Как защитить серверы: массовые кибератаки глазами DDoS-защитника

В конце февраля на российские интернет-ресурсы обрушилась беспрецедентная по мощности, продолжительности и охвату волна DDoS-атак.

Целями их стали самые разные ресурсы – от сайтов госструктур и коммерческих компаний до игровых и развлекательных порталов и систем DNS. Расскажем в общих чертах, что мы лично наблюдали, обеспечивая защиту наших клиентов от DDoS-атак.

Рамиль Хантимиров

CEO и сооснователь StormWall

Цунами DDoS: первые признаки

Несмотря на то, что, начиная с 24 февраля, посещаемость банковских и медийных сайтов резко выросла, количество и мощность DDoS-атак поначалу не отличались от обычных значений. Волна атак стала набирать силу постепенно, достигнув высоты цунами через несколько дней.

Ей предшествовала резкая активизация тех групп в Telegram, где излагались основы запуска DDoS-атак с использованием домашних ПК. В частности, в них анализировались возможности аренды виртуальных серверов и предлагались различные инструменты для проведения атак, организации каналов VPN и пр.

Нас насторожило то, что число участников в этих группах росло очень быстро: сначала 100 тыс. человек, вскоре уже 200 тыс., затем 300 тыс. и так далее.

Неожиданно у наших клиентов начались проблемы с доступностью сайтов: судя по данным мониторинга, они были то доступны в течение короткого времени, то недоступны, причем ненадолго, потом опять доступны на какое-то малое время, и так далее.

Как выяснилось, причиной этого стали сбои атакованных злоумышленниками DNS-серверов крупного российского регистратора доменных имен, услугами которого эти клиенты пользовались. Из-за перегруженности его DNS-серверов оказались недоступными и многие другие сайты, в том числе и те, которые не были (по крайней мере, поначалу) прямыми целями атак.

Вскоре мы стали свидетелями массированных атак на наших клиентов – сначала на нескольких, а затем на множество. Уже с самого утра воскресного дня 27 февраля начали массово поступать заявки от новых клиентов, просивших защиты от DDoS-атак. В наших каналах поддержки Slack и Telegram появилось много новых чатов – атакованные клиенты взывали о срочной помощи.

Чтобы помочь им, мы в спешном порядке перераспределили силы: выделили дополнительный персонал на оказание технической поддержки, изменили расписание работы смен специалистов и по-новому расставили приоритеты в их работе.

Если прежде нами одновременно велось отражение атак на 10-20 клиентов, то теперь пришлось отражать натиск сразу на 40-50 клиентов.

К счастью, наша техническая инфраструктура к тому моменту обеспечивала необходимое масштабирование: в конце 2021 и начале 2022 годов мы существенно расширили пул оборудования в России и Европе, создав таким образом значительный запас прочности для отражения массированных DDoS-атак.

Какие атаки мы наблюдали?

Самым распространенным видом DDoS-атак стал HTTP-флуд различных типов. Наиболее часто встречающиеся виды HTTP-флуда представляют собой атаки на веб-серверы с использованием ботов, создающих поток HTTP-запросов GET с целью получения в качестве ответа максимально больших элементов сайта.

Обработка таких запросов сильно загружает сервер, снижая его производительность. При достаточно мощном потоке запросов сервер и вовсе становится недоступным для легальных пользователей, затрачивая все свои ресурсы на обработку сфальсифицированных запросов.

Помимо запросов GET, аналогичным образом могут быть использованы также запросы POST и некоторые другие действия с протоколом HTTP.

Второй по распространенности вид злонамеренного воздействия, с которым мы регулярно сталкиваемся, – это атаки на DNS. Их цель – сделать серверы DNS сильно перегруженными или вовсе недоступными, в результате чего пользователи теряют возможность получить в нужный момент доступ к сайтам, доменные имена которых прописаны на атакованных серверах DNS.

Такой эффект достигается путем переполнения канала, связывающего сервер DNS с Интернетом, либо путем создания мощного потока нелигитимных запросов, попытка обработки которых ведет к сильной деградации производительности сервера DNS.

Пакетные атаки мы почти не наблюдаем – вероятно, потому, что они не так эффективны, как HTTP-флуд. Встречается, конечно, и «классика» – SYN-флуд, а также различные виды UDP-флуда и атак с апмлификацией.

Что интересно, начавшиеся в конце февраля атаки не затихают до сих пор – многие клиенты подвергаются DDoS-воздействию непрерывно.

Кибердиверсия

Ситуация, которую мы склонны расценивать как кибердиверсию, началась с того, что один из иностранных провайдеров начал анонсировать в своей сети наш защищенный адрес /32 c Community на Blackhole (что фактически приводило к уничтожению идущего на этот адрес трафика), а затем стал распространять этот анонс через своих провайдеров и пиринговые соединения в точках обмена трафика (IX).

В ответ на наш запрос этот провайдер сообщил, что якобы обнаружил DDoS-атаку, которая то ли шла на этот IP-адрес, то ли исходила с этого адреса, поэтому перенаправил трафик на Blackhole. От дальнейшего взаимодействия этот провайдер отказался.

Большинство провайдеров (в том числе MSK-IX и DE-CIX) и точки обмена трафиком за пределами его страны отфильтровали этот анонс, однако некоторые его приняли и начали распространять в Интернете. В результате из некоторых местоположений этот IP-адрес стал недоступен.

Поскольку ситуация эта несколько необычная (подобных случаев в нашей практике раньше не было), нам потребовалось какое-то время, чтобы понять, что же произошло.

