DDoS (з англ. Distributed Denial of Service Attack) – це атака, мета якої викликати відмову в обслуговуванні на боці сервера (електронного ресурсу), іншими словами перенавантажити і зробити його недоступним. Виконується шляхом відправки величезної кількості хаотичних шкідливих запитів з різних IP-адрес, використовуючи вразливості та недоліки безпеки. У висновку, трафік і навантаження постійно зростають, а ресурси і ліміти пропускної здатності вичерпуються. Сервер, не взмозі обробити велику кількість запитів одночасно, віддає код відповіді 5xx – відмова в обслуговуванні. Різниця DDOS і DOS полягає у тому, що DOS-атака виконується з одного джерела.
За характером застосування розрізняють наступні види DDOS-атак:
За рівнем мережевої моделі OSI розрізняють наступні DDOS-атаки:
Наслідки DDOS-атак:
Будь-якій DOS/DDOS-атаці, зазвичай, передує розвідка з відкритих джерел Open Source Intelligence (OSINT) – зловмисник вивчає межі електронного периметру, здійснює сканування усіх вузлів/портів, шукає “входи і виходи”, перевіряє фронтенд і бекенд частини, переглядає вихідний код, здійснює енумерацію компонентів, баз даних, облікових записів, виявляє помилки та недоліки безпеки, накопичує вичерпні відомості про ресурс та систематизує їх по різним базам, зокрема по базам вразливостей і експлойтів: CVE/CWE/ExploitDB.
Електронні ресурси, які не адмініструються і не оновлюються, не відконфігуровані і не оптимізовані належним чином, по відношенню до яких жодного разу не проводився аудит безпеки – майже на 100% є вразливими до DDoS-атак. Про це важливо знати та пам’ятати. Зазвичай, DDOS проводиться з певною метою: кібервійна, недобросовісна конкуренція, конфлікти в бізнесі, помста, шантаж і т.д.
Спеціалісти KR. Laboratories навчилися відбивати DDOS-атаки будь-якого типу на всіх рівнях мережевої OSI-моделі, зокрема: L3 (мережевий рівень), L4 (транспортний рівень), L7 (прикладний рівень). У цьому нам допомагають як власні розробки так і інструменти від різних постачальників, а також перевірені рішення: Web Application Firewall (WAF), Next Generation Firewall (NGFW), Data Loss/Leak Prevention (DLP), Security Information and Event Manangement (SIEM), Intrusion Detection System (IDS) та Intrusion Prevention Systyem (IPS). Пропонуємо нижче ознайомитися з повним переліком наших послуг.
Технічний аудит і системний аналіз. Пошук та виправлення помилок і несправностей. Сканування вразливостей SAST/DAST/IAST. Тестування на проникнення, моделювання загроз, стрес-тест. Видалення застарілого ПЗ, актуалізація версій, конфігурація IT-систем, VPS/VDS-серверів, Cloud-платформ. Нарощування потужностей.
Встановлення і налаштування міжмережвого екрану (CSF/UFW/WAF). Аналіз інтернет-пакетів. Фільтрація вхідного трафіку та запитів. Контроль з'єднань. Формування чорних і білих списків блокування. Захист від фаззінгу, брутфорс-переборів, енумерації, ін'єкцій та іншої нелегітимної активності. Створення правил і модулів безпеки для реагування на кібер-інциденти.
Встановлення серверного модуля безпеки. Перевірка усіх файлів і завантажень по антивірусним базам. Регулярне антивірусне сканування системи на наявність шкідливого коду. Евристичний, сигнатурний, контентний аналіз. Виявлення руткітів, бекодорів, майнерів, троянів, spyware/adware.
Застосування систем детектування та запобігання кібер-загрозам: Intrusion Detection System / Intrusion Prevention System. Налаштування системи моніторингу витоків даних - Data Loss Prevention (DLP). Синхронізація з MISP та SOC/CSIRT-системами.
Захист електронних ресурсів, форм, об'єктів і веб-елементів від ботів. Створення honeyspots, відстеження та знешкодження підозрілої активності. Захист від несанкціонованого парсингу і копіювання сайтів ботами. Блокування токсичних IP-адрес, User-Agent, краулерів. Захист від спаму і фішингу.
Підключення електронного ресурсу до комплексної хмарної системи адміністрування і кіберзахисту CDN Cloudflare. Створення захищеної DNS-зони та захист IP-адреси. Налаштування усіх опцій та модулів безпеки. Активація Cloudflare SSL, кешування, HTTP Security Headers, GeoIP та інших функцій.
Безперервно одночасно відправляється необмежена кількість GET або POST-запитів по HTTP-протоколу на URL-адреси атакованого ресурсу. У результаті надлишкового споживання ресурсів, сервер невзмозі обробити дані припиняє роботу.
З різних хостів надсилається необмежена кількість ехо-запитів по ICMP-протоколу на IP-адресу атакованого сервера. У результаті сервер переповнений і не взмозі обробити таку кількість службових запитів, припиняє роботу.
Відправляється необмежена кількість SYN-запитів на з'єднання з атакованим сервером по протоколу TCP, на які він має надіслати відповідь. У висновку, черга непропорційно збільшується і сповільнює роботу сервера, аж поки він остаточно не припиняє роботу від перенавантаження.
Відправляється необмежена кількість запитів на з'єднання з сервером по протоколу UDP. В результаті чого, накопичується велика черга, переповнюється канал передачі даних і сервер відмовляє в обчлуговуванні.
Безперервно одночасно відправляються інтернет-пакети з різних MAC-адрес на адресу атакованого сервера, таким чином відбувається переповнення MAC-таблиці.
Безперервно одночасно відправляється величезна кількість пакетів нестандартного розміру, які сервер не взмозі обробити. Відбувається перенаповнення буфера і відмова пам'яті.
Відправляється величезна кількість запитів з різних серверів до записів DNS-зони атакованого сервера, що у результаті зменшує пропускну здатність і перенаповнює канал.
Атака може здійснюватися з одного сервера, її завдання встановити з ресурсом якомога більше HTTP-з'єднань і безперервно підтримувати їх. Ліміт одночасних підключень швидко вичерпується й сервер зупиняє свою роботу.
Повне сканування системи. Аналіз системних журналів і процесів, пропускної здатності. Виявлення вразливостей та застарілих компонентів. Опрацювання помилок, багів, пошкоджених файлів, інших несправностей. Оновлення компонентів системи та конфігурація (обмеження кількості запитів в секунду, виділення пам'яті, кешу, swap-файл, оптимізація запитів до БД).
Налаштування першого ешелону безпеки. Встановлення і запуск брандмауера (мережевого екрана, файєрвола), який захищатиме на рівні сервера. Налаштування політик безпеки і шаблонів реагування. Конфігурація серверних служб та сервісів безпеки: SElinux, UFW, CSF, IPtables, TCPDUMP, SpamAssasin, ClamAv, modSecurity та ін. Інтеграція зовнішнього файєрволу WAF, який захищатиме на рівні CMS-системи управління.
Налаштування другого ешелону безпеки. Підключення сервера до системи фільтрування запитів CAPTCHA, а також хмарного проксі-сервера CDN CLOUDFLARE. Захист IP-адреси, мережевих портів і інтерфейсів. Активація фільтрації за геолокацією. Синхронізація з IPS/IDS-системами. Фільтрація будь-яких підозрілих запитів, IP-адрес, URL-адресс, пристроїв, User-Agent.
Централізований моніторинг системних журналів, процесів, інтернет-пакетів. Дослідження трафіку (Zabbix, Graffana, Splunk, Goaccess, Webalizer та ін.). Відстеження дій та змін, будь-яких аномалій в системі, що дозволяють спрогнозувати або передбачити атаку. Синхронізація з антивірусними базами, блеклістами, SOC/CSIRM/CERT-центрами і системами. Поповнення бази даних новими правилами, шаблонами виявлення/блокування.
Миттєве виявлення і нейтралізація DOS/DDOS-атак на всіх рівнях мережевої OSI-моделі. У разі атаки спрацьовує система оповіщення і відбувається автоматичне переключення на резервну інфраструктуру. У висновку, сервер залишається доступним, незважаючи на сталу атаку. Виявлені атакуючі хости реєструються в SOC/SIEM-системі і обробляються Threat Intelligence платформами.
Технічне обслуговування сервера та усіх системних компонентів. Проведення резервного копіювання, оновлення, оптимізація, щоквартальний аудит. При потребі: заміна сервера, провайдера, хостингу, компонентів, масштабування (нарощування потужностей).
Ми більше 3 років займаємося вивченням та дослідженням вразливостей і кібер-атак. Регулярно поповнюємо базу відомостей та перевіряємо свої знання, ознайомлюємося зі звітами іноземних колег й провідних компаній, відвідуємо конференції з кібербезпеки. Ми постійно у курсі останніх подій і новин. За цей час встигли розпізнати та дослідити десятки видів і типів DDOS-атак: TCP атаки (TCP SYN атаки, на розмір вікна (Sockstress); HTTP атаки (HTTP сесії (Slowloris, Pyloris); атаки на SSL сигналізацію (Pushdo, THC-SSL), HTTP GET/POST URL флуди); DNS атаки (DNS флуд, DNS Cache Poisoning); інші види атак (UDP/ICMP флуди, IP/TCP/UDP фрагментами, на VoIP/SIP).
Тестуючи кібербезпеку, прийшли до потреби розробити власний модуль із запобігання DDoS-атакам на VPS/VDS серверах під управлінням OS Linux. Модуль являє собою набір різних скриптів, шаблонів та паттернів, повністю автоматизований і побудований на штучному інтелекті (Artifical Intelligence) та машинному навчанні (Machine Learning). Містить правила блокування і аналізу: IPtables (by CSF) + OWASP Top 10 ModSecurity Rules + OWASP Security Testing Guide v4 + ImmunifyAV + Cloudflare. У висновку ви отримуєте чистий, білий, легітимний інтернет-трафік. AntiDDOS модуль постійно покращується і доробляється. В майбутньому планується його публічний реліз.
Досконалий апаратно-програмний комплекс - Malware Analysis лабораторія та розгорнута мережа Threat Intelligence платформ допомагають нам блокувати DDOS-атаки ще у їх зародку. Наша OSINT-система з кіберзахисту відстежує й аналізує 24/7 аномальні явища в інтернеті, фіксує поширені атаки, ідентифікує вразливості по базам, моніторить даркнет-середовища на наявність витоків даних, виявляє фейкові акаунти та зламані VPS, ідентифікує фігурантів APT та BotNet мереж, вивчає їх поведінку, поповнює свою базу чорними списками й токсичними IP-адресами та іншими необхідними маркерами, метаданими. Таким чином, захист постійно самовдосконалюється, а про будь-які атаки ми дізнаємося першими, тим часом клієнтські сервери знаходяться в режимі повної готовності.
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
