Продолжаем рассказывать про то, как устроен интернет изнутри и как там дела с безопасностью. Сегодня поговорим про DoS-атаки — с ними может столкнуться каждый владелец сайта, онлайн-приложения или своего сервера.
Это статья для расширения ИТ-кругозора — почему иногда не работают сайты и что за этим стоит. Если нужно что-то более практичное, почитайте наш цикл про компьютерное зрение или посмотрите, насколько сейчас перспективна профессия Python-разработчика.
Что такое DoS
DoS — это сокращение от английского Denial of Service, что означает «отказ в обслуживании». Что это значит:
- злоумышленник отправляет на сервер слишком много запросов; параллельно обычные пользователи тоже отправляют свои обычные запросы;
- возможности сервера ограничены, поэтому он вынужден ставить все запросы в длинную очередь — и обычные, и зловредные;
- сервер будет отвечать очень медленно или вообще перегрузится и перестанет отвечать;
- в результате сайты не открываются, онлайн-сервисы не работают; мобильные приложения, которые зависят от данных с сервера, тоже перестают работать.
СКОЛЬКО СТОИТ DDOS-АТАКА?
Если запросов достаточно много и они приходят достаточно быстро, сервер просто перестанет отвечать на запросы и начнёт выдавать ошибку 500 — внутреннюю ошибку сервера. Эта ошибка необязательно означает, что сайт подвергся DoS-атаке, но она всё равно говорит о том, что с сервером что-то не так:
Что такое DDoS
Чтобы сгенерировать настолько много запросов, что сервер с ними не справится, одного компьютера недостаточно — крупные провайдеры и дата-центры могут обрабатывать десятки гигабит входящих данных в секунду. Но если собрать много компьютеров и заставить их массово отправлять запросы, то провайдеры могут и не справиться с такой нагрузкой.
Такой вид атаки называют DDoS, а первая буква D означает Distributed — то есть распределённая DoS-атака. Для её организации чаще всего используют ботнеты — сети из обычных компьютеров, на которых дремлет специальное ПО. В нужный момент это ПО активируется, и компьютер начинает слать запросы на выбранный сервер, чтобы его перегрузить.
Владельцы компьютеров чаще всего даже не знают, что их техника является частью ботнета. Внешне это проявляется как то, что компьютер начал немного тормозить и резко упала скорость интернета. А всё потому, что для DoS-атаки каждый компьютер в ботнете использует по максимуму свой канал связи и не даёт другим программам им пользоваться.
Зачем это делают
Смысл любой DDoS-атаки — на время сделать так, чтобы сайт или сервер перестали работать. Если речь идёт об интернет-магазине, то, пока не работает сайт, он может недополучить часть выручки. Иногда хакерские группировки так делают, чтобы заявить о себе или показать свою силу.
Но если цель DDoS-атаки — корневые сервера интернета, CDN-провайдеры или, например, DNS-сервера, то последствия может ощутить весь интернет: большинство сайтов начинает тормозить или не открываться совсем. Иногда это используют для того, чтобы подменить настоящий сайт фальшивым и с его помощью украсть данные пользователей.
Одна из таких серьёзных атак случилась в сентябре 2012 года — целью стал CDN-провайдер CloudFlare, серверы которого расположены почти по всему миру. Мощность атаки тогда составила 65 гигабит в секунду — с такой нагрузкой в то время компания справиться не смогла. В итоге несколько дней все замечали падение скорости интернета — а всё потому, что не работал глобальный кэш, который ускорял загрузку контента.
Сегодня рекорд по мощности DDoS-атаки принадлежит голландскому провайдеру CyberBunker — он в марте 2012 года атаковал компанию Spamhaus с мощностью почти в 300 гигабит в секунду. А всё из-за того, что Spamhaus внёс этого провайдера в список спамеров.
Как защититься
Нам с вами от DDoS-атак не защититься никак: это задача провайдеров и хостеров. Но на всякий случай всегда важно иметь свежие бэкапы, чтобы, если что, — быстро переехать на новый сервер или восстановить утраченные данные.
Если вы администратор сайта, вам могут оказать услуги DDoS-щитов: тогда ваш сайт скрывается за неким агентом, который принимает на себя весь входящий трафик. Если видно, что началась DDoS-атака, этот агент может отфильтровать плохой трафик, сохранив работоспособность сайта.
Если вы хотите работать в ИТ и защищать компании от таких атак — присмотритесь к профессиям системного администратора или девопса.
