Понимание DDoS-атак: руководство для администраторов WordPress

Распределенный отказ в обслуживании (DDoS) — это тип атаки типа «отказ в обслуживании» (DoS), при которой атака исходит с нескольких хостов, а не с одного, что затрудняет их блокировку. Как и в случае любой DoS-атаки, цель состоит в том, чтобы сделать цель недоступной, перегрузив ее каким-либо образом.

Как правило, DDoS-атака затрагивает несколько компьютеров или ботов. Во время атаки каждый компьютер злонамеренно отправляет запросы на перегрузку цели. Типичными целями являются веб-серверы и веб-сайты, в том числе веб-сайты WordPress. В результате пользователи не могут получить доступ к веб-сайту или сервису. Это происходит потому, что сервер вынужден использовать свои ресурсы исключительно для обработки этих запросов.

Администраторам WordPress важно понимать и быть готовым к DDoS-атакам. Они могут возникнуть в любое время. В этой статье мы подробно рассмотрим DDoS и дадим вам несколько советов, которые помогут защитить ваш сайт WordPress.

DDoS — это атака, направленная на срыв, а не взлом

Важно понимать, что DDoS-атака не является злонамеренным взломом WordPress в традиционном смысле. Взлом подразумевает получение неавторизованным пользователем доступа к серверу или веб-сайту, которого у него не должно быть.

Примером традиционного взлома является использование злоумышленником уязвимости в коде или использование анализатора пакетов для кражи паролей WordPress. Получив учетные данные, хакер может украсть данные или контролировать веб-сайт.

DDoS служит другой цели и не требует привилегированного доступа. DDoS просто направлен на то, чтобы нарушить нормальную работу цели. При традиционных взломах злоумышленник может какое-то время оставаться незамеченным. С DDoS, если атакующий добьется успеха, вы узнаете об этом почти сразу.

Различные типы распределенных атак типа «отказ в обслуживании»

DDoS — это не просто один тип атаки. Есть несколько разных вариантов, и все они работают немного по-разному под капотом. В категории DDoS есть несколько подкатегорий, на которые можно классифицировать атаки. Ниже перечислены наиболее распространенные из них.

Объемные DDoS-атаки

Объемные DDoS-атаки технически просты: злоумышленники наводняют цель запросами на перегрузку полосы пропускания. Эти атаки не нацелены на WordPress напрямую. Вместо этого они нацелены на базовую операционную систему и веб-сервер. Тем не менее, эти атаки очень актуальны для веб-сайтов WordPress. Если злоумышленники добьются успеха, ваш сайт WordPress не будет обслуживать страницы законных посетителей во время атаки.

Конкретные DDoS-атаки, попадающие в эту категорию, включают:

• усиление NTP
• UDP-флуд

DDoS-атаки на прикладном уровне

DDoS-атаки на уровне приложений сосредоточены на уровне 7, уровне приложений. Это означает, что они сосредоточены на вашем веб-сервере Apache или NGINX и на вашем веб-сайте WordPress. Атаки уровня 7 получают большую отдачу , когда речь идет о наносимом ущербе по сравнению с затраченной полосой пропускания.

Чтобы понять, почему это так, давайте рассмотрим пример DDoS-атаки на REST API WordPress. Атака начинается с HTTP-запроса, такого как HTTP GET или HTTP POST, от одного из хост-компьютеров. Этот HTTP-запрос использует относительно небольшое количество ресурсов на хосте. Однако на целевом сервере это может инициировать несколько операций. Например, сервер должен проверить учетные данные, прочитать данные из базы данных и вернуть веб-страницу.

В этом случае мы имеем большое расхождение между пропускной способностью, которую использовал злоумышленник, и ресурсами, которые потреблял сервер. Это несоответствие обычно используется во время атаки. Конкретные DDoS-атаки, попадающие в эту категорию, включают:

• HTTP-флуд
• Медленные почтовые атаки

DDoS-атаки на основе протоколов

DDoS-атаки на основе протоколов следуют той же модели исчерпания ресурсов , что и другие DDoS-атаки. Однако, как правило, они сосредоточены на сетевом и транспортном уровнях, а не на сервисе или приложении.

Эти атаки пытаются отказать в обслуживании, нацеливаясь на такие устройства, как брандмауэры или базовый стек TCP\IP, работающий на вашем сервере. Они используют уязвимости в том, как сетевой стек сервера обрабатывает сетевые пакеты или как работает TCP-связь. Примеры DDoS-атак на основе протоколов включают:

• Син флуд
• Пинг смерти

Многовекторные DDoS-атаки

Как и следовало ожидать, злоумышленники не ограничиваются одним типом атаки. Все чаще DDoS-атаки используют многовекторный подход. Многовекторные DDoS-атаки — это именно то, что вы ожидаете: DDoS-атаки, использующие несколько методов, чтобы отключить цель.

Понимание отражения и усиления в DDoS

Два термина, которые часто встречаются в DDoS-атаках, — это отражение и усиление. Оба эти метода используются злоумышленниками для повышения эффективности DDoS-атак.

Отражение — это метод, при котором злоумышленник отправляет запрос с поддельным IP-адресом на ^{сторонний} сервер. Поддельный IP-адрес является адресом цели. Во время атак такого типа злоумышленники обычно используют различные протоколы UDP. Вот как это работает:

1. Злоумышленник отправляет запрос UDP с поддельным IP-адресом, скажем, IP-адресом вашего сайта WordPress, на большое количество серверов, называемых отражателями.
2. Рефлекторы одновременно получают запрос и отвечают на IP-адрес вашего сайта WordPress.
3. Ответы Reflectors заполняют ваш сайт WordPress, потенциально перегружая его и делая недоступным.

Усиление работает аналогично отражению. Хотя для этого требуется меньшая пропускная способность и ресурсы, поскольку запросы, отправляемые отражателям, намного меньше, чем ответы, которые отражатели отправляют цели. Он работает аналогично тому, что мы видели в случае распределенных атак типа «отказ в обслуживании» на прикладном уровне.

Роль ботнетов в DDoS-атаках

Вы когда-нибудь задумывались, откуда злоумышленники берут ресурсы для координации атак?

Ответ — ботнеты. Ботнет — это сеть или устройства, которые были скомпрометированы вредоносным ПО. Это может быть ПК, сервер, сеть или интеллектуальное устройство. Вредоносное ПО позволяет злоумышленникам удаленно контролировать каждый отдельный скомпрометированный хост.

При использовании для DDoS ботнеты выполняют скоординированную атаку типа «отказ в обслуживании» против заданного целевого хоста или группы хостов. Вкратце: ботнеты позволяют злоумышленникам использовать ресурсы зараженных компьютеров для проведения атак. Например, так было, когда более 20 000 сайтов WordPress использовались для проведения DDoS-атак на другие сайты WordPress в 2018 году (подробнее)..

Мотивация распределенных атак типа «отказ в обслуживании»

«Почему люди проводят DDoS-атаки?» хороший вопрос, чтобы задать в этот момент. Мы рассмотрели, почему злонамеренный хакер мог атаковать ваш сайт WordPress в прошлом, но только один из этих пунктов действительно применим к DDoS: хактивизм. Если кто-то не согласен с вашей точкой зрения, он может захотеть заставить вас замолчать. DDoS предоставляет средства для этого.

Помимо хактивизма, кибервойны на государственном уровне или промышленные атаки с коммерческими мотивами также являются возможными факторами DDoS. И довольно часто встречаются злонамеренные злоумышленники, подростки, развлекающиеся и использующие DDoS для создания хаоса.

Конечно, одним из главных мотиваторов являются деньги. Злоумышленники могут запросить выкуп, чтобы прекратить атаки на ваш сайт WordPress. Возможно, они получат коммерческую выгоду, если ваш сайт не работает. Сделав еще один шаг вперед, появились DDoS-услуги по найму!

Реальные примеры распределенного отказа в обслуживании

Насколько серьезными могут быть атаки распределенного отказа в обслуживании? Давайте взглянем на некоторые известные DDoS-атаки последних нескольких лет.

GitHub (дважды!): GitHub подвергся массированной атаке типа «отказ в обслуживании» в 1015 году. Казалось, что атаки были нацелены на два антицензурных проекта на платформе. Атаки повлияли на производительность и доступность GitHub в течение нескольких дней.

