Распределенная DoS-атака (DDoS)

Что представляет собой DDoS-атака?

Распределенная DoS-атака (DDoS) — это попытка создать помехи для нормального трафика атакуемого сервера, службы или сети путем перегрузки атакуемого объекта или его инфраструктуры потоком интернет-трафика. DDoS-атаки достигают результата за счет использования множества взломанных систем в качестве источников трафика, используемого в атаке. Взломанные системы могут представлять собой компьютеры и другие сетевые ресурсы, например устройства Интернета вещей. DDoS-атаку можно сравнить с автомобильным затором, блокирующим движение на автомагистрали и препятствующим проезду к пункту назначения.

Как осуществляются DDoS-атаки?

Для проведения DDoS-атаки злоумышленник должен получить контроль над сетью подключенных к Интернету систем, с которых будет проводиться атака. Компьютеры и другие системы (например, устройства Интернета вещей) заражаются вирусами, превращающими их в боты (зомби). Таким образом злоумышленник получает контроль над группой ботов, которая называется ботнетом.
После создания ботнета злоумышленник может управлять входящими в него системами путем удаленной отправки инструкций каждому боту. Когда IP-адрес жертвы становится целью ботнета, каждый бот начинает отправлять запросы в целевую систему, что может привести к перегрузке сервера или сети, в которой он находится, и прекращению обслуживания обычного трафика. Поскольку каждый бот представляет собой легитимное устройство, отделение трафика, относящегося к атаке, от обычного трафика может быть непростой задачей.

Каковы распространенные типы DDoS-атак?

Разные вектора DDoS-атак направлены на разные элементы сетевых соединений. Для того чтобы понять, как работают разные DDoS-атаки, необходимо разобраться в том, как функционируют сетевые соединения. Сетевое соединение в Интернете состоит из нескольких компонентов, которые также называют уровнями. Подобно строительству здания, каждый уровень общей модели выполняет свою собственную задачу. Модель OSI — это общая схема описания сетевых соединений в терминах семи уровней.

В чем заключается процесс противодействия DDoS-атаке?

Подробнее о DDoS-атаках

Хотя практически все DDoS-атаки направлены на перегрузку атакуемого устройства или сети трафиком, их можно разделить на три категории. Злоумышленник может пользоваться одним или несколькими векторами атак, либо чередовать разные вектора с учетом того, к каким средствам защиты прибегает атакуемая система.
Сегодня трафик DDoS может принимать разные формы. Это может быть как простой трафик без подделки адресов, поступающий из одного источника, так и сложный адаптивный трафик многовекторной атаки. Многовекторные DDoS-атаки проводятся по нескольким траекториям, чтобы перегрузить цель разными способами в надежде на то, что меры защиты будут действенными только на одной из этих траекторий. Примером многовекторной атаки может служить атака, нацеленная сразу на несколько уровней стека протоколов, например на DNS (атака на уровни 3 и 4) в связке с перегрузкой HTTP (атака на уровень 7).
Для противодействия многовекторной DDoS-атаке нужны разнообразные стратегии, направленные на защиту разных траекторий. Вообще говоря, чем сложнее атака, тем сложнее будет отделить трафик атаки от обычного трафика. Цель злоумышленника заключается в том, чтобы как можно лучше замаскировать свой трафик для снижения эффективности защиты. Меры, направленные на невыборочное блокирование или ограничение трафика, могут создать помехи нормальному трафику, причем атака может измениться и адаптироваться к этому виду защиты. Для противодействия сложным попыткам нарушения работоспособности систем лучше всего подходят многоуровневые решения.

Брандмауэр web-приложений (WAF)

Что представляет собой брандмауэр веб-приложений?

Брандмауэр веб-приложений (WAF) помогает защитить веб-приложения путем фильтрации и мониторинга трафика HTTP между приложением и Интернетом. Как правило, он успешно защищает веб-приложения от таких атак, как поддельные межсайтовые запросы, межсайтовые сценарии (XLL), включение файлов и внедрение кода SQL, а также других видов атак. WAF — это механизм защиты протоколов уровня 7 (по модели OSI), не рассчитанный на защиту от всех видов атак. Этот метод противодействия обычно входит в состав интегрированного пакета, обеспечивающего защиту от нескольких векторов атак.
Развертывание WAF перед веб-приложением приводит к созданию щита, отделяющего приложение от Интернета. Тогда как прокси-сервер скрывает идентификационную информацию о системе, выступая в роли посредника, WAF — это своего рода обратный прокси, защищающий сервер от клиентов и вынуждая их проходить через WAF на пути к серверу.
WAF работает на основе наборов правил, часто называемых политиками. Политики направлены на защиту от уязвимостей приложения путем фильтрации вредоносного трафика. Ценность WAF частично связана с высокой скоростью и простотой модификации политик, позволяющей ускорить реагирование на разные вектора атак. Например, во время атаки DDoS можно оперативно ограничить частоту запросов путем изменения политик WAF.

