Загрузка

DDoS атаки - как защититься?
Статьи / Безопасность 10.09.2021 570

DDoS атаки - как защититься?

Что такое DDoS атака?


DoS, DDoS - хакерская атака на вычислительную систему с целью довести её до отказа (чтобы сайт выключился или стал работать значительно медленнее, что приведет к отказам со стороны пользователей), то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам, либо этот доступ будет затруднён, что мотивирует зашедших покинуть портал. 


Какие виды атак бывают?


«Ping атака» — слишком большой пакет размером более 65535 байт. Обычно такой пакет приводит к ошибкам и перебоям на сервере, но уже не так актуален в наше время. 


HTTP(S) GET-флуд — на сервер отправляется  большое количество информации "пустышки", которая ничего в себе не несет и отправляется ботами, а не пользователями и тем самым забивает канал. 


Smurf-атака — взломщик отправляет операционной системе запрос с подменным MAC-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул данный товарищ-взломщик.


HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.


UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.


SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».


POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных  HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»


Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых —  коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.


Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.


Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.


Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.


Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.


Зачем и кто это делает? Самое главное - для чего?


За атаками стоят злоумышленники, которые делают это с целью затруднить доступ к сайту или вовсе заставить его "Уснуть", то есть - выключиться. В основном под угрозой находятся сайты банков, образовательных учреждений, государственного значения и информационные порталы с важными данными.


Это делается с целью мошенничества, кражи данных и вымогательства.

В современном мире DDOS атака часто направляется на конкурентов.


Живой пример:

Бизнесмен Иван Иванов открыл интернет-магазин по продаже вещей и очень преуспел в данном деле, а его конкурент Пётр Петров владеющий оффлайн-магазином увидев рост своего товарища, а также его достижения и успех решил сделать также. Так как его коллега уже популярен, а он ещё нет - Пётр Петров заплатил злоумышленникам чтобы они "Отключили" сайт его конкурента и осуществили DDOS атаку.


Вроде бы, история печальна и в конце Пётр Петров нечестным методом "уничтожит" своего конкурента... Но, не тут то было - не в наше время! Бизнесмен Иван Иванов прочитал статью и теперь знает - как правильно защитить свой интернет-магазин! 


Как правильно защищаться от DDoS, DoS атак?


На просторах интернета очень много сервисов которые за небольшую плату, либо же за бесплатные тарифы будут оберегать ваш сайт от злоумышленников, пример: StormWall, DDos-Guard, React, Cloud-Flare, Selectel, Kaspersky и много других сервисов. Для подключения вам всего-лишь нужно будет перенаправить NS сервера на сервис защиты от DDos атак, а он уже направит его на ваш хостинг, подробные инструкции есть в интернете. Так-же некоторые хостинги лично предоставляют защиту от DDoS атак, лично посоветовал бы NetAngels, никогда не применял никаких сервисов, все атаки он отбивает сам.


Что нам предлагают CloudFlare и DDos-Guard в бесплатных тарифах?


Cloud-Flare из бесплатного тарифа предоставляет нам:

Быстрый и простой в использовании DNS

Бесплатные автоматизированные SSL-сертификаты

Глобальная сеть доставки контента (CDN)

Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тбит / с

До 100 тыс. Запросов Workers и 30 скриптов


DDoS-Guard из бесплатного тарифа предоставляет нам:

Защита 1 домена

Неограниченный объем/полоса легитимного трафика

Кэширование и доставка статического контента (CDN)

Аналитика по трафику в личном кабинете

Бесплатный SSL-сертификат

Время ответа на обращение – до 12 часов


Итоги бесплатных хостеров


Соответственно, DDoS-Guard будет лучше, чем Cloud-Flare в бесплатном тарифе.


Что известные хостеры предложат нам из минимальных платных тарифов?


Cloud-Flare

Быстрый и простой в использовании DNS.

Бесплатные автоматизированные SSL-сертификаты.

Глобальная сеть доставки контента (CDN).

Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тб/с.

До 100 тыс. Запросов Workers и 30 скриптов.

20 правил страницы.

Повышенная безопасность с помощью брандмауэра веб-приложений (WAF)

Отчет бота и основные меры по устранению

Оповещения о DDoS-атаках.

Оптимизация изображений без потерь.

Ускоренная скорость загрузки мобильной страницы.

Аналитика, ориентированная на конфиденциальность.

Цена данного тарифа: 1460₽.

