Захист сайтів від DDoS-атак
Нерідко в ЗМІ зустрічаються повідомлення про те, що той чи інший сайт піддався DDoS-атаці і тимчасово перестав функціонувати. DDoS-атака (Distributed Denial of Service) — це ситуація, коли зловмисники (інколи не обовязково зловмисники) генерують стільки запитів до сервера, що він не в змозі їх обробити. Звичайно, один комп'ютер не здатний зробити стільки звернень, щоб навіть відносно слабкий сервер не зміг з ними впоратися. Для атаки використовується безліч комп'ютерів (заражений вірусом «ботнет» — комп'ютери, що знаходяться під контролем хакера без відома їх власників), які одночасно і постійно посилають запити на сервер, що викликає його перевантаження і відмову.
Іноді деяка подоба DDoS може вийти і без хакерів. Наприклад, коли на надпопулярному сайті розміщується посилання на сайт на слабкому хостингу — і внаслідок обмежених технічних можливостей сервер не витримує перевантаження і стає недоступний. Хостери навіть можуть тимчасово відключати сайти на віртуальних серверах, якщо ті раптом стають мішенню десятків тисяч запитів. Це необхідно розуміти — для сайтів з серйозною відвідуваністю і високими піковими навантаженнями віртуальний хостинг за 100 грн на місяць не підійде.
DDoS-атаки можуть бути організовані з різних причин: через конкуренцію, щоб «покласти» чужий сайт і забрати частину його цільової аудиторії, з метою отримання викупу за розблокування атакованого ресурсу і навіть для розваги. Також часто причиною нападу зловмисників стає нестабільна політична ситуація в країні — протиборчі угруповання можуть здійснювати атаки на спільноти конкурентів. Якщо ваш сайт присвячений бісероплетінню або якомусь іншому мирному заняттю і має відносно невелику аудиторію, то побоюватися DDoS-атаки не варто, для цього просто не буде причин — якщо у вас немає особистого ворога, який може «замовити» ваш ресурс. Крім усього іншого здійснити таку атаку досить дорого, адже в зомбі-мережах (ботнет) повинні бути задіяні тисячі заражених комп'ютерів, а це справа для серйозних хакерів.
Рівні захисту від DDoS-атак
Щоб захиститися від DDoS, потрібно вибудувати досить серйозний комплекс заходів проти таких вторгнень — одного бар'єру буде недостатньо, особливо якщо ваш сайт реально піддається атакам. Можна виділити декілька рівнів захисту:
- доступ до сервера;
- ПО сервера;
- мережа;
- провайдер;
- спеціалізоване обладнання;
- адміністрація сервера.
Захист на рівні доступу до сервера
Цей тип захисту на думку багатьох вебмайстрів і фахівців у даній сфері досить надійний та ефективний, що підтверджується практикою. Сервер повинен обов'язково мати віддалений ребут, тобто можливість перезавантаження. При цьому консоль повинна виводиться по протоколу SSH на іншу IP-адресу, щоб була можливість нею скористатися при перевантаженому сервері. Ці заходи дозволяють оперативно реагувати, перезавантажуючи сервер у початковій фазі DDoS-атаки. Консоль дає можливість відключення протоколу SSH на сервері, так як він теж часто є мішенню DDoS-атаки.
Захист на рівні програмного забезпечення сервера
Сервер повинен бути ретельно перевірений на предмет безпеки. Все ПО сервера повинно бути оновлено, необхідно поставити всі значущі патчі. Тобто всі відомі «дірки» в захисті повинні бути ретельно закриті. Для цього можна скласти список всього ПЗ, за яким можна буде зручно слідкувати за оновленнями та патчами.
Захист від DDoS-атаки на рівні мережі
Ще на стадії старту постарайтеся заблокувати абсолютно все, що може дати бодай якусь інформацію для організатора DDoS-атаки. У список для блокування і приховування входять трейс і пінг. Дуже корисною дією є включення механізму NAT (Network Address Translation), тобто перетворення мережевих адрес. Ще один важливий момент — маскування IP-адреси, ця міра ефективно допомагає захиститися від зловмисників, ускладнюючи їх роботу. Щоб приховати IP існує досить багато способів, і вони є популярним заходом для захисту від мережевих атак.