Затем в 2018 году GitHub снова стал объектом DDoS-атаки. На этот раз злоумышленники использовали атаку, основанную на memcaching. Они использовали методы усиления и отражения. Несмотря на масштабы атаки, злоумышленники отключили GitHub всего на 10 минут.

Нация Эстонии: апрель 2007 г. ознаменовался первой известной кибератакой против целой нации. Вскоре после того, как эстонское правительство решило перенести статую Бронзового солдата из центра Таллинна на военное кладбище, произошли беспорядки и грабежи. В то же время злоумышленники запустили ряд распределенных атак типа «отказ в обслуживании», которые длились несколько недель. Они повлияли на онлайн-банкинг, СМИ и государственные службы в стране.

Dyn DNS: 21 октября 2016 года Dyn подверглась крупномасштабной DDoS-атаке. Из-за атаки службы Dyn DNS не смогли разрешить запросы пользователей. В результате тысячи веб-сайтов с высоким трафиком, включая Airbnb, Amazon.com, CNN, Twitter, HBO и VISA, оказались недоступны. Атака координировалась через большое количество IoT-устройств, включая веб-камеры и радионяни.

Советы WordPress по защите от DDoS-атак

Как отдельный администратор WordPress у вас нет ресурсов и инфраструктуры для отражения DDoS-атаки. Хотя многие веб-хостинги WordPress предлагают некоторую защиту от DDoS-атак. Так что спросите об этом при выборе хостинг-провайдера для вашего сайта WordPress. Вы также можете использовать брандмауэр WordPress/веб-приложений (WAF) и сеть доставки контента (CDN) . Мы объединили WAF и CDN в одну запись, поскольку есть провайдеры, такие как Sucuri, которые предоставляют и то, и другое в одном решении.

Когда вы используете WAF или CDN, трафик сначала направляется и фильтруется службой, прежде чем попасть на ваш сайт. Эта установка может отразить многие атаки на проходе, ограничивая при этом урон от других. Некоторые CDN предлагают преимущества, позволяющие обнаруживать DDoS-атаки и реагировать на них. Поскольку они могут извлечь выгоду из экономии за счет масштаба в облаке, CDN и онлайн-WAF могут разгрузить атаки. Они перенаправляют их в сети с достаточной пропускной способностью и нужными инструментами для их обработки.

Защита от хакеров и DDoS-атак

Однако, как видно из ботнета WordPress BruteForce, есть несколько передовых методов безопасности, которые вы можете реализовать на своем веб-сайте WordPress, чтобы он не привлекал внимание злоумышленников и, возможно, DDoS-атак:

• Обновляйте свой сайт WordPress: обновляйте ядро ​​WordPress, плагины, темы и все другое программное обеспечение, которое вы используете, снижает риск использования против вас известной уязвимости. Постоянное обновление вашего сайта также снижает вероятность того, что он станет частью ботнета.
• Используйте сканер для проверки уязвимостей: некоторые DoS-атаки используют такие проблемы, как Slowloris. Этот и другие недостатки безопасности могут быть обнаружены сканерами уязвимостей. Поэтому, когда вы сканируете свой веб-сайт и веб-сервер, вы часто выявляете уязвимости, которые могут использовать DDoS-атаки. Есть множество сканеров, которые вы можете использовать. Мы используем ненавязчивый сканер безопасности WPScan для администраторов WordPress.
• Просмотрите журналы для повышения безопасности и выявления проблем: журналы аудита WordPress и другие журналы могут помочь выявить вредоносное поведение на ранней стадии. С помощью журналов вы можете определить проблемы, которые могут быть вызваны DDoS-атаками, например, определенные коды ошибок HTTP. Журналы также позволяют детализировать и проанализировать источник атаки. Есть несколько файлов журналов, которые администраторы WordPress могут использовать для лучшего управления и защиты своего веб-сайта.
• Усиление аутентификации пользователей: это может быть последняя передовая практика, но она так же важна, как и все остальные. Внедрите надежные политики паролей WordPress, чтобы пользователи вашего веб-сайта использовали надежные пароли. Кроме того, установите плагин двухфакторной аутентификации и внедрите политики, чтобы сделать двухфакторную аутентификацию обязательной.