Как не потерять позиции при DDOS атаке и защитить свой сайт?

DDoS-атаки – одна из самых опасных киберугроз для онлайн-бизнеса. В последнем квартале 2021 г. «Лаборатория Касперского» зафиксировала рекордное количество DDoS-атак за всю историю интернета. Их количество выросло более чем в 4,5 раза по сравнению с таким же периодом 2020 года.

Что такое DDoS атаки и чем они опасны для сайта

В дословном переводе DDoS (Distributed Denial of Service) означает «распределенный отказ в обслуживании». Суть DDoS-атаки состоит в том, что киберпреступники намеренно отправляют слишком большое количество запросов, сайт не справляется с нагрузкой и перестает отвечать. Таким образом, цель атаки – исчерпать ресурс сайта или веб-приложения, сделав его недоступным для пользователей. Чтобы избежать блокировки по IP-адресу, злоумышленники обычно маскируют обратный адрес.

И конечно, DDoS атаки негативно влияют на позиции сайта в органической выдачи (SEO). Вот, что советуют предпринять Google и Яндекс:

• Google: на сайте нужно настроить HTTP-ответ сервера 503 — сервис недоступен. Страницу 503 нужно сделать привлекательной и информативной.
• Яндекс: на сайте нужно настроить HTTP-ответ сервера 429 — слишком много запросов. Таким образом поисковик увидит, что сервер испытывает затруднения с нагрузкой и снизит скорость обхода сайта, при этом страницы не будут удалены из выдачи, позиции сохранятся.

После окончания атаки нужно восстановить код ответа сервера 200 для всех страниц, чтобы поисковики смогли продолжить обходить страницы.

Устройства, которыми управляют хакеры, называют еще «компьютерами-зомби». Часто ими становятся девайсы IoT (internet of Things) – холодильники, микроволновки, смарт-часы и другая техника, имеющая доступ к сети Интернет. Большинство из этих вещей имеют стандартные пароли доступа, которые легко взломать. Этим и пользуются злоумышленники.

В 2016 году был организован ботнет из IoT-устройств. Источником этих атак был ботнет Mirai, который на пике включал 60 000 зараженных девайсов, в частности камеры и маршрутизаторы. В результате атаки пострадали такие сайты, как Airbnb, GitHub, Netflix, Reddit и Twitter.

Еще больше примеров мощных DDoS-атак:

• В 2007 году ботнеты атаковали Эстонию. В течение около 3 недель ботнеты массово рассылали запросы, заваливая сеть Эстонии спамом. Пострадали сфера торговли, банковский сектор, электронные почтовые сервисы.
• В 2012 году хакеры атаковали 6 крупных американских банков. Мощность атаки составила 1,35 Tbps.
• В 2017 году в самой крупной из известных атак мощностью 2.5 Tbps на Google участвовали ботнеты из Китая, которых приписывают к правительственным хакерам. Сервисы Google выдержали атаку, данные пользователей не пострадали.
• В 2018 году под атаку мощностью 1,35 Tbps попал сервис GitHub. Атака вывела из строя сервис на 10 минут. Она была построена не на сети ботнетов, а на использовании уязвимости платформы.
• В 2020 году были атакованы облака Amazon Web Services. Атака мощностью 2.3 Тбит/с длилась три дня. Специалисты компании Amazon посчитали, что каждая минута простоя обошлась бизнесу в 5 600 долларов США.
• В 2021 году атаковали Яндекс. Мощность атаки составила 21,8 млн запросов в секунду на пике. Атака никак не отразилась на работе сервисов Яндекса. Пользовательские данные не пострадали.

Причины возникновения DDoS-атак

От очевидных до не очень: 

• Конкуренция. В этом случае сервер атакуют конкуренты. Сайт перестает работать или плохо реагирует на действия пользователей – трафик и продажи, соответственно, падают;
• Хактивизм. Атака веб-ресурса с целью продвижения политических идей или для привлечения внимания к проблемам общества: социальным или экономическим;
• Мошенничество. Вознаграждение, которое требует злоумышленник за прекращение DDoS-атак, обычно ниже суммы убытков от потерь клиентов. Поэтому владельцы бизнеса часто вынуждены идти на уступки;
• Кража персональных данных. DDoS-атаки могут использоваться как отвлекающий манёвр. Пока IT-специалисты восстанавливают работоспособность системы и принимают защитные меры для отражения атаки, злоумышленники воруют конфиденциальную информацию и финансовые данные;
• Обучение. Злоумышленники могут отрабатывать сложные сценарии атаки на случайных сайтах. Поэтому, как правило, такие атаки кратковременные. 

В конце концов, хакеры не всегда атакуют сайты с определенной целью. Они могут делать это просто так, чтобы развлечься или попробовать свои силы.

Основные типы DDoS атак 

Прежде, чем приступить к борьбе с кибератаками, разберемся, какие они бывают. 

Атаки транспортного уровня	Атака направлена на перегрузку брандмауэра, центральной сети или системы, распределяющей нагрузку. При атаках на таком уровне используется сетевой флуд – злоумышленники создают множество однотипных запросов, которые переполняют канал.
HTTP-флуд	Отправка слишком большого количества HTTP-запросов с целью заполнить канал передачи данных и истощить ресурсы сервера.
ICMP-флуд или smurf-атака	Атакуемый сервер получает множество ICMP-запросов с разных IP-адресов. Этот вид флуда используется преступниками как для перегрузки сервера, так и для подготовки к другой атаке.
SYN-флуд	Одновременный запуск множества TCP-соединений, размещенных в SYN-пакетах, имеющих несуществующий обратный адрес. Сервер отвечает на каждый запрос и ожидает подключения клиента. Преступник игнорирует приглашение и создаёт новые запросы. В итоге очередь на подключение «забивается», и сервер перестает быть доступным.
UDP-флуд	Хакер отправляет UDP-пакетов большого размера на определенные или случайные порты. На обработку запросов и отправку ICMP-ответа затрачивается слишком много ресурсов, что приводит к недоступности сервера.
MAC-флуд	Отправка потока пакетов с пустыми MAC-адресами переполняет память коммутатора и снижает производительность веб-сайта.
Атака уровня инфраструктуры	Атакуется оперативная память, процессорное время, а также подсистема хранения данных на сервере.
Атаки уровня приложений	Атаки на уровне приложений особенно опасны, и их сложно заметить. Пример – имитация просмотра страниц сайта. Хакеры копируют поведение реальных пользователей, что приводит к резкому росту посетителей. В результате элементы инфраструктуры сервера приложений перегружаются и выходят из строя.
DNS-атаки	Такие атаки можно разделить на две категории: Атаки, использующие уязвимости в ПО DNS-серверов. Например, при DNS-спуфинге хакеры меняют IP-адрес в кэше сервера – пользователь попадает на подставную страницу, и его личные данные ворует преступник. Атаки, выводящие из строя DNS-серверы. Браузер не находит IP-адрес нужного узла, и у пользователя не получается зайти на сайт.

Как понять, что вас атакуют

При DDos-атаке на сайт наблюдаются:

• частые сбои в работе серверного ПО;
• значительное увеличение нагрузки на оперативную память и другие компоненты сервера; 
• резкое увеличение входящего трафика; 
• многократное дублирование типовых действий пользователей ресурса, например, скачивание документов с сайта.

Владелец сайта может проанализировать брандмауэр и заметить большое количество спамных запросов. Признаком также считается резкий рост числа запросов не от целевой аудитории.

Способы защиты от DDoS атак

Жертвой DDoS-атак может стать любой бизнес. Согласно исследованиям Qrator Labs, в 2021 году от атак больше всех пострадали розничные сети, сфера образования и компании сегмента e-commerce.  

Наиболее часто встречающийся тип атак – UDP-флуд.

Распределение DDoS-атак по типам

Чтобы снизить риски и потери от DDoS, желательно принять меры по защите сайта или сервера еще на этапе разработки:

• Защита программного кода. В процессе написания прикладных программ нужно учитывать стандарты безопасного кодирования и тщательно тестировать ПО. Это поможет исключить типовые ошибки и уязвимости;
• Своевременное обновление ПО. Постоянное совершенствование ПО не даст злоумышленникам возможность использовать старые методы атаки. Только при обновлении важно предусмотреть возможность сделать откат системы к предыдущей версии на случай, если что-то пойдет не так;
• Ограничение прав доступа. Аккаунты администраторов должны быть защищены регулярно обновляемыми паролями. Также необходимо контролировать, чтобы расширенные права доступа были у ограниченного круга людей;
• Использовать аппаратные средства защиты от DDoS. Аппаратные решения могут устанавливать как сами клиенты, так и провайдеры. Это может быть Impletec iCore, DefensePro или другие продукты. Аппаратные средства защиты от DDoS-атак обычно стоят недешево. Альтернативный вариант покупки дорогостоящего оборудования – обратиться в компанию, которая предлагает услуги по защите сайтов от DDoS-атак;
• Использование специализированных сервисов защиты от DDoS. Есть специализированные сервисы для противодействия DDos-атакам. Например, примитивные сценарии DDoS-атак помогут остановить программы AWS Shield Advanced и King Servers Anti DDoS.

Заключение

К ddos-атакам лучше готовиться заранее, в качестве хостинга использовать крупные датацентры, размещать сайт на выделенном сервере. При DDOS-атаке сервер выходит из строя из-за большого количества запросов. Последствиями успешной атаки могут быть резкое снижение производительности или прекращение работы интернет-ресурса. Кибератаки негативно влияют и на репутацию сайта: как со стороны потенциальных клиентов, так и со стороны поисковиков.

Заметить DDOS-атаку можно по избыточной нагрузке на оперативную память, увеличению одинаковых запросов. Чтобы защитить свой сайт от DDoS-атак, выберите надёжный хостинг-провайдер и примите меры по защите сервера и DNS. При этом защиту важно постоянно совершенствовать – количество DDoS-атак только растет, а хакерские методы становятся еще более изощренными и опасными.