DDoS-атака означает «распределенную атаку типа «отказ в обслуживании» (DDoS) » и представляет собой киберпреступление, при котором злоумышленник заливает сервер интернет-трафиком, чтобы запретить пользователям доступ к подключенным онлайн-сервисам и сайтам.
Мотивы для проведения DDoS-атак сильно различаются, как и типы людей и организаций, стремящихся совершить эту форму кибератаки . Некоторые атаки осуществляются недовольными людьми и хактивистами, желающими вывести из строя серверы компании просто для того, чтобы заявить о себе, повеселиться, используя киберслабость , или выразить неодобрение.
Другие распределенные атаки типа «отказ в обслуживании» имеют финансовую мотивацию, например, когда конкурент нарушает или закрывает онлайн-операции другого бизнеса, чтобы тем временем украсть бизнес. Другие связаны с вымогательством, когда преступники нападают на компанию и устанавливают программы-заложники или программы- вымогатели на свои серверы, а затем вынуждают их заплатить крупную сумму за возмещение ущерба.
DDoS-атаки растут, и даже некоторые из крупнейших мировых компаний не застрахованы от DDoS-атак. Крупнейшая атака в истории произошла в феврале 2020 года не на что иное, как на Amazon Web Services (AWS), превзойдя предыдущую атаку на GitHub двумя годами ранее. Последствия DDoS включают падение законного трафика, потерю бизнеса и ущерб репутации.
По мере того, как Интернет вещей (IoT) продолжает распространяться, увеличивается количество удаленных сотрудников, работающих дома, и количество устройств, подключенных к сети. Безопасность каждого IoT-устройства может не поддерживаться, что делает сеть, к которой оно подключено, уязвимой для атак. Таким образом, важность защиты и смягчения последствий DDoS -атак имеет решающее значение.
Contents
Как работают DDoS-атаки
DDoS-атака направлена на то, чтобы перегрузить устройства, службы и сеть предполагаемой цели фальшивым интернет-трафиком, сделав их недоступными или бесполезными для законных пользователей.
DoS против. ДДоС
Распределенная атака типа «отказ в обслуживании» является подкатегорией более общей атаки типа « отказ в обслуживании» (DoS) . При DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы завалить цель поддельными запросами или попытаться использовать уязвимость кибербезопасности. DDoS больше по масштабу. Он использует тысячи (даже миллионы) подключенных устройств для достижения своей цели. Огромный объем используемых устройств значительно усложняет борьбу с DDoS.
Ботнеты
Ботнеты являются основным способом проведения распределенных атак типа «отказ в обслуживании». Злоумышленник взламывает компьютеры или другие устройства и устанавливает вредоносный фрагмент кода или вредоносное ПО , называемое ботом . Вместе зараженные компьютеры образуют сеть, называемую ботнетом. Затем злоумышленник дает указание ботнету перегрузить серверы и устройства жертвы большим количеством запросов на подключение, чем они могут обработать.
Что такое DDOS-атака: симптомы атаки и каидентифицировать
Одна из самых больших проблем с определением DDoS-атаки заключается в том, что симптомы не являются чем-то необычным. Многие из симптомов аналогичны тем, с которыми пользователи технологий сталкиваются каждый день, включая низкую скорость загрузки или загрузки, невозможность просмотра веб-сайта, обрыв интернет-соединения, необычные медиафайлы и контент или чрезмерное количество спама.
Кроме того, DDoS-атака может длиться от нескольких часов до нескольких месяцев, а степень атаки может варьироваться.
Типы DDoS-атак
Различные атаки нацелены на разные части сети и классифицируются в соответствии с уровнями сетевых подключений, на которые они нацелены. Соединение в Интернете состоит из семи различных «уровней», как определено моделью взаимодействия открытых систем (OSI), созданной Международной организацией по стандартизации. Эта модель позволяет различным компьютерным системам «общаться» друг с другом.
Объемные или объемные атаки
Этот тип атаки направлен на контроль всей доступной полосы пропускания между жертвой и большим Интернетом. Усиление системы доменных имен (DNS) является примером атаки на основе объема. В этом сценарии злоумышленник подделывает адрес цели, а затем отправляет запрос поиска DNS-имени на открытый DNS-сервер с поддельным адресом.
Когда DNS-сервер отправляет ответ DNS-записи, он вместо этого отправляется цели, в результате чего цель получает усиление изначально небольшого запроса злоумышленника.
Протокольные атаки
Атаки на протоколы потребляют всю доступную мощность веб-серверов или других ресурсов, таких как брандмауэры. Они выявляют слабые места на уровнях 3 и 4 стека протоколов OSI, чтобы сделать цель недоступной.
SYN-флуд — это пример атаки на протокол, при которой злоумышленник отправляет цели подавляющее количество запросов квитирования протокола управления передачей (TCP) с поддельными исходными IP-адресами . Целевые серверы пытаются ответить на каждый запрос на подключение, но окончательное рукопожатие никогда не происходит, что подавляет цель в процессе.
Атаки прикладного уровня
Эти атаки также направлены на истощение или перегрузку ресурсов цели, но их трудно пометить как вредоносные. Часто называемая DDoS-атакой уровня 7 (имея в виду уровень 7 модели OSI), атака на уровне приложений нацелена на уровень, на котором веб-страницы генерируются в ответ на запросы протокола передачи гипертекста (HTTP) .
Сервер выполняет запросы к базе данных для создания веб-страницы. В этой форме атаки злоумышленник заставляет сервер жертвы обрабатывать больше, чем обычно. HTTP-флуд — это тип атаки на уровне приложений, который аналогичен постоянному обновлению веб-браузера на разных компьютерах одновременно. Таким образом, чрезмерное количество HTTP-запросов перегружает сервер, что приводит к DDoS.
Предотвращение DDoS-атак
Даже если вы знаете, что такое DDoS-атака, избежать атаки крайне сложно, потому что ее обнаружение представляет собой сложную задачу. Это связано с тем, что симптомы атаки могут не сильно отличаться от типичных проблем обслуживания, таких как медленная загрузка веб-страниц, а уровень изощренности и сложности методов DDoS продолжает расти.
Кроме того, многие компании приветствуют всплеск интернет-трафика, особенно если компания недавно запустила новые продукты или услуги или сообщила о важных для рынка новостях. Таким образом, предотвращение не всегда возможно, поэтому организации лучше всего планировать ответные действия на случай возникновения таких атак.
Защита от DDoS-атак
После предполагаемой атаки у организации есть несколько вариантов смягчения ее последствий.
Оценка рисков
Организации должны регулярно проводить оценку рисков и аудиты своих устройств, серверов и сети. Хотя полностью избежать DDoS невозможно, тщательное понимание сильных и слабых сторон аппаратных и программных активов организации имеет большое значение. Знание наиболее уязвимых сегментов сети организации является ключом к пониманию того, какую стратегию следует реализовать, чтобы уменьшить ущерб и сбои, которые может нанести DDoS-атака.
Дифференциация трафика
Если организация считает, что она только что стала жертвой DDoS-атаки, первое, что нужно сделать, — это определить качество или источник аномального трафика. Конечно, организация не может полностью отключить трафик, так как это означало бы выбрасывать хорошее вместе с плохим.
В качестве стратегии смягчения используйте сеть Anycast, чтобы распределить трафик атаки по сети распределенных серверов. Это делается для того, чтобы трафик поглощался сетью и становился более управляемым.
Маршрутизация через черную дыру
Другой формой защиты является маршрутизация через черную дыру, при которой сетевой администратор или интернет-провайдер организации создает маршрут черной дыры и направляет трафик в эту черную дыру. При использовании этой стратегии весь трафик, как хороший, так и плохой, направляется по нулевому маршруту и, по сути, отбрасывается из сети. Это может быть довольно экстремально, поскольку законный трафик также останавливается, что может привести к потере бизнеса.
Ограничение скорости
Еще один способ смягчить DDoS-атаки — ограничить количество запросов, которые сервер может принять в течение определенного периода времени. Одного этого, как правило, недостаточно для борьбы с более изощренными атаками, но они могут служить компонентом комплексного подхода.
Брандмауэры
Чтобы уменьшить влияние атаки уровня приложений или уровня 7, некоторые организации выбирают брандмауэр веб-приложений ( WAF ). WAF — это устройство, которое находится между Интернетом и серверами компании и действует как обратный прокси -сервер . Как и во всех брандмауэрах , организация может создать набор правил для фильтрации запросов. Они могут начать с одного набора правил, а затем модифицировать их на основе того, что они видят в качестве моделей подозрительной активности, осуществляемой DDoS.
Если организация считает, что она только что стала жертвой DDoS-атаки, первое, что нужно сделать, — это определить качество или источник аномального трафика. Конечно, организация не может полностью отключить трафик, так как это означало бы выбрасывать хорошее вместе с плохим.
В качестве стратегии смягчения последствий используйте сеть Anycast для рассеивания вредоносного трафика по сети распределенных серверов. Это делается для того, чтобы трафик поглощался сетью и становился более управляемым.
Решение для защиты от DDoS-атак
Полностью надежное решение для защиты от DDoS-атак включает в себя элементы, помогающие организации как в защите, так и в мониторинге. Поскольку уровень изощренности и сложности атак продолжает расти, компаниям требуется решение, которое может помочь им с известными атаками и атаками нулевого дня . Решение для защиты от DDoS-атак должно использовать ряд инструментов, которые могут защищать от всех типов DDoS-атак и одновременно отслеживать сотни тысяч параметров.
Защитите свою организацию как от известных атак, так и от атак нулевого дня с помощью FortiDDoS. Нажмите здесь, чтобы узнать больше .
Как Fortinet может помочь?
С FortiDDoS вы получаете всестороннюю защиту от DDoS-атак благодаря его способности проверять трафик и анализировать его поведение, чтобы предотвратить успешную кампанию киберпреступников. FortiDDoS использует машинное обучение, которое проверяет пакеты данных на предмет подозрительного поведения. Он также проверяет ваш DNS-трафик, чтобы защитить вас от различных угроз, включая объемные атаки и атаки приложений, а также потенциально опасные аномалии.
FortiDDoS также может автоматически отражать атаки и постоянно анализировать поверхность атаки . Кроме того, с помощью FortiDDoS вы можете проверять трафик на трех разных уровнях: 3, 4 и 7, а поскольку он интегрируется с Fortinet Security Fabric , администраторы получают возможность поддерживать единое представление как о общая система управления угрозами и производительность сети.
Часто задаваемые вопросы
Что такое DDoS-атака?
Атака DDoS означает «атака распределенного отказа в обслуживании (DDoS)», и это киберпреступление, при котором злоумышленник заливает сервер интернет-трафиком, чтобы запретить пользователям доступ к подключенным онлайн-сервисам и сайтам.
Когда срабатывает DDoS-атака?
DDoS-атака направлена на то, чтобы перегрузить устройства, службы и сеть предполагаемой цели фальшивым интернет-трафиком, сделав их недоступными или бесполезными для законных пользователей.
Что такое пример DDoS-атаки?
Различные атаки нацелены на разные части сети и классифицируются в соответствии с уровнями сетевых подключений, на которые они нацелены. Эти три типа включают:
- Объемные или объемные атаки
- Протокольные атаки
- Атаки прикладного уровня