5 Рад по боротьбі з ddos-атаками

Сьогодні інтенсивність і кількість розподілених атак типу «відмова в обслуговуванні» # 40; Distributed denial of service - DDoS # 41; постійно зростають. Що можна зробити для боротьби з ними?

Це повинен був бути один з найуспішніших днів для вашого бізнесу, але несподівано ваш сайт виявився недоступний, а інформація про всі замовлення пропала. Якщо це трапилося з вами, ймовірно, ви стали черговою жертвою DDoS атаки.

DDoS стає все більше лякає.

Дослідження, що проводяться Arbor Networks і Akamai Technologies, підтверджували збільшення частоти та інтенсивності DDoS атак.

За словами Тіма Пета Даффіс, керуючого директора ServerSpace (компанія надає послуги з хостингу, а також є Інтернет-провайдером), бар'єр для подолання DDoS атак в більшості випадків став недосяжний. «Це означає, що кожен може зробити подібну атаку: злочинні організації, шантажисти, навіть ображений на своє начальство звільнений співробітник або конкурент. Жертвою може стати кожний. Один з наших клієнтів - невелика тренінгова компанія в сфері будівельного бізнесу - піддалася атаці, тривалістю 2 тижні. »

Раніше запустити DDoS атаку було технічно непросто, зараз же є можливість орендувати ботнет з десятків або навіть сотень тисяч заражених машин за вельми скромну плату, після чого використовувати ці комп'ютери для проведення атаки. А завдяки високим темпам розвитку інтернету, заражені комп'ютери використовують високошвидкісні канали зв'язку, за якими можна відправляти великі обсяги трафіку.

Існують спеціальні засоби для DDoS на основі Web, наприклад, Low Orbit Ion Cannon або RussKill, в запуску яких може розібратися навіть дитина.

Виникає питання, що можна зробити для захисту?

Своєчасне визначення DDoS атаки.

Якщо у вас є власні сервера, вам необхідно мати засоби для визначення яку здійснюють на вас атаки. Чим раніше ви визначите, що проблеми з доступністю вашого сайту виникли через DDoS атаки, тим раніше ви можете вжити заходів для її відображення.

Визначити DDoS можна за допомогою реалізації механізму профілів вхідного трафіку. Якщо ви знаєте середньостатистичний обсяг і динаміку зміни трафіку на вашому сервері, у вас підвищується шанс швидкого визначення не властивих змін. Більшість DDoS атак характеризуються різким збільшенням обсягу прийнятого трафіку, і механізм профілів допоможе визначити, чи є даний стрибок атакою чи ні.

Також гарною ідеєю буде призначити співробітника вашої компанії, відповідального за протидію DDoS.

Додаткові канали зв'язку для збільшення пропускної здатності

При реалізації DDoS атаки, ймовірно, вас не врятує навіть 500% -ний запас пропускної здатності, але він дасть вам кілька додаткових хвилин для реалізації необхідних заходів по протидії.

Захист мережевого периметра (якщо у вас є власний сервер)

Існує кілька досить простих технічних заходів для часткового зниження ефективності атаки, особливо на її початку.

Але реальність така, що якщо раніше дані кроки були досить ефективні, то зараз DDoS атаки занадто глобальні для їх нівелювання даними способами. Слід виділити ще раз, основним завданням розглянутих методик є отримання додаткового часу при атаці.

Зателефонуйте вашому інтернет- або хостинг-провайдеру

Якщо атака є досить сильною, то першим ділом ваш Інтернет-провайдер відключить маршрутизацію трафіку, що йде на ваш веб сервер.

«Допущення DDoS атак на внутрікорпоративну мережу - недозволена розкіш для провайдерів, тому що DDoS витрачає даремно більшу частину пропускної здатності і може негативно вплинути на роботу додатків інших клієнтів. У зв'язку з цим в першу чергу при виявленні атаки ми можемо відключити ваш додаток на деякий час »заявляє Ліам Ентікнап, мережевий інженер Pier 1.

Тім Пет Даффіс, керуючий директор компанії ServerSpace згоден з цією точкою зору. За його словами найпершим кроком при виявленні атаки на клієнта в його компанії є відключення маршрутизації для пакетів, що йдуть на його web сервер. На ці дії йде близько 2 хвилин, після чого обсяг завантаженості мережі різко падає.

Якби це був кінець історії, то атаку можна було б вважати успішною. Для того, щоб знову зробити web сайт доступним, трафік, що йде до нього, може бути направлений на особливий фільтр, що пропускає тільки легітимні пакети, які йдуть далі безпосередньо на сервер. «Ми використовуємо наш досвід і різні засоби для того, щоб зрозуміти, яким саме чином змінився трафік після початку атаки, що допомагає нам визначати шкідливі пакети» - пояснює Ентікнап.

Він запевняє, що Pier 1 володіє ресурсами, що дозволяють приймати, обробляти, а потім відправляти далі трафік на швидкості 20 Гб / с. Але з огляду на рівні трафіку при DDoS атаки, описані в звітах Spamhaus, навіть така пропускна здатність не принесе потрібного ефекту.

Розробіть спільний з вашим провайдером план дій при виявленні DDoS атак, щоб звернутися до фахівця з мінімальною затримкою за часом.

Знайдіть фахівця з DDoS

При більшості серйозних атак, ймовірно, єдиним способом залишитися онлайн для вас буде користування послугами компанії, що спеціалізується на протидії DDoS. Ці організації мають високомасштабіруюмую інфраструктуру і використовують велику кількість різних технологій, включаючи фільтрацію пакетів, що допоможе вам залишитися онлайн. Ви можете співпрацювати безпосередньо або через вашого провайдера.

«Якщо клієнтові необхідний захист від DDoS, ми відкривається його трафік компанії Black Lotus, що спеціалізується на цьому» - говорить Даффіс. «Для цього ми використовуємо BGP, тому на все йде пару хвилин».

Фільтруючий центр компанії Black Lotus може справлятися з дуже великими обсягами трафіку і відправляти перевірені пакети на пункт їх призначення. Все це виливається в значний час очікування для користувачів, але альтернативою може бути і повна відсутність сайту.

Послуги із захисту від DDoS атак не безкоштовні, тому або ви платите гроші і залишаєтеся онлайн, або приймаєте весь удар на себе і чекаєте, поки атака не закінчиться, і ви не зможете повернути доступність свого сайту. Даний вид послуг може обійтися вам в кілька сотень доларів на місяць. З іншого боку, якщо ви будете атаковані не маючи будь-яких засобів захисту, ви можете втратити набагато більше грошей і часу.

Компанії, що надають послуги із захисту від DDoS атак:

Arbor Networks
Black Lotus
DOSarrest
Prolexic
VeriSign