Распределенная атака типа «отказ в обслуживании», также известная как DDoS-атака, может вывести из строя ваш сервер. Только по этой причине вам нужно знать, как защитить себя от них. DDoS-атаки работают, перегружая веб-сайт внешними запросами, тем самым замедляя его работу или полностью отключая его.
Подавление DDoS-атак
DDoS — это современная замена старомодному способу рассылки спама до тех пор, пока сайт не станет непригодным для использования. Вдобавок ко всему, преступники обычно анонимны, а это означает, что буквально некому вы можете позвонить, чтобы остановить их от атаки на ваш сайт.
Наиболее распространенный тип атаки называется SYN-флудом. Он работает, отправляя серверу множество TCP -пакетов с установленным флагом SYN. Если вы не знакомы с протоколом TCP, это первый пакет, отправляемый при любом рукопожатии TCP. Сервер будет ждать ответа от этого пакета, прежде чем перейти к следующему пакету, а это означает, что если он бомбардируется множеством таких пакетов одновременно, он никогда не сможет обработать ни один из них и в результате станет недоступным. Однако есть несколько простых способов защитить свой сайт от DDoS-атак. Один из самых популярных вариантов — установить брандмауэр.на месте. Брандмауэр будет блокировать все входящие подключения к вашему серверу, кроме тех, которые исходят с IP-адреса вашего исходного сервера. Если IP-адрес разрешен, вы знаете, что это законный запрос, а не результат атаки.
Этот подход работает, но он также очень ограничен, потому что теперь вы можете принимать соединения только из одного источника. Если ваш веб-сайт принимает пожертвования от анонимных пользователей через PayPal или Bitcoin, вам необходимо убедиться, что они все еще могут подключиться к вашему веб-сайту. Другой подход заключается в использовании другого порта. Переключив трафик вашего веб-сайта на другой порт, вы можете быть уверены, что ваш сервер не будет принимать новые подключения. Это имеет дополнительное преимущество, заключающееся в том, что если какие-либо IP-адреса заблокированы, это не имеет значения, потому что они даже не должны были подключаться в первую очередь.
После подключения IP другие порты также могут стать открытыми. Это имеет смысл для веб-сервера, но не для почтового или FTP — сервера, поскольку эти серверы не работают на основе запросов от внешних клиентов.
Подавление DDoS-атак с использованием дискретного логарифма
DDoS-атака — это тип кибератаки, при которой несколько скомпрометированных систем, обычно зараженных трояном, который дает злоумышленнику удаленный контроль над системой, используются для перегрузки цели запросами в попытке перегрузить ее способность реагировать на трафик. или использовать его пропускную способность.
Неприятным побочным эффектом этих атак является то, что они часто могут прерывать доступ в Интернет для целых районов и даже целых городов. Существует два основных типа: объемные атаки, которые медленнее, но взрываются и перегружают сетевую инфраструктуру (примером могут быть пакеты ACK ), и атаки прикладного уровня, такие как SYN Floods, которые работают на контент-серверах.
Причины атак
- Одна из таких атак представляет собой серьезную угрозу для инфраструктуры Интернета в целом и сетевой инфраструктуры в частности. «Различные методы, используемые распределенным отказом в обслуживании (DDoS), являются быстрыми, дешевыми и простыми. Вот почему DDoS-атаки представляют угрозу для общества». DDoS-атак также обусловлен денежной мотивацией из-за простоты, с которой его можно выполнить: стоимость атаки может составлять всего 50 долларов.
- DDoS можно разделить на отдельные категории в зависимости от типа и частоты отправляемого трафика.
- Приведенный выше анализ данных представляет собой интенсивный анализ, но он также имеет свои ограничения (или предвзятость).
- «DDoS-атаки часто включают в себя SYN-флуд и UDP- флуд. Атаки SYN-флуда пытаются затопить целевую систему запросами TCP SYN, и как только цель ответит, не будет TCP-соединения, что фактически сделает невозможным для цели обработку любых пакетов данных, отправленных из-за этого неоткрытого TCP-соединения.
