Cum să opriți un atac DDoS

Publicat: 2023-03-24

Uptime este o preocupare principală atât pentru dezvoltatorii front-end, cât și pentru cei back-end, dar este crucial și pentru tot felul de administratori de pe server. Din păcate, una dintre cele mai eficiente modalități prin care actorii răi să-ți distrugă site-ul este să-l distrugă folosind un atac Distributed Denial of Service (DDoS) și să-i reducă timpul de funcționare. Ca atare, cei mai mulți dintre voi care lucrează cu site-uri web vor dori să știe cum să oprească un atac DDoS sau cel puțin să-l atenueze.

Această postare va analiza cum să opriți un atac DDoS. Dar înainte de a ajunge la pașii exacti, să pregătim scena. Pentru a face asta, ne vom uita mai întâi la ce este un atac DDoS și vom afla cum să identificăm unul.

Ce este un atac DDoS

În termeni generali, un atac de tip Denial of Service (DoS) obișnuit (nedistribuit) pare să copleșească resursele serverului pentru a aduce un site offline. Un actor rău va folosi solicitări de prisos pentru a perturba serviciile unei gazde dintr-o rețea, astfel încât cererile legitime nu pot ajunge pe site.

Te poți gândi la asta ca la un protest în fața unui magazin. Dacă oamenii blochează intrarea în clădire, clienții nu pot intra și, de fapt, magazinul nu poate tranzacționa în mod optim (sau chiar deloc).

Un atac DDoS (Distributed Denial of Service) folosește multe computere la distanță dintr-o rețea pentru a atinge acest obiectiv. Este de fapt similar cu „efectul Slashdot”, în care traficul legitim, fără precedent (deseori din cauza unui link de la un site web cu trafic ridicat) poate provoca încetinirea sau blocarea site-ului. Cu toate acestea, în timp ce acest lucru are un motiv legitim de a fi, un atac DDoS este întotdeauna planificat și rău intenționat.

De exemplu, multe dintre mașinile pe care le va folosi un atac DDoS au suferit o exploatare sau injecție de malware. Un atacator va controla acești „boți” folosind instrucțiuni de la distanță pentru a viza o anumită adresă IP și fiecare poate părea legitim.

Unul dintre factorii cheie într-un atac DoS de succes este ca ținta să aibă viteze de internet mai mici decât atacatorul. Tehnologia modernă de calcul face acest lucru dificil, motiv pentru care atacurile DDoS au rezultate mult mai bune pentru actorul rău.

În general, natura distribuită a unui atac DDoS face dificilă identificarea unui atac în circumstanțe tipice.

Cum să identifici un atac DDoS

Dacă doriți să aflați cum să opriți un atac DDoS, va trebui să înțelegeți mai întâi cum arată unul. Acest lucru poate fi dificil, deoarece ar putea exista un motiv legitim pentru numărul mare de trafic.

La un nivel înalt, dacă un site încetinește sau se blochează, acesta este un semn pentru a vă implementa planul de dezastru (din care mai multe mai târziu).

  • Mult trafic care toate prezintă semnături comune. Aceasta ar putea însemna că traficul provine de la aceeași adresă IP sau de la aceeași gamă de adrese. În alte cazuri, este posibil să observați trafic care vine dintr-o locație similară, site-ul web de referință sau tip de dispozitiv.
  • De asemenea, ar putea exista o creștere a traficului către un singur punct final al site-ului - de obicei, o anumită pagină. O mulțime de erori 404 pot fi, de asemenea, un semn clar.
  • Tipare de trafic care nu se aliniază cu ceea ce vă așteptați să primească site-ul dvs. De exemplu, acesta ar putea fi un vârf în afara intervalului de timp obișnuit sau un eveniment nenatural, cum ar fi vârfurile de activitate în timpul orelor.
  • Toate acestea ar putea fi mai degrabă legitime decât rău intenționate. Ca atare, veți dori să vă bazați pe software-ul dvs. de analiză pentru a afla ce este relevant și legat.

De asemenea, ar trebui să rețineți că nu toate atacurile DDoS sunt la fel, iar diferitele tipuri pot face această problemă mult mai complexă. Prin urmare, este important să fiți conștient de aceste tipuri dacă doriți să știți cum să opriți un atac DDoS.

Diferitele tipuri de atacuri DDoS pe care le veți întâlni

„Conectivitate la rețea” poate părea o expresie simplă pentru a descrie modul în care computerele se conectează pe web, dar aceasta este o eroare. Modelul de interconectare a sistemelor deschise (OSI) arată complexitatea reală stratificată a conexiunilor de rețea și a sistemelor de comunicații:

O prezentare generală a straturilor teoretice OSI.
Credit imagine: Joe Manna .

