Ушел в отказ: когда ваш сайт обрушили DDoS-атакой

Когда сайт «лежит», а у вас онлайн презентация новой книги, общественная кампания или просто в стране выборы, это может сильно ударить по репутации.
Когда сайт «лежит», а у вас онлайн презентация новой книги, общественная кампания или просто в стране выборы, это может сильно ударить по репутации. Фото: Startup Stock Photo. CC0
Новость о том, что «сайт лег», не самое при­ят­ное изве­стие для любой орга­ни­за­ции, будь то неболь­шой биз­нес по про­да­же ско­во­ро­док, круп­ный банк или НКО. За обру­ше­ни­ем сай­та может сто­ять и школь­ник с хоро­шей успе­ва­е­мо­стью по инфор­ма­ти­ке, кото­рый решил пока­зать себя; и оппо­нен­ты с более мощ­ны­ми ресур­са­ми, кото­рые хотят, что­бы в кон­крет­ные дни ваш онлайн-ресурс хра­нил мол­ча­ние.

Моти­вы могут быть самые раз­но­об­раз­ные, а спи­сок подо­зре­ва­е­мых зло­умыш­лен­ни­ков, сто­я­щих за ата­кой, – очень длин­ным. Но искать заказ­чи­ков мож­но и поз­же. Когда сайт «лежит», а у вас онлайн пре­зен­та­ция новой кни­ги, обще­ствен­ная кам­па­ния или про­сто в стране выбо­ры, это может силь­но уда­рить по репу­та­ции. К сча­стью, есть спо­со­бы предот­вра­ще­ния таких атак.

Мишени

Под угро­зой напа­де­ния нахо­дят­ся любые сете­вые ресур­сы орга­ни­за­ции: пуб­лич­ный сайт, кор­по­ра­тив­ная поч­та, финан­со­вые сер­ви­сы, систе­ма вхо­да поль­зо­ва­те­лей на ресурс или фай­ло­вые сер­ве­ры.

Профили угроз

  • DoS (от англ. Denial of Service – отказ в обслу­жи­ва­нии): кибе­р­ата­ка, кото­рая осу­ществ­ля­ет­ся зло­умыш­лен­ни­ком в оди­но­че­стве, т.е. мощ­но­стя­ми одной маши­ны, и направ­ле­на на то, что­бы дове­сти один из сете­вых ресур­сов орга­ни­за­ции «до руч­ки» пото­ком запро­сов, пре­вы­ша­ю­щих про­пуск­ную спо­соб­ность систе­мы.
  • DDoS (от англ. Distributed Denial of Service) – это так­же ситу­а­ция, когда сете­вой ресурс пре­кра­ща­ет отве­чать на запро­сы поль­зо­ва­те­ля в резуль­та­те кибе­р­ата­ки. Он попро­сту не успе­ва­ет реа­ги­ро­вать на все полу­ча­е­мые паке­ты, сре­ди кото­рых боль­шая часть не от насто­я­щих поль­зо­ва­те­лей, а от зло­умыш­лен­ни­ков. Раз­ни­ца толь­ко в одном: напа­де­ние совер­ша­ет­ся сила­ми сотен воль­ных или неволь­ных участ­ни­ков.

Так вольно или невольно?

Источ­ни­ком вред­но­го тра­фи­ка может высту­пать груп­па зло­умыш­лен­ни­ков (людей) или бот­нет – сеть из зара­жен­ных вре­до­нос­ным кодом компьютеров/смартфонов/серверов (ботов). Такие устрой­ства, как зом­би, неза­мет­но для их вла­дель­цев, рас­сы­ла­ют запро­сы туда, куда им при­ка­жут орга­ни­за­то­ры ата­ки. Вто­рой вари­ант более рас­про­стра­нен и дешев в реа­ли­за­ции, при­чем с каж­дым годом ста­но­вит­ся все доступ­нее по цене.