Если есть опыт в ИТ и желание разобраться, что к чему — приходите сюда:
Если опыта нет, но хочется уже начать — начните с профессии инженера по тестированию. А как появятся нужные навыки — переходите на новый уровень:
Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Источник: thecode.media
Что такое DDoS-атаки и почему они опасны для любого IT-сервиса
Расскажем, что такое DDoS-атаки, какие они бывают, почему так опасны и что нужно знать, чтобы им противостоять.
Всё, что создано человеком, можно сломать и повредить. В огромной степени это справедливо для компьютерных программ. Вредоносным и исследовательским вмешательством в работу софта занимаются хакеры. Сегодня мы рассмотрим один из самых смертоносный приемов из их арсенала — это DDoS-атаки, от которых не застрахована ни одна программа в мире.
Что такое DDoS-атака на сервер: объясняем принцип на пальцах
Допустим, на вашем сервере расположен интернет-магазин, который исправно обслуживает покупателей. Конечно, с ним может случиться неприятность, если вы заранее не позаботились о достаточном количестве ресурсов на случай роста трафика. Тогда, если на сайт придет слишком много клиентов, серверу станет трудно отвечать на большое количество запросов. А значит, сайт начнет подтормаживать.
Если сайт расположен не на обычном сервере, а на облачном , такого не случится. Вы можете сразу получить нужное количество дополнительных мощностей, и сервер легко обработает возросшее число запросов.
Но представьте, что на ваш магазин обрушивается не просто поток покупателей, а настоящий шторм запросов — в таком количестве, в котором их просто невозможно обслужить. Тогда любой сайт может перестать отвечать совсем. Покупатели заходят на страницу — и видят лишь крутящуюся иконку загрузки. Ни картинок, ни текстов — просто пустой экран.
Разочарованные клиенты ищут похожий магазин и уходят. Как потом выяснится, взломщики в течение многих часов слали на ваш сервер миллионы запросов в секунду и парализовали его возможность отвечать на них.
Такой шквал запросов называется DoS-атакой — это denial-of-service , атака отказом оборудования. А если она производится не с одного компьютера, а сразу с нескольких, то говорят, что это DDoS-атака — distributed denial-of-service , распределенная атака отказом оборудования.
Вот так можно изобразить простейшую схему DDoS-атаки
В общем, отличие DoS и DDoS только в количестве атакующих компьютеров: для первого типа атак он один, а жертвой обычно становится небольшой проект. Второй тип атак требует нескольких устройств, а под раздачу обычно попадают крупные компании.
Определить DDoS- или Dos-атаку на сайт довольно легко — достаточно зафиксировать аномальное число запросов. А вот справиться с такой напастью намного сложнее.
Самое страшное в DDoS-атаках
Самое страшное в ДДоС-атаках — это что их можно применять против любой программы, имеющей доступ в сеть. Если для взлома и получения доступа к конфиденциальной информации хакеру нужно найти дыры в защите и знать, как ими пользоваться, то для DDoS этого не нужно — достаточно располагать мощностью для генерации ядовитых запросов к серверу.
В случае с большими компаниями, выпускающими приложения на тысячах серверов, нужно иметь в распоряжении очень большое число источников вредоносного трафика — такая мощность есть не у всех взломщиков. А в случае с небольшим сервисом достаточно иметь простой ноутбук — этого может оказаться достаточно, чтобы парализовать работу ресурса.
При этом, на самом деле, большие и маленькие проекты одинаково уязвимы — вопрос лишь в силе шторма, который хакеры готовы обрушить на сервер.
Традиционные методы защиты от хакеров не спасут: сколько ни ставь обновлений и ни конфигурируй настройки безопасности — вас всё равно снесет потоком токсичного трафика. DDoS не нужны баги и дыры в программах — для атаки используют штатные средства.
Два фундаментально разных вида DDoS-атак
Первый тип DDoS-атак — на саму сеть и сетевой стек. На сервер обрушивается, допустим, большое количество запросов на установку соединения. Сами запросы могут содержать дополнительные уловки, например, приходить с несуществующего адреса — это усложняет и затрудняет обработку входящего трафика. Через какое-то время сервер перестает отвечать на попытки соединения — его ресурсы загружены на 100%.
