Загрузка

DDoS атаки - как защититься?
Статьи / Безопасность 10.09.2021 223

DDoS атаки - как защититься?

Что такое DDoS атака?


DoS, DDoS - хакерская атака на вычислительную систему с целью довести её до отказа (чтобы сайт выключился или стал работать значительно медленнее, что приведет к отказам со стороны пользователей), то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам, либо этот доступ будет затруднён, что мотивирует зашедших покинуть портал. 

Какие виды атак бывают?


«Ping атака» — слишком большой пакет размером более 65535 байт. Обычно такой пакет приводит к ошибкам и перебоям на сервере, но уже не так актуален в наше время. 

HTTP(S) GET-флуд — на сервер отправляется  большое количество информации "пустышки", которая ничего в себе не несет и отправляется ботами, а не пользователями и тем самым забивает канал. 

Smurf-атака — взломщик отправляет операционной системе запрос с подменным MAC-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул данный товарищ-взломщик.

HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.

UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.

SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».

POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных  HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»

Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых —  коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.

Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.

Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.

Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.

Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.

Зачем и кто это делает? Самое главное - для чего?


За атаками стоят злоумышленники, которые делают это с целью затруднить доступ к сайту или вовсе заставить его "Уснуть", то есть - выключиться. В основном под угрозой находятся сайты банков, образовательных учреждений, государственного значения и информационные порталы с важными данными.

Это делается с целью мошенничества, кражи данных и вымогательства.
В современном мире DDOS атака часто направляется на конкурентов.

Живой пример:

Бизнесмен Иван Иванов открыл интернет-магазин по продаже вещей и очень преуспел в данном деле, а его конкурент Пётр Петров владеющий оффлайн-магазином увидев рост своего товарища, а также его достижения и успех решил сделать также. Так как его коллега уже популярен, а он ещё нет - Пётр Петров заплатил злоумышленникам чтобы они "Отключили" сайт его конкурента и осуществили DDOS атаку.

Вроде бы, история печальна и в конце Пётр Петров нечестным методом "уничтожит" своего конкурента... Но, не тут то было - не в наше время! Бизнесмен Иван Иванов прочитал статью и теперь знает - как правильно защитить свой интернет-магазин! 

Как правильно защищаться от DDoS, DoS атак?


На просторах интернета очень много сервисов которые за небольшую плату, либо же за бесплатные тарифы будут оберегать ваш сайт от злоумышленников, пример: StormWall, DDos-Guard, React, Cloud-Flare, Selectel, Kaspersky и много других сервисов. Для подключения вам всего-лишь нужно будет перенаправить NS сервера на сервис защиты от DDos атак, а он уже направит его на ваш хостинг, подробные инструкции есть в интернете. Так-же некоторые хостинги лично предоставляют защиту от DDoS атак, лично посоветовал бы NetAngels, никогда не применял никаких сервисов, все атаки он отбивает сам.

Что нам предлагают CloudFlare и DDos-Guard в бесплатных тарифах?


Cloud-Flare из бесплатного тарифа предоставляет нам:
Быстрый и простой в использовании DNS
Бесплатные автоматизированные SSL-сертификаты
Глобальная сеть доставки контента (CDN)
Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тбит / с
До 100 тыс. Запросов Workers и 30 скриптов

DDoS-Guard из бесплатного тарифа предоставляет нам:
Защита 1 домена
Неограниченный объем/полоса легитимного трафика
Кэширование и доставка статического контента (CDN)
Аналитика по трафику в личном кабинете
Бесплатный SSL-сертификат
Время ответа на обращение – до 12 часов

Итоги бесплатных хостеров


Соответственно, DDoS-Guard будет лучше, чем Cloud-Flare в бесплатном тарифе.

Что известные хостеры предложат нам из минимальных платных тарифов?


Cloud-Flare

Быстрый и простой в использовании DNS.
Бесплатные автоматизированные SSL-сертификаты.
Глобальная сеть доставки контента (CDN).
Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тб/с.
До 100 тыс. Запросов Workers и 30 скриптов.
20 правил страницы.
Повышенная безопасность с помощью брандмауэра веб-приложений (WAF)
Отчет бота и основные меры по устранению
Оповещения о DDoS-атаках.
Оптимизация изображений без потерь.
Ускоренная скорость загрузки мобильной страницы.
Аналитика, ориентированная на конфиденциальность.
Цена данного тарифа: 1460₽.