Поняв, что случилось, мы списались с центрами сетевых операций (NOC) и точками обмена трафиком, к которым был подключен этот провайдер, и договорились, чтобы они перестали принимать от него злонамеренно распространявшиеся префиксы.

Без профессиональной DDoS-защиты сегодня не обойтись

Основным оружием хактивистов стали DDoS-атаки. Во многих случаях они применяются сами по себе, однако в ряде ситуаций, как, например, в инциденте с Rutube, шло воздействие с использованием продолжительных и замысловатых целенаправленных атак, в которых DDoS – это лишь один из нескольких векторов нападения.

Подобные атаки нередко относят к отдельному классу угроз – Advanced Persistent Threat (APT). Для их отражения требуется целый набор инструментов, включающий не только DDoS-защиту, но и, например, WAF (Web Application Firewall) – межсетевой экран для защиты веб-приложений, позволяющий выявлять и блокировать в том числе так называемые “умные” атаки.

Массированные DDoS-атаки сегодня могут «прилететь» на интернет-ресурсы практически любой компании или организации.

Их мощности зачастую таковы, что для отражения лишь одной такой атаки могут понадобиться десятки мощных серверов, подключенных к высокоскоростному Интернету, – они требуются, чтобы отфильтровать и блокировать огромные объемы нелегитимного трафика.

Профессиональные провайдеры защиты от DDoS-атак располагают необходимыми мощностями.

Что касается других организаций, то у большинства из них физически нет таких объемов высокопроизводительного компьютерного и сетевого оборудования, а те компании, у кого они есть (дата-центры, провайдеры Интернета и облаков), не могут себе позволить практически мгновенно высвобождать необходимые мощности для отражения очередной атаки, поскольку имеющееся оборудование уже задействовано для решения других задач.

Что требуется для защиты

Чтобы благополучно преодолевать волны DDoS-атак, требуется качественная защита. Некачественная, увы, скорее всего, не справится с современными DDoS-атаками – и мы много раз имели возможность в этом убедиться.

Как понять, насколько качественной является DDoS-защита, которую вам предлагают? Для этого необходимо проанализировать несколько показателей.

1. Прежде всего, нужно убедиться в том, что защиту предоставляет компания, которая специализируется на отражении DDoS-атак и имеет для этого достаточно компетенций, инструментов и ресурсов.Сервисы Anti-DDoS сегодня предлагают не только профессионалы в этой области, но и многочисленные провайдеры хостинга и Интернет. Большинство из тех, кто предлагает DDoS-защиту в дополнение («до кучи») к основным сервисам, обеспечивают ее только на сетевом (L3 по модели OSI) и транспортном (L4) уровне, однако сегодня преобладает так называемый HTTP-флуд – широкий спектр DDoS-атак на уровне интернет-приложений (L7) по протоколу HTTP.Соответственно, если защита провайдера фильтрует только пакеты уровней L3 и L4, то от атак на уровне L7 она не спасет – сайт практически гарантированно на какое-то время станет недоступен.
2. Если компания предоставляет своим клиентам финансовые сервисы, соответствующие международному стандарту платежных систем PCI DSS, или приложения, работающие с конфиденциальными (в том числе персональными) данными, то наверняка понадобится защита без раскрытия приватных ключей SSL.Обеспечить ее сможет даже не каждый специализированный провайдер Anti-DDoS, поэтому этот вопрос следует уточнять отдельно.
3. Очень важная группа вопросов касается особенностей взаимодействия провайдера защиты от DDoS-атак со своими клиентами.В частности, очень полезно заранее выяснить, готов ли провайдер адаптировать свою защиту к потребностям и особенностям клиента и если готов, то в какой степени, может ли консультировать по поводу повышения устойчивости ресурсов своих клиентов к DDoS-атакам, и пр.
4. Также нужно проверить качество технической поддержки. Воспользовавшись тестовым периодом (если, конечно, провайдер его предоставляет), можно провести стресс-тестирование сервиса защиты, в частности, запустить с его помощью имитацию атаки.Важно заранее выяснить, как быстро реагирует техподдержка на ваши запросы и скоро ли откликнется, например, если вам потребуется помощь вечером накануне выходных или ранним утром воскресного дня.
5. Очень полезно изучить список клиентов провайдера защиты и по возможности с ними пообщаться – это позволит получить много ценной информации о провайдере и его сервисах Anti-DDoS.Также весьма полезно проанализировать расположение и количество точек присутствия, а заодно оценить мощность (пропускную способность) расположенных в них фильтров.

Рекомендуем применять комплексный подход

Чтобы выстоять против современных DDoS-атак, надо не только подключить защиту от них – это необходимое, но не достаточное условие для того, чтобы обезопасить ресурсы от DDoS-рисков. Нужно также убедиться, что она эффективно работает – для этого нужно систематически проводить стресс-тестирование защиты.

Следует также учесть, что даже лучшие сервисы Anti-DDoS не смогут обеспечить высокую защиту, если интернет-ресурс имеет множество уязвимостей, позволяющих злоумышленникам легко находить слабые места и затем бить по ним всеми имеющимися в их распоряжении средствами.

Поэтому для выстраивания надежной обороны от DDoS-атак вам потребуется совместная работа в тесном взаимодействии с выбранным вами провайдером защиты по выявлению уязвимостей, минимизации их влияния, повышения общей устойчивости интернет-ресурсов клиента к DDoS-атакам и своевременной актуализации связанных с ними рисков и мер по противодействию им.