DDoS (з англ. Distributed Denial of Service Attack) – це атака, мета якої викликати відмову в обслуговуванні на боці сервера (електронного ресурсу), іншими словами перенавантажити і зробити його недоступним. Виконується шляхом відправки величезної кількості хаотичних шкідливих запитів з різних IP-адрес, використовуючи вразливості та недоліки безпеки.
У висновку, трафік і навантаження постійно зростають, а ресурси і ліміти пропускної здатності вичерпуються. Сервер, не взмозі обробити велику кількість запитів одночасно, віддає код відповіді 5xx – відмова в обслуговуванні. Різниця DDOS і DOS полягає у тому, що DOS-атака виконується з одного джерела.
За характером застосування розрізняють наступні види DDOS-атак:
Переповнення інтернет-каналу – відправка великої кількості шкідливих HTTP-запитів, це відбувається протягом тривалого часу й таким чином вичерпується пропускна здатність каналу сервера, ліміт вхідного трафіку, допустимого хостинг-провайдером, закінчується і після цього сервер автоматично блокується, або переходить на тарифікацію за кожен додатковий мегабайт трафіку.
Навантаження на ресурси сервера – зловмисник виявляє слабкі місця електронного ресурсу та б’є по них – спрямує у це місце велику кількість нелогічних запитів. Це можуть бути поля пошуку на сайти, різні форми відправки даних та інші елементи, які є незахищеними. У висновку, якщо сервер слабкий, не налаштований і слабо захищений, він дає збій та падає.
Експлуатація вразливостей і помилок в коді – зловмисник локалізує проблемну ділянку у коді та проводить втручання у її будову. Таким чином, він виводить з ладу сервер або електронний ресурс. Фактично, зламує його.
За рівнем мережевої моделі OSI розрізняють наступні DDOS-атаки:
DDOS-атаки прикладного рівня (L7) – надсилання великої кількості одночасних запитів по протоколу HTTP.
DDOS-атаки рівня представлення (L6) – надсилання великої кількості запитів по протоколу SSL.
DDOS-атаки сеансового рівня (L5) – створення великої кількості сміттєвих сеансів по протоколу Telnet.
DDOS-атаки транспортного рівня (L4) – заповнення TCP/UDP-протоколів передачі даних сміттєвим трафіком (SYN-флуд).
DDOS-атаки мережевого рівня (L3) – вичерпування мережевого трафіку флудом (ICMP-флуд), зниження пропускної здатності.
DDOS-атаки канального рівня (L2) – переповнення пакетами даних комутаторів і концентраторів (MAC-флуд), які використовуються для передачі даних.
Наслідки DDOS-атак:
Недоступність ресурсу – сервер не витримує навантажень і відмовляє в обслуговуванні – ресурс стає недоступним для користувачів і відідувачів в інтернеті. Усі серверні служби і компоненти теж стають паралізованими до тих пір, поки атака не зупиниться. Це суттєво ускладнює адміністрування ресурсу.
Виведення з ладу, витік або втрата даних – потужні DDOS-атаки можуть спричинити повне або часткове пошкодження серверних компонентів та втрату даних. Не рідко, під виглядом DDOS може відбуватися ряд інших атак з експлуатацією вразливостей, що в кінцевому випадку приводить до зламу сервера та витоку конфіденційних даних. Щоб відновити і повернути ресурс до попереднього стану необхідні чималі додаткові витрати на відновлення і обслуговування.
Зменшення довіри, падіння рейтингу і репутації – недоступність ресурсу спричиняє велику кількість відмов для ваших відвідувачів, потенційних клієнтів і партнерів, пошукових систем. В результаті ви несете репутаційні та фінансові збитки. Довіра до вашого бізнесу зменшується.
Будь-якій DOS/DDOS-атаці, зазвичай, передує розвідка з відкритих джерел Open Source Intelligence (OSINT) – зловмисник вивчає межі електронного периметру, здійснює сканування усіх вузлів/портів, шукає “входи і виходи”, перевіряє фронтенд і бекенд частини, переглядає вихідний код, здійснює енумерацію компонентів, баз даних, облікових записів, виявляє помилки та недоліки безпеки, накопичує вичерпні відомості про ресурс та систематизує їх по різним базам, зокрема по базам вразливостей і експлойтів: CVE/CWE/ExploitDB.
Електронні ресурси, які не адмініструються і не оновлюються, не відконфігуровані і не оптимізовані належним чином, по відношенню до яких жодного разу не проводився аудит безпеки – майже на 100% є вразливими до DDoS-атак. Про це важливо знати та пам’ятати. Зазвичай, DDOS проводиться з певною метою: кібервійна, недобросовісна конкуренція, конфлікти в бізнесі, помста, шантаж і т.д.
Спеціалісти KR. Laboratories навчилися відбивати DDOS-атаки будь-якого типу на всіх рівнях мережевої OSI-моделі, зокрема: L3 (мережевий рівень), L4 (транспортний рівень), L7 (прикладний рівень). У цьому нам допомагають як власні розробки так і інструменти від різних постачальників, а також перевірені рішення: Web Application Firewall (WAF), Next Generation Firewall (NGFW), Data Loss/Leak Prevention (DLP), Security Information and Event Manangement (SIEM), Intrusion Detection System (IDS) та Intrusion Prevention Systyem (IPS). Пропонуємо нижче ознайомитися з повним переліком наших послуг.
Послуги захисту від DDoS
Усунення дірок безпеки
Технічний аудит і системний аналіз. Пошук та виправлення помилок і несправностей. Сканування вразливостей SAST/DAST/IAST. Тестування на проникнення, моделювання загроз, стрес-тест. Видалення застарілого ПЗ, актуалізація версій, конфігурація IT-систем, VPS/VDS-серверів, Cloud-платформ. Нарощування потужностей.
Фільтрація трафіку
Встановлення і налаштування міжмережвого екрану (CSF/UFW/WAF). Аналіз інтернет-пакетів. Фільтрація вхідного трафіку та запитів. Контроль з'єднань. Формування чорних і білих списків блокування. Захист від фаззінгу, брутфорс-переборів, енумерації, ін'єкцій та іншої нелегітимної активності. Створення правил і модулів безпеки для реагування на кібер-інциденти.
Антивірусний захист 24/7
Встановлення серверного модуля безпеки. Перевірка усіх файлів і завантажень по антивірусним базам. Регулярне антивірусне сканування системи на наявність шкідливого коду. Евристичний, сигнатурний, контентний аналіз. Виявлення руткітів, бекодорів, майнерів, троянів, spyware/adware.
Інтеграція IPS/IDS/DLP систем
Застосування систем детектування та запобігання кібер-загрозам: Intrusion Detection System / Intrusion Prevention System. Налаштування системи моніторингу витоків даних - Data Loss Prevention (DLP). Синхронізація з MISP та SOC/CSIRT-системами.
Захист від ботів
Захист електронних ресурсів, форм, об'єктів і веб-елементів від ботів. Створення honeyspots, відстеження та знешкодження підозрілої активності. Захист від несанкціонованого парсингу і копіювання сайтів ботами. Блокування токсичних IP-адрес, User-Agent, краулерів. Захист від спаму і фішингу.
Підключення Cloudflare
Підключення електронного ресурсу до комплексної хмарної системи адміністрування і кіберзахисту CDN Cloudflare. Створення захищеної DNS-зони та захист IP-адреси. Налаштування усіх опцій та модулів безпеки. Активація Cloudflare SSL, кешування, HTTP Security Headers, GeoIP та інших функцій.
Види і типи DDoS-атак
HTTP Flood
Безперервно одночасно відправляється необмежена кількість GET або POST-запитів по HTTP-протоколу на URL-адреси атакованого ресурсу. У результаті надлишкового споживання ресурсів, сервер невзмозі обробити дані припиняє роботу.
ICMP Flood
З різних хостів надсилається необмежена кількість ехо-запитів по ICMP-протоколу на IP-адресу атакованого сервера. У результаті сервер переповнений і не взмозі обробити таку кількість службових запитів, припиняє роботу.
SYN Flood
Відправляється необмежена кількість SYN-запитів на з'єднання з атакованим сервером по протоколу TCP, на які він має надіслати відповідь. У висновку, черга непропорційно збільшується і сповільнює роботу сервера, аж поки він остаточно не припиняє роботу від перенавантаження.
UDP Flood
Відправляється необмежена кількість запитів на з'єднання з сервером по протоколу UDP. В результаті чого, накопичується велика черга, переповнюється канал передачі даних і сервер відмовляє в обчлуговуванні.
MAC Flood
Безперервно одночасно відправляються інтернет-пакети з різних MAC-адрес на адресу атакованого сервера, таким чином відбувається переповнення MAC-таблиці.
Ping of death
Безперервно одночасно відправляється величезна кількість пакетів нестандартного розміру, які сервер не взмозі обробити. Відбувається перенаповнення буфера і відмова пам'яті.
DNS Flood
Відправляється величезна кількість запитів з різних серверів до записів DNS-зони атакованого сервера, що у результаті зменшує пропускну здатність і перенаповнює канал.
Slowloris
Атака може здійснюватися з одного сервера, її завдання встановити з ресурсом якомога більше HTTP-з'єднань і безперервно підтримувати їх. Ліміт одночасних підключень швидко вичерпується й сервер зупиняє свою роботу.
Як захиститися від DDoS атак?
1. Діагностика і конфігурація
Повне сканування системи. Аналіз системних журналів і процесів, пропускної здатності. Виявлення вразливостей та застарілих компонентів. Опрацювання помилок, багів, пошкоджених файлів, інших несправностей. Оновлення компонентів системи та конфігурація (обмеження кількості запитів в секунду, виділення пам'яті, кешу, swap-файл, оптимізація запитів до БД).
2. Налаштування SERVER FIREWALL + WAF
Налаштування першого ешелону безпеки. Встановлення і запуск брандмауера (мережевого екрана, файєрвола), який захищатиме на рівні сервера. Налаштування політик безпеки і шаблонів реагування. Конфігурація серверних служб та сервісів безпеки: SElinux, UFW, CSF, IPtables, TCPDUMP, SpamAssasin, ClamAv, modSecurity та ін. Інтеграція зовнішнього файєрволу WAF, який захищатиме на рівні CMS-системи управління.
3. Підключення CAPTCHA + CLOUDFLARE + IPS/IDS
Налаштування другого ешелону безпеки. Підключення сервера до системи фільтрування запитів CAPTCHA, а також хмарного проксі-сервера CDN CLOUDFLARE. Захист IP-адреси, мережевих портів і інтерфейсів. Активація фільтрації за геолокацією. Синхронізація з IPS/IDS-системами. Фільтрація будь-яких підозрілих запитів, IP-адрес, URL-адресс, пристроїв, User-Agent.
Переваги DDoS захисту
Стабільність і продуктивність
Мінімізація збитків та ризиків
Запобігання загрозам й витокам
Якісні клієнти і відвідувачі
Попередження проблем
Економія трафіка і ресурсІв
Безперервність роботи
Зменшення ботів, ТРОЛІВ, спаму
Підвищення довіри і рейтингу
Збереження репутації
Чому ми?
Дослідили понад 100 атак
Ми більше 3 років займаємося вивченням та дослідженням вразливостей і кібер-атак. Регулярно поповнюємо базу відомостей та перевіряємо свої знання, ознайомлюємося зі звітами іноземних колег й провідних компаній, відвідуємо конференції з кібербезпеки. Ми постійно у курсі останніх подій і новин. За цей час встигли розпізнати та дослідити десятки видів і типів DDOS-атак: TCP атаки (TCP SYN атаки, на розмір вікна (Sockstress); HTTP атаки (HTTP сесії (Slowloris, Pyloris); атаки на SSL сигналізацію (Pushdo, THC-SSL), HTTP GET/POST URL флуди); DNS атаки (DNS флуд, DNS Cache Poisoning); інші види атак (UDP/ICMP флуди, IP/TCP/UDP фрагментами, на VoIP/SIP).
Власний AntiDDOS-модуль
Тестуючи кібербезпеку, прийшли до потреби розробити власний модуль із запобігання DDoS-атакам на VPS/VDS серверах під управлінням OS Linux. Модуль являє собою набір різних скриптів, шаблонів та паттернів, повністю автоматизований і побудований на штучному інтелекті (Artifical Intelligence) та машинному навчанні (Machine Learning). Містить правила блокування і аналізу: IPtables (by CSF) + OWASP Top 10 ModSecurity Rules + OWASP Security Testing Guide v4 + ImmunifyAV + Cloudflare. У висновку ви отримуєте чистий, білий, легітимний інтернет-трафік. AntiDDOS модуль постійно покращується і доробляється. В майбутньому планується його публічний реліз.
Технічний комплекс
Досконалий апаратно-програмний комплекс - Malware Analysis лабораторія та розгорнута мережа Threat Intelligence платформ допомагають нам блокувати DDOS-атаки ще у їх зародку. Наша OSINT-система з кіберзахисту відстежує й аналізує 24/7 аномальні явища в інтернеті, фіксує поширені атаки, ідентифікує вразливості по базам, моніторить даркнет-середовища на наявність витоків даних, виявляє фейкові акаунти та зламані VPS, ідентифікує фігурантів APT та BotNet мереж, вивчає їх поведінку, поповнює свою базу чорними списками й токсичними IP-адресами та іншими необхідними маркерами, метаданими. Таким чином, захист постійно самовдосконалюється, а про будь-які атаки ми дізнаємося першими, тим часом клієнтські сервери знаходяться в режимі повної готовності.