Неволь­ны­ми участ­ни­ка­ми бот­не­та ста­но­вят­ся даже домаш­ние или офис­ные роу­те­ры, в кото­рых не сме­ни­ли завод­ской пароль. Все чаще «мусор­ный» тра­фик при­хо­дит с зара­жен­ных смарт­фо­нов. А теперь пред­ставь­те мир, в кото­ром Интер­нет вещей побе­дил: пого­лов­но под­клю­чен­ные к сети кофе­вар­ки, каме­ры наблю­де­ния, смарт-теле­ви­зо­ры и дру­гие оби­та­те­ли умных домов тоже риску­ют ока­зать­ся в роли соучаст­ни­ков. По раз­ным оцен­кам, чис­ло DDoS-атак в мире рас­тет на 20–30% еже­год­но. Интер­нет вещей сде­ла­ет эту угро­зу еще более рас­про­стра­нен­ной.

Что делать?

Справ­лять­ся с этим бед­стви­ем в оди­ноч­ку очень слож­но. Для это­го при­дет­ся купить широ­кий канал для интер­нет-ресур­са. Это доро­го, и обыч­но недо­ступ­ная рос­кошь для НКО. Даже кана­ла емко­стью 100 Гбит/сек может не хва­тить – в 2016 году уже зафик­си­ро­ва­на ата­ка со ско­ро­стью 500 Гбит/сек.

Дру­гой вари­ант – пона­де­ять­ся на сво­е­го опе­ра­то­ра или хостинг-про­вай­де­ра. Но, будь­те уве­ре­ны, если ата­ка будет угро­жать его инфра­струк­ту­ре или нач­нет ска­зы­вать­ся на дру­гих кли­ен­тах, вас отклю­чат. Воз­мож­но­сти опе­ра­то­ров свя­зи и хосте­ров так­же не без­гра­нич­ны, и быва­ли слу­чаи, когда целый город ока­зы­вал­ся без интер­не­та из-за успеш­ной DDoS-ата­ки на один сайт, с кото­рой город­ской про­вай­дер не смог спра­вить­ся.

Тре­тий вари­ант самый вер­ный – исполь­зо­вать сто­рон­ний сер­вис филь­тра­ции тра­фи­ка, кото­рый создан спе­ци­аль­но для того, что­бы помо­гать справ­лять­ся ком­па­ни­ям с DDoS-ата­ка­ми. Такой сер­вис отфиль­тро­вы­ва­ет запро­сы от реаль­ных поль­зо­ва­те­лей и про­пус­ка­ет толь­ко их. При выбо­ре постав­щи­ка такой услу­ги обра­ти­те вни­ма­ние на то, как дав­но он суще­ству­ет (то есть совер­шен­ству­ет алго­рит­мы филь­тра­ции), как отзы­ва­ют­ся о нем кли­ен­ты, насколь­ко хоро­шо рас­пре­де­ле­на его соб­ствен­ная сеть. От этих пара­мет­ров зави­сит доступ­ность ваше­го сете­во­го ресур­са.

Одна из круп­ней­ших за почти два­дца­ти­лет­нюю исто­рию атак типа «отказ в обслу­жи­ва­нии» была направ­ле­на про­тив НКО. В 2013 году сер­ве­ры извест­но­го на весь мир бор­ца со спа­мом Спам­ха­ус под­верг­лись DDoS-ата­ке неви­дан­ной до это­го ско­ро­сти – 300 Гбит/cек. , что в 6 раз пре­вы­ша­ет план­ку «обыч­ной» ата­ки на банк.

Основы безопасности сетевого ресурса

  • Сле­ди­те за состо­я­ни­ем сай­та и сер­вер­но­го ПО – уста­нав­ли­вай­те све­жие обнов­ле­ния, как толь­ко они появ­ля­ют­ся. Это гаран­тия того, что ата­ку­ю­щие не вос­поль­зу­ют­ся бре­шью в про­грамм­ном обес­пе­че­нии.
  • Исполь­зуй­те спе­ци­а­ли­зи­ро­ван­ные сер­ви­сы филь­тра­ции тра­фи­ка, кото­рые могут рас­по­знать нача­ло DDoS-ата­ки и спра­вить­ся с ней неза­мет­но для поль­зо­ва­те­лей ваше­го ресур­са.
  • Про­во­ди­те регу­ляр­ный аудит сво­их веб-ресур­сов на пред­мет нали­чия уяз­ви­мо­стей.
  • Дер­жи­те крас­ную кноп­ку пере­за­груз­ки сер­ве­ров побли­зо­сти.