Нередко в СМИ встречаются сообщения о том, что тот или иной сайт
подвергся DDoS-атаке и временно перестал функционировать. DDoS-атака
(Distributed Denial of Service) – это ситуация, когда злоумышленники
генерируют столько запросов к серверу, что он не в состоянии обработать
такое количество. Конечно, один компьютер не способен сделать столько
обращений, чтобы даже относительно слабый сервер не смог с ними
справиться. Для атаки используется множество компьютеров (зараженный
вирусом «ботнет» – компьютеры, находящиеся под контролем хакера без
ведома их владельцев), которые одновременно и постоянно посылают запросы
на сервер, что влечет за собой его перегрузку и отказ.
Иногда некоторое подобие DDoS может получиться и без
хакеров-киберзлодеев. Например, когда на сверхпопулярном сайте
размещается ссылка на сайт на слабом виртуальном хостинге – и вследствие
ограниченных технических возможностей сервер не выдерживает перегрузки и
становится недоступен. Хостеры даже могут временно отключать сайты на
виртуальных серверах, если те внезапно становятся мишенью десятков тысяч
запросов. Это необходимо понимать – для сайтов с серьезной
посещаемостью и высокими пиковыми нагрузками виртуальный хостинг за 200
рублей в месяц не подойдет.
DDoS-атаки могут быть организованы по разным причинам: из-за
конкуренции, чтобы «положить» чужой сайт и забрать часть его целевой
аудитории, с целью получения выкупа за разблокировку атакованного
ресурса и даже для развлечения. Также часто причиной нападения
злоумышленников становится нестабильная политическая ситуация в стране –
противоборствующие группировки могут осуществлять атаки на сообщества
конкурентов. Если ваш сайт посвящен бисероплетению или какому-то другому
мирному занятию и имеет относительно небольшую аудиторию, то опасаться
DDoS-атаки не стоит, для этого просто не будет причин – если у вас нет
личного врага, который может «заказать» ваш сайт. Кроме всего прочего
осуществить такую атаку довольно дорого, ведь в зомби-сетях (ботнетах)
должны быть задействованы тысячи зараженных компьютеров, это дело для
серьезных хакеров.
Уровни защиты
Чтобы защититься от DDoS, нужно выстроить довольно серьезный комплекс
мер против таких вторжений – одного барьера будет недостаточно, особенно
если ваш сайт реально подвергается атакам. Можно выделить несколько
уровней защиты:
доступ к серверу;
ПО сервера;
сеть;
провайдер;
специализированное оборудование;
администрация сервера.
Защита на уровне доступа к серверу
Этот тип защиты по мнению многих вебмастеров и специалистов в данной
сфере довольно надежен и эффективен, что подтверждается практикой.
Сервер должен обязательно иметь удаленный ребут, то есть возможность
перезагрузки. При этом консоль должна выводится по протоколу SSH на
другой IP-адрес, чтобы была возможность им воспользоваться при
перегруженном сервере. Эти меры позволяют оперативно реагировать,
перезагружая сервер в начальной фазе DDoS-атаки. Вывод консоли дает
возможность отключения протокола SSH на сервере, так как он тоже часто
является мишенью DDoS-атаки.
Защита на уровне программного обеспечения сервера
Сервер должен быть тщательно проверен на предмет безопасности. Все ПО
сервера должно быть обновлено, необходимо поставить все значимые патчи.
То есть все известные «дыры» в защите должны быть тщательно закрыты. Для
этого можно составить список всего ПО, по которому можно будет удобно
следить за обновлениями и патчами.
Защита на уровне сети
Еще на стадии старта постарайтесь заблокировать абсолютно все, что может
дать хоть какую-нибудь информацию для организатора DDoS-атаки. В список
для блокировки и скрытия входят трейс и пинг. Очень полезным действием
является включение механизма NAT (Network Address Translation), то есть
преобразования сетевых адресов. Еще один важный момент – маскировка
IP-адреса, эта мера эффективно помогает защититься от злоумышленников,
усложняя их работу. Для скрытия IP существует довольно много способов, и
они являются популярной мерой для защиты от сетевых атак.
Защита на уровне провайдера
На этом уровне меры защиты заключаются в анализе пакетов получаемых
данных и блокировке IP-адресов. Как это работает? Как правило запросы
осуществляются с разных машин, но их объединяет очень похожий тип
трафика. Пакеты данных подвергаются анализу, в ходе которого выявляются
похожие. Вручную, да еще в реальном времени отслеживать трафик, проверяя
логи, практически нереально. Такую работу могут осуществлять
специальные программы, например Tcpdstats или Tcptrace. С их помощью
легко определить тип преобладающего трафика и вовремя принять меры.
