Разобраться • 26 ноября 2024
Как защитить бизнес от DDoS-атак и что делать, если вас уже взломали
Как защитить бизнес от DDoS-атак и что делать, если вас уже взломали
Текст: Валентин Бостанов, руководитель направления хостинга «Рег.ру»
Фото: Provincial Archives of Alberta, Unsplash
За последние несколько лет количество DDoS-атак увеличилось, выросла их средняя продолжительность и мощность. При этом характер взломов стал более массовым — теперь в фокус злоумышленников попадают не только крупные холдинги. Малый, средний и даже микробизнес подвергается DDoS — хакеры целенаправленно ищут наиболее уязвимые компании, фокусируются на их сайтах и приложениях, доступность которых напрямую влияет на прибыль. Как можно снизить риски от DDoS-атаки для бизнеса и что делать, если сайт или проект попали под удар, разобрался для Inc. руководитель направления хостинга «Рег.ру» Валентин Бостанов.
DDoS, или распределенная атака с целью довести систему до отказа, — это процесс, в котором злоумышленники отправляют с помощью скомпрометированных устройств (ботов) множество запросов на сервер и перегружают его. Из-за этого реальные пользователи не могут открыть сайт, а предприниматель теряет клиентов, деловую репутацию и несет убытки.
Под ударом могут оказаться все организации, которые взаимодействуют с клиентами в интернете. Это сервисы доставки, ретейла, маркетплейсы, банковские организации и госуслуги. При этом не только сайты могут стать целями хакеров. Злоумышленники могут атаковать и телефонные номера, создавая непрерывный поток спам-звонков и занимая линию для клиентов. Такой вид атаки чаще всего затрагивает небольшие компании, например операторов такси.
В процессе нападения
Любой сервер имеет определенную пропускную способность, то есть может обрабатывать какое-то конкретное количество запросов в секунду. Если оно будет превышено, сайт не будет загружаться. Чтобы организовать атаку, злоумышленники используют ботнет-сети — множество зараженных компьютеров и устройств, которые находятся под контролем хакеров. Каждое такое устройство называют ботом — оно выполняет команды хакера без ведома владельца.
Ботом может быть любой гаджет, подключенный к сети, — не только телефон или компьютер, а еще и устройства интернета вещей: телевизоры, умные колонки, кондиционеры, пылесосы. (Интернет вещей, англ. internet of things, IoT, концепция сети передачи данных между физическими объектами — «вещами» — со встроенными инструментами для взаимодействия друг с другом или с окружающим миром. — Прим. ред.). Хакеры устанавливают на них вредоносное ПО и управляют ими удаленно. Ботнет-сети могу состоять из нескольких сотен или тысяч устройств — каждое из них для сервера не отличается от обычного пользователя, но вместе они создают серьезную нагрузку, которая приводит к сбою. Эксперты выделяют три основных типа DDoS-атак:
- объемные атаки, или флуд направлены на исчерпание полосы пропускания канала. Они создают значительный трафик, превышающий возможности сети и ресурсов сервера;
- взломы на уровне протокола направлены на исчерпание ресурсов сервера или оборудования, таких как балансировщики нагрузки или фаерволы;
- атаки на уровне приложений — высокоуровневые атаки, нацеленные на выведение из строя веб-приложений. Например, отправка большого количества запросов на загрузку конкретной страницы.
В 2023 году Россия вошла в десятку стран по количеству зарегистрированных DDoS-атак. А самый мощный взлом 2023 года составил 1 Тбит/с, что можно сравнить с одновременным просмотром 200 млн HD-видео или с 25 млн пользователей, одновременно открывающих сайт. В современном мире цифровой безопасности DDoS-атаки становятся все более распространенной и опасной угрозой для бизнеса любого масштаба. Независимо от того, являетесь ли вы владельцем малого стартапа или руководите средним бизнесом, понимание рисков и методов защиты от DDoS-атак имеет ключевое значение.
Угроза для бизнеса
Как правило, у атак есть две цели — вывести из строя сайт или нагрузить его для последующего взлома. Успешная DDoS-атака может сильно повредить организации и ее репутации. Вот какими могут быть последствия:
- потеря клиентов. Если сайт недоступен, он может выпасть из поисковой выдачи, а клиенты перейдут к конкурентам;
- нарушение внутренних процессов. Взламывают не только публичные ресурсы, но и внутренние системы, используемые сотрудниками, такие как электронная почта или удаленный доступ. Это приводит к сбоям в работе и нарушению бизнес-процессов, например потере заказов, порче товара и вынужденным неустойкам;
- ущерб ключевым сервисам. Хакеры могут атаковать основные рабочие инструменты организации. Это грозит потерями, например, при атаке на банковские системы, ответственные за проведение трансакций;
- репутационные издержки. Иногда DDoS-атаку используют как отвлекающий маневр. Пока специалисты по информационной безопасности пытаются восстановить работу сервера, злоумышленники крадут конфиденциальные данные клиентов или корпоративную информацию.
Кроме того, бизнес может подвергнуться нецелевой атаке — например, если целью злоумышленников был целый дата-центр или сайт, расположенный с вашим на одном IP-адресе или сервере. При этом чем крупнее и серьезнее бизнес, тем выше вероятность взлома.
Обнаружить вовремя
Вот главные признаки DDoS — тревожные сигналы, которые могут говорить о том, что система подверглась нападению злоумышленников.