Захист на рівні провайдера
На цьому рівні заходи захисту полягають в аналізі пакетів одержуваних даних і блокування IP-адрес. Як це працює? Як правило запити здійснюються з різних машин, але їх об'єднує дуже схожий тип трафіку. Пакети даних піддаються аналізу (на стороні провайдера), в ході якого виявляються схожі. Вручну, та ще в реальному часі відстежувати трафік, перевіряючи логи, практично нереально. Таку роботу можуть здійснювати спеціальні програми, наприклад Tcpdstats або Tcptrace. З їх допомогою легко визначити тип переважаючого трафіку і вчасно вжити заходів.
Щоб заблокувати IP-адреси атакуючих машин, треба спочатку обчислити їх в загальному трафіку. Це можна зробити на основі аналізу частоти звернень до сервера. Звичайний користувач може робити до декількох звернень в секунду, але від нього будуть виходити запити до кількох URL (URL самої сторінки, картинок, java-скриптів та інші), а атакуюча машина як правило кілька разів в секунду звертається до одного і того ж URL. За цим принципом можна обчислити атакуючі IP-адреси і занести їх до списку адрес, від яких не приймається ніякий трафік.
Захист на рівні апаратного забезпечення
Цей рівень захисту сервера від DDoS-атак набагато серйозніший від інших, отже і вимагає набагато більших витрат. Вартість комплексних рішень може досягати декількох десятків тисяч доларів. Тому заходи на рівні hardware скоріше підходять серйозним і великим проектам, де ці витрати будуть повністю виправдані.
Загальновизнаними лідерами в області подібного захисту є Cisco та 3com. Ці виробники випускають досить ефективні апаратні засоби для протистояння мережевим атакам, також пропонуються комплексні рішення для захисту. Механізми роботи цих пристроїв засновані на аналізі вхідного трафіку за допомогою спеціальних алгоритмів і подальшої фільтрації. Тобто потрібні запити, які пройшли перевірку, не піддаються блокуванні, а підозрілі і їх початкові сегменти мережі — блокуються. Таким чином здійснюється відсів трафіку при безперебійній роботі сайту.
Захист на рівні підтримки хостера
Фахівці хостингових компаній використовують способи аналізу логів фаєрвола, які дозволяють виділяти IP-адреси тих машин, з яких здійснюється атака. При наявності списку таких адрес можна спробувати блокувати їх. При цьому інші адреси заблоковані не будуть, тобто запити від звичайних користувачів зможуть нормально оброблятися на сервері, і відвідувачі зможуть заходити на сайт.
Існує також багато фірм, які надають послугу захисту від DDoS-атак. Є різні тарифні плани щодо захисту від атак різної потужності. Власники можуть вибрати оптимальний залежно від масштабів свого проекту і бюджету. Серед таких компаній, профілем яких є захист і запобігання DDoS-атак, можна назвати ddoshosting.ru, ddosoff.ru і digilex.ru. Слід зазначити, що деякі компанії пропонують свої послуги по захисту від мережевих атак безкоштовно. Робиться це в рамках тестування різних систем безпеки. Але повністю розраховувати на такі рішення не слід.
Ще один важливий момент — це вибір хостинг-провайдера за критерієм ступеня захисту. Тобто про захист від DDoS-атак можна подбати ще на стадії вибору хостера. Практично всі постачальники хостинг-послуг використовують екрани, які працюють за принципом аналізу та фільтрації пакетів. Треба детально прочитати або поцікавитися в службі підтримки про заходи захисту віртуальних серверів. Часто хостинг-провайдери надають захист від DDoS як додаткову послугу. Не варто сподіватися, що дешевий хостинг врятує від мережевої атаки: хостери часто економлять на обладнанні та програмному забезпеченні для захисту.
Підсумок
Якщо у вас звичайний сайт-візитка або невеликий інтернет-магазин, то приводи для занепокоєння через можливу DDoS-атаки зводяться до мінімуму, великі витрати на захист не будуть виправдані. Але якщо тематика сайту або інші причини можуть викликати суспільний резонанс, то є сенс убезпечити його від можливих нападів. Сайти політичних партій і рухів обов'язково повинні мати надійний захист від зловмисників, так як досить часто стають мішенню для розподілених атак.
Коментарі
Немає коментарів до цієї статті.
Коментарі