DDoS-атаки (от Distributed Denial of Service — распределенный отказ в обслуживании, атака на систему с целью довести её до отказа) — простыми словами, это ситуация, когда слишком большое количество запросов перегружает информационную систему и она блокирует обработку обращений. Цель DDoS-атаки — привести к простою, отвалу сайта или его отдельного функционала, в результате которого компания теряет деньги и клиентов.
История неприятная, поэтому лучше ее не допускать. В статье рассказываем, как мы помогаем нашим клиентам защититься от DDoS-атак.
Как работает DDoS-атака?
DDoS-атаки — это всегда намеренное действие для вывода сервера компании из строя. Механизм прост: злоумышленник организует специальную сеть с вредоносным ПО, которая включает в себя несколько компьютеров. Устройства не связаны между собой, но на каждом из них стоит троян, который запускают удаленно для генерации избыточного трафика на определенный сайт. В результате атаке подвергается доступный в интернете сервер или сеть провайдера сервера.
Обычно жертвами прицельных DDoS-атак становятся сайты крупных корпораций, финансовых и медицинских учреждений. Но часто причина для атаки — простое развлечение или месть, и тогда ее могут направить на кого угодно.
Как распознать DDoS-атаку? Обычно на это указывают несколько признаков:
- Некорректная работа серверного ПО и операционных систем, например, зависания, произвольные завершения сессий;
- Пиковая нагрузка по запросам на сервер, которая превышает средние значения;
- Значительный рост количества запросов на порты;
- Массовые однотипные действия: обычно это симуляция действий пользователей, например, скачивание файлов, просмотры страниц;
- Массовые однотипные запросы к портам и сервисам: обычно их генерируют пользователи, которые не похожи на типовую аудиторию.
DDoS-атаки для сервера — как серьезная болезнь для человека. И их точно так же лучше предотвращать, чем после бороться с последствиями.
Как мы боремся с DDoS-атаками?
С DDoS-атаками однажды столкнулся наш клиент — клиника «Рассвет». Сайт атаковали круглосуточно по 4-6 раз в месяц. Сервер не справлялся и приходилось подключаться к реанимации: отключать трафик, который шел не из России, блокировать подсети, вручную отключать IP. В зависимости от сложности каждого случая это занимало от 30 минут до 2 часов работы серверного специалиста.
Из-за атак сайт недоступен на протяжении нескольких часов
Поначалу атаки были простыми: один IP-адрес, один юзер-агент. Но постепенно сайт начали атаковывать с 1000 разных IP-адресов, с разных юзер-агентов и подсетей. Когда мы стали справляться и с этим, злоумышленники начали атаковать отдельные страницы, а в конце и вовсе придумали рандомайзер, который позволят атаковать все страницы подряд. В итоге при некоторых атаках переставал работать не только веб-сервер, но и сеть сервера (весь компьютер), из-за чего нам было сложно даже попасть на сервер.
График означает доступность или недоступность страницы: 0 — страница доступна, 1 — недоступна
Мы видели что атаки повторялись не раз, а при ручной блокировке адресов или агентов сигнатура атак становилась всё сложнее. Поэтому требовалось внедрить более автономный инструмент защиты — мы решили подключить к сайту клиники крупный проверенный сервис DDoS-Guard, как один из методов защиты от DDoS-атак.
DDoS-Guard — своеобразная прослойка между пользователем и сайтом. Сервис анализирует трафик по внутренним алгоритмам и делает выводы: пускать пользователя на сайт или нет. У нас уже был положительный опыт реализации защиты сайта через DDoS-Guard, а исследование инструментария рынка показало, что по соотношению цена/качество продукт действительно лучший.
Минусы такого подхода. Если поведение пользователя вызывает подозрения, сервис может вывести страницу проверки пользователя на бота перед загрузкой страницы.
Также потенциально DDoS-Guard может сократить трафик, так как он не пускает на сайт подозрительных пользователей (среди которых могут оказаться реальные люди). У нашего клиента проблем с трафиком и индексацией не было.
Плюсы. DDoS-Guard предотвращает 100% DDoS-атак: после установки программы проблемы клиента закончились, хотя попытки атак продолжались еще несколько месяцев.
Также DDoS-Guard может кэшировать статический контент сайта (картинки, видео, скрипты и т.д.) на своей стороне и отдавать запросы пользователю через CDN сервера быстрее. DDoS-Guard скрывает настоящий IP-адрес веб сервера, так как весь трафик к сайту идет через внешний сервис.
Помимо всех DDoS-атак есть боты, которые сканируют сайт на наличие возможных уязвимостей сайта и сервера для дальнейшей атаки. Они собирают информацию о том, что используется на сайте, какие версии cms или ПО на сервере, и выявляют возможные уязвимости данных версий. Такие боты могут найти незащищенную обратную связь и начать присылать спам на электронную почту, что может привести к блокировке почтового сервиса, или оформлять ненастоящие заказы. Потенциальных угроз масса, поэтому мы заранее предотвращаем их появление: проводим обновления и продолжаем вручную контролировать всю защиту системы целиком.
Если вам нужна помощь с защитой сайта от атак – специалисты Четвёртого Рима выстроят систему так, чтобы вы были спокойны за сохранность вашего ресурса.
