DDoS-атаки: цели, методы и способы нейтрализации

В современном мире понятия «атака» или «нападение» связаны не только с военными действиями или просто драками, и даже не со спортивными играми. Значение перекочевало и в виртуальный мир, где тоже ведутся полномасштабные и разрушительные войны, способные оказывать влияние и на реальный мир.

Одним из методов «ведения боевых действий» в киберпространстве являются DDoS-атаки. Основная их опасность – в блокировании доступа к атакуемым серверам, что может привести к значительным убыткам.

Что такое DdoS-атаки

Грубо говоря, DDoS-атаки – это злонамеренная деятельность, цель которой – лишить систему способности обслуживать посетителей и выполнять свои функции. При проведении атак преступники пользуются либо ошибками программного обеспечения, допущенными разработчиком – так называемыми багами – либо, создают такую нагрузку на сетевой канал, с которой машина не способна справиться в силу нехватки мощности.

В итоге вся система «падает» - то есть, оказывается неспособна к дальнейшей работе, либо же запускается цикличный процесс, забивающий все остальные процессы. Вывести сервер из такого состояния весьма непросто, а простои чреваты уходом посетителей на другие ресурсы и различной степени тяжести убытками.

Способы проведения DdoS-атак

Все DDoS-атаки разделяют на два вида. Первый – это локальные атаки; к ним относят следующие виды зловредных действий:

  • Эксплойты
  • Форк-бомбы
  • Открытие множества файлов одновременно
  • Запуск циклических алгоритмов

Это все неприятно и сжигает ресурсы сервера, однако настоящую опасность представляет второй вид – удаленные DdoS-атаки.

Они так же делятся на два вида согласно Способу проведения. Первый способ – это использование багов программного обеспечения; второй – различные виды флуда.

Флуд – массированная пересылка пакетов на адрес жертвы атаки, целью ставится как канал связи, так и ресурсы машины. При атаке на канал информационный поток попросту забивает всю пропускную возможность, изолируя сервер от легальных запросов. Во втором случае выбирается один из размещенных на сервере сервисов, самый ресурсоемкий, и многократно запрашивается – до тех пор, пока его выполнение не занимает весь доступный ресурс и система не начинает отказывать легальным пользователям в выполнении их запросов.

Если атакующий один, то он с наибольшей вероятностью будет использовать способ удаленного провоцирования багов – зафлудить канал он попросту не сможет, так как современные сервера имеют широкие каналы и большие вычислительные мощности. Плюс современные методы защиты позволяют блокировать пользователя при многократном повторении одной и той же операции, что сводит действие такой DDoS-атаки на нет. Методом флуда пользуются при проведении массовых организованных атак – например, таким образом часто атакуются правительственные сайты во время проведения акций протеста в стране. Такая атака при достаточной численности группы может «завалить» практически любую систему. Единственный способ обезопаситься от нее – это создание системы из нескольких серверов с распределением запросов по ним, однако далеко не всякий владелец сайта может позволить себе такое.

Методы защиты от DdoS-атак

Самый опасный момент в DDoS – это то, что они успешно маскируются под обыденное явление. Сжигание ресурсов сервера или резкий всплеск пользовательской активности, приводящий к блокированию канала – явление нечастое, но вполне обыденное. Яркий пример – сайт twitter.com, сервера которого рухнули под наплывом вполне легальных пользователей после известия о смерти Майкла Джексона. Поэтому кардинальные способы защиты – например, установление ограничений трафика и системных ресурсов для каждого отдельного пользователя – скорее всего попросту приведут к потере клиентов.

Именно поэтому все современные методы защиты направлены в первую очередь на снижение эффективности DDoS-атаки. Например, самый распространенный тип атак – НТТР-флуд. В качестве средств защиты от подобного воздействия применяется тюнингование мерверов и баз данных, увеличение числа одновременных коннектов с базой данных до максимума, использование проверок на «человечность» для минимизаций подключений ботов, а также установка nginx – он будет кэшировать запросы, что поможет серверу выдерживать массированные нагрузки и снизит эффективность DdoS-атак.

Сайт elgreloo.com предлагает вам ознакомиться с рядом универсальных приемов, которые помогут подготовить ваши сервера к любым видам атак и максимально снизить их эффективность.

  1. Сервер должен иметь отдельный административный интерфейс, чтобы вы смогли сохранить доступ даже после забивания канала
  2. Все программное обеспечение должно регулярно обновляться, все необходимые патчи – устанавливаться. Это снизит вероятность обнаружения преступником багов в вашей системе
  3. Административные доступы должны быть скрыты брандмауэром – это не позволит атакующим использовать их в своих целях
  4. На маршрутизаторе сервера установите систему анализа трафика – это позволит заблаговременно узнать о начинающейся атаке

Обратите внимание на то, что эти приему снижают в первую очередь эффективность атак, направленных на ресурсы сервера. Способов защититься от флудерских атак практически нет – только уже упомянутая распределенная сеть серверов, по которой просто «размазываются» потоки данных, или же достаточно широкий сетевой канал – его, в принципе, достаточно, чтобы сделать бессмысленными DDoS-атаки в 90% случаев.

Рекомендуем почитать другие полезные статьи по теме