Кто здесь самый умный: как предотвратить DDoS-атаку

С января по март 2022 года системы Kaspersky отследили 91052 DDoS-атак, из них 44,34% были направлены на организации в США.

Что еще характерно, большинство атак (16,35%) происходят по воскресеньям. 94,95% инцидентов продолжаются меньше часов, однако самая длинная атака длилась 549 часов (около 23 дней). В связи с участившимися инцидентами, владельцам сайтов рекомендуется укрепить меры безопасности, постоянно мониторить сайты на наличие уязвимостей и временно блокировать внешние запросы, если так предлагает система. Что же такое DDoS-атаки и как их предотвратить?

Что такое DDoS?

Цель DDoS-атак — ограничить доступ к сайтам и веб-приложениям, направив на сайт шквал фейковых запросов.

Итак, что же такое DDoS? Аббревиатура расшифровывается как distributed-denial-of-service. В переводе — атака с целью довести систему до отказа. Для проведения такой операции киберпреступник использует все возможные ресурсы в удаленном режиме. И буквально генерирует атаки, которые преуспевают, если настройки устройства сохранены по умолчанию, или если оборудование функционирует неправильно. Но и это не единственная причина атака.

На сайт организации поступает огромное количество http-запросов. С таким количеством трафика сайт не справляется. И, в результате, ограничивает доступ реальным пользователям.

Пострадать может любой сайт. Вопрос в том, насколько быстро владелец онлайн-платформы определит DDoS и обратится за помощью к техническому специалисту.
Можно ли защититься от DDoS?
Если DDoS-атака началась, у владельца сайта есть считанные минуты, чтобы понять, что с сайтом что-то происходит и вызвать специалиста. Именно поэтому DDoS и считается такой опасной, ведь, как правило, ее игнорируют.

И действительно, можно подумать, что на сайте проводятся технические работы, или временно исчез Интернет. И упустить время.

Поэтому первое, что нужно сделать каждому владельцу сайту, — заранее продумать, как не допустить DDoS.

Для начала, установите VPN на роутер. Как мы узнали из гайда ExpressVPN, виртуальная приватная сеть скрывает IP-адрес. А ведь именно по этому параметру нас отслеживают в Интернете. В то же время, DDoS-атака действует, нацеливаясь на сеть… Разумеется, если IP скрыт, отследить вас практически невозможно.

Как вы уже поняли, главное — максимально защитить сеть.

• Создайте барьеры между сетями, которые будут сканировать весь трафик. В этом помогут брандмауэры и системы обнаружения вторжений.
• Не забудьте об антивирусных программах.
• Безопасность конечных точек следит за защитой от атак зон входа для конечных пользователей (ноутбуки, компьютеры, смартфоны). Также обеспечивается защита сетей, в удаленном режиме подключенных к устройствам клиентов.
• Инструменты кибербезопасности устраняют цифровые угрозы, блокируют приливы трафика, стараются сразу распознать атаки.
• Также существуют программы, способные предотвратить спуфинг, проверив, если ли у трафика адрес источника, сопряженный с оригинальным адресом.
• Сегментация сети делит систему на несколько частей, каждая из которых обладает уникальным контролем безопасности и протоколами.

Но что, если DDoS уже началась?

Существует четыре признака, которые помогут определить DDoS-атаку.

Во-первых, вы заметили трафик из того региона, в котором обычно не проживает ваша целевая аудитория.

Многие владельцы сайтов принимают такую ситуацию за неслыханную удачу. Но, на самом деле, это — непосредственный признак DDoS.

Следующий признак, который должен насторожить: трафик идет от одного и того же клиента. Среди http-запросов фигурирует одна и та же операционная система. Та же самая ситуация с браузером. Здесь действует простое правило: реальные посетители всегда заходят с разных систем.

Далее, трафик направляется на конкретный сервер, сетевой порт или веб-страницу. Если ваш сайт вдруг внезапно стал пользоваться популярностью, посещаемость более-менее равномерно распределиться по всему порталу. Кстати, о популярности. Если видите наплыв посетителей, стоит задаться вопросом, с чем это связано.

Если вы проводите распродажу, или это Черная Пятница, тогда приток трафика вполне объясним, и вы действительно заинтересовали аудиторию. Но если нет внятного объяснения огромному количеству запросов, лучше проконсультироваться со специалистом, не может ли это быть DDoS.

Еще один повод подумать об атаке — в аналитических программах сайта отражается, что происходит с трафиком.

Так вот, в случае с DDoS трафик волнообразный. Чтобы предотвратить DDoS, нужно принять во внимание именно этот признак атаки. И заранее подготовить аппаратное обеспечение (маршрутизаторы, инструменты балансировки нагрузки, DNS) к тому, чтобы эти устройства выдержали возможные всплески трафика.

Первая помощь

Если вы подозреваете DDoS и уже вызвали специалиста, но хотите устранить последствия, предлагаем несколько рекомендаций. Впрочем, выполнять их стоит лишь если вы обладаете технической грамотностью.

• Создайте настройки для ограничения скорости брандмауэра на стороне сервера. Так вы заблокируете атаку. Но, увы, это лишь временная мера, которая не поможет восстановить доступ к сети сервера. И сайт по-прежнему будет недоступен для пользователей.
• Ограничьте уровень и количество запросов в настройке сервера. Эта мера остановит DDoS на начальной стадии.
• Добавьте новые серверы, чтобы распределить нагрузку. Помните, что это - дополнительная мера, которая не сможет полностью перекрыть доступ вирусному трафику в сеть.
• Поменяйте записи DNS для доменов. На время это поможет. Но, таким образом, вы выиграете время в ожидании технического специалиста.