Прежде чем защищаться от атаки типа «отказ в обслуживании» (DOS) , вы должны понять, что это такое. DoS-атака — это злонамеренная попытка повлиять на доступность целевой системы. Эти системы варьируются от приложений до веб-сайтов или даже напрямую нацелены на конечных пользователей. Целевая система в конечном итоге перегружается из-за генерирования аномально большого количества пакетов. Атака распределенного отказа в обслуживании (DDoS) — это когда злоумышленник использует несколько скомпрометированных источников для проведения объемной атаки.
Вы можете группировать DDoS-атаки на основе целевого уровня взаимодействия открытых систем (OSI) . Наиболее распространенные атаки происходят на сетевом (уровень 3 OSI), транспортном (уровень 4 OSI) и прикладном (уровень 7 OSI) уровнях. Немногие из многих современных кибератак являются более подавляющими и разрушительными, чем DDoS-атаки. NortonLifeLock называет DDoS-атаки «одним из самых мощных видов оружия в Интернете» — и не зря. Эти вредоносные атаки могут произойти в любое время и отключить целевые веб-сайты, что приведет к массовым перебоям в обслуживании и значительным финансовым потерям. Хуже того, количество DDoS-атак во всем мире растет, и недавние исследования показывают, что в четвертом квартале 2021 года они увеличились на 29% в годовом исчислении .
Что такое DDoS-атака уровня 3/4?
Уровни 3 и 4 являются уровнем инфраструктуры. Распространенные векторы DDoS-атак на этих уровнях включают SYN-флуд , UDP-флуд и атаки протокола управляющих сообщений Интернета (ICMP) . Уровень 3 — это сетевой уровень, отвечающий за принятие решения о том, какие данные физического пути должны перемещаться по сети. Уровень 4 обеспечивает передачу данных между хостами и гарантирует целостность данных и полноту передачи, выполняемой протоколом управления транспортировкой (TCP) . Атаки, нацеленные на эти два уровня, генерируют огромный объем трафика и направлены на перегрузку доступной емкости сети или группы хостов. Хорошей новостью является то, что эти стили атак имеют четкие сигнатуры, и их легче обнаружить и смягчить.
Что такое DDoS-атака уровня 7?
Уровень 7 — это прикладной уровень. Эти атаки, как правило, менее распространены, но при этом являются более изощренными. С точки зрения объема эти атаки связаны не столько с внезапным притоком трафика, сколько с атаками на уровне инфраструктуры. Тем не менее, они нацелены на критически важные части приложения, негативно влияя на производительность цели. Реальным примером этой атаки является заполнение страницы входа в приложение или обращение к открытому API с дорогостоящим поисковым запросом, что приводит к ухудшению работы конечных пользователей. Реактивное исправление этих атак является дорогостоящим. Малый и средний бизнес (SMB) тратит в среднем 120 000 долларов США на восстановление сервиса и управление операциями во время DDoS-атаки.
Как вы можете защитить свои приложения?
-
Понимание шаблонов трафика
Первая линия защиты — создание профиля трафика. Этот профиль включает в себя то, как выглядит «хороший» трафик, и устанавливает ожидаемые объемы трафика в вашей сети. Мониторинг вашего трафика с помощью этого профиля позволяет вам настроить правила, чтобы принимать столько трафика, сколько ваша инфраструктура может обработать, не влияя на ваших конечных пользователей. Ограничение скорости обеспечивает базовый уровень, а затем вы можете использовать расширенные методы обнаружения для получения трафика, проверенного путем анализа дополнительных переменных. Достаточно одного незначительного нарушения безопасности, чтобы нанести непоправимый ущерб вашей сети и серверам и отправить ваших сотрудников на пять эмоциональных стадий DDoS-атаки . Так что проявляйте усердие с самого начала. -
Минимизация уязвимости
Один из самых простых способов нейтрализовать DDoS-атаки — уменьшить площадь поверхности, которая может быть атакована, что в конечном итоге сужает возможности для злоумышленников и позволяет вам разрабатывать контрмеры и средства защиты в одном месте. Вы должны убедиться, что ваши приложения и хосты не подвергаются воздействию портов, протоколов и других приложений, от которых вы не ожидаете связи. В большинстве случаев вы можете добиться этого, разместив ресурсы вашей инфраструктуры за прокси- сетью доставки контента (CDN) , которая ограничивает прямой интернет-трафик определенными частями вашей инфраструктуры. В других случаях вы можете использовать брандмауэр или списки контроля доступа (ACLS) для управления трафиком, достигающим определенных приложений. -
Разверните брандмауэр на основе
приложений. Если ваше приложение имеет доступ в Интернет, вы подвергаетесь атакам несколько раз в день. В среднем приложение с подключением к Интернету подвергается атаке каждые 39 секунд . Хорошей практикой является использование брандмауэра веб-приложений (WAF) для защиты от атак. Хорошей отправной точкой является активное противодействие атакам типа OWASP Top 10 , а затем вы сможете создать настраиваемый профиль трафика для защиты от дополнительных недействительных запросов. Например, эти запросы могут маскироваться под законный трафик с известных вредоносных IP-адресов или из географической части мира, в которой вы не ведете бизнес. WAF также полезен для смягчения атак, поскольку вы можете использовать опытную поддержку .для изучения эвристики трафика и создания индивидуальной защиты для вашего приложения. -
Масштабирование по дизайну
Хотя само по себе это не лучшее решение, одним из вариантов может быть увеличение пропускной способности (транзитной) или серверной (вычислительной) мощности для поглощения и смягчения атак. При разработке и создании приложений убедитесь, что у вас есть избыточное подключение к Интернету, которое позволит вам справляться с резкими скачками трафика. Обычной практикой является использование балансировки нагрузки. для постоянного мониторинга и перераспределения нагрузки между доступными ресурсами, чтобы предотвратить перегрузку какой-либо одной точки. Кроме того, вы можете создавать свои веб-приложения с учетом CDN, предоставляя дополнительный уровень сетевой инфраструктуры для обслуживания контента, часто ближе к вашим конечным пользователям. Большинство DDoS-атак носят объемный характер и потребляют огромное количество ресурсов, поэтому ваше приложение должно быстро увеличивать или уменьшать масштаб вычислений. Распределенный характер CDN существенно расширяет возможности атаки до такой степени, что ее легко поглотить. CDN также открывают дополнительные методы для предотвращения самых изощренных атак. Разработка профиля атаки позволяет CDN удалять или замедлять вредоносный трафик.
И что теперь?
При борьбе с современными изощренными DDoS-атаками унция предотвращения стоит фунта лечения. Поэтому убедитесь, что в любой момент времени ваша организация адекватно подготовлена и может обрабатывать гораздо большие объемы серверного трафика или сетевых запросов, чем вам нужно. Лучшее время для действий было вчера; второе лучшее время сейчас.