Как защитить серверы: массовые кибератаки глазами DDoS-защитника
Какие атаки прошли в конце февраля по всему миру, почему они сработали и что необходимо сделать, чтобы защитить свои серверы.
1К открытий2К показов
В конце февраля на российские интернет-ресурсы обрушилась беспрецедентная по мощности, продолжительности и охвату волна DDoS-атак.
Целями их стали самые разные ресурсы – от сайтов госструктур и коммерческих компаний до игровых и развлекательных порталов и систем DNS. Расскажем в общих чертах, что мы лично наблюдали, обеспечивая защиту наших клиентов от DDoS-атак.
Рамиль Хантимиров
CEO и сооснователь StormWall
Цунами DDoS: первые признаки
Несмотря на то, что, начиная с 24 февраля, посещаемость банковских и медийных сайтов резко выросла, количество и мощность DDoS-атак поначалу не отличались от обычных значений. Волна атак стала набирать силу постепенно, достигнув высоты цунами через несколько дней.
Ей предшествовала резкая активизация тех групп в Telegram, где излагались основы запуска DDoS-атак с использованием домашних ПК. В частности, в них анализировались возможности аренды виртуальных серверов и предлагались различные инструменты для проведения атак, организации каналов VPN и пр.
Нас насторожило то, что число участников в этих группах росло очень быстро: сначала 100 тыс. человек, вскоре уже 200 тыс., затем 300 тыс. и так далее.
Неожиданно у наших клиентов начались проблемы с доступностью сайтов: судя по данным мониторинга, они были то доступны в течение короткого времени, то недоступны, причем ненадолго, потом опять доступны на какое-то малое время, и так далее.
Как выяснилось, причиной этого стали сбои атакованных злоумышленниками DNS-серверов крупного российского регистратора доменных имен, услугами которого эти клиенты пользовались. Из-за перегруженности его DNS-серверов оказались недоступными и многие другие сайты, в том числе и те, которые не были (по крайней мере, поначалу) прямыми целями атак.
Вскоре мы стали свидетелями массированных атак на наших клиентов – сначала на нескольких, а затем на множество. Уже с самого утра воскресного дня 27 февраля начали массово поступать заявки от новых клиентов, просивших защиты от DDoS-атак. В наших каналах поддержки Slack и Telegram появилось много новых чатов – атакованные клиенты взывали о срочной помощи.
Чтобы помочь им, мы в спешном порядке перераспределили силы: выделили дополнительный персонал на оказание технической поддержки, изменили расписание работы смен специалистов и по-новому расставили приоритеты в их работе.
Если прежде нами одновременно велось отражение атак на 10-20 клиентов, то теперь пришлось отражать натиск сразу на 40-50 клиентов.
К счастью, наша техническая инфраструктура к тому моменту обеспечивала необходимое масштабирование: в конце 2021 и начале 2022 годов мы существенно расширили пул оборудования в России и Европе, создав таким образом значительный запас прочности для отражения массированных DDoS-атак.
Какие атаки мы наблюдали?
Самым распространенным видом DDoS-атак стал HTTP-флуд различных типов. Наиболее часто встречающиеся виды HTTP-флуда представляют собой атаки на веб-серверы с использованием ботов, создающих поток HTTP-запросов GET с целью получения в качестве ответа максимально больших элементов сайта.
Обработка таких запросов сильно загружает сервер, снижая его производительность. При достаточно мощном потоке запросов сервер и вовсе становится недоступным для легальных пользователей, затрачивая все свои ресурсы на обработку сфальсифицированных запросов.
Помимо запросов GET, аналогичным образом могут быть использованы также запросы POST и некоторые другие действия с протоколом HTTP.
Второй по распространенности вид злонамеренного воздействия, с которым мы регулярно сталкиваемся, – это атаки на DNS. Их цель – сделать серверы DNS сильно перегруженными или вовсе недоступными, в результате чего пользователи теряют возможность получить в нужный момент доступ к сайтам, доменные имена которых прописаны на атакованных серверах DNS.
Такой эффект достигается путем переполнения канала, связывающего сервер DNS с Интернетом, либо путем создания мощного потока нелигитимных запросов, попытка обработки которых ведет к сильной деградации производительности сервера DNS.
Пакетные атаки мы почти не наблюдаем – вероятно, потому, что они не так эффективны, как HTTP-флуд. Встречается, конечно, и «классика» – SYN-флуд, а также различные виды UDP-флуда и атак с апмлификацией.
Что интересно, начавшиеся в конце февраля атаки не затихают до сих пор – многие клиенты подвергаются DDoS-воздействию непрерывно.
Кибердиверсия
Ситуация, которую мы склонны расценивать как кибердиверсию, началась с того, что один из иностранных провайдеров начал анонсировать в своей сети наш защищенный адрес /32 c Community на Blackhole (что фактически приводило к уничтожению идущего на этот адрес трафика), а затем стал распространять этот анонс через своих провайдеров и пиринговые соединения в точках обмена трафика (IX).
В ответ на наш запрос этот провайдер сообщил, что якобы обнаружил DDoS-атаку, которая то ли шла на этот IP-адрес, то ли исходила с этого адреса, поэтому перенаправил трафик на Blackhole. От дальнейшего взаимодействия этот провайдер отказался.
Большинство провайдеров (в том числе MSK-IX и DE-CIX) и точки обмена трафиком за пределами его страны отфильтровали этот анонс, однако некоторые его приняли и начали распространять в Интернете. В результате из некоторых местоположений этот IP-адрес стал недоступен.
