DDoS: описание и особенности

Любой сервер в Интернете, сайт или онлайн-приложение могут подвергаться попыткам взлома и хакерским атакам. Некоторые из них направлены на хищение информации, а какие-то – только на вывод площадок из строя.

Сейчас известны два типа крупных серверных атак – DDoS и DoS. Далее предстоит изучить их более подробно. Необходимо увидеть разницу между этими атаками, разобраться в их особенностях и последствиях как для организатора, так и для веб-порталов. Основной упор будет сделан на DDoS-атаки.

DoS – это…

DoS (Denial of Service) – отказ в обслуживании. Это – хакерская атака на сервер или другое вычислительное устройство с целью вывода его из строя (доведения до отказа). В процессе DoS создаются условия, при которых пользователи не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот самый доступ будет значительно затруднен.

Злоумышленники при такой атаке обычно вызывают перегрузку подсистемы, в которой работает сервер или атакуемый ресурс. Воздействие производится с одного сервера и нацелено на конкретный домен или виртуальную машину.

Среди особенностей DoS можно выделить следующие черты и характеристики:

1. Такие атаки носят одиночный характер. Поток трафика запускается из одной единственной подсети.
2. Простота подавления. DoS-атаки легко блокируются различными инструментами. Примером может послужить брандмауэр.
3. Высокая степень заметности. Попытки вывести сайт или сервис из строя могут быть определены по содержимому лог-файла.

DoS-атаки чаще всего подавляются сетевым оборудованием. Примером послужит маршрутизатор, который поддерживает упрощенный вариант Linux-системы или похожее программное обеспечение.

Данный тип «нападений» на серверы и сайты уже достаточно продолжительное время не представляет собой реальной опасности. Он может доставить некоторые неудобства, но к серьезным и разрушительным последствиям не приводит.

DDoS – определение

DDoS (Distributed Denial of Service) – распределенный отказ в обслуживании. О том, что это такое, задумываются и простые пользователи, и системные администраторы, и другие IT-специалисты. Связано это с тем, что такой тип «нападений» на серверы и службы, в отличие от DoS, может представлять серьезную угрозу.

DDoS – атака на сервер или сайт, направленная на нарушение работоспособности инфраструктуры компании и клиентских сервисов. Злоумышленники создают многочисленные запросы к онлайн-проектам, значительно нагружая его. Это приводит к выходу сервера из строя.

DDoS-атаки используют при реализации сразу несколько серверов. Защита будет зависеть напрямую от количества устройств, с которых осуществляется отправка трафика.

Выше можно увидеть наглядную схему работы DDoS. К ее особенностям можно отнести:

1. Многопоточность. За счет такой концепции намного проще добиться блокировки сайта. Это связно с тем, что при многопоточном характере атаки отсеять все «нападающие» IP-адреса практически невозможно.
2. Сложное подавление. Основная проблема заключается в определении момента начала атаки.
3. Высокий уровень скрытности. Если злоумышленники грамотно организуют нападение на сервер, процесс будет замаскирован под естественный трафик, который постепенно нагружает онлайн-проект пустыми запросами.

Если проверять лог-файлы вручную при DDoS, никакого результата не будет. Отличить атакующие хосты от «нормальных» практически невозможно. Усугубляет ситуацию еще и то, что источником проблем в 9 из 10 случаев оказываются обычные веб-порталы, которые предварительно были заражены вирусом или взломаны вручную. Со временем они образовывают единую сеть – ботнет, а затем увеличивают мощность атаки.

Что происходит при DDoS

Каждое оборудование имеет свою пропускную способность и ограничения по обрабатываемым запросам. Для хакерской атаки (DDoS) используются ботнет-сети. Так называется компьютерные сети с запущенными на устройствах ботами, управляемыми злоумышленниками издалека.

Киберпреступники посылают с помощью таких ботов запросы, обращающиеся к сайту-жертве или серверу. Ботнет-сети могут включать в себя зараженные пользовательские устройств, «умные» гаджеты и другое оборудование.

Каждый компьютер в ботнет-сети будет инициировать соединение, ничем не отличающееся от обычного пользовательского действия на сайте. В сочетании такие операции создают сильную нагрузку. Это влечет за собой некорректную работу онлайн-порталов и серверов, а при особо серьезных случаях – приводит к полноценному выходу проекта из строя.

Последствия DDoS

Что происходит при DDoS-атаках, понятно. У многих возникает вопрос о том, чем оборачивается такое «нападение», а также почему злоумышленники пользуются данным приемом.

Хакеры организовывают DDoS по нескольким причинам:

1. Для намеренной остановки работы того или иного сервиса. Примером может послужить срыв экзаменов или онлайн-занятия.
2. Ради вымогательства. Злоумышленники рассылают компаниям по всему миру письма с требованием выкупа за восстановление работы серверов. Чаще всего – в биткоинах. В таких сообщениях хакеры угрожают продолжительными DDoS-атаками в случае отказа от уплаты выкупа.
3. Для борьбы с конкурентами. Данный тип атак нередко заказывается владельцами нелегального бизнеса. Это связано с тем, что их конкуренты не станут обращаться в правоохранительные органы для защиты прав. Сюда же можно отнести заказ DDoS-атак небольшими нишевыми бизнес-компаниями ради улучшения собственных позиций на рынках.
4. Чтобы отвлечь внимание. DDoS – хороший способ отвести взгляды администраторов и работников системы безопасности от внедрения шифровальщиков или кражи корпоративных данных.

Основная цель хакеров – это вывод из строя онлайн-ресурсов и создание условий, при которых пользователи не смогут пользоваться соответствующими порталами.

Для коммерческого сектора такие манипуляции оборачиваются потерей прибыли и репутационными издержками. В отдельных случаях – хищением важных пользовательских, корпоративных или платежных данных.

Виды атак

Кибератаки бывают разными. Из-за этого возникают проблемы не только в определении типа воздействия на сервер, но и в выстраивании дальнейшей системы защиты. На данный момент известно более десятка способов навредить работоспособности сервера. Каждый из них требует определенных механизмов противодействия.

Вот самые распространенные атаки:

1. Переполнение канала. На сервер отправляется поток эхо-запросов, чтобы максимально нагрузить аппаратные ресурсы устройства. У провайдеров каналы связи имеют свои пропускные способности, поэтому ложный трафик лишит пользователей возможности открыть сайт или сервис.
2. DNS-флуд. Целью становится DNS-сервер, предварительно привязанный к «жертве». Владелец сайта не получит никаких сообщений от провайдера хостинга. Обнаружить проблему вовремя поможет подключение сторонних систем защиты. Пример – «Яндекс.Вебмастер». С его помощью можно по кругу проверить доступность домена, скорость соединения и другие параметры.
3. PING-флуд. На сервер отправляются многочисленные запросы без ожидания ответа. Веб-сайт из-за этого начинает терять реальные пакеты данных, снижается скорость загрузки страниц вплоть до их полной недоступности. Пользователи увидят на экранах попытки открытия портала, но конечного результата дождаться не получится.
4. UDP-флуд.  Такая DDoS-атака напоминает предыдущую – на серверную сторону «жертвы» будут отправляться большие объемы пакетов в формате дейтаграмм. Серверу придется реагировать на каждый такой «запрос» и отправлять ответ в виде ICMP-пакета, указывающего на недоступность адресата. Это приводит к тому, что все ресурсы со стороны сервера будут заняты пустыми задачами.
5. Буферное переполнение. Это наиболее распространенный вариант DDoS. Злоумышленники стараются вызывать ошибки в программах, инициализированных на атакуемой серверной стороне. Примером может послужить переполнение буфера памяти, выделенного для функционирования сервиса. Подобные попытки легко заблокировать, но только если предварительно на серверной стороне установлены специализированные программы защиты.

Это основные DDoS-атаки, с которыми сталкиваются специалисты безопасности и системные администраторы. Остальные их разновидности не слишком распространены на практике.

Способы защиты

Основным способом защиты от DDoS и DoS является фильтрация трафика на основе его содержимого, а также IP-адресов и других параметров. К основным методам борьбы с рассматриваемыми видами «нападений» на онлайн-сервисы относят:

1. Превентивный мониторинг сетевой активности. Перед тем как запускать основную атаку, часто проводится проверка «короткими сериями». Это позволяет отследить заранее готовящуюся DDoS и принять соответствующие меры по сохранности доступности портала.
2. Фильтрацию на уровне хостинга. Провайдеры часто предоставляют такую услугу в рамках всех своих платных тарифов.
3. Тестовое нападение на сервер. Разработчики создали различные приложения вроде Hping3, LOIC или OWASP Switchblade. С их помощью можно эмулировать DoS и DDoS для достоверного выявления степени защиты серверов.

Атаки могут осуществляться из-за наличия уязвимостей или ошибок в системных компонентах компании. В целях безопасности рекомендуется регулярно обновлять системы, приложения и программы до последних версий. В каждой новой версии ПО обычно исправлена часть ранее обнаруженных неполадок.

Чтобы избежать негативных последствий от хакерских атак, владельцы сайтов должны обеспечить серверам возможность обрабатывать большое количество трафика.

Последствия DDoS для хакера

DDoS-атака – это нарушение действующего законодательства РФ. По общим нормам такие действия квалифицируются как неправомерный доступ к компьютерной информации и создание, использование и распространение вредоносных компьютерных программ (статьи УК РФ 272 и 273 соответственно).

За совершение подобных деяний можно получить максимальное наказание в виде лишения свободы на срок до 7 лет. В большинстве случаев удается отделаться штрафом, размер которого может достигать 500 000 рублей. Дополнительно злоумышленник должен будет возместить причиненный ущерб, который обычно оказывается достаточно крупным.

Реальных уголовных дел в России, посвященных кибератакам, по сравнению со странами Европы или США очень мало. Из-за этого большинство злоумышленников остается безнаказанным. Отследить их противоправные действия и выявить хакера на практике очень сложно. Вместо этого можно научиться защищать серверы на специальных компьютерных дистанционных курсах.