В чем разница между WAF с черным списком и с белым списком?

Подробнее о WAF

WAF с черным списком (негативная модель безопасности) защищает от известных атак. WAF с черным списком можно сравнить с охранником, получившим инструкцию отказывать гостям с неправильным дресс-кодом. WAP с белым списком (позитивная модель безопасности) пропускает только заранее разрешенный трафик. Его можно сравнить с охранником на частной вечеринке, пускающим только тех, кто есть в списке. У черного и белого списков есть преимущества и недостатки, и поэтому многие WAF поддерживают гибридную модель безопасности, в которой реализованы оба метода.

Сеть доставки контента (CDN)

Что представляет собой сеть доставки контента?

Сеть доставки контента (CDN) — это географически распределенная группа серверов, совместно обеспечивающих быструю доставку контента. CDN позволяет быстро передавать ресурсы, необходимые для загрузки контента, включая страницы HTML, файлы JavaScript, таблицы стилей, изображения и видео. Популярность услуг CDN продолжает расти, и сегодня большинство веб-трафика доставляется через CDN.

Как работает CDN?

По существу CDN — это сеть из серверов, работающих над общей целью: доставлять контент как можно быстрее, дешевле, надежнее и безопаснее. Для повышения скорости передачи данных и расширения сети маршрутов CDN размещает серверы в точках обмена трафиком между разными сетями. Точки обмена трафиком (IXP) представляют собой основные точки подключения сетей провайдеров друг к другу для предоставления доступа к трафику из разных сетей. Имея возможность подключиться к этим высокоскоростным точкам с разветвленными маршрутами, провайдеры CDN могут сократить стоимость и повысить скорость доставки данных.

Как CDN ускоряет загрузку сайтов?

Подробнее о CDN

Замедление загрузки веб-сайтов немедленно приводит к оттоку пользователей. В силу своей глобальной распределенной структуры CDN сокращают расстояние между пользователями и ресурсами веб-сайтов. Вместо того чтобы подключаться к фиксированной точке присутствия сервера, при наличии CDN пользователям становится доступен близко расположенный центр обработки данных. Чем меньше времени данные проводят в пути, тем быстрее работает сайт.

Система доменных имен (DNS)

Что представляет собой DNS?

Система доменных имен (DNS) — это аналог телефонного справочника в Интернете. Для доступа к информации люди пользуются доменными именами, например nytimes.com или espn.com. Браузеры пользуются IP-адресами. Служба DNS превращает доменные имена в IP-адреса, чтобы браузеры могли загружать ресурсы.
У каждого устройства, подключенного к Интернету, есть свой IP-адрес, которым другие системы пользуются для поиска этого устройства. Серверы DNS избавили от необходимости запоминать IP-адреса, например 192.168.1.1 (стандарта IPv4) или 2400:cb00:2048:1:c629:d7a2 (более нового стандарта IPv6).

Как работает DNS?

Работа DNS заключается в преобразовании имени хоста (например, www.ibm.com) в более удобный для компьютера IP-адрес (например, 192.168.1.1). Каждому устройству в Интернете присваивается IP-адрес, и этот адрес необходим для поиска устройства так же, как обычный адрес необходим для поиска нужного здания. Когда пользователь хочет загрузить веб-страницу, должно быть выполнено преобразование адреса, указанного пользователем в браузере (например, example.com), в адрес, по которому можно найти страницу example.com.
Для того чтобы понять процесс преобразования DNS, нужно разобраться в компонентах аппаратного обеспечения, через которые передается запрос DNS. Для браузера поиск адреса в системе DNS проходит незаметно и не требует участия компьютера пользователя, за исключением отправки самого запроса.

Что представляет собой сопоставитель DNS?

Подробнее о DNS

Сопоставитель DNS — это первый пункт в процессе определения адреса; он отвечает за взаимодействие с клиентом, от которого был получен первоначальный запрос. Сопоставитель выполняет серию запросов, которые в итоге приводят к преобразованию URL в нужный IP-адрес.
Примечание: Как правило, при поиске отсутствующего в кэше адреса выполняется серия рекурсивных и итерационных запросов.
Важно различать рекурсивный запрос DNS и рекурсивный сопоставитель DNS. Запросом называется обращение к сопоставителю DNS, связанное с определением адреса. Рекурсивный сопоставитель DNS — это компьютер, принимающий рекурсивные запросы и предоставляющий ответы путем выполнения необходимых операций.

Начните сегодня

Готовы начать? С нашим порталом и API быстрый и безопасный Интернет совсем рядом.