Поскольку ситуация эта несколько необычная (подобных случаев в нашей практике раньше не было), нам потребовалось какое-то время, чтобы понять, что же произошло.
Поняв, что случилось, мы списались с центрами сетевых операций (NOC) и точками обмена трафиком, к которым был подключен этот провайдер, и договорились, чтобы они перестали принимать от него злонамеренно распространявшиеся префиксы.
Без профессиональной DDoS-защиты сегодня не обойтись
Основным оружием хактивистов стали DDoS-атаки. Во многих случаях они применяются сами по себе, однако в ряде ситуаций, как, например, в инциденте с Rutube, шло воздействие с использованием продолжительных и замысловатых целенаправленных атак, в которых DDoS – это лишь один из нескольких векторов нападения.
Подобные атаки нередко относят к отдельному классу угроз – Advanced Persistent Threat (APT). Для их отражения требуется целый набор инструментов, включающий не только DDoS-защиту, но и, например, WAF (Web Application Firewall) – межсетевой экран для защиты веб-приложений, позволяющий выявлять и блокировать в том числе так называемые “умные” атаки.
Массированные DDoS-атаки сегодня могут «прилететь» на интернет-ресурсы практически любой компании или организации.
Их мощности зачастую таковы, что для отражения лишь одной такой атаки могут понадобиться десятки мощных серверов, подключенных к высокоскоростному Интернету, – они требуются, чтобы отфильтровать и блокировать огромные объемы нелегитимного трафика.
Профессиональные провайдеры защиты от DDoS-атак располагают необходимыми мощностями.
Что касается других организаций, то у большинства из них физически нет таких объемов высокопроизводительного компьютерного и сетевого оборудования, а те компании, у кого они есть (дата-центры, провайдеры Интернета и облаков), не могут себе позволить практически мгновенно высвобождать необходимые мощности для отражения очередной атаки, поскольку имеющееся оборудование уже задействовано для решения других задач.
Что требуется для защиты
Чтобы благополучно преодолевать волны DDoS-атак, требуется качественная защита. Некачественная, увы, скорее всего, не справится с современными DDoS-атаками – и мы много раз имели возможность в этом убедиться.
Как понять, насколько качественной является DDoS-защита, которую вам предлагают? Для этого необходимо проанализировать несколько показателей.
- Прежде всего, нужно убедиться в том, что защиту предоставляет компания, которая специализируется на отражении DDoS-атак и имеет для этого достаточно компетенций, инструментов и ресурсов.Сервисы Anti-DDoS сегодня предлагают не только профессионалы в этой области, но и многочисленные провайдеры хостинга и Интернет. Большинство из тех, кто предлагает DDoS-защиту в дополнение («до кучи») к основным сервисам, обеспечивают ее только на сетевом (L3 по модели OSI) и транспортном (L4) уровне, однако сегодня преобладает так называемый HTTP-флуд – широкий спектр DDoS-атак на уровне интернет-приложений (L7) по протоколу HTTP.Соответственно, если защита провайдера фильтрует только пакеты уровней L3 и L4, то от атак на уровне L7 она не спасет – сайт практически гарантированно на какое-то время станет недоступен.
- Если компания предоставляет своим клиентам финансовые сервисы, соответствующие международному стандарту платежных систем PCI DSS, или приложения, работающие с конфиденциальными (в том числе персональными) данными, то наверняка понадобится защита без раскрытия приватных ключей SSL.Обеспечить ее сможет даже не каждый специализированный провайдер Anti-DDoS, поэтому этот вопрос следует уточнять отдельно.
- Очень важная группа вопросов касается особенностей взаимодействия провайдера защиты от DDoS-атак со своими клиентами.В частности, очень полезно заранее выяснить, готов ли провайдер адаптировать свою защиту к потребностям и особенностям клиента и если готов, то в какой степени, может ли консультировать по поводу повышения устойчивости ресурсов своих клиентов к DDoS-атакам, и пр.
- Также нужно проверить качество технической поддержки. Воспользовавшись тестовым периодом (если, конечно, провайдер его предоставляет), можно провести стресс-тестирование сервиса защиты, в частности, запустить с его помощью имитацию атаки.Важно заранее выяснить, как быстро реагирует техподдержка на ваши запросы и скоро ли откликнется, например, если вам потребуется помощь вечером накануне выходных или ранним утром воскресного дня.
- Очень полезно изучить список клиентов провайдера защиты и по возможности с ними пообщаться – это позволит получить много ценной информации о провайдере и его сервисах Anti-DDoS.Также весьма полезно проанализировать расположение и количество точек присутствия, а заодно оценить мощность (пропускную способность) расположенных в них фильтров.
Рекомендуем применять комплексный подход
Чтобы выстоять против современных DDoS-атак, надо не только подключить защиту от них – это необходимое, но не достаточное условие для того, чтобы обезопасить ресурсы от DDoS-рисков. Нужно также убедиться, что она эффективно работает – для этого нужно систематически проводить стресс-тестирование защиты.
Следует также учесть, что даже лучшие сервисы Anti-DDoS не смогут обеспечить высокую защиту, если интернет-ресурс имеет множество уязвимостей, позволяющих злоумышленникам легко находить слабые места и затем бить по ним всеми имеющимися в их распоряжении средствами.
Поэтому для выстраивания надежной обороны от DDoS-атак вам потребуется совместная работа в тесном взаимодействии с выбранным вами провайдером защиты по выявлению уязвимостей, минимизации их влияния, повышения общей устойчивости интернет-ресурсов клиента к DDoS-атакам и своевременной актуализации связанных с ними рисков и мер по противодействию им.
1К открытий2К показов