Ако уебсайтът или приложението на вашата компания внезапно станат офлайн поради масово навлизане на подозрителен трафик, може да сте обект на Атака за отказ на услуга (distributed denial-of-service attack или DDoS attack).
Тези видове кибератаки се увеличават и те могат да бъдат опустошителни за вашия бизнес и репутация на марката, ако причиняват значително прекъсване на уебсайта ви.
В това ръководство ще разгледаме детайлите за DDoS атаките, как да предотвратим такава и какво да правите, ако сте станали цел.
Бързи връзки: DDoS FAQs
- Какво е DDoS атака?
- Различни типове атаки
- Първият пример за DDoS атака
- Кой стартира DDoS атаки и защо?
- Кой е най-застрашен от DDoS атака?
- Как да предотвратим DDoS атаки?
- Какво да правите, ако сте станали цел на DDoS атака?
- Как да разберете дали компютърът ви е включен в ботнет (и какво да правите)?
Какво е DDoS атака?
DDoS е съкратено от „Distributed Denial-of-Service“ – дистрибутирана атака за отказ на услуга.
DDoS атака е когато хакер изпрати твърде много трафик към мрежа или сървър, за да изтощи системата и да наруши способността ѝ да работи. Тези атаки обикновено се използват за временно прекъсване на уебсайт или приложение, което може да продължи няколко дни или дори по-дълго.
Техническата част
Използваме термина Denial-of-Service (отказ на услугата), защото уебсайтът или сървърът няма да могат да обслужват легитимния трафик по време на атаката.
А се нарича Distributed Denial-of-Service (дистрибутирана атака за отказ на услугата), защото незаконният трафик идва от стотици, хиляди или дори милиони други компютри. Когато той се причинява от един единствен източник, става известен като DoS атака.
Използване на ботнет (бот-мрежа)
DDoS атаките използват ботнет много компютри или интернет устройства с възможност за отдалечено използване малуер, за да стартират атаката. Те се наричат „зомбита“.
Различните типове атаки
Зомбитата са насочени към уязвимости в различни слоеве на взаимосвързаността на отворените системи и обикновено са разделени на три категории, според Cloudflare:
1. Application Layer Attacks
Атаките на приложния слой са най-простата форма на DDoS. Те имитират нормални заявки към сървъра. С други думи, компютрите или устройствата в ботнета се обединяват, за да получат достъп до сървъра или уебсайта, точно както обикновен потребител.
Но с увеличаването на DDoS атаката обемът на привидно легитимните заявки става твърде голям за сървъра и той се срива.
2. Protocol Attacks
Протоколните атаки използват как сървърите обработват данните, за да претоварват целта.
В някои варианти на протоколните атаки ботнетът изпраща пакети данни, които сървърът да сглоби. След това сървърът чака да получи потвърждение от изходния IP адрес, което никога не получава. Но той продължава да получава все повече данни за разопаковане.
В други варианти, той изпраща пакетите с данни, които просто не могат да бъдат повторно сглобени, което изчерпва ресурсите на сървъра, докато се опитва да го направи.
3. Volumetric Attacks
Обемните атаки са подобни на атаките на приложния слой, но с обрат. В тази форма на DDoS, цялата налична честотна лента на сървъра се изяжда от ботнет заявки, които са били увеличени по някакъв начин.
Например, бот-мрежите понякога подвеждат сървърите да изпращат сами на себе си огромни количества данни. Това означава, че сървърът трябва да обработва получаването, сглобяването, изпращането и получаването на тези данни отново.
Първият пример за DDoS атака
Първата известна DDoS атака е извършена през 2000 г. от 15-годишно момче на име Майкъл Калче, според Norton, и е била използвана за временно сваляне на огромни сайтове като Yahoo, CNN и eBay, причинявайки съобщение за грешка като изображението, показано по-горе.
Оттогава броят на този тип атаки нараства.
Кой стартира DDoS атаки и защо?
Въпреки, че DDoS атаките са се увеличили в тяхната мощ и изкусност, основни DDoS атаки могат да се извършват от почти всеки. Обикновени хора могат да платят за DDoS атаки спрямо посочена от тях цел онлайн или на черния пазар. Те дори могат да наемат съществуваща ботнет мрежа, за да изпълнява техните злонамерени планове.
Ранните DDoS атаки, като първата, направена от Майкъл Калче (известен още като “Mafiaboy”), е направена просто за демонстрация и самохвалство. Само защото е можел.
Ето обаче кои са хората, които използват DDoS атаки, както и техните основания за това
- Собственици на бизнес с цел изпреварване на конкурентите
- Конкурентни геймъри, целящи да отстранят противниците си
- Активисти, целящи предотвратяване на достъпа на хората до определено съдържание
- Тролове, търсещи отмъщение на целта
Кой е най-застрашен от DDoS атака?
Обикновеният човек няма от какво да се страхува, но гигантските корпорации са основната цел. Те биха могли да загубят милиони или милиарди долари в резултат на срив, причинен от DDoS атака. По-малките собственици на компании също могат да пострадат значително.
Важно е всяка организация с онлайн присъствие да бъде напълно подготвена за потенциална DDoS атака по всяко време.
Как да предотвратим DDoS атаки
Не можете да попречите на злонамерен нападател да изпраща вълни от фалшив трафик към сървърите ви, но може да сте подготвени предварително, за да се справите с товара.
1. Уловете го рано, като наблюдавате трафика
Важно е да имате добро разбиране за това какво представлява нормалното, ниско и голямо количество трафик за вашата организация, според Amazon Web Services.