DDoS-Guard

Ускоренная валидация посетителей.

Возможность использования гео-блокировки.

Управление черными/белыми списками.

Возможность изменения защищенного IP-адреса.

Поддержка HTTP/2 и SPDY.

Поддержка SSL/TLS 1.2&1.3 шифрования.

Время ответа на обращение – до 4 часов.

Цена данного тарифа 1800 рублей. 


Selectel

Базовая защита от DDoS 10 Мбит/с

Цена данного тарифа 2550 рублей. 

React

Количество защищаемых сайтов - 1

Количество BackEnd-серверов - 1

Кэширование статического контента

Поддержка HTTPS

Выделенный IP

Суточная посещаемость не более 5,000 посетителей

Легитимная полоса 10Mbps

Расширенная DDoS защита Layer-7

Защита до 1 Tbps и 120млн PPS

Цена данного тарифа 2555 рублей. 


StormWall

1 домен 2 уровня.

Поддержка до 3-х поддоменов.

Поддержка HTTPS.

Для сайтов с суточной посещаемостью до 5,000 посетителей.

Легитимная пропускная способность, включенная в подписку (возможно превышение) - 10 мб/с.

Максимальное время реакции на запрос - 60 минут.

Гарантируемая доступность, не менее - 98% в расчете за 1 месяц.

Защищенный DNS.

HyperCache CDN и оптимизация загрузки более 2 тб/с.

Максимальная полоса тонкой пакетной фильтрации - 600 гб/с.

Предназначение - специальное предложение для небольших веб-сайтов.

Цена данного тарифа 3555 рублей. 

Kaspersky

Доступность ресурса - 98,5%

Объем атаки - 10 гб/с.

Схема включения - DNS/C-name.

Доменов на ресурс - 1

3 поддомена.

10 черно-белых списков.

Балансировка трафика - 100

Уровень поддержки: Лайт.

Цена данного тарифа - 4900 рублей. 


Итоги платных хостеров


Из всех вышепоставленных тарифов я бы рассмотрел Cloud-Flare, DDoS-Guard, на крайний случай - React. Цены на тарифы приемлемы, как я считаю.


Установка бесплатной защиты от DDos-Guard и Cloud-Flare.

DDoS-Guard

1. Проходим регистрацию на сайте, нас перекинет в https://my.ddos-guard.net/dashboard

2. Нажимаем на синюю кнопку "+" Добавить услугу и выбираем защитить веб-сайт.

3. Нажимаем на большую синюю кнопку Подключить и выбираем самый последний Free - тариф.

4. Нажимаете кнопку Подключить и переходите к дальнейшей настройке.

5. Вписываем свой домен, IP-адрес будет заполнен автоматически, если этого не произошло - вам нужно будет вписать IP адрес от сервера.

6. После всех заполнений жмите оформить заказ, после чего начинается настройка услуги, вам нужно подождать немного, в среднем до 5 минут занимает это дело.

7. Вам попросит перевязать NS сервера на NS DDoS-Guard-а. Поэтому, заходите на сайт к своему хостеру, где приобретали домен и меняете NS сервера с прямого соединения на хостинг, на DDoS-Guard.


Cloud-Flare

1. Проходим регистрацию аккаунта, далее мы попадаем на dash.cloudflare.com ( сайт не поддерживает Русский Язык).

2. Нажимаем на синюю кнопку Add Site и указываем свой домен сайта.

3. Выбираем Free - тариф и нажимаем Continue.

4. Далее происходит сканирование NS серверов домена, после этого сканирования нажимайте Continue, делать там ничего не нужно.

5. Далее вас просит перевязать NS сервера на Cloud-Flare, после того как вы их перевязали, нажимайте Done, Check nameservers.

6. Все, ваш сайт будет недоступен первое время, в среднем это 2 часа, но дело может растянуться до 24 часов, поэтому придется немного подождать.


Итоги


Теперь Вы знаете где и как подключать бесплатную защиту от DDoS, так-же знаете что различных сервисы предложат вам за минимальную плату у них.

Автор публикации: Матвей Державин

fatMAD
Никнейм: fatMAD
Всего постов: 3
Всего комментариев: 2
Привет! Тебе понравилась моя статья?
Надеюсь на твою оценку!
Нравится Не нравится Рейтинг: +3
Ой, чуть не забыл, ещё можно поделиться!

Похожие публикации


Предыдущая публикация

Комментарии (0)

Добавить комментарий