Чтобы заблокировать IP-адреса атакующих машин, надо сначала вычислить их
в общем трафике. Это можно сделать на основе анализа частоты обращений к
серверу. Обычный пользователь может делать до нескольких обращений в
секунду, но от него будут исходить запросы к нескольким URL (URL самой
страницы, картинок, java-скриптов и прочие), а атакующая машина как
правило несколько раз в секунду обращается к одному и тому же
URL-адресу. По этому принципу можно вычислить атакующие IP-адреса и
занести их в список адресов, от которых не принимается никакой трафик.
Защита на уровне аппаратного обеспечения
Этот уровень защиты сервера от DDoS-атак намного серьезнее других,
следовательно и требует намного больших затрат. Стоимость комплексных
решений может достигать нескольких десятков тысяч долларов. Поэтому меры
на уровне hardware скорее подходят серьезным и большим проектам, где
эти затраты будут полностью оправданы.
Общепризнанными лидерами в области подобной защиты являются Cisco и
3com. Эти производители выпускают довольно эффективные аппаратные
средства для противостояния сетевым атакам, также предлагаются
комплексные решения для защиты. Механизмы работы этих устройств основаны
на анализе входящего трафика с помощью специальных алгоритмов и
последующей фильтрации. То есть нужные запросы, которые прошли проверку,
не подвергаются блокировке, а подозрительные и их начальные сегменты
сети – блокируются. Таким образом осуществляется отсев трафика при
бесперебойной работе сайта.
Защита на уровне поддержки хостера
Специалисты хостинговых компаний используют способы анализа логов
файерволла, которые позволяют выделять IP-адреса тех машин, с которых
осуществляется атака. При наличии списка таких адресов можно попытаться
блокировать их. При этом другие адреса заблокированы не будут, то есть
запросы от обычных пользователей смогут нормально обрабатываться на
сервере, и посетители смогут заходить на сайт.
Существует также много фирм, которые предоставляют услугу защиты от
DDoS-атак. Есть разные тарифные планы по защите от атак разной мощности.
Владельцы могут выбрать оптимальный в зависимости от масштабов своего
проекта и бюджета. Среди таких компаний, профилем которых является
защита и предотвращение DDoS-атак, можно назвать ddoshosting.ru, ddosoff.ru и digilex.ru.
Следует отметить, что некоторые компании предлагают свои услуги по
защите от сетевых атак бесплатно. Делается это в рамках тестирования
различных систем безопасности. Но полностью рассчитывать на такие
решения не следует.
Еще один немаловажный момент – это выбор хостинг-провайдера по критерию
степени защиты. То есть о защите от DDoS-атак можно позаботиться еще на
стадии выбора хостера. Практически все поставщики хостинг-услуг
используют экраны, которые работают по принципу анализа и фильтрации
пакетов. Надо подробно прочитать или поинтересоваться в службе поддержки
о мерах защиты виртуальных серверов. Часто хостинг-провайдеры
предоставляют защиту от DDoS как дополнительную услугу. Не стоит
надеяться, что дешевый хостинг спасет от сетевой атаки: хостеры часто
экономят на оборудовании и программном обеспечении для защиты.
Выводы
Если у вас обычный сайт-визитка или небольшой интернет-магазин, то
поводы для беспокойства из-за возможной DDoS-атаки сводятся к минимуму,
большие траты на защиту не будут оправданы. Но если тематика сайта или
другие причины могут вызвать общественный резонанс, то есть смысл
обезопасить его от возможных нападений. Сайты политических партий и
движений обязательно должны иметь прочную защиту от злоумышленников, так
как довольно часто становятся мишенью для распределенных атак.
Главная 
Нередко в СМИ встречаются сообщения о том, что тот или иной сайт
подвергся DDoS-атаке и временно перестал функционировать. DDoS-атака
(Distributed Denial of Service) – это ситуация, когда злоумышленники
генерируют столько запросов к серверу, что он не в состоянии обработать
такое количество. Конечно, один компьютер не способен сделать столько
обращений, чтобы даже относительно слабый сервер не смог с ними
справиться. Для атаки используется множество компьютеров (зараженный
вирусом «ботнет» – компьютеры, находящиеся под контролем хакера без
ведома их владельцев), которые одновременно и постоянно посылают запросы
на сервер, что влечет за собой его перегрузку и отказ.
