Хотя про DoS-атаки известно с девяностых годов, сейчас они стали актуальны, как никогда. Так, в 2019 году было зарегистрировано 9,5 млн атак подобного типа, и это число только растёт. Поэтому каждый специалист по информационной безопасности должен владеть навыками предотвращения DoS-атак.
В этой статье разобрано определение DoS-атаки, приведена кратная история этих атак, а также предложены современные рекомендации по их нейтрализации.
Что такое атака типа «отказ в обслуживании»
Атака типа «отказ в обслуживании» (DoS) представляет собой кибератаку, которая пытается помешать авторизованным пользователям устройства или сети использовать это устройство или сеть. DoS-атаки используют две основные стратегии для достижения этой цели. Первая и самая популярная — это флудинг, т.е. переполнение устройства или сети трафиком. Вторая заключается в попытке вызвать сбой служб, т.е. использовать слабые места в системе безопасности устройства или сети для того, чтобы вызвать их отключение.
В отличие от других типов кибератак, DoS-атаки обычно не приводят к краже, уничтожению или повреждению данных. Они просто наносят ущерб, делая то или иное учреждение неспособным к запуску основных систем и служб вследствие больших затрат на их восстановление. Банки, медиа-компании, правительства и другие крупные организации здесь являются популярными мишенями вследствие существенного эффекта, вызываемого их временным выводом из строя.
Одной из наиболее сложных в плане предотвращения и опасных в плане последствий DoS-атак является распределённая атака типа «отказ в обслуживании» (DDoS). В ходе DDoS-атаки многочисленные вредоносные внешние системы работают в тандеме, что затрудняет поиск её источника и остановку.
Атаки типа «отказ в обслуживании» представляют собой одну из наиболее распространённых угроз кибербезопасности, и отчёт компании Cloudflare за 2021 год показывает, что их частота растёт рекордными темпами.
DoS-атаки могут быть основаны на различных принципах. Наиболее распространённые из них таковы:
- UDP-флуд атакует целевые объекты пакетами протокола пользовательских датаграмм (UDP), перегружая их трафиком и вызывая сбой.
- SYN-флуд нацелен на процесс трёхстороннего подтверждения, используемый протоколом TCP для установления соединения между двумя устройствами. Злоумышленник отправляет SYN-пакеты на целевой объект, который отвечает пакетом SYN-ACK. Однако тот не высылает третий пакет для подтверждения, в результате чего сервер сохраняет соединение открытым, и в конечном итоге у него заканчиваются ресурсы.
- HTTP-флуд массово отправляет HTTP-запросы на веб-серверы, перегружая их и приводя к сбою или делая недоступными.
- Ping-флуд атакует свои цели с помощью пакетов эхо-запросов протокола межсетевых управляющих сообщений (ICMP), задействуя всю пропускную способность канала и делая невозможным прохождение обычного трафика.
DoS-атаки могут оказать значительное влияние на компании и частных лиц как с точки зрения финансовых потерь, так и ущерба репутации бренда. К последствиям успешной DoS-атаки можно отнести следующее:
- DoS-атака может сделать веб-сайт или услугу недоступными для обычных пользователей, что может привести к потере дохода и нанести ущерб отношениям с клиентами.
- Иногда сайты продолжают работу даже во время DoS-атаки. Однако они могут стать медленными или не отвечать на запросы, что затруднит или сделает невозможным взаимодействие пользователей с ними.
- Последствия DoS-атаки могут быть дорогостоящими. Жертве может быть нанесён значительный ущерб, в том числе в форме судебных издержек.
- Успешная DoS-атака может нанести ущерб репутации компании, особенно если приводит к длительному простою или утечке данных.
- Персонал, ответственный за предотвращение DoS-атак, может проглядеть другие угрозы и отнять время, предназначенное для выполнения текущих проектов и задач.
Раннее обнаружение DoS-атаки имеет решающее значение для минимизации её последствий. Признаки усиливающейся DoS-атаки включают в себя:
- Аномально высокий трафик
- Замедленные или недоступные серверы
- Большую нагрузку на серверы
- Необычную структуру трафика
- Необычные источники трафика
Как предотвратить DoS-атаку
Предотвращение DoS-атаки может оказаться сложной задачей, но существует несколько эффективных методов сделать это:
- Сегментация сети. Разделение сетей на более мелкие, более управляемые части может ограничить воздействие DoS-атаки. Это можно осуществить путём создания виртуальных сетей, а брандмауэры, в свою очередь, помогут локализовать атаку. Оптимальным решением является микросегментация с нулевым доверием. Использование внешнего по отношению к операционной системе брандмауэра для маскировки устройств остаётся наиболее надёжной формой защиты от DoS-атак.
- Балансировка нагрузки на серверы. Распределяя трафик между несколькими серверами, можно предотвратить DoS-атаку, приводящую к перегрузке единственного сервера или сетевого ресурса. Это может быть осуществлено с помощью аппаратных или программных решений.
- Блокировка IP-адресов. Блокирование трафика от явных или предполагаемых вредоносных источников может помешать DoS-трафику достичь своей цели.
- Ограничение скорости. Ограничение скорости доступа трафика к серверу или сетевому ресурсу может предотвратить его перегрузку DoS-атакой.
- Сети доставки контента (CDN). Распределение контента веб-сайта по нескольких местам затруднит атаку на весь сайт.
Смягчаем последствия: что делать во время DoS-атаки
Если DoS-атака всё же началась, следует попытаться выполнить ряд шагов, которые могут смягчить её последствия:
- Фильтрация трафика может устранить известные или предполагаемые источники атаки.
- Нулевая маршрутизация предполагает перенаправление всего трафика «в никуда» и отведение всего входящего трафика. Этот способ может действенно смягчить последствия DoS-атаки, но может затронуть и обычный трафик.
- Службы очистки выявляют и отфильтровывают вредоносный трафик, пропуская лишь обычный.
Защита от DoS-атак: выбор правильного решения
Современные способы защиты от DoS-атак таковы:
- Облачные сервисы
- Оборудование
- Гибридный (оборудование плюс облачные сервисы)
- Маскировка сетевых ресурсов (каждый ресурс делается неподдающимся обнаружению и недоступным, при этом брандмауэры для конкретных ресурсов работают вне операционной системы, блокируя доступ вредоносных пакетов к устройствам или их выход из них)
Эти инструменты предлагают широкий спектр инструментов защиты и смягчения последствий, от базовой блокировки IP-адресов до глубокой фильтрации трафика.
Поставщик | Продукт | Способ | Открытый исходный код |
Cloudflare | DoS Protection | Облачный | Нет |
F5 Networks | Silverline | Облачный | Нет |
Imperva | Incapsula | Облачный | Нет |
Byos | Secure Edge | Маскировка | Нет |
Fortinet | FortiDoS | Оборудование | Нет |
A10 Networks | Thunder TPS | Оборудование | Нет |
Snort | Snort | Оборудование | Да |
NGINX | NGINX Plus | Гибридный | Да |
Radware | DefensePro | Гибридный | Нет |
Arbor Networks | Peakflow | Гибридный | Нет |
Выбор правильного решения для защиты от DoS-атак зависит от различных факторов, которые включают в себя:
- Размер и сложность сети
- Тип трафика для защиты
- Имеющийся бюджет
Важность предотвращения DoS-атак
Нетрудно догадаться, что подготовка и планирование имеют решающее значение для предотвращения DoS-атак. Проверка вашей сети на наличие уязвимостей, равно как и составление плана реагирования на DoS-атаки и обеспечение того, чтобы сотрудники службы безопасности могли распознать её на ранней стадии, отнимают много времени. Каждое профилактическое мероприятие само по себе является сложной задачей, но в результате вы приобретёте уверенность в безопасности.
Одним из наиболее эффективных способов защиты вашей сети от DoS-атак является её локализация путём микросегментации. В частности, можно применять микросегментацию конечных точек потока трафика, чтобы атаке подвергались лишь наиболее защищённые компоненты сети. Это сделает сеть в целом более устойчивой.
Часто задаваемые вопросы
По некоторым оценкам, в мире происходят тысячи DoS-атак каждый день.
Ответственность за защиту от DoS-атак лежит на самой организации. Некоторые интернет-провайдеры предлагают защиту от DoS-атак в качестве дополнительной услуги.
DoS-атаки могут длиться часами, днями или даже неделями, если они достаточно продуманы и серьёзны.
Хотя полностью остановить DoS-атаку непросто, существуют методы, которые могут существенно смягчить её последствия.
Затраты на защиту от DoS-атак сильно варьируются в зависимости от размера и сложности сети и способа защиты. Однако полное отсутствие защиты может обойтись гораздо дороже.
Нашли ошибку в тексте? Выделите нужный фрагмент и нажмите ctrl + enter