Как защитить сервер компании от DDoS-атаки?

В числе самых серьезных киберугроз сегодня – DDoS-атаки на корпоративные серверы. Определим, какие есть способы предотвращения и реагирования на эти атаки и что учесть при обеспечении безопасного функционирования сетевых ресурсов.

При DDoS-атаке производится большое количество внешних обращений к серверу, из-за чего он не успевает их обработать и замедляется (или даже прекращает функционировать). Если к серверу привязан сайт, он становится недоступным.

Для справки: если источник атаки – один компьютер, то она классифицируется как DoS (Denial of Service – «отказ в обслуживании»), а если два и больше – DDoS (Distributed Denial of Service).

DDoS-атаки стали считаться значимой проблемой для мировой IT-индустрии в конце 90-х (когда хакерам удавалось выводить из строя серверы крупнейших брендов – Amazon, CNN, eBay). Сначала проведение таких атак было по силам только профессионалам, но затем инструментарий для DDoS (например, бот-сети) стал доступен все более широкому кругу пользователей, в результате чего риски совершения противоправных действий возросли. По мере увеличения скорости интернета интенсивность атак росла (сейчас DDoS технически возможен на скоростях в несколько терабайт в секунду при формировании десятков миллионов запросов к серверу).

Техническая возможность для совершения массива запросов к серверу чаще всего обеспечивается за счет применения автоматических вредоносных скриптов (ботов), запускаемых на разных компьютерах (например, в составе вируса или в связке с ним). При этом носителями ботов (ботнетами) могут выступать в принципе любые устройства, входящие в сеть (и имеющие подходящее для запуска вирусов программное обеспечение). Многие виды оборудования такого типа (называемые IoT, Internet of Things – «интернет вещей») не защищены шифрованием или средствами контроля доступа и потому становятся частым объектом внимания хакеров.

Примечательно, что пользователь компьютера может и не догадываться о том, что его устройство используется в качестве ботнета при DDoS-атаке. Бывает так, что вредоносный код размещается на стороннем ресурсе (например, на сайте), а затем воспроизводится на подключаемых компьютерах через браузер (например, с помощью команд JavaScript). В результате этот код «заставит» браузер произвести установленное количество соединений с атакуемым сайтом.

Атака может быть произведена на двух уровнях:

• сетевой инфраструктуры;
• прикладных вычислений.

В первом случае ее цель – «засорение» канала связи между сервером и интернетом (иной внешней сетью) так, чтобы «грязный» сетевой трафик мешал совершению нормальных запросов от пользователей. На втором уровне DDoS-атака перегружает серверный процессор и оперативную память «мусорными» задачами, мешающими производить полезные вычисления.

Примеры видов атак на инфраструктуру:

• ICMP Flood (отправка большого объема поддельных ICMP-пакетов на IP-адрес сервера);
• UDP Flood (отправка UDP-пакетов через конкретные или случайно выбранные порты);
• SYN Flood (отправка запросов на подключение по протоколу TCP)

Типичные виды атак на прикладном уровне:

• HTTP Flood (отправка большого количества GET- или POST-запросов на сервер);
• DNS Ampfliciation Attack (отправка коротких запросов DNS-серверу с целью парализовать его работу);
• SMTP Flood (атака почтового сервера компании).

В ходе DDoS-атаки хакер может произвести поиск уязвимостей в системе защиты сервера и при их выявлении получить «ручной» контроль над сетевым ресурсом. Тогда замедление или отключение сервера может быть произведено средствами администрирования и без «засорения» трафика. Но тем не менее такая активность считается разновидностью DDoS, поскольку тоже имеет место «отказ в обслуживании».

Очевидные последствия замедления или остановки сервера из-за DDoS-атаки:

• падение пользовательского трафика;
• прекращение бизнес-процессов (онлайн-продаж, сервисов клиентской поддержки, рекламного продвижения), как следствие – экономический ущерб компании;
• ухудшение репутации компании (как владельца сервера).