Второй тип DDoS-атак — на отказ приложения. Многие сайты содержат сложные и тяжелые функции — например, поиск по каталогу товаров или функции обработки фото. Отправив большое количество запросов, скажем, на поиск отсутствующего в базе товара, хакеры могут полностью загрузить программу на сервере ненужной работой. Причем загрузить так, что она не сможет отвечать на другие типы запросов — например, клиенты не смогут просматривать каталоги и класть товары в корзину.
Для проведения такой атаки зачастую достаточно ноутбука — нужно только найти «тяжелые» куски программы на сервере и написать свою программу, которая генерирует тысячи запросов к этому «тяжелому месту».
Как проводят DDoS-атаки
В самом простом случае, например для атаки на сайт, как мы выяснили, достаточно ноутбука. В случае с серверами помощнее взломщики берут в аренду DDoS-серверы в дата-центрах с сомнительной репутацией и генерируют запросы оттуда.
Еще одно оружие в руках преступников — ботнет. Хакерские группировки заражают обычные компьютеры и ноутбуки особыми вирусами, которые по команде из центра управления дружно обращаются с запросами на выбранный ресурс. Такие зараженные компьютеры и образуют сеть для генерации токсичного трафика — ботнет. Некоторые ботнеты состоят из сотен тысяч компьютеров.
Если каждый из них начнет генерировать некоторое число запросов к атакующему ресурсу, его просто сметет. Мощность самых мощных в мире ботнетов позволяет не то, что положить магазин конкурентов — а даже парализовать работу интернета в небольшой стране.
Что же делать с DDoS-атаками?
Защита своих серверов от DDoS — сложное и дорогое занятие. Потребуется специальное программное обеспечение, резервные серверы и помощь экспертов, которые разбираются в защите.
Если ваши сервисы расположены в облаке, вы можете рассчитывать на защиту провайдера. Облачные провайдеры отсекают однотипные запросы, перераспределяют нагрузку, выделяют резервные каналы и серверы. В облаках доступна защита от типовых DDoS-атак, также эксперты помогают организовать защиту инфраструктуры от более сложных атак.
Например, у Mail.Ru Cloud Solutions есть значительный опыт защиты от DDoS-атак. Социальные сети «ВКонтакте» и Одноклассники, почта Mail.ru — сервисы, с DDoS-атаками на которые мы успешно справляемся, они находятся в тех же самых дата-центрах, которыми пользуются клиенты нашего облака.
Источник: dzen.ru
Отличие DoS- от DDoS-атаки
Хакерские атаки, независимо от их разновидности, приводят к одному – неработоспособности сайта или его подмене нелегитимной копией. Проблема обычно сохраняется в течение нескольких минут или даже часов. Минимизировать ущерб от «искусственных сбоев» получится только тогда, когда администратор сервера поймет, с какой проблемой он столкнулся.
Сегодня поговорим о DoS- и DDoS-атаках, их отличиях и типах.
Что такое DoS-атака
DoS означает отказ в обслуживании (Denial of Service). Злоумышленник нападает с целью вызвать перегрузку подсистемы, в которой работает атакуемый сервис. Воздействие осуществляется с одного сервера и нацелено на определенный домен или виртуальную машину.
- Одиночный характер – поток трафика запускается из одной-единственной подсети.
- Высокая заметность – попытки «положить» сайт заметны по содержимому лог-файла.
- Простота подавления – атаки легко блокируются при помощи брандмауэра.
Последнее также часто возлагается на сетевое оборудование, например маршрутизатор, в котором установлен «облегченный» вариант Linux или подобное программное обеспечение. Такой тип атак давно не представляет особой опасности, но влияет на стоимость обслуживания (требует установки специализированных программ).
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Что такое DDoS-атака
DDoS означает распределенный отказ в обслуживании (Distributed Denial of Service). Реализуется атака несколько иначе, чем DoS – принципиальное отличие заключается в применении сразу нескольких хостов. Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика.
- Многопоточный характер – такой подход упрощает задачу блокирования сайта, потому что быстро отсеять все атакующие IP-адреса практически нереально.
- Высокая скрытность – грамотное построение атаки позволяет замаскировать ее начало под естественный трафик и постепенно «забивать» веб-ресурс пустыми запросами.
- Сложность подавления – проблема заключается в определении момента, когда атака началась.
Ручное исследование лог-файлов здесь ничего не дает, отличить атакующие хосты от «нормальных» практически невозможно. Ситуация усугубляется тем, что источником в 9 случаях из 10 оказываются «обычные сайты», предварительно зараженные вирусом или взломанные вручную. Постепенно они образуют единую сеть, называемую ботнетом, и увеличивают мощность атаки.