Полное или частичное отключение сервиса. Временные отключения могут быть вызваны не только атаками, но и проблемами с хостингом или техническими сбоями. В этом случае стоит обратиться к хостинг-провайдеру и уточнить причину. Но если вместе с этим вы заметили, что потребление ресурсов, например количество процессов и память, возросло, высока вероятность атаки.
Резкое увеличение объема трафика, а также увеличение количества визитов, открытий страниц и заполнения форм,— если вы заметили аномальную для сайта активность, она может быть признаком DDoS.
Увеличение числа ошибок при запросах. Обратите внимание на количество ошибок с кодом «500» и «503», которые возникают во время доступа к вашему ресурсу. Они могут указывать, что вычислительные мощности вашего сайта перегружены.
Подозрительная активность. Высокий прирост посетителей от одного источника или необычные запросы. Если вы замечаете рост трафика из стран или регионов, где у бизнеса не может быть клиентов, это говорит о возможной попытке взлома. Например, если компания ориентирована на региональный или российский рынок, а трафик поступает из других стран.
На некоторые сайты и приложения атаки почти не прекращаются — особенно это касается IT-компаний, банков и телеком-сферы.
Внимание: вас атаковали
Небольшие компании чаще всего сталкиваются с низкоуровневыми взломами, однако возможны и DDoS-атаки более высокого уровня. Так, в целом борьба с DDoS сводится к тому, чтобы фильтровать входящий трафик с помощью брандмауэров и специальных решений, а также блокировке подозрительных запросов.
В качестве самостоятельной меры можно ограничить часть нежелательных запросов, внести изменения в настройки файла .htaccess или воспользоваться функционалом вашей системы управления контентом, например установить специальные плагины. (.htaccess — это локальный конфигурационный файл веб-сервера Apache, который позволяет управлять настройками сайта. Apache — веб-сервер, распространяемый бесплатно. — Прим. ред.) Если вы используете виртуальный или физический выделенный сервер, вы также можете ограничить отправку ICMP-сообщений (Internet Control Message Protocol, ICMP — протокол для распространения информации об ошибках передачи данных в сети. — Прим. ред.) или заблокировать определенные вредоносные IP-адреса, с которых идет больше всего трафика.
Тем не менее более эффективно будет обратиться за помощью к профессионалам, среди которых:
технический специалист, отвечающий за администрирование сайта. Применение неподходящих методов защиты может усугубить ситуацию;
служба поддержки хостинг-провайдера.
Надежные компании принимают все необходимые меры для защиты своих клиентов от различных угроз. Ваш хостер может предложить вам:
- выделенный IP-адрес — на нем будет размещен только ваш ресурс. В отличие от общего IP, где могут быть расположены сотни сайтов, на выделенном вы будете защищены от атак на «соседей» по серверу, сможете более эффективно фильтровать трафик и снизить риск ущерба от атаки;
- расширенные функции и дополнительные услуги для защиты от DDoS-атак, например расширенную защиту от высокоуровневых атак. Она дает возможность настроить черные и белые списки IP-адресов и точечно фильтровать трафик.
Если ваш текущий провайдер не предлагает адекватной защиты, стоит его сменить. Вы можете обратиться к другому хостеру и запросить срочный перенос сайта для повышения уровня безопасности. Новый поставщик услуг сможет предложить оптимальные решения для минимизации рисков;
поставщик услуг защиты от DDoS. Дополнительная защита требует некоторых настроек со стороны вашего хостинга или домена. Они могут быть недоступны из личного кабинета пользователя, поэтому сначала убедитесь в доступности услуг или проконсультируйтесь с хостинг-провайдером.
Предупредить атаку
Совсем избежать атаки не получится, но можно минимизировать ущерб от нее. Вот несколько шагов, которые помогут подготовиться к DDoS.
Приобретите выделенный IP-адрес. Это позволит эффективнее контролировать трафик, который приходит на сервер, настроить фильтры и правила для обработки входящих запросов, что позволит бороться с DDoS-атаками. Например, установить ограничения на количество запросов с определенных IP-адресов или диапазонов адресов.
Купите специализированную защиту, если ваш провайдер не предлагает ее бесплатно. Профилактические решения обычно делятся на две категории:
- защита на уровнях L3/L4 стала общепринятым стандартом, поскольку подобные атаки несут угрозы не только для сайтов клиентов, но и для оборудования провайдера. В компании «Рег.ру» защиту от DDoS L3/L4 предоставляют бесплатно всем пользователям хостинга и VPS;
- защита на уровне L7, как правило, не предоставляется бесплатно, поскольку обнаружение и нейтрализация угроз такого типа намного сложнее. Обычно услуги защиты при таких угрозах предлагает специализированный партнер, а цена таких услуг составляет от 8 тыс. руб. в месяц. Для стартапов угрозы этого уровня могут быть особенно разрушительны.
Если бюджет не позволяет сразу покрыть расходы на защиту, а провайдер не предлагает гибкие тарифы, создайте пошаговый план действий на случай атаки. В него следует включить:
- параметры, которые вы будете считать критическими (например, если сайт „тормозит“, периодически недоступен или недоступен более четырех часов);
- информацию, кто, где и как будет приобретать защиту. Лучше заранее зарегистрироваться на нужном сайте и добавить способ оплаты, чтобы не тратить время в критический момент;
- данные о том, кто и какие действия будет выполнять для подключения защиты: изменения IP в доменной зоне, активация службы у провайдера, и т. д.;
- критерии окончания атаки;
- порядок действий после ее завершения.