Atacurile DDoS se încadrează în diferite categorii în funcție de stratul pe care îl vizează. Chiar și așa, le puteți grupa în grupuri diferite. Deși ați putea face acest lucru pe fiecare strat, este, de asemenea, acceptabil să le clasificați după ceea ce vizează atacul DDoS.

De exemplu, atacurile volumetrice par să copleșească straturile de rețea și de transport (trei și patru). Atacurile de aici pot modifica modul în care datele se deplasează pe web și eficiența protocoalelor de transmisie.

Un tip – un atac de amplificare a sistemului de nume de domeniu (DNS) – folosește „rețele bot” pentru a falsifica adresa IP țintă și pentru a face cereri către un server DNS deschis. Acest lucru face ca serverul să răspundă la IP-ul țintă și să depășească resursele.

Atacurile la nivelul protocolului

Atacurile la nivel de protocol sau de infrastructură vizează, de asemenea, straturile trei și patru și reprezintă o modalitate tipică de a efectua un atac DDoS. Aici resursele serverului și echipamentele de rețea nu pot gestiona datele care vin.

Un exemplu aici este un atac de reflexie UDP (User Datagram Protocol). Acest lucru valorifică natura apatridă a UDP. Puteți crea un pachet de solicitare UDP valid folosind aproape orice limbaj de programare. Pentru a efectua un atac cu succes, ar trebui doar să enumerați adresa IP a țintei ca adresă sursă UDP.

Serverul către care se îndreaptă aceste date va amplifica datele pentru a crea un pachet de răspuns mai mare, apoi îl va reflecta înapoi la adresa IP țintă. Ca atare, un actor rău nu trebuie să facă o conexiune la server în niciun moment, ceea ce este ieftin de produs.

Când vă conectați la un server web, veți efectua o „strângere de mână în trei căi” între client și server care implică atât pachete de sincronizare ( SYN ) cât și de confirmare ( ACK ). În timp ce serverul trimite un pachet SYN-ACK combinat, clientul trimite pachete singulare SYN și ACK .

Cu un atac SYN flood, clientul – în acest caz utilizatorul rău intenționat – trimite mai multe pachete SYN , dar nu trimite pachetul ACK final. Acest lucru lasă o mulțime de conexiuni TCP (Transmission Control Protocol), pe jumătate deschise, ceea ce înseamnă că serverul rămâne fără capacitatea de a accepta altele noi. Este încă o modalitate de a păstra conexiunile disponibile departe de utilizatorii legitimi.

Atacurile la nivelul aplicației

Nu veți vedea doar atacuri DDoS pe al treilea și al patrulea strat. Stratul de aplicare – numărul șapte – este la nivelul superior. Aceasta înseamnă că se ocupă de interacțiunile om-calculator și permite aplicațiilor să acceseze serviciile de rețea.

Ca atare, există o mulțime de atacuri DDoS care manipulează acest strat, folosind adesea solicitări HTTP. Pentru client, o solicitare HTTP este ieftină, dar pentru server este costisitor să răspunzi din punct de vedere tehnic. Atacurile pot arăta ca trafic legitim, în principal pentru că folosesc aceleași metode pentru a accesa un site.

De exemplu, o inundație HTTP seamănă cu apăsarea butonului de reîmprospătare de pe browser într-un ciclu continuu. Odată ce acest tip de interacțiune DoS devine un DDoS , devine mai complex.

Stilul HTTP flood poate fi, de asemenea, complex, care va folosi multe adrese IP diferite și semnături aleatorii pentru a viza o gamă largă de adrese URL web pentru a extinde sfera atacului. Chiar și o simplă implementare care vizează o singură adresă URL va cauza multe daune.

Pentru un hacker, atacul Slowloris ocupă mai puțină lățime de bandă, dar poate provoca mai mult haos. Aici, fiecare solicitare durează o perioadă infinită de timp pentru a fi procesată pentru server și monopolizează toate conexiunile disponibile. Deoarece acest atac este eficient împotriva serverelor cu puține conexiuni simultane relativ disponibile, veți vedea că acest lucru afectează adesea site-urile web mai mici.

Cum să vă pregătiți pentru un atac DDoS

Pregătirea este modul de a opri un atac DDoS, deoarece cu cât poți reveni mai repede la normal, cu atât mai bine. De fapt, probabil că nu puteți elimina amenințarea în întregime, dar puteți reduce potențialele probleme la minimum.

