DDoS-атаки

• Общие сведения
• Причины DDoS-атак
• Виды DDoS-атак
• Меры защиты
  • Со стороны хостинга
  • Со стороны пользователя

Общие сведения

DDoS (Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — это атака на сайт или сервер с целью вывести его из строя путем направления множества ложных запросов, из-за которых ресурс становится недоступен реальным пользователям. 

DDoS осуществляется с множества удаленных компьютеров, пользователи которых чаще всего даже не подозревают, что являются участниками атаки. Как правило, организаторам атаки удается воспользоваться той или иной уязвимостью в ПО пользователя и установить на его компьютер вредоносную программу (вирус), тем самым превращая его в так называемого «зомби». Машины-«зомби» получают команду от организатора и начинают массово отправлять запросы к атакуемому ресурсу.

DDoS на один из сайтов на хостинговом сервере «задевает» всех пользователей, размещающихся на нем, в связи с тем, что интернет-канал забивается трафиком, который создает атака.

Причины DDoS-атак

Если в случаях, когда DDoS-атаке подвергается тот или иной государственный ресурс, причинами могут быть политический протест или выражение гражданской позиции, то в ситуациях с атаками на коммерческие сайты и небольшие проекты все гораздо прозаичнее. К основным причинам DDoS можно отнести:

• Стремление нанести урон конкуренту и временно вывести его из строя.
  Зачастую атаки на сайт той или иной компании «заказываются» кем-то из ее недобросовестных конкурентов. Длительная недоступность сайта, вызванная DDoS, может привести к значительным убыткам и оттоку клиентов, что и является целью заказчика атаки.
• Месть, личная неприязнь.
  DDoS-атака может использоваться как способ отомстить владельцу ресурса, как в связи с его профессиональной деятельностью, так и с какими-либо личными обстоятельствами.
• Шантаж, вымогательство средств.
  В таких случаях владелец атакуемого ресурса получает предложение оплатить определенную сумму организатору атаки для ее прекращения.
• Развлечение.
  Это может показаться странным, но DDoS-атака действительно может быть спровоцирована чьим-то желанием развлечься, а также потренировать свои «хакерские» навыки.

Виды DDoS-атак

Существуют разнообразные виды DDoS-атак, но чаще всего мы сталкиваемся со следующими из них:

• HTTP-флуд — атака на определенный домен, находящийся на сервере, множественными http-запросами. Как правило, запросы неоднородны и направлены на динамическую часть ресурса (php-скрипты, каталоги товаров и пр.) для увеличения нагрузки на сервер.
• UDP-флуд — атака UDP-пакетами на IP-адрес сервера. Такие атаки направлены на «забивание» пропускной способности интернет-канала сервера и характеризуются крайне высоким объемом входящего трафика; они могут вызывать переполнение канала всей стойки в дата-центре и, соответственно, недоступность всех размещенных в этой стойке серверов.
• TCP syn-флуд — атака, также направленная на IP-адрес сервера. Атаки такого типа редко достигают большого объема трафика, но позволяют добиться отказа в обслуживании уже при небольшом потоке. Суть их сводится к тому, что сервер получает множество запросов на соединение (SYN-пакетов) с несуществующих адресов, при этом сами соединения не устанавливаются, и очередь подключений оказывается переполненной. Как следствие, последующие соединения, в том числе от реальных пользователей, отбрасываются.

Меры защиты

Со стороны хостинга

Для своевременного выявления DDoS-атак и принятия необходимых мер мы производим круглосуточный мониторинг серверов.

Используемые нами методы защиты направлены, в первую очередь, на обеспечение работоспособности оборудования и доступности ресурсов для большинства клиентов, и в случае если атака на конкретный ресурс угрожает стабильной работе одного или нескольких серверов, он может быть временно заблокирован.

В зависимости от цели, мощности и характера атаки применяются различные меры защиты.

Например, для отражения атаки на отдельный сайт может применяться установка «DDoS-кнопки» на атакуемый домен. Она позволяет при первом посещении сайта пользователем отображать сообщение об атаке; сам же сайт будет загружаться только после нажатия кнопки «ОК». Данная система успешно отражает большинство автоматизированных запросов. 

Для отражения мощных атак мы используем специализированное оборудование от Arbor Networks, предназначенное для обнаружения и обработки сетевых угроз. Arbor позволяет фильтровать все входящие запросы к сайтам, размещенным на атакуемом сервере.

Во время работы системы защиты часть пользователей может наблюдать определенные проблемы с доступом к сайтам, а также сбои исходящих подключений с сервера (подключение к удаленным базам данным, получение данных со сторонних сайтов и пр.), однако, в целом эта мера позволяет обеспечить относительную стабильность сервера в период DDoS, а также определить цель атаки и установить защиту на конкретный ресурс.

О применении любой меры защиты, в том числе включении и выключении фильтрации, вы будете уведомлены на контактный e-mail аккаунта.

Со стороны пользователя

Для защиты от DDoS непосредственно вашего сайта вы можете принять определенные меры самостоятельно.

Самым эффективным методом является установка на сайт системы защиты: информацию о решении от Timeweb см. в статье Защита от DDoS-атак. Подобные сервисы предлагаются и другими компаниями на рынке; более подробную информацию о них вы можете найти в сети Интернет.

Такие системы защиты, как правило, показывают хорошие результаты и позволяют вернуть сайт в работу в течение часа после установки защиты.

Вы можете самостоятельно проанализировать DDoS-атаку, изучив логи доступа к вашим сайтам. Для этого необходимо включить логи доступа в разделе «Логи» панели управления аккаунтом. После включения логи будут доступны в директории сайта (файл access_log).

При необходимости вам также могут быть предоставлены логи доступа к веб-серверу за прошедшие дни; для их получения вам необходимо отправить запрос через раздел «Поддержка».

Для ограничения доступа к сайту с определенных IP-адресов вы можете использовать директивы Require или Deny в файле .htaccess сайта.

В некоторых случаях можно дополнительно ограничить паролем доступ к директории, к которой осуществляются запросы. Наиболее эффективно это можно сделать через файловый менеджер панели управления аккаунтом (выбрать директорию — меню «Файл» — «Пароль на директорию»).