Ако знаете какво да очаквате, когато трафикът ви достигне горната си граница, можете да зададете ограничаване на скоростта. Това означава, че сървърът ще приема само толкова заявки, колкото може.
Притежаването на актуални знания за тенденциите в трафика също ще ви помогнат да идентифицирате проблема бързо.
Също така трябва да сте подготвени за нарастване на трафика поради сезонност, маркетингови кампании и др. Много автентичен трафик (например от линк, станал вайръл в социалните мрежи) понякога може да има подобен сриващ сървърите ефект. И въпреки че е от законен източник, подобен срив може да се окаже твърде скъп за вашия бизнес.
2. Вземете повече трафик
След като имате добра представа за капацитета на сървъра, от който се нуждаете, на базата на средните и високите нива на трафик, трябва да го подсигурите дори в запас. Получаването на по-голяма честотна лента на сървъра, отколкото всъщност се нуждаете, се нарича „презапасяване“.
Това ви дава повече време в случай на DDoS атака, преди вашият уебсайт, сървър или приложение да бъде напълно претоварен.
3. Използвайте мрежа за разпространение на съдържание (CDN)
Целта на DDoS е да претовари вашия хостинг сървър. Едно от решенията е да съхраните данните си на няколко сървъра по целия свят.
Точно това прави мрежата за разпространение на съдържание.
CDN мрежите обслужват вашия уебсайт или данните към потребителите от сървър, който е близо до всеки потребител, с цел по-бърза работа. Но използването ѝ също означава, че сте по-малко уязвими за атака, защото ако един сървър стане претоварен, имате още много други, които функционират.
Какво да правите, ако сте станали цел на DDoS атака
DDoS атаките днес са толкова сложни и мощни, че може да бъде много трудно да се справите с тях сами. Ето защо най-добрата линия на защита срещу атака е с правилна превенция от самото начало.
Но ако сте атакувани и сървърът ви в момента е офлайн, можете да направите няколко неща:
1. Вземете бързо защитни мерки
Ако имате добра представа за това какъв е нормалният трафик трябва да можете бързо да установите кога сте под DDoS атака.
Ще видите масови заявки към сървъра или уеб трафик от подозрителни източници. Но все още може да имате известно време, преди вашият сървър да бъде напълно претоварен и да се срине.
Задайте ограничаване на скоростта възможно най-скоро и изчистете регистрационните файлове на сървъра, за да освободите повече място.
2. Обадете се на вашия хостинг доставчик
Ако някой друг притежава и управлява сървъра, който обслужва данните ви, уведомете го незабавно за атаката.
Те може да са в състояние да „запушат“ вашия трафик, докато атаката утихне, което означава, че всички входящи заявки към сървъра просто ще бъдат премахнати, независимо дали са законни или незаконни. В техен интерес ще е да направят това, така че сървърите и на другите им клиенти да не се сринат.
След това вероятно ще пренасочат трафика през „чистач“, за да филтрират незаконния трафик и да пропуснат нормалните заявки.
3. Потърсете специалист
Ако сте подложени на мащабна атака или не можете да си позволите никакъв престой на уебсайта или приложението ви, може би е добре да потърсите специалист по справяне с DDoS заплахи.
Това, което той може да направи, е да пренасочи трафика към собствените си масивни сървъри, които могат да се справят с товара и оттук да се опита да изтрие незаконните заявки.
4. Просто изчакайте
Наемането на професионалист за пренасочване и филтриране на уебтрафика е скъпо.
Повечето DDoS атаки са приключили в рамките на няколко дни (макар че в тежки случаи те могат да продължат по-дълго), така че винаги имате възможност просто да поемате загубата и да бъдете по-добре подготвени следващия път.
Как да разберете дали компютърът ви е включен в ботнет (и какво да правите)?
Ако сте отделен потребител, компютърът ви може да бъде включен в бот-мрежа, без дори да го знаете.
Знаците
Може да не се забележи веднага, но има няколко признака, че злонамерената дейност може да се случва във фонов режим на устройството ви, като например:
- Чести сривове (краш)
- По-дълъг период на зареждане
- Странни съобщения за грешки
Какво да направите?
Ако смятате, че компютърът ви се държи странно, най-добре е да предприемете действия. Ще трябва да инсталирате и редовно да стартирате сканиране за вируси, като използвате надежден антивирусен софтуер, като тези препоръчани за Windows, Mac, и Linux.
Пълното сканиране трябва да може да отрие малуер в машината ви. В повечето случаи антивирусът ще може да премахне вируса. Бързо онлайн сканиране за вируси е също добър вариант.
И не забравяйте, никога не изтегляйте прикачени файлове от електронната поща или пък уеб файлове, освен ако не знаете точно какви са и от кого са. Такива фишинг атаки могат да инсталират злонамерен софтуер на устройството ви, без да го осъзнавате.
Бъди подготвени
Вашата организация трябва да е подготвена и да може да се справя с много по-големи обеми от уеб трафик или заявки за сървъри, отколкото са ви нужни. Това се нарича подсигуряване.
Най-доброто възможно решение е първо да се предотврати рискът от DDoS атака чрез инсталиране на приличен антивирус, който да ви предпазва от злонамерен софтуер. Използването на CDN и задаване ограничение на скоростта въз основа на нормалния трафик е друга чудесна превантивна мярка.
Превенцията е по-добра от лечението, защото след като DDoS атаката е в ход и вашият сървър е офлайн, връщането му в нормално състояние може да бъде скъпо – прекъсването на уебсайта може да повлияе както върху продажбите на бизнеса, така и върху репутацията. Така че се уверете, че вашият бизнес е готов за всякакъв вид атака във всеки момент.