Диагностика атак и параллельная диагностика атак
Традиционно методы защиты от DDoS-атак сосредоточены на выявлении атак по мере их возникновения и попытках их заблокировать. Это становится экспоненциально сложнее с ростом пропускной способности и задержки между защитником и злоумышленником, поэтому вам необходимо найти новые способы отключить злоумышленников от их целей. Новая методика, разработанная в исследовательских лабораториях Microsoft, позволяет сделать это с помощью алгоритма, называемого «проблемой дискретного логарифмирования» (DLP). DLP использует свойства умножения ключей криптографии на эллиптических кривых для создания уникальных идентификаторов для каждого клиента, отправляющего трафик. DLP _затем вычисляет значение дискретного логарифма для каждого клиента и отправляет это значение цели. Злоумышленник может отправлять трафик только в том случае, если его клиент проходит проверку DLP, которая действует как фильтр для трафика атаки.
DLP также расширяется за пределы Cloudflare, поэтому его можно использовать для изоляции других видов трафика ботнета от отправки из ботнетов или зараженных устройств. Его также можно использовать в распределенных системах, таких как Tor, для предотвращения атак на границе сети Tor до того, как они поразят человека.
Диагностика атак — это важный первый шаг в защите от DDoS-атак, но это также и один из самых сложных шагов. Злоумышленники могут использовать различные методы, чтобы попытаться скрыть свою личность или подделать источник своего атакующего трафика. Ключевое открытие в данных об атаках Microsoft — то, что злоумышленники в атаке с высокой пропускной способностью, скорее всего, исходят из Китая — является большим шагом к обнаружению источника атаки, но, по крайней мере, еще одно руководство обнаружило те же самые отпечатки пальцев в другом месте.
Однако технология DLP от Microsoft предназначена не только для предотвращения DDoS-атак. Его также можно использовать, чтобы показать, откуда берется трафик ботнета из самых разных мест.
Диагностика параллельных атак затруднена как для централизованных, так и для децентрализованных архитектур. Обычный метод, используемый защитниками, заключается в использовании распределенных методов для просмотра атак на границе сети по мере их возникновения, а не просмотра данных об атаке постфактум. Это одна из причин, по которой крупные облачные сервисы, такие как Cloudflare, обеспечивают видимость IP-адреса каждого клиента, отправляющего трафик со своими сервисами. Эту проблему трудно решить, но работа Microsoft показывает, что можно идентифицировать злоумышленников по их шаблонам трафика без необходимости идентифицировать их в режиме реального времени.
Контрмеры
- Лучший способ защитить свой сервер от DDoS-атак — использовать как можно больше методов.
- Если у вас есть брандмауэри вы используете другой порт для своего веб-сайта, маловероятно, что злоумышленник добьется успеха.
- Однако лучший способ остановить DDoS-атаки — это не то, что вы должны делать, а то, что вам не следует делать.
- Правда в том, что на самом деле вы мало что можете сделать, кроме как использовать правильные меры и приложить все усилия для обеспечения безопасности вашего сервера, в первую очередь убедившись, что нет никаких уязвимостей, которые могут быть использованы против вас.
Значение
С таким количеством атак, происходящих на регулярной основе, понятно, что люди верят, что есть решение. DDoS-атаки становятся все более частыми, поэтому вам важно понимать, как они работают и что вы можете с ними сделать.
Вывод
Если вы используете сайт, который может быть отключен в результате DDoS-атаки, вам необходимо знать, как его защитить. Некоторые люди считают, что лучший способ сделать это — установить брандмауэр и заблокировать входящий трафик с внешних IP-адресов. Хотя для некоторых это может сработать, правда в том, что лучшее решение — это комбинация многих мер, принятых вместе.