Иные возможные последствия:

• шантаж или угрозы со стороны хакеров (стремящихся получить деньги или иные выгоды в обмен на прекращение DDOS-атаки);
• отвлечение внимания и ресурсов от защиты информации на иных направлениях (из-за чего возможны риски утраты контроля доступа, утечки данных с незащищенных корпоративных носителей).

Чтобы указанные последствия не допустить, владельцу необходимы меры быстрого обнаружения и эффективного противодействия DDoS-атакам. Важна, безусловно, также профилактика рисков.

Можно говорить о начале DDoS-атаки на сервер, если:

• резко возрос объем переданных и принятых сервером данных (относительно средних значений);
• резко выросла нагрузка на серверный процессор и оперативную память (не обусловленная, к примеру, программными ошибками при обновлении кода);
• связанные с сервером ресурсы (прежде всего сайт компании) стали работать медленнее или вовсе перестали функционировать;
• мониторинг запросов (в панели администрирования сервера) показывает, что большое их количество совершено с одного и того же IP-адреса (групп адресов).

Если в ходе DDoS-атаки получен сторонний контроль над управлением сайтом, то вполне вероятно, окажется невозможной корректная авторизация администратора (либо выставление требуемых настроек из-за ограничений, установленных злоумышленником).

В случае, если присутствуют все признаки DDOS-атаки, компании придется реагировать на это. В числе самых эффективных вариантов разрешения ситуации – оперативный запуск внешней службы фильтрации внешних запросов от специализированного поставщика (CDN). Данное решение позволит остановить DDOS-атаку и возобновить полноценное функционирование сайта.

Примеры популярных CDN-платформ: Cloudfare (может работать с перебоями из-за санкций, так как ресурс иностранный), Qrator (российский сервис). В целом CDN-ресурсы работают по одним и тем же принципам – поэтому имеет смысл прежде всего выбирать стабильного поставщика. Оптимален, таким образом, российский вариант. Его преимуществом также будет возможность получения русскоязычной поддержки (в часы, удобные для клиента).

Суть сервиса в том, что к нему передается весь входящий трафик с сервера компании. Затем запросы фильтруются (отсеиваются те, что обусловлены DDoS-атакой), после чего «нормальный» пользовательский трафик перенаправляется на сервер. Важно в процессе интеграции сервиса и сайта:

• удостоверяться в том, нет ли конфликта между внешним сервисом и SSL-сертификатами сайта (обеспечивающими передачу данных по защищенному протоколу);
• внимательно проверять корректность настройки адресов DNS-серверов, поскольку на активацию нового адреса взамен прежнего может уходить до нескольких часов.

Чего не стоит делать при реагировании на DDoS-атаку:

• вступать в переговоры со злоумышленниками, поддаваться на шантаж, выполнять любые действия, продиктованные с их стороны;
• доверять исправление ситуации непроверенным поставщикам, обещающим сэкономить и ускорить процедуру.

При нормально функционирующей клиентской поддержке внешнего сервиса фильтрации и оперативном его внедрении можно пресечь DDoS-атаку буквально за пару часов. Но лучший вариант все же эффективная профилактика киберугроз.

Можно выделить ряд мер, позволяющих предотвращать DDoS-атаки.

1. Внутрикорпоративные:

• максимально сократить варианты доступа к серверу (закрыть неиспользуемые порты) посредством установки брандмауэров;
• разделить между сотрудниками полномочия по получению доступа к отдельным ресурсам (чтобы при утечке логина и пароля одного пользователя хакер не смог навредить функциям, за которые ответственны другие сотрудники);
• внедрить программы мониторинга запросов к серверу – с функцией информирования администратора о подозрительных событиях (таких как рост числа запросов с одного IP);
• проводить регулярное тестирование систем защиты сервера на DDOS-атаки;
• внедрить функции VPN (когда пользовательские запросы поступают не напрямую на IP-адрес сервера компании, а через внешний промежуточный сервер);
• установить программно-аппаратные средства фильтрации трафика (брандмауэры), которые обеспечивают блокировку несанкционированных запросов к серверу;
• разместить часть ресурсов (контента) на внешних носителях (в том числе расположенных в защищенных дата-центрах или в облаке).

Специальные технические меры:

• внедрение ограничений по количеству запросов с одного IP-адреса (Response Rate limiting);
• отсеивание активностей ботов в пользовательских онлайн-формах (регистрации, обращения в поддержку, комментирования) – через «капчу» или авторизацию по логину и паролю.

2. На уровне взаимодействия с контрагентами.

Прежде всего – с интернет-провайдером, а также поставщиком услуг хостинга. Необходимо убедиться, что на уровне этих контрагентов внедрены инструменты защиты для DDOS-атак, а если есть сомнения в их эффективности – сменить поставщика. Но ключевые методы защиты – все же те, которые напрямую зависят от самой компании. Для организации эффективной системы противодействия DDOS-атакам владельцу сервера необходимо знать о технологиях, применяемых в данном направлении, а также о конкретных технических решениях, которые можно задействовать.

Примеры современных концепций:

• BGP FlowSpec;
• ACL;
• интеллектуальный анализ запросов по пользовательскому трафику.

Метод BGP FlowSpec предусматривает обработку входящих запросов на сервер, при которой по каждому источнику запроса составляется описание из различных параметров, свидетельствующих (комплексно или по отдельности) о том, что запрос «хакерский» и представляет собой DDOS-атаку.

В случае, если DDOS-атаку не удается отразить с помощью алгоритмов FlowSpec, может быть активизирован режим BGP Blackhole, обеспечивающий жесткую блокировку трафика по заданным критериям (теоретически – всего входящего трафика).

Метод формирования списков контроля доступа (ACL), по которому из всего перечня запросов выбираются те, что классифицированы как безопасные, – и сервер обрабатывает только их.

Интеллектуальный анализ трафика производится в рамках программных алгоритмов, которые приспособлены разделять «вредный» трафик и полезный, а затем направлять второй на сервер для дальнейшей обработки. Современные системы анализа трафика способны самообучаться, а также производить эвристический анализ – выявление еще не известных опасностей на основе имеющихся знаний о проходящем через систему трафике.

Анализ трафика позволяет классифицировать списки IP-адресов на позитивные и негативные (с возможностью установления фильтрации в отношении вторых). Сводится к минимуму вероятность ложного срабатывания фильтров и неправомерной блокировки пользовательской активности. При анализе могут использоваться данные по внешним базам (отражающим репутацию источников). Система может анализировать поступающие сведения о бот-сетях, спам-сервисах и даже адресах устройств IoT, которые задействованы в DDOS-атаке.

Если говорить о конкретных типах программных продуктов, то можно обратить внимание на следующие решения:

1. Уже известные нам CDN-сервисы (CloudFare, Qrator, их аналоги – ServicePipe, Variti и другие).

Данный тип решений можно назвать ключевым в части обеспечения защиты корпоративных серверов от DDOS-атак. Современные программные продукты данного типа умеют производить детальную фильтрацию трафика, благодаря чему, например, можно избежать блокировки IP (с которого могут происходить легальные запросы), и ограничиться блокировкой «мусорных» подключений.

2. Сервисы типа «антибот» (примеры – ClickFraud, BotFAQtor) – специализированные решения для блокировки автоматизированных запросов от ботов на сайтах компаний.

Боты, настроенные на регистрацию аккаунтов, обращения в техподдержку, создание фальшивых заказов (и иные «пользовательские») действия могут быть частью масштабной DDOS-атаки (и даже выполнять в рамках нее основную функцию по замедлению сайта).

3. WAF (Web Application Firewall) – специализированные решения для защиты веб-ресурса в режиме реального времени (примеры – PT AF, Wallarm).

Данные продукты производят непрерывный анализ веб-трафика, выделяют рискованные запросы, обеспечивают установление правил безопасности для конкретного сайта.

Таким образом, указанные три типа решений – CDN, «антибот» и WAF – следует считать единой связкой программных продуктов, обеспечивающих качественную профилактику DDOS-атак. Важно обеспечить их своевременное внедрение, настройку, а также квалифицированное администрирование.

При принятии решений о покупке и внедрении продуктов, о которых идет речь, компания должна иметь представление о том, какие именно ресурсы подлежат защите в первую очередь исходя из того, насколько критично возможное их замедление или прекращение функционирования из-за DDOS-атаки. Типичный перечень защищаемых ресурсов включает основной сайт компании, мобильные приложения, корпоративные серверы – и в отношении каждого необходим выбор подходящих программных решений для защиты от киберугроз.

В ходе практического внедрения инструментов для защиты от DDOS нужно учесть ряд нюансов.

Прежде всего, нужно знать, что:

1. В случае если сервер очень мощный (обеспечивает работу многих сайтов) и последствия утраты его функциональности могут быть серьезны, то нужно максимально расширить перечень используемых инструментов.

В частности, может быть эффективным внедрение дополнительной локальной системы фильтрации трафика – например, той, что функционирует между инфраструктурой провайдера и WAF. Важно, чтобы такое решение обеспечивало обработку трафика, поступающего со всех каналов, к которым подключен сервер компании. Лучше всего, если локальная система будет функционировать, не имея внешних IP-адресов (что сами по себе могут становиться объектами для DDOS-атаки). Большое значение имеет приспособленность системы к обработке больших объемов шифрованного трафика без трансфера закрытых ключей за пределы юрисдикции компании.

2. Противодействие DDOS-атакам нужно организовывать на каждом уровне их осуществления – коммуникационном и прикладном.

Даже при использовании самых надежных способов защиты от угроз на уровне инфраструктуры нельзя игнорировать противодействие HTML-ботам (в то время как функционал решения первого типа не всегда включает инструментарий типа «антибот»). Нередко случаются ситуации, при которой у компании реализована превосходная защита на инфраструктурном уровне от атак типа «флуд», однако хакерам удается нарушить функционирование сайта за счет простых инструментов встраивания вредоносного кода на браузерном уровне.

3. Высокую эффективность показывают инструменты, использующие готовые шаблоны настроек и алгоритмов, которые учитывают специфику конкретного вида атак и тип защищаемого веб-ресурса.

Стандартизация в данном направлении снижает общую нагрузку на систему защиты сайта, а также ускоряет ее реакцию при обнаружении рисков.

4. Следует уделить внимание оснащенности высокопроизводительным сетевым оборудованием.

Бывает так, что аппаратный межсетевой экран не рассчитан на «флуд» и перестает функционировать даже при слабой интенсивности DDOS-атаки.

5. В случае применения внешних решений (CDN и сопутствующих, что рассмотрены выше), необходимо своевременно реагировать на запросы от их поставщиков, которые касаются специфики работы сервера компании.

Например, может потребоваться информирование поставщика о том, каким IP-адресам соответствуют те или иные ресурсы (основной сайт, VPN, DNS-сервер). Или же о том, что компания использует UDP-приложения (и каким образом). В случае обнаружения открытой DDOS-атаки специалисты компании – разработчика продукта для защиты должны располагать данными об используемых клиентом сервисах, сертификатах, применении ключей защиты. Учитывается специфика защищаемых данных в части требования по конфиденциальности (это важно прежде всего для соблюдения законодательства о персональных данных), заверению информации средствами ЭЦП.

Следует учитывать, что разные типы веб-ресурсов могут показывать разную устойчивость (или наоборот), уязвимость к DDOS-атакам. Главные факторы здесь – технические возможности сервера, а также качество обмена информацией между его владельцем и поставщиками услуг по обеспечению защиты от киберугроз.

Во многих случаях самый оптимальный вариант – аренда сервера с готовой защитой от DDOS-атак. Данный сценарий предусматривает полноценную интеграцию серверной инфраструктуры с аппаратно-программными решениями для реализации разноуровневых механизмов противодействия угрозам. Компания NetRack при предоставлении серверов в аренду обеспечивает применение наиболее современных решений для защиты от DDOS-атак и гарантирует их своевременное обновление с учетом актуализации перечней киберугроз для различных типов ресурсов.