Înainte de asta, totuși, veți dori să „să încadrați” cât sunteți dispus să cheltuiți, deoarece fluxul de numerar vă poate determina planul de a opri un atac DDoS. Ar trebui să începeți de la cât va costa un atac afacerea dvs., apoi să reveniți pentru a determina bugetul disponibil. Nu este un calcul pe care ai vrea să-l faci la mijlocul atacului.

De acolo, veți dori să rețineți trei domenii cheie în care ar trebui să vă concentrați asupra pregătirii dumneavoastră.

  • Creați un plan de dezastru și de recuperare, deoarece acesta va spune tuturor din echipa dvs. ce trebuie să facă în detaliu explicit.
  • De acolo, puteți cheltui o parte din bugetul alocat pe un serviciu dedicat de protecție DDoS. Acest lucru va pune la dispoziție experți care să monitorizeze site-urile, să „elimine” o parte din traficul rău intenționat pe care îl primiți și multe altele.
  • Învață să identifici când va începe un atac DDoS. Analiza site-ului dvs. va fi crucială aici, deoarece puteți monitoriza semnele revelatoare ale unui atac DDoS și puteți reacționa înainte să se întâmple ceva catastrofal.

La nivel tehnic, puteți face mult mai multe pentru a opri un atac DDoS înainte de a începe. Vom acoperi asta în continuare.

Cum să atenuați un atac DDoS

Deoarece una dintre cele mai mari probleme legate de modul de oprire a unui atac DDoS este lupta de a distinge traficul bun de rău, nu vă puteți baza pe o singură soluție doar pentru a o atenua. Acest lucru este valabil mai ales dacă vă uitați la atacurile DDoS „multi-vectorale”, adică cele care atacă mai multe straturi OSI.

Ca atare, veți dori, de asemenea, să vă suprapuneți proviziile pentru a vă ajuta apărarea. Există câteva moduri simple de a face acest lucru:

  • Dirijarea găurilor negre . Aici filtrezi traficul către o rută nulă și îl renunți din rețea. Fără o filtrare specifică, vei elimina tot traficul, ceea ce nu va fi ideal.
  • Limitarea ratei . Deși acest lucru nu va fi suficient pentru a opri un atac DDoS, puteți limita numărul de acțiuni finalizate de fiecare utilizator.
  • Difuzarea în rețea . Dacă luați traficul care lovește site-ul dvs. și îl împrăștiați într-o rețea distribuită, veți răspândi, teoretic, impactul unui atac DDoS.

Ca atare, extinderea lățimii de bandă, a conexiunilor de rețea și a altor resurse sunt unele dintre cele mai bune modalități de a combate un atac DDoS. Unele dintre soluțiile despre care vom vorbi mai târziu vin ca un serviciu cloud, care distribuie traficul ca o apărare.

De asemenea, puteți utiliza soluții la fața locului, cum ar fi CAPTCHA, pentru a proteja punctele finale importante de pe site-ul dvs. Aici paginile dvs. de autentificare necesită un nivel înalt de securitate, deoarece puteți plasa elemente grele de resurse ale site-ului dvs. în spatele ecranelor de conectare sau a altor aspecte de protecție.

Serviciul Google recaptcha vă poate ajuta să opriți un atac ddos.

În plus, puteți implementa câteva considerații tehnice manuale. De exemplu, puteți seta praguri SYN sau UDP mai mici și puteți expira conexiunile pe jumătate deschise pe server.

O strategie în patru pași pentru a opri un atac DDoS

În restul acestui articol, vă vom arăta cum să opriți un atac DDoS în patru pași. Vestea bună este că sfaturile pe care le vom da nu sunt prescriptive și stricte. Ca atare, puteți adapta ideile propriilor nevoi.

Iată ce vom acoperi:

  • Cum un plan de răspuns și o strategie de criză vă pot salva slănina.
  • Ce abordare ar trebui să utilizați pentru a apăra un server web.
  • Beneficiile și dezavantajele protecției DDoS la nivel local.
  • Ce poate face pentru dvs. atenuarea DDoS bazată pe cloud.

Să începem cu un subiect pe care l-am menționat deja – strategia.

1. Formulați o strategie și un plan de răspuns

Este o idee fantastică să consolidați tot ce veți face într-un plan oficial de dezastru și de răspuns. Acesta ar trebui să fie unul dintre cele mai detaliate documente pe care le aveți la afacerea dvs. și să includă toți pașii pe care îi veți face pentru a opri atacul și a vă recupera resursele.