Главные отличия и цели атак
Наиболее распространенная причина, почему некто решает «положить» веб-ресурс, заключается в вымогательстве. Система схожа с заражением локальных компьютеров вирусами-вымогателями, при активации которых с владельца начинают требовать выкуп за возврат работоспособности Windows. То же происходит с сайтом – хакер присылает собственнику email с требованиями.
Встречают и другие причины:
- Недобросовестная конкуренция – «коллеги» пытаются занять нишу путем удаления других игроков рынка.
- Развлечение – молодые программисты запускают атаки ради хвастовства перед друзьями, знакомыми, коллегами.
- Неприязнь личного, политического характера – мотивом становится несогласие с политикой правительства, определенной организации.
Также возможны проблемы, исходящие от недовольных сотрудников, которые уволились или еще продолжают работать, но уже готовы пакостить своему работодателю.
Типы атак
Определенную сложность в определении типа воздействия и методики защиты оказывает различие в вариантах кибератак. Существует более десятка способов навредить работоспособности сервера, и каждый из них требует отдельного механизма противодействия. Например, популярны флуды по протоколу UDP, а также запросы доступности сайта и блокирование DNS-хоста.
Переполнение канала
На сервер отправляется поток эхо-запросов с задачей полностью «забить» аппаратные ресурсы ПК (физической или виртуальной машины). Все провайдеры выделяют пользователям лимитированные каналы связи, поэтому достаточно заполнить их ложным трафиком, который лишит возможности открыть сайт при обычном запросе.
DNS-флуд
Целью атаки становится DNS-сервер, который привязан к «жертве». Владелец сайта в этом случае не получает никаких сообщений от провайдера хостинга. Единственный вариант вовремя «увидеть» проблему заключается в подключении сторонних систем типа Яндекс.Вебмастера, которые по кругу проверяют доступность домена, скорость соединения и пр.
PING-флуд
Воздействие на хост сопровождается многочисленными запросами без ожидания ответа от сервера. В результате веб-ресурс начинает терять настоящие пакеты данных, падает скорость открытия страниц вплоть до полной недоступности. Пользователи будут видеть попытки открытия, но результата в виде страницы не дождутся.
UDP-флуд
По аналогии с предыдущим вариантом, на сервер «жертвы» отправляется большой объем пакетов в формате дейтаграмм. Серверу приходится реагировать на каждый, чтобы отправить ответ в виде ICMP-пакета, означающего, что «адресат недоступен». В итоге все мощности виртуальной машины будут заняты пустыми задачами.
Переполнение буфера
Популярный способ DoS-атаки. Хакер стремится вызвать ошибки в программах, установленных на атакуемом сервере. Например, при помощи переполнения буфера памяти, выделенного для работы приложения. Такие попытки легко блокируются, но только при условии применения специальных программ или маршрутизаторов с функцией защиты.
Как защититься от атак
Встречаются и более редкие варианты, например: SYN-флуд, Slow HTTP POST, Ping of Death или Slow HTTP GET. Но все они сводятся к попыткам «забить» пропускную способность канала, чтобы сервер перестал реагировать на пользовательские запросы, или израсходовать выделенную память и процессорные мощности, когда перегруженная система зависает и начинает тормозить.
Способы защиты от DoS и DDoS:
- Превентивный мониторинг сетевой активности. Перед запуском основной атаки зачастую проводится проверка «короткими сериями», поэтому есть возможность заранее узнать, что предстоят проблемы с доступностью сайта.
- Фильтрация на уровне хостинга. Провайдеры обычно предоставляют такую услугу в рамках всех платных тарифов. Но лучше уточнить в службе поддержки, имеется ли защита от DoS- и DDoS-атак и как она реализована.
- Тестовое нападение на сервер. Существуют специальные программы вроде Hping3, LOIC (Low Orbit Ion Cannon) или OWASP Switchblade. Они позволяют эмулировать настоящую атаку и достоверно выявлять уровень защиты сервера.
Плюс желательно иметь четкий план действий на случай краха сайта. В него могут входить мероприятия по оперативному подключению другого сервера, перенастройке DNS-хостов и пр. Главное, обеспечить непрерывную доступность публикуемых сервисов независимо от внешних факторов.
В восьмом выпуске подкаста «Релиз в пятницу» вы узнаете, чем особенно опасны DDoS-атаки, нужно ли заранее ставить защиту и что делать, если атака уже началась.
Источник: timeweb.com