Як запобігти ddos-атаку

Головна мета хакерів - це зробити атакується ресурс недоступним для користувача. Для цього на нього направляється величезна кількість помилкових запитів, які сервер не в змозі обробити, в результаті ресурс "падає". Це можна порівняти з тим, як непідготовленій людині під виглядом гантелей на звичні йому 3 кг раптово дали такі ж по виду, але по 9 кг кожна. Зрозуміло, він не впорається. Те ж відбувається з сайтом - і замість звичної сторінки користувач бачить "заглушку" з повідомленням про помилку.

Як запобігти ddos-атаку

Як виглядає DDoS-атака на графіку з інтерфейсу, через який проходить атакуючий трафік

Способи різноманітні, але будь-який DDoS веде до втрати легітимного трафіку, іншими словами - користувачів, тому часто використовується як інструмент недобросовісної конкурентної боротьби. Від DDoS-атаки часто страждають інтернет-магазини, онлайн-ігри, системи електронних платежів.

Тому питання, як зупинити ddos-атаку, хвилює все більше число людей. Якщо мова йде про сайті, то здається логічним звернутися за допомогою до хостинг-провайдеру, де він розміщений. Однак багатьом хостерам, які надають недорогі послуги, простіше відключити проблемний ресурс, ніж вирішувати проблему. Чому?

Оператор зв'язку розглядає переповнення зовнішніх стиків паразитних трафіком як аварійну ситуацію і загрозу цілісності його мережі, тому і приймається рішення про повну блокування вхідного трафіку атакується ресурсу (і чим менше власник ресурсу платить за хостинг, тим швидше приймається таке рішення).

Що ж робити? Рішення є - це як самостійна, так і професійний захист від DDoS. в тому числі - сервіси спеціалізованих компаній. Однак відразу попередимо, що універсальних заходів захисту від DDoS-атак не існує, тому що хакери постійно знаходять нові уразливості і способи обдурити системи захисту Однак є прості ефективні прийоми, які повинен знати працівник, який веде адмініструванням Вашого сайту. Вони допоможуть організувати захист від DDoS-атак найпростіших видів.

Скрипти і фаєрволи

Як запобігти ddos-атаку

Як працює межсетовой екран

Налаштування параметрів Apache

Щоб запобігти DDoS, можна ще змінити налаштування параметрів Apache:

  1. KeepAliveTimeout - потрібно знизити її значення або повністю вимкнути цю директиву;
  2. TimeOut - встановити якомога менше значення для даної директиви (веб-сервера, який схильний до DDoS-атаці).
  3. Директиви LimitRequestBody, LimitRequestFieldSize, LimitRequestFields, LimitRequestLine, LimitXMLRequestBody повинні бути налаштовані на обмеження споживання ресурсів, викликаних запитами клієнтів.

Найрадикальніший спосіб зупинити DDoS-атаку - це блокувати всі запити з країни, звідки почав йти "сміттєвий" трафік. Однак це може доставити великі незручності реальним користувачам з цих країн, тому що їм доведеться скористатися proxy для обходу блокування.

сервіси захисту

Тому, якщо Ви хочете максимально убезпечити свій ресурс, то варто звернути увагу на спеціалізовані сервіси по захисту від ddos-атак, які надають свої послуги віддалено.

Як запобігти ddos-атаку

Як працює фільтрація DDoS-атаки через проксінг

За трафіком в режимі реального часу стежать інженери компанії-захисника, які в будь-який момент можуть скорегувати роботу фільтрів, в тому числі - вручну налаштувати блокування для нового типу DDoS-атаки. Перенаправлення трафіку можна організувати різними способами:

  1. проксінг без перенесення ресурсу (але при бажанні клієнта є варіант перенесення ресурсу на виділений сервер із захистом),
  2. настройка віртуального тунелю (по IPIP або GRE)
  3. фізична кросування (прокладка кабелю до центру фільтрації).

Який сервіс по захисту від DDoS краще вибрати. Це залежить від параметрів, що захищається ресурсу. Для сайтів найчастіше підходить проксінг або оренда захищеного сервера, для автономної системи або хостинг-провайдера - віртуальний тунель, а оператори зв'язку вважають за краще прокладати фізичні канали.

У будь-якому випадку, провайