Защита от ddos атак опросник. Новая услуга: защита от DDoS-атак. Система защиты от DDoS

  • Глобальная сеть центров очистки трафика
  • Безупречная интеграция без необходимости покупки дополнительного оборудования
  • Защита от самых сложных и крупномасштабных атак
    • Как DDoS-атака может повлиять на работу вашей организации?

      DDoS-атака (Distributed-Denial-of-Service) - один из самых распространенных видов кибератак. Ее цель - довести информационную систему предприятия-жертвы (например, веб-сайт или базу данных) до такого состояния, при котором легитимные пользователи не могут получить к ней доступ.

      Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики.

      Сделала ли ваша компания все возможное, чтобы обеспечить эффективную защиту от DDoS-атак?

    • Защита онлайн-операций вашей компании

      Сегодня онлайн-операции играют все более важную роль в ежедневном взаимодействии организации с ее клиентами, поставщиками и сотрудниками. В этих условиях ни одна компания не может игнорировать угрозу, исходящую от DDoS-атак. Онлайн-услуги вашей компании, как и вся ее IT-инфраструктура, слишком важны для бизнеса, чтобы оставить их без надежной защиты.

      • Ваши клиенты становятся более требовательными
      • Им нужен постоянный доступ к продуктам и услугам – а это значит, что для обеспечения высокого качества обслуживания клиентов вы не должны допускать простоев в работе своих онлайн-ресурсов.
      • Вашим сотрудникам необходим стабильный доступ к ключевым сервисам
      • Многие сотрудники не могут выполнять свои рабочие задачи, если какая-либо из систем компании выведена из строя DDoS-атакой.
      • Атака может иметь далеко идущие последствия

      Несмотря на то, что атака может быть нацелена на конкретный элемент IT-инфраструктуры компании, она в состоянии повлиять и на другие области вашего бизнеса. Например, атака против внутренних систем банка может также вывести из строя его сеть банкоматов.

    • Финансовый и репутационный ущерб

      Прямые финансовые затраты на восстановление систем после DDoS-атаки могут быть весьма велики, а ущерб, нанесенный репутации компании, будет напоминать о себе еще долгое время.

      Возможный ущерб

      • Прямые финансовые затраты
      • Незавершенные онлайн-операции по продажам – во время периода вынужденного простоя
      • Неосуществленные банковские транзакции – и, как следствие, возможные штрафы
      • Ущерб репутации
      • Негативная огласка, которая отпугивает как существующих, так и потенциальных клиентов
      • Ущерб бренду – на восстановление репутации могут потребоваться годы
    • Дополнительный ущерб

      Всякий раз, когда клиенты слышат о любом «нарушении безопасности» (в том числе о DDoS-атаке), они начинают беспокоиться о том, что их конфиденциальная информация, банковские данные и номера кредитных карт окажутся под угрозой. Несмотря на то, что эти страхи могут быть совершенно беспочвенны, в результате бизнес все равно несет убытки.

    • Масштаб угроз

      К сожалению, за последние годы затраты на организацию DDoS-атак существенно снизились, а объем таких атак значительно возрос.

      Поэтому коммерческим предприятиям и государственным организациям необходимо иметь представление о возможных угрозах и принимать упреждающие меры для защиты от DDoS-атак.

    • Вчерашняя защита не защитит вас от сегодняшних угроз

      Масштабы и сложность DDoS-атак возросли. Для компаний это означает следующее.

      • От современных атак гораздо сложнее защититься
      • Восстановить бизнес после таких атак значительно труднее

      За счет своего масштаба современные DDoS-атаки очень быстро парализуют IT-инфраструктуру компании-жертвы. Во время подобной атаки запросы посылаются со скоростью 80–100 Гб в секунду, забивая таким образом пропускной канал корпоративной сети за считанные секунды.

      Все это означает, что методы предотвращения DDoS-атак, которые были эффективны еще несколько лет назад, больше не обеспечивают адекватную защиту. Теперь компании могут оградить себя от таких атак, только используя специальные защитные сервисы.

    • Как DDoS-атаки парализуют работу компаний

      У хакеров есть множество способов вызвать перегрузку IT-инфраструктуры атакуемой компании, чтобы вызвать так называемый «отказ в обслуживании». Наиболее частые типы атак:

      • Объемные атаки
        Цель таких атак – заблокировать корпоративный интернет-канал за счет создания объема трафика, значительно превышающего его пропускную способность.
      • Атаки на приложения и инфраструктуру
        В ходе атак на приложения злоумышленники пытаются вывести из строя серверы, где размещены ключевые приложения, например, веб-серверы, от работоспособности которых зависят онлайн-операции вашей компании. Другие инфраструктурные атаки быть нацелены на ваше сетевое оборудование и/или серверные ОС.
      • Гибридные атаки
        Киберпреступники также могут проводить сложные атаки, сочетающие в себе элементы объемных атак и атак на приложения и инфраструктуру. Такие атаки особенно опасны, и от них сложнее всего защититься.
    • Основы защиты от DDoS-атак

      Чтобы обеспечить адекватную защиту бизнеса, требуется надежной решение для предотвращения DDoS-атак, позволяющее:

      • как можно быстрее обнаружить новую атаку
        Цель: обеспечить защиту бизнеса сразу после начала атаки.
      • как можно быстрее устранить последствия атаки
        Цель: минимизировать любые сбои (или полностью исключить их) в проведении деловых операций
    • Решение «Лаборатории Касперского»

      Kaspersky DDoS Protection – полностью интегрированное решение, включающее все необходимое для надежной защиты вашего бизнеса от DDoS-атак:

      • Специальное приложение-сенсор* – для установки в вашей IT-инфраструктуре
      • Доступ к отказоустойчивой распределенной сети центров очистки трафика
      • Расширенные аналитические данные о последних DDoS-атаках
      • Услуги нашего Центра обеспечения безопасности
      • Расширенная поддержка – включая прямой доступ к экспертам по защите от DDoS-атак
      • Анализ и отчеты по результатам имевших место атак
      • Все эти услуги предоставляются в рамках Соглашения о сервисном обслуживании

      *Приложение-сенсор работает на стандартной серверной ОС x86 или на виртуальной машине. Если вам нужен сервер, его предоставит один из партнеров «Лаборатории Касперского».

    • Как мы защищаем ваш бизнес

      Kaspersky DDoS Protection обеспечивает надежную защиту вашего бизнеса от DDoS-атак – начиная с анализа трафика в режиме 24x7, отправки уведомлений о возможной атаке и последующего перенаправления трафика, его очистки и возврата «очищенного» трафика на ваш веб-сайт и заканчивая предоставлением отчета с результатами анализа прошедшей атаки.
      В отличие от систем других производителей, решение «Лаборатории Касперского» противодействует DDoS-атакам по двум направлениям:

      • Специальная защитная инфраструктура – приложение-сенсор, устанавливаемое в вашей инфраструктуре, и распределенная глобальная система очистки трафика, принадлежащая «Лаборатории Касперского»
      • DDoS-аналитика «Лаборатории Касперского» (Kaspersky DDoS Intelligence) – мониторинг ботнет-активности для раннего обнаружения DDoS-атак
    • Приложение-сенсор

      «Лаборатория Касперского» предоставляет специальное приложение-сенсор, которое устанавливается в вашей IT-инфраструктуре и немедленно начинает собирать статистику и формировать профили использования защищаемого ресурса.

      Это приложение осуществляет мониторинг трафика, постоянно накапливая статистические данные и данные поведенческого анализа, и непрерывно совершенствует алгоритмы выявления даже незначительных аномалий, которые могут свидетельствовать о начале DDoS-атаки.

      Поскольку приложение-сенсор работает на стандартном сервере x86 или на виртуальной машине, вам не потребуется приобретать и обслуживать работу какого-либо дополнительного оборудования.

    • Центры очистки

      В случае DDoS-атаки мы уведомляем вас об инциденте и предоставляем возможность перенаправить ваш трафик в центры очистки «Лаборатории Касперского», чтобы получить обратно только чистый трафик.

      «Лаборатория Касперского» создала и поддерживает распределенную сеть центров очистки, которая позволяет предоставить клиентам эффективную и отказоустойчивую систему очистки трафика.

    • Анализ DDoS-атаки

      Антивирусные эксперты «Лаборатории Касперского» используют сложные методы мониторинга DDoS-угроз, что позволяет обеспечить ранее обнаружение DDoS-атак.

      Производители традиционных систем предотвращения DDoS-атак не имеют специализированных подразделений, занимающихся аналитикой этого типа угроз, поэтому они не способны обеспечить проактивную защиту вашей компании.

    • Автоматическая защита и защита по требованию

      В рамках KDP Connect или Connect+ отражение DDoS-атак происходит в автоматическом режиме. Параллельно эксперты немедленно проводят детальное исследование атаки и вносят коррективы, учитывая мощность DDoS-атаки, ее тип и сложность. KDP Control позволяет вам самостоятельно определить, когда следует перенаправить трафик на центры очистки для отражения DDoS-атаки.

    • Выбор оптимального уровня защиты

      «Лаборатория Касперского» предлагает три уровня решения, которые вы можете выбрать в зависимости от ваших целей, ресурсов и сетевой инфраструктуры:

      • KDP Connect – перенаправление трафика изменением DNS-записи в режиме Always On (постоянная защита), доставка очищенного трафика осуществляется через прокси-сервер, GRE-туннели или через выделенную линию.
      • KDP Connect + – перенаправление трафика средствами протокола BGP в режиме Always On (постоянная защита), доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию.
      • KDP Control – перенаправление трафика средствами протокола BGP в режиме On Demand (защита по требованию), доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию
    • Преимущества решения «Лаборатории Касперского»

      Защита от самых сложных DDoS-атак не должна отвлекать специалистов вашего IT-департамента и службы безопасности от решения актуальных для бизнеса задач.

      Если вы используете Kaspersky DDoS Protection, «Лаборатория Касперского» полностью берет на себя защиту вашей компании от DDoS-атак.

    • Эксперты против хакеров

      Практически каждая DDoS-атака характеризуется следующими чертами:

      • Хакеры исследуют свою мишень
        Злоумышленники предварительно оценивают уязвимости в онлайн-сервисах компании-жертвы и затем выбирают наиболее эффективные инструменты для проведения целевой атаки.
      • Киберпреступники корректируют свою тактику
        Хакеры отслеживают ход атаки и в режиме реального времени меняют тактику и используемые инструменты, чтобы нанести атакуемой организации максимальный ущерб.

      Поскольку практически любой DDoS-атакой управляют реальные люди, эксперты «Лаборатории Касперского» по защите от DDoS-атак также работают в режиме реального времени, чтобы обеспечить максимально эффективную защиту и свести к минимум возможный ущерб для вашего бизнеса.

    • Встроенное защитное устройство – за и против

      Некоторые производители предлагают использовать гибридную защиту, сочетающую встроенное устройство и удаленные центры очистки. При этом трафик компании постоянно проходит через встроенное устройство, которое обеспечивает определенный уровень защиты от небольших атак, а перенаправлять трафик в центры очистки предлагается только в случае более масштабных атак. Однако подавляющее большинство современных атак способно в течение нескольких секунд забить как пропускной канал встроенного устройства, так и интернет-канал атакуемой организации. В связи с этим гибридный подход очевидно устарел – он может привести к простоям до того, как трафик будет перенаправлен в центр очистки.

      Kaspersky DDoS Protection использует сенсор, который постоянно производит мониторинг вашего трафика, не прерывая его. Как только сенсор детектирует потенциальную атаку, вы можете перенаправить весь трафик в один из центров очистки «Лаборатории Касперского».

      Решение «Лаборатории Касперского» не подразумевает использования каких-либо встроенных устройств. Благодаря этому:

      Вы сами принимаете решение о перенаправлении трафика в центр очистки
      Снижается количество ложных срабатываний

    • Более высокая степень прозрачности – для формирования полной картины

      Хотя никто не в силах предотвратить атаки киберпреступников на ваш бизнес, «Лаборатория Касперского» может обеспечить быстрое реагирование на любую DDoS-атаку, полноценную защиту от нее и оперативное устранение последствий. После завершения атаки мы предоставим вам ее детальный отчет, включающий следующие данные:

      • Подробный анализ инцидента
      • Продолжительность атаки
      • Каким образом решение Kaspersky DDoS Protection справилось с атакой
    • Почему «Лаборатория Касперского»

      Kaspersky DDoS Protection сочетает три метода защиты от DDoS-атак:

      • Статистический анализ вашего онлайн-трафика помогает нам формировать профили трафика и детектировать любые отклонения в нем
      • Поведенческий анализ отслеживает действия посетителей вашего веб-сайта, что позволяет выявлять любую аномальную активность
      • Экспертный анализ (Kaspersky DDoS Intelligence) повышает уровень обнаружения
    • Всесторонняя защита

      Некоторые производители обеспечивают защиту от объемных атак, другие специализируются на защите от атак на приложения. «Лаборатория Касперского» эффективно блокирует и устраняет последствия всех типов DDoS-атак, включая:

      • Объемные атаки
      • Атаки на приложения
      • Инфраструктурные атаки на сетевое оборудование и серверные ОС
      • Гибридные атаки

      Таким образом, какой бы метод атаки ни использовали злоумышленники, Kaspersky DDoS Protection обеспечивает надежную защиту вашего бизнеса.

    • Уникальные экспертные знания (Kaspersky DDoS Intelligence)

      Поскольку современные DDoS-атаки стали гораздо более изощренными, для защиты от них необходимо использовать аналитический подход. Ни один другой производитель решений для защиты от DDoS-атак не обладает нашими знаниями в области IT-безопасности, и не имеет выделенной команды специалистов, занимающихся анализом таких атак.

      Будучи одним из ведущих производителей решений для защиты от вредоносного ПО, мы можем обеспечить уникальное сочетание статистического анализа, поведенческого анализа и экспертного анализа DDoS-атак для обеспечения всесторонней защиты вашего бизнеса.

    • Эффективное обнаружение угроз

      Некоторые производители могут обеспечить только общий мониторинг всего интернет-канала, но решение «Лаборатории Касперского» способно выполнять детальный анализ, эффективно выявляя даже небольшие отклонения в вашем трафике и поведении пользователей.

      Мы также используем специальные методы, позволяющие осуществлять фильтрацию трафика в максимальной близости от источника атаки.

    • Комплексный подход к защите

      Все компоненты решения «Лаборатории Касперского» для защиты от DDoS-атак разработаны собственными специалистами компании, поэтому:

      • Мы полностью контролируем цикл разработки
      • Мы можем более оперативно реагировать на изменения в характере DDoS-атак

      Наша команда экстренного реагирования на DDoS-атаки тесно сотрудничает с разработчиками защитных решений «Лаборатории Касперского». Это, в частности, позволяет оперативно вносить изменения в программные модули для обеспечения эффективной защиты от новых видов атак на приложения.

Она предназначена для пользователей услуг «Выделенный сервер» и «Размещение сервера», а также для клиентов, арендующих серверные стойки.
О том, как будет обеспечиваться защита, мы подробно расскажем в этой статье.

DDoS-атаки: краткая справка

Аббревиатура DDoS означает Distributed Denial of Service - распределённая атака на отказ в обслуживании. DDoS-атакой называется нарушение функционирования атакуемой машины путём отправки на неё запросов с многочисленных хостов.

Как правило, DDoS-атаки осуществляются через ботнет - сеть компьютеров, на которых установлено вредоносное ПО (это называется зомбификацией).

Некоторые виды атак могут осуществляться и без ботнета (например, UDP-флуд).

Более подробно на вопросах классификации DDoS-атак мы останавливаться не будем - заинтересованный читатель без труда может найти в Интернете многочисленные материалы по этой тематике. Гораздо больший интерес для нас представляют существующие методики защиты от DDoS. Их мы рассмотрим ниже.

Методы защиты от DDoS

Методы защиты от DDoS-атак подразделяются на две большие группы: методы предупреждения и методы реагирования.

Для предотвращения DDoS-атак обычно используются аппаратные методы защиты периметра сети - файервол в сочетании с системой обнаружения вторжений (Intrusion Detection Systems, IDS). Однако защиты в строгом смысле этого слова они не обеспечивают.

DDoS-атаку вполне возможно организовать и в рамках разрешённых файерволом пакетов. Что касается IDS, то они обычно работают в рамках сигнатурного и статистического анализа, сравнивая входящие пакеты с существующими шаблонами трафика. Если атака осуществляется путём рассылки обычных сетевых пакетов, которые по отдельности вредоносными не являются, не все IDS смогут её обнаружить.

Кроме того, и файерволы, и IDS зачастую являются устройствами с контролем сессий, поэтому сами могут стать объектом атаки.

Эффективным средством минимизации простоя при DDoS-атаках является многократное резервирование - организация кластеров из серверов, размещённых в разных дата-центрах и подключенных к разным каналам связи. Если один из компонентов такой системы будет выйдет из строя, клиенты будут перенаправлены к работающим серверам. Этот метод имеет только один недостаток: построение распределённого кластера с многократным резервированием требует очень больших финансовых затрат.

Методы реагирования используются в ситуации, когда атака уже началась и её нужно остановить (или, по крайней мере, минимизировать её последствия).
Если целью атаки является единичная машина, то можно просто сменить её IP-адрес. Новый адрес затем можно давать лишь самым надёжным внешним пользователям. Такое решение вряд ли можно назвать идеальным, но оно вполне действенно.

В некоторых случаях помогают методики фильтрации. Проанализировав вредоносный трафик, можно обнаружить в нём определённую сигнатуру. На основе результатов анализа можно строить ACL маршрутизатора или правила файервола.
Кроме того, большая часть атакующего трафика часто поступает от конкретного провайдера или магистрального маршрутизатора. В такой ситуации возможным решением является блокировка направления, из которого поступает сомнительный трафик (следует, однако, учесть, что легитимный трафик в этом случае тоже будет заблокирован).

Если ни один из перечисленнных выше методов не помогает и ничего сделать больше нельзя, используется так называемый блэкхолинг - перенаправление трафика на несуществующий интерфейс (в «чёрную дыру»). Как правило, это приводит к тому, что атакуемый сервер в течение некоторого времени является недоступным из внешней сети. Уже по этой причине блэкхолинг вряд ли можно назвать полноценным способом защиты: по сути он лишь помогает организаторам атаки быстрее достигнуть свой цели - сделать атакуемый ресурс недоступным.

В последние годы широкое распространение получили комплексные программно-аппаратные решения для защиты от DDoS. Их преимущество заключается в том, что они могут не пропускать вредоносный трафик, не создавая при этом проблем с доступностью атакуемого сервиса для легитимных пользователей. На рынке представлены программно-аппаратные комплексы для защиты от DDoS от компаний Cisco, Arbor Networks, F5, Juniper и других.

На базе специализированного программно-аппаратного комплекса реализована и наша услуга защиты от DDoS. Она оказывается совместно с нашими партнёрами - компанией Servicepipe .

Система защиты от DDoS

Используемая система защиты от DDoS включает не один, а несколько программно-аппаратных комплексов, в том числе Arbor Pravail и F5. Очистка и анализ трафика осуществляются непосредственно в сети при помощи специализированных программных инструментов.

Эта система обеспечивает защиту от следующих видов атак:

  • TCP-флуд;
  • SYN-флуд;
  • нелигитимные комбинации TCP-флагов;
  • атаки на TCP-сессии типа TCP Idle, Slow TCP и другие;
  • атаки на HTTP-сессии (Slowloris, Pyloris и т.п.);
  • HTTP-флуд;
  • DNS-флуд;
  • DNS Cache Poisoning;
  • UDP-флуд;
  • ICMP-флуд;
  • атаки IP-, TCP и UDP-фрагментами;
  • атаки на VoIP и SIP.

В случае обнаружения атак могут быть использованы следующие противомеры:

  • Invalid packet List - фильтрация пакетов, не соответствующих RFC;
  • создание чёрных и белых список IPv4- и IPv6-адресов;
  • GeoIP Filter Lists - фильтрация трафика по странам (блокирует трафик из стран, откуда приходит наибольшее число DDoS-атак).
    GeoIP Policing - полисинг трафика по странам (мониторинг входящего трафика и ограничение трафика из стран, откуда приходит наибольшее количество DDoS-атак);
  • Flexible Zombie Detection - выявление зомби и создание профилей легитимного трафика;
  • TCP SYN Authentication - противодействие TCP-флудам посредством аутентификации клиента;
  • DNS Authentication - противодействие DNS-флудам посредством аутентификации клиента;
  • DNS Scoping - валидация DNS-запросов с помощью регулярных выражений;
  • DNS Malformed - проверка DNS-запросов на соответствие RFC;
  • DNS Rate Limiting - ограничение количества DNS-запросов с одного IP-адреса (подойдёт лишь для ресурсов с небольшой посещаемостью: в нашей стране провайдерами очень часто используется NAT. Вполне типичным является случай, когда «серая» подсеть /16 выходит в Интернет через один IP, и все DNS-запросы идут с одного адреса);
  • DNS NXDomain Rate Limiting - валидация DNS-ответов. Эта противомера предназначена для атак, при которых кэш DNS-серверов переполняется невалидными записями; она направлена на отслеживание запросов с несуществующим DNS-именем;
  • DNS Regular Expression - фильтрация DNS-запросов по регулярным выражениям;
  • TCP Connection Reset - предотвращение слишком долгих TCP-соединений;
  • Payload Regular Expression - фильтрация трафика посредством регулярного выражения применительно к Payload- пакетам;
  • HTTP Malformed - блокирование HTTP-трафика, не соответствующего RFC;
  • HTTP Rate Limiting - ограничение количества HTTP-запросов с одного IP-адреса;
  • HTTP Scoping - валидация HTTP-запросов с помощью регулярных выражений;
  • SSL Negotiation - блокирование SSL-трафика, не соответствующего RFC;
  • AIF and HTTP/URL Regular Expression - наложение сигнатур AIF на исследуемый трафик;
  • SIP Malformed - блокирование SIP-трафика, не соответствующего RFC;
  • SIP Request Limiting - ограничение количества SIP-запросов с одного IP-адреса.
Как это работает

Клиентам, заказывающим услугу защиты от DDoS, мы предоставляем защищённые IP-адреса (один адрес входит в базовый тариф, дополнительные адреса можно заказать через панель управления). Также мы выделяем специальную полосу для защищённого трафика. Трафик из Интернета идёт на защищённые адреса через сеть наших партнёров, где и проходит процедуру очистки.
Весь нелегитимный трафик отбрасывается на сети партнёра. Клиентам поступает только очищенный трафик. Исходящий трафик при этом попадает в интернет через инфраструктуру Selectel.

Маршрут движения очищенного трафика показан на следующей схеме:

Преимущества

В числе преимуществ нашей системы защиты от DDoS нужно в первую очередь выделить следующие:

  • быстрое подключение: полная настройка защиты от DDoS занимает 1 - 2 рабочих дня;
  • доступные цены и прозрачная схема тарификации: оплате подлежит только входящий очищенный трафик;
  • отсутствие необходимости сложной настройки на стороне клиента: достаточно просто прописать защищённый IP-адрес алиасом или на loopback-интерфейс;

Услуга уже доступна для заказа в панели управления (раздел «Услуги сети»).
При заказе вам нужно будет заполнить специальный опросник и указать следующее:

  • основную цель использования сервера;
  • количество IP-адресов, которые необходимо защитить;
  • желаемые меры по защите от DDoS.

На основе представленной информации мы выстроим оптимальную стратегию защиты с учётом специфики конкретных проектов.

Для самых популярных вариантов использования сервера (веб-сервер, сервер приложений, DNS-сервер) мы подготовили специальные шаблоны защиты, подходящие для большинства клиентов.

«Защита от DDoS» - услуга новая, и для её дальнейшего развития нам очень важно получать обратную связь от клиентов. Будем признательны за любые замечания, предложения и пожелания. Наиболее интересные идеи мы постараемся учесть в дальнейшей работе.

DoS (от англ. Denial of Service - отказ в обслуживании) - атака на вычислительную систему (обычно совершенная хакерами) с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён.

В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик. Стоимость организации атаки ничтожно мала. Атака в 10Gbit/s длительностью в час стоит около 50 долларов/евро, и ее может организовать любой желающий, зашедший на специальный хакерский сервис в интернете. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В современных условиях в DDoS атаки вовлекают не только компьютеры, но и другие потребительские приборы с выходом в интернет.

Первым делом злоумышленник сканирует сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме. Теперь эти компьютеры называются компьютерами-зомби: их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки.

Далее злоумышленник отправляет определенные команды захваченным компьютерам, и те, в свою очередь, осуществляют мощную DoS-атаку на целевой интернет-сервис. В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, расположенный на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

По методу воздействия различают:

DDoS-атаки сетевого уровня (L3-4) , которые ограничивают работу серверного оборудования или нарушают работу программного обеспечения за счёт уязвимости протоколов.

DDoS-атаки на уровне приложений (L7) , которые атакуют «слабые» места интернет-сайта, действуют направленно, отличаются минимальным потреблением ресурсов, преобладают по количеству и требуют сложного и дорогостоящего «противоядия».

Хотелось бы поговорить с вами на актуальную нынче тему, а именно - про DDoS и методы борьбы с ним. Рядовые администраторы знают, что это такое, а вот для большинства вебмастеров это аббревиатура остается загадкой до того момента пока они на личном опыте не столкнуться с этой неприятностью. Итак, DDoS - это сокращение от Distributed Denial of Service (распределенный отказ в обслуживании), когда тысячи зараженных компьютеров отправляют на сервер множество запросов, с которыми он, в последствии, не может справиться. Целью DDoS атаки является нарушение нормальной работы сервера, а в дальнейшем - «падение» сайта или сервера целиком.

Как же от этого защититься? К сожалению, универсальных мер защиты от DDoS-атак до сих пор не существует. Тут необходим комплексный подход, который будет включать меры аппаратного, программного и даже организационного характера.

Программно-аппаратные системы от сетевого гиганта Cisco являются наиболее эффективными, но за них вам придется порядочно раскошелиться.

Для защиты IIS серверов можно воспользоваться (программным) решением от компании Microsoft, но, зная щедрость этой компании, можно догадаться, что они тоже далеко не бесплатные.

В настоящее время, заказные DDoS-атаки превратились в выгодную и активно развивающуюся нишу сетевой преступности. Поискав в Google, можно найти десятки предложений от «специалистов» по устранению сайта конкурентов.

Какие же основные принципы по защите от DDoS? В первую очередь, не нужно привлекать к себе (своему сайту) лишнее внимание радикально настроенной общественности, публикуя контент, способный задеть расовые, национальные или религиозные чувства каких либо индивидов.

Если же вас «заказали», или вы не послушались предыдущего совета, будьте начеку - аппаратные ресурсы веб-сервера обязательно должны иметь некоторый резерв производительности, а распределенные и дублирующие системы - построены максимально эффективно. Без понимания принципов работы DDoS, эффективную защиту построить просто невозможно. Для осуществления DDoS-атак используется большое количество компьютеров, зараженных вредоносным кодом. Эти компьютеры объединяются в ботнеты (“bot-net” - сети зомби-машин), которые по приказу злоумышленника осуществляют DDoS-атаки, причем владельцы компьютеров зачастую даже не подозревают об этом.

Мы , как хостинг-компания, сталкиваемся с DDoS-атаками на сайты наших клиентов ежедневно и имеем некоторый опыт в борьбе с ними. Как было сказано выше, универсальных мер защиты попросту нет, но атаку все же можно отразить. Предположим, что на некий сайт (пусть это будет domain.ru) идет DDoS атака. По логам видно, что большое количество GET запросов идет на главную страницу. В большинстве таких случаев, ботов можно обмануть воспользовавшись javascript-редиректом. К примеру:


window.location = "domain.ru/index.php"

Как результат - с каждым разделом, который атакован GET запросом прямо в корень, размер файла получится всего несколько байт, что гораздо лучше, чем когда бот соприкасается c ~50-100кб страницей и при этом подтягивает ~5-10 SQL запросов. Легитимные же пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

Но есть одно большое НО – поисковые-боты тоже не оборудованы js-интерпретаторами и точно так же, как и атакующие боты, будут утопать в js редиректе. Можно, воспользовавшись такими UNIX утилитами как tcpdump или netstat, написать небольшой скрипт, который будет считать кол-во коннектов с определенного IP адреса, и банить его.

Определить бота можно, например, проверив его host. Небольшой пример элементарного скрипта по блокировке IP, которые создают много коннектов к серверу (данный вариант проверялся на Centos 5.6):

Запись в crond

*/1 * * * * netstat -an | grep tcp | awk "{print $5}" | cut -d: -f1 | sort -n | uniq -c > /var/log/ip.list

Данная команда создает список с кол-вом подключений и самим IP, пример:

10 209.232.223.117
1 209.85.161.191
2 212.113.39.162
1 212.78.78.78
61 213.142.213.19
5 213.151.240.177
1 210.169.67.225
1 216.179.59.97

Сам скрипт, который можно запустить в screen-е или сделать демоном:

#!/bin/bash
connects=150 /dev/null 2>&1
then
// если в имени хоста есть слово google (у гугло-ботов это слово присутствует)
if echo $hostname | grep "google" > /dev/null 2>&1
then
// то добавляем его в белый список и делаем запись в лог
echo "$ip" >> /etc/white.list
echo `date +%H:%M_%d-%m-%Y` $ip "- ADDED TO WHITE LIST AS $hostname SEARCH BOT IP" >> /var/log/ddos_log
else
// если не гугл - блочим
route add $hostname reject
fi
fi
fi
done < /var/log/ip.list

Давайте также посмотрим и на настройки параметров Apache, которые помогут избежать некоторых проблем вызванных DDoS атакой.

TimeOut – указывайте как можно меньшее значение для данной директивы (веб сервера, который подвержен DDoS атаке).

KeepAliveTimeout директива – также нужно снизить ее значение или полностью выключить.

Стоит обязательно проверить значения различных тайм-аут директив представленные другими модулями.

Директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody должны быть тщательно настроены на ограничение потребления ресурсов вызванных запросами клиентов.

Убедитесь, что вы используете директиву AcceptFilter (на ОС которые поддерживают ее). По умолчанию она включена в конфигурации Apache httpd, но для своей работы может потребовать пересборку с новыми настройками ядра вашей ОС (*nix, *bsd).

Используйте директиву MaxClients, чтобы указать максимальное количество клиентов, которые смогут быть одновременно подключены к серверу - уменьшив значение директивы вы сможете снизить нагрузку на web-сервер.

Защитится от DDoS можно и на программном уровне. В этом вам поможет бесплатный скрипт – DDoS Deflate. С его помощью можно легко избавится от детского флуда и DDoS. Скрипт использует команду «netstat» для обнаружения DDoS и флуда, после чего блокирует IP адреса вредителей с помощью фаервола iptables или apf. Но не стоит расслабляться и считать, что слабый DDoS не сможет нанести ущерб вашему серверу. Возьмем, к примеру, что атакующих зомби-машин всего 10-50, но все они с толстыми каналами, а Вы, как назло, уехали в командировку, или у вас десятки (а то и сотни) серверов, и Вы не успеваете физически “мониторить” их все. В таком случае, даже небольшое количество машин сможет “зафлудить” канал или заставить выйти из строя вебсервер apache, mysql, etc. Другое дело, когда администратор круглосуточно “мониторит” сервер и с легкостью обнаруживает атаки. Но такое бывает крайне редко, поэтому нужно подключить систему сигнализации, а процесс блокировки атакующих зомби-машин - автоматизировать.

P.S. Статья была прислана мне юзером . Вопросы по статье, рекомендации по следующим статьям и интересующим темам и вопросам просьба присылать ему.

Спасибо за внимание!

Заголовки новостей сегодня пестрят сообщениями о DDoS-атаках (Distributed Denial of Service). Распределенным атакам «отказ в обслуживании» подвержены любые организации, присутствующие в интернете. Вопрос не в том, атакуют вас, или нет, а в том, когда это случится. Государственные учреждения, сайты СМИ и электронной коммерции, сайты компаний, коммерческих и некоммерческих организаций – все они являются потенциальными целями .

Кого атакуют? По данным ЦБ, в 2016 году количество на российские финансовые организации увеличилось почти вдвое. В ноябре DDoS-атаки были направлены на пять крупных российских банков. В конце прошлого года ЦБ сообщал о DDoS-атаках на финансовые организации, в том числе Центральный банк. «Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры», - отмечали в службах безопасности крупных банков.

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Однако жертвами DDoS-атак становятся как многочисленные организации и компании, на обладающие столь мощной «обороной». В 2017 году ожидается рост ущерба от киберугроз – программ-вымогателей, DDoS и атак на устройства интернета вещей.


Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.


По данным отчета «2016 Verizon data breach incident report» (DBIR), в прошлом году количество DDoS-атак заметно выросло. В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ, ритейл.

Примечательная тенденция DDoS-атак – расширения «списка жертв». Он включает теперь представителей практически всех отраслей. Кроме того, совершенствуются методы нападения.
По данным Nexusguard, в конце 2016 года заметно выросло число DDoS-атак смешанного типа - с использованием сразу нескольких уязвимостей. Чаще всего им подвергались финансовые и государственные организации. Основной мотив кибепреступников (70% случаев) – кража данных или угроза их уничтожения с целью выкупа. Реже – политические или социальные цели. Вот почему важна стратегия защиты. Она может подготовиться к атаке и минимизировать ее последствия, снизить финансовые и репутационные риски.

Последствия атак Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.


По данным опроса компании HaltDos , DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.


Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.


По данным опроса компании HaltDos , количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час. Типы DDoS-атак Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Организация DDoS-атак заметно упростилась: сейчас есть широко доступные автоматизированные инструменты, практически не требующие от киберпреступников специальных знаний. Существуют и платные сервисы DDoS для анонимной атаки цели. Например, сервис vDOS предлагает свои услуги, не проверяя, является ли заказчик владельцем сайта, желающим протестировать его «под нагрузкой», или это делается с целью атаки.


DDoS-атаки представляют собой атаки из многих источников, препятствующие доступу легитимных пользователей к атакуемому сайту. Для этого в атакуемую систему направляется огромное количество запросов, с которыми та справиться не может. Обычно для этой цели используются скомпрометированные системы.

Ежегодный рост количества DDoS-атак оценивается в 50% (по сведениям www.leaseweb.com), но данные разных источников расходятся, на и не все инциденты становятся известными. Средняя мощность DDoS-атак Layer 3/4 выросла в последние годы с 20 до нескольких сотен Гбайт/с. Хотя массовые DDoS-атаки и атаки на уровне протоколов уже сами по себе – штука неприятная, киберпреступники все чаще комбинируют их с DDoS-атаками Layer 7, то есть на уровне приложений, которые нацелены на изменение или кражу данных. Такие «многовекторные» атаки могут быть очень эффективными.


Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае массовой DDoS-атаки (volume based) используется большое количество запросов, нередко направляемых с легитимных IP-адресов, чтобы сайт «захлебнулся» в трафике. Цель таких атак – «забить» всю доступную полосу пропускания и перекрыть легитимный трафик.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители - DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры - Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Протокол UDP подвержен спуфингу – замене адреса. Например, если нужно атаковать сервер DNS по адресу 56.26.56.26, используя атаку DNS Amplification, то можно создать набор пакетов с адресом отправителя 56.26.56.26 и отправить их DNS-серверам по всему миру. Эти серверы пришлют ответ по адресу 56.26.56.26.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

К атакам Layer 7 прибегают в основном профессиональные хакеры. Принцип следующий: берется «тяжелый» URL (с файлом PDF или запросом к крупной БД) и повторяется десятки или сотни раз в секунду. Атаки Layer 7 имеют тяжелые последствия и трудно распознаются. Сейчас они составляют около 10% DDoS-атак.


Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.


По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.


При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

При этом достигается двойной эффект. Целевую систему бомбардируют тысячи и миллионы ответов DNS, а DNS-сервер может «лечь», не справившись с нагрузкой. Сам запрос DNS – это обычно менее 50 байт, ответ же раз в десять длиннее. Кроме того, сообщения DNS могут содержать немало другой информации.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.


Запросы выглядят как обычный трафик, а ответы – это множество сообщений большого размера, направляемых на целевую систему.Как защититься от DDoS-атак? Как же защититься от DDoS-атак, какие шаги предпринять? Прежде всего, не стоит откладывать это «на потом». Какие-то меры следует принимать во внимание при конфигурировании сети, запуске серверов и развертывании ПО. И каждое последующее изменение не должно увеличивать уязвимость от DDoS-атак.

  • Безопасность программного кода. При написании ПО должны приниматься во внимание соображения безопасности. Рекомендуется следовать стандартам «безопасного кодирования» и тщательно тестировать программное обеспечение, чтобы избежать типовых ошибок и уязвимостей, таких как межсайтовые скрипты и SQL-инъекции.
  • Разработайте план действий при обновлении программного обеспечения. Всегда должна быть возможность «отката» в том случае, если что-то пойдет не так.
  • Своевременно обновляйте ПО. Если накатить апдейты удалось, но при этом появились проблемы, см. п.2.
  • Не забывайте про ограничение доступа. Аккаунты admin и/или должны быть защищены сильными и регулярно сменяемыми паролями. Необходим также периодический аудит прав доступа, своевременное удаление аккаунтов уволившихся сотрудников.
  • Интерфейс админа должен быть доступен только из внутренней сети или через VPN. Своевременно закрывайте VPN-доступ для уволившихся и тем более уволенных сотрудников.
  • Включите устранение последствий DDoS-атак в план аварийного восстановления. План должен предусматривать способы выявления факта такой атаки, контакты для связи с интернет- или хостинг-провайдером, дерево «эскалации проблемы» для каждого департамента.
  • Сканирование на наличие уязвимостей поможет выявить проблемы в вашей инфраструктуре и программном обеспечении, снизить риски. Простой тест OWASP Top 10 Vulnerability выявит наиболее критичные проблемы. Полезными также будут тесты на проникновение – они помогут найти слабые места.
  • Аппаратные средства защиты от DDoS-атак могут быть недешевы. Если ваш бюджет такого не предусматривает, то есть хорошая альтернатива – защита от DDoS «по требованию». Такую услугу можно включать простым изменением схемы маршрутизации трафика в экстренной ситуации, либо находится под защитой постоянно.
  • Используйте CDN-партнера. Сети доставки контента (Content Delivery Network) позволяют доставлять контент сайта посредством распределенной сети. Трафик распределяется по множеству серверов, уменьшается задержка при доступе пользователей, в том числе географически удаленных. Таким образом, хотя основное преимущество CDN – это скорость, она служит также барьером между основным сервером и пользователями.
  • Используйте Web Application Firewall – файрвол для веб-приложений. Он мониторит трафик между сайтом или приложением и браузером, проверяя легитимность запросов. Работая на уровне приложений, WAF может выявлять атаки по хранимым шаблонам и выявлять необычное поведение. Атаки на уровне приложений нередки в электронной коммерции. Как и в случае CDN, можно воспользоваться сервисами WAF в облаке. Однако конфигурирование правил требует некоторого опыта. В идеале защитой WAF должны быть обеспечены все основные приложения.
    • Защита DNS А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.


    На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.
  • Мониторинг DNS-серверов на предмет подозрительной деятельности является первым шагом в деле защиты инфраструктуры DNS. Коммерческие решения DNS и продукты с открытым исходным кодом, такие как BIND, предоставляют статистику в реальном времени, которую можно использоваться для обнаружения атак DDoS. Мониторинг DDoS-атак может быть ресурсоемкой задачей. Лучше всего создать базовый профиль инфраструктуры при нормальных условиях функционирования и затем обновлять его время от времени по мере развития инфраструктуры и изменения шаблонов трафика.
  • Дополнительные ресурсы DNS-сервера помогут справиться с мелкомасштабными атаками за счет избыточности инфраструктуры DNS. Ресурсов сервера и сетевых ресурсов должно хватать не обработку большего объема запросов. Конечно, избыточность стоит денег. Вы платите за серверные и сетевые ресурсы, которые обычно не используются в нормальных условиях. И при значительном «запасе» мощности этот подход вряд ли будет эффективным.
  • Включение DNS Response Rate Limiting (RRL) снизит вероятность того, что сервер будет задействован в атаке DDoS Reflection – уменьшится скорость его реакции на повторные запросы. RRL поддерживают многие реализации DNS.
  • Используйте конфигурации высокой доступности. Можно защититься от DDoS-атак путем развертывания службы DNS на сервере высокой доступности (HA). Если в результате атаки «упадет» один физический сервер, DNS-служба может быть восстановлена на резервном сервере.
    • Лучшим способом защиты DNS от DDoS-атак будет использование географически распределенной сети Anycast. Распределенные сети DNS могут быть реализованы с помощью двух различных подходов: адресации Unicast или Anycast. Первый подход намного проще реализовать, но второй гораздо более устойчив к DDoS-атакам.

    В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

    При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

    Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

    Средства защиты от DDoS-атак, предоставляемые провайдером Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

    Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.


    Услуги защиты от DDoS-атак предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки - до 1500 Гбит/сек. Оплачивается при этом трафик.

    Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

    Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.