DDoS-Guard

Ускоренная валидация посетителей.
Возможность использования гео-блокировки.
Управление черными/белыми списками.
Возможность изменения защищенного IP-адреса.
Поддержка HTTP/2 и SPDY.
Поддержка SSL/TLS 1.2&1.3 шифрования.
Время ответа на обращение – до 4 часов.
Цена данного тарифа 1800 рублей. 

Selectel

Базовая защита от DDoS 10 Мбит/с
Цена данного тарифа 2550 рублей. 

React

Количество защищаемых сайтов - 1
Количество BackEnd-серверов - 1
Кэширование статического контента
Поддержка HTTPS
Выделенный IP
Суточная посещаемость не более 5,000 посетителей
Легитимная полоса 10Mbps
Расширенная DDoS защита Layer-7
Защита до 1 Tbps и 120млн PPS
Цена данного тарифа 2555 рублей. 

StormWall

1 домен 2 уровня.
Поддержка до 3-х поддоменов.
Поддержка HTTPS.
Для сайтов с суточной посещаемостью до 5,000 посетителей.
Легитимная пропускная способность, включенная в подписку (возможно превышение) - 10 мб/с.
Максимальное время реакции на запрос - 60 минут.
Гарантируемая доступность, не менее - 98% в расчете за 1 месяц.
Защищенный DNS.
HyperCache CDN и оптимизация загрузки более 2 тб/с.
Максимальная полоса тонкой пакетной фильтрации - 600 гб/с.
Предназначение - специальное предложение для небольших веб-сайтов.
Цена данного тарифа 3555 рублей. 

Kaspersky

Доступность ресурса - 98,5%
Объем атаки - 10 гб/с.
Схема включения - DNS/C-name.
Доменов на ресурс - 1
3 поддомена.
10 черно-белых списков.
Балансировка трафика - 100
Уровень поддержки: Лайт.
Цена данного тарифа - 4900 рублей. 

Итоги платных хостеров


Из всех вышепоставленных тарифов я бы рассмотрел Cloud-Flare, DDoS-Guard, на крайний случай - React. Цены на тарифы приемлемы, как я считаю.

Установка бесплатной защиты от DDos-Guard и Cloud-Flare.

DDoS-Guard
1. Проходим регистрацию на сайте, нас перекинет в https://my.ddos-guard.net/dashboard
2. Нажимаем на синюю кнопку "+" Добавить услугу и выбираем защитить веб-сайт.
3. Нажимаем на большую синюю кнопку Подключить и выбираем самый последний Free - тариф.
4. Нажимаете кнопку Подключить и переходите к дальнейшей настройке.
5. Вписываем свой домен, IP-адрес будет заполнен автоматически, если этого не произошло - вам нужно будет вписать IP адрес от сервера.
6. После всех заполнений жмите оформить заказ, после чего начинается настройка услуги, вам нужно подождать немного, в среднем до 5 минут занимает это дело.
7. Вам попросит перевязать NS сервера на NS DDoS-Guard-а. Поэтому, заходите на сайт к своему хостеру, где приобретали домен и меняете NS сервера с прямого соединения на хостинг, на DDoS-Guard.


Cloud-Flare
1. Проходим регистрацию аккаунта, далее мы попадаем на dash.cloudflare.com ( сайт не поддерживает Русский Язык).
2. Нажимаем на синюю кнопку Add Site и указываем свой домен сайта.
3. Выбираем Free - тариф и нажимаем Continue.
4. Далее происходит сканирование NS серверов домена, после этого сканирования нажимайте Continue, делать там ничего не нужно.
5. Далее вас просит перевязать NS сервера на Cloud-Flare, после того как вы их перевязали, нажимайте Done, Check nameservers.
6. Все, ваш сайт будет недоступен первое время, в среднем это 2 часа, но дело может растянуться до 24 часов, поэтому придется немного подождать.

Итоги


Теперь Вы знаете где и как подключать бесплатную защиту от DDoS, так-же знаете что различных сервисы предложат вам за минимальную плату у них.

Автор публикации: Матвей Державин

fatMAD
Никнейм: fatMAD
Всего постов: 2
Всего комментариев: 1
Привет! Тебе понравилась моя статья?
Надеюсь на твою оценку!
Нравится Не нравится Рейтинг: +1
Ой, чуть не забыл, ещё можно поделиться!

Похожие публикации


Предыдущая публикация

Комментарии (0)

Добавить комментарий