Iată câteva elemente care trebuie incluse:

  • Pașii pe care trebuie să-i urmeze fiecare membru al echipei, în ordine, atunci când răspundeți la un atac DDoS.
  • Ar trebui să existe instrucțiuni pentru cei din afara echipei care trebuie să comunice probleme clienților, clienților, furnizorilor, vânzătorilor și oricărei alte părți interesate.
  • Veți dori să includeți detalii importante de contact pentru furnizorul dvs. de servicii de internet (ISP), serviciul de protecție DDoS și pentru alții din prima linie.

Odată ce acest lucru este pus la punct, întreaga companie va înțelege ce trebuie să facă pentru a proteja serverul site-ului dvs.

2. Aflați cum să vă apărați serverul web

Există două probleme principale cu atacurile DDoS:

  1. Este greu de spus când are loc un atac.
  2. Dacă trebuie să reacționezi la un atac în curs, este deja prea târziu.

Pentru a rezolva ambele probleme, veți dori să utilizați un serviciu de protecție DDoS. Cloudflare este unul dintre cele mai bune și include arhitectură de server dedicată la scară globală pentru a intercepta, răspândi și filtra traficul web în consecință.

Prezentare generală a serviciului DDoS Cloudflare, completă cu straturile pe care le protejează la scara OSI.

Având în vedere acest lucru, nu veți dori să implementați praguri de trafic statice sau să completați lista de IP-uri blocate, deoarece aceasta nu va fi suficientă și este o măsură reactivă de cele mai multe ori. Deoarece scalabilitatea este una dintre cele mai bune modalități de a opri un atac DDoS, metoda „homespun” are constrângeri de lățime de bandă pe care serviciile dedicate se descurcă mai bine.

3. Implementați protecția locală

Protecția DDoS locală utilizează dispozitive hardware din rețea pentru a filtra traficul pentru serverele protejate. Aceasta poate fi o modalitate viabilă și sofisticată de a atenua și de a opri un atac DDoS.

Radware și F5 produc unități hardware de atenuare a DDoS, iar unele produc și un WAF hardware (Web Application Firewall).

Site-ul web Radware care arată unități hardware WAF - vă ajută să opriți un atac ddos.

Cu toate acestea, protecția locală poate face doar atât de mult și nu va putea opri un atac la scară largă – în special un DDoS. Ca atare, veți dori să completați cu o configurație DDoS bazată pe cloud pentru cel mai bun răspuns despre cum să opriți un atac DDoS.

4. Luați în considerare o soluție DDoS bazată pe cloud

În realitate, mai multe site-uri se bazează pe protecția cloud, deoarece este scalabilă, mereu activă și mai ieftină decât hardware-ul. Costurile de întreținere sunt, de asemenea, mici.

Veți găsi unele servicii DDoS care funcționează doar la nivel de ISP, dar cele care funcționează în cloud au un spațiu mai mare de protecție. Adesea, aceste servicii au rețele masive de computere către care să distribuie traficul.

De exemplu, AWS Shield de la Amazon profită de rețeaua sa pentru a detecta și atenua automat un atac DDoS. În plus, puteți personaliza modul în care instrumentul vă protejează serverul împreună cu WAF-ul primar.

Prezentare generală a serviciului AWS Shield de la Amazon, care arată cum oprește atacurile DDoS.

Magic Transit de la Cloudflare poate funcționa bine ca un supliment la soluția dvs. existentă la nivel local. Veți primi, de asemenea, o gamă completă de instrumente care vă vor ajuta să gestionați o rețea virtuală, cum ar fi echilibrarea încărcăturii, filtrarea avansată a pachetelor și multe altele.

Concluzie 🔥

Un atac DDoS va vedea site-ul dvs. depășit în fața unei încercări rău intenționate de a-l bloca. Deși ar putea părea defetist, nu există nicio modalitate reală de a opri orice atac cu totul, cu atât mai puțin atacurile DDoS. Ca atare, răspunsul pentru a opri un atac DDoS este complex.

Atenuarea atacului este o strategie bună și există o mulțime de implementări pe care le puteți face la nivel de server. Este important să vă dați seama care va fi strategia dvs. și cum doriți să vă apărați serverul web. Protecția locală este o idee fantastică, iar un WAF este aproape esențial. Soluțiile cloud, cum ar fi AWS Shield, funcționează, de asemenea, precum și standardele cloud on-site, cum ar fi CAPTCHA.

Aveți întrebări despre cum să opriți un atac DDoS? Întrebați în secțiunea de comentarii de mai jos!