тъй като те нарушават правото на достъп до информация и пречат на функционирането на уеб ресурсите.

Защо атакуват

Целта на DDoS атаките е да направят даден сървър, продукт или уебсайт недостъпен за потребителите. Атаките се организират с търговска цел: да се получи откуп за спиране на работа; да се подкопае конкурент преди важно събитие. Съществуват и нетърговски причини: геополитически мотиви; забавление; "хакерска" практика или отмъщение.

Опитът показва, че DDoS атаките често са насочени към различни организации и институции, като например онлайн магазини, казина, сайтове за залагания, услуги за игри, медии, образователни и правителствени институции и онлайн образование. Важно е да се отбележи, че DDoS атаката се различава от хакерската атака срещу уебсайт, тъй като при нея не се нарушава кодът, а само се създава претоварване на сървъра чрез масови заявки, в резултат на което уебсайтът е недостъпен за потребителите.

Какви са опасностите от DDoS атаки

Всяка DDoS атака оказва отрицателно въздействие върху бизнеса ви. Мрежовият канал се наводнява с ненужен трафик. DDoS атаките създават и други последствия в допълнение към недостъпността на сайтовете за клиентите. Например, ако имате платен трафик в облака - можете да претърпите финансови загуби. Дългата недостъпност на сайта води до намаляване на класирането в търсачките и загуба на позиции, а възстановяването в челото изисква усилия. Освен това клиентите, разочаровани от неуспехите при влизане в сайта, могат да загубят доверие във вас и да се обърнат към конкуренти. Също така елементите на ИТ инфраструктурата на компанията не работят правилно, което например прави вътрешната информация уязвима.

DDoS атаките могат да доведат до пълна неизползваемост на системата и да не оставят никакви правно значими доказателства. Това създава сериозни проблеми за предприятията, тъй като те губят приходи поради недостъпност на стоки и услуги.

Видове DDoS атаки

DDoS атаките могат да се различават по отношение на векторите на атаката и целите.

На нива L3-4 на модела OSI

• Изпраща се много SYN заявки за кратко време. Целта е да се претовари опашката за свързване със сървъра на жертвата.
• Сървърът получава много UDP пакети от различни IP адреси.

По отношение на протоколите

• Нападателите атакуват протоколите HTTP, FTP или SMTP. Това затруднява или напълно блокира достъпа до сървъра.
• Хакерите използват отворени DNS сървъри и изпращат фалшиви заявки с невалидни IP адреси.

По уязвимите участъци от инфраструктурата

Атаките, насочени към услуги за удостоверяване, DNS сървъри, VPN мрежи, обратни проксита, защитни стени и други инфраструктурни компоненти, се наричат атаки на приложен слой. При тях се изпращат голям брой заявки, които изискват значителна изчислителна мощност. Атаките на високо ниво на приложния слой изтриват информация, крадат ресурси от сървъра и крадат данни от базите данни.

По отношение на приложенията

Тази атака може да доведе до липса на ресурси за извършване на прости операции. Може да бъде много разрушителна и трудна за откриване, тъй като може да имитира легитимен трафик. Един пример за такива атаки е "Ping of death" (Ping of death) - когато жертвата получава фалшива заявка (пинг), която я "изключва" за всички.

Методи за защита от DDoS

Нека разгледаме ефективни начини за защита на сървъра от DDoS атаки, без да използваме решения, предлагани от хостинг компании, платени услуги или програми.

• Изгответе план за инфраструктурата. Трябва да знаете точно какво и къде се намира, какви сървъри и услуги използвате. Всичко, което не трябва да е достъпно "отвън", трябва да бъде затворено.
• Конфигуриране на защитната стена. Важно е да разрешавате достъп само до надеждни адреси и мрежи.
• Скрийте истинските IP адреси и ги сменяйте периодично. Ако вече сте били атакувани и отблъснати, рискът от нова атака се увеличава.
• Опитайте се да избягвате некриптиран трафик.
• Преминаване от HTTP към HTTPS. Това е важно не само за сигурността като цяло, но и ще ви помогне да организирате сигурен сървър срещу DDoS атаки. Атакуващите няма да могат да преглеждат пакетите ви и да разбират как са формирани, за да ги подменят след това.
• Проверете бизнес логиката си, за да разберете как и къде реалните ви клиенти трябва да правят заявки. Този процес ще ви помогне да разпознаете нелегитимните заявки.
• Ако на един физически компютър има няколко виртуални сървъра, внимателно разпределете ресурсите между тях, така че повреденият сървър да не причини щети на съседните.
• Някои части от кода на сайта може да са лошо оптимизирани и уязвими за атаки. Те трябва да бъдат прегледани и оптимизирани.
• Случва се DDoS атаките да не са лесни за откриване. Ето защо е много важно да се създаде мониторинг на показателите на сървъра: използване на каналите и паметта, натоварване на процесора и работата на отделните компоненти на сайта, които са важни за бизнеса.
• Осигуряване на навременни актуализации на софтуера, включително на операционната система и приложенията. Това премахва уязвимостите.
• Извършвайте редовни проверки на устойчивостта на системата, за да идентифицирате и отстраните възможни уязвимости.
• Съхранявайте резервни копия, така че в случай на DDoS атака, която може да доведе до загуба на данни, да можете да възстановите данните си.

Налични са и полезни инструменти за сигурност. Изборът им зависи от вида на сървъра, операционната система и изискванията за сигурност.

• IPTables - помага за конфигуриране на правила за филтриране на пакети на ниво ядро на Linux. Може да се използва за ограничаване на достъпа до сървъра, блокиране на IP адреси на нарушители и задаване на правила за защита от DDoS атаки.
• CSF е набор от скриптове и помощни програми, които осигуряват допълнителни функции: защитна стена, система за откриване на прониквания (IDS), блокиране на IP адреси, филтриране на трафика и други функции.
• Nginx - поддържа модула limit_conn за ограничаване на броя на едновременните връзки и limit_req за ограничаване на броя на заявките от един IP адрес.

Не забравяйте да използвате скенери за уязвимости за допълнителна защита. Някои от тях са OpenVAS, Nessus, XSSer и Nikto. Те помагат за идентифициране и отстраняване на слабите места в системата ви, като намаляват вероятността от атаки и повишават сигурността

Софтуерни филтри - анализират трафика, прилагат различни алгоритми за откриване на атаки и блокиране на потенциални източници. Използването на софтуерен филтър за "противодействие" на DDoS атаките използва JavaScript, който е недостъпен за ботовете и поради това атаките се "заглушават".

Още няколко съвета

Кеширайте съдържанието си. Това позволява бързо отваряне на страниците, подобрява производителността на уебсайтовете, улеснява достъпа до често търсени данни и смекчава въздействието на DDoS атаките.

Използвайте CDN - разпределена географска мрежа от сървъри, които съхраняват копия на съдържанието, от което се нуждаят потребителите. Това означава, че потребителите не получават съдържание от централен сървър, а от сървъри, които са физически по-близо до тях. С помощта на CDN доставката на съдържание става по-бърза и се намалява натоварването на сървърите, което от своя страна намалява вероятността от успешна DDoS атака и улеснява справянето с нейното възникване.

Как да откриете DDoS атака

• Натоварването на мрежата и обемът на трафика върху портовете за връзка се увеличават.
• Сайтът е бавен или дава грешки 502, 503 и 504.
• Натоварването на оперативната памет и процесора се увеличава рязко.
• Увеличават се заявките към базите данни или вътрешните услуги.
• Многобройни потребителски достъпи до едни и същи файлове или страници, които не съответстват на предмета на уеб ресурса (например имате магазин за дрехи в Перм, но трафикът идва от цял свят).

Методи за откриване на DDoS атаки

Един от основните принципи в борбата с кибератаките е да се следи трафикът. Редовното наблюдение и анализ могат да ви помогнат да идентифицирате навреме аномалиите и да предприемете мерки за защита от злонамерена дейност.

• Внимателен анализ на трафика на уеб ресурси. Можете да го правите сами или да използвате автоматични системи.
• Проследяване на времето за реакция. В ранните етапи на атаката е трудно да се забележи, че сайтът е започнал да се забавя. Препоръчително е редовно да анализирате състоянието на сайта, за да определите какво време за реакция се счита за нормално. Промените в този показател могат да означават DDoS атака.
• Конфигуриране на автоматично уведомяване за атаки. След като определите какъв трафик се счита за нормален, можете да използвате услуги, които да ви уведомяват за всякакви аномалии.
• Задайте ограничител на скоростта, за да ограничите натоварването на съдържанието. Той ще ограничи броя на входящите заявки до стойностите по подразбиране и също така ще проследява пиковете в трафика.
• Проучете минали атаки. Ако вече разполагате с част от данните, използвайте ги, за да откриете нови. Сравнете входящия трафик със съществуващия отпечатък от минали атаки, за да установите прилики или разлики. Дайте на потребителския агент на атакуващия статус 403, който отказва достъп до искания ресурс. Този метод ще бъде ефективен, докато атакуващият не смени потребителския си агент.

Най-ефективният вариант е да използвате всички горепосочени методи. Различните модели за наблюдение ще открият подозрителна дейност на ранен етап и ще увеличат шансовете ви за успех.

Какво да правите по време на атака

Много е важно да запазите спокойствие и да не допускате да изпаднете в паника.
Уверете се, че сайтът наистина е обект на DDoS атака. За да направите това, свържете се с хостера си, разгледайте графиките на натоварването на интерфейса, процесора, активността на диска и т.н. Получете информация за нивото на натоварване на ресурсите и потвърждение за вида на DDoS атаката. Ако сайтът не е защитен от доставчика, свържете се с екипа на хостинга възможно най-скоро.

Имате ли контролен списък за справяне с DDoS атаки и опитен системен администратор? Използвайте всички налични инструменти, за да намалите натоварването на сървъра.

Опитайте се да разберете естеството на атакуващия трафик и неговите цели. Използвайте софтуер за анализ, за да оцените ситуацията.

Ако имате възможност, следвайте тези стъпки:

• Проверете наличността на сайта с check-host, ping-admin, ping.pe и др., както и наличността на сървъра, VPS или хостинга. Възможно е проблемът да не е атака, а например проблем с електрозахранването.
• Почистете журналите за достъп и грешки. Поради големия брой сходни заявки за атака дневниците могат да се запълнят бързо и да причинят проблеми.
• Конфигуриране на ограничение на скоростта на защитната стена. Това е временна мярка за подпомагане на временното изолиране на сървъра от мрежата.
• Променете DNS записите за домейна. Това също е временна мярка.

Ако даден сайт или сървър е недостъпен поради атака, уведомете аудиторията си за проблемите. Създайте табела на сайта с информация за очакваното време на разрешаването им.

Заключение

Редовно наблюдавайте производителността на уеб ресурсите, реагирайте бързо на всякакви аномалии и се погрижете за защитата им. Не забравяйте, че да се преборите сами с мощна DDoS атака е почти невъзможно. Доверете се на надежден хостер, който постоянно следи сайта ви, за да спре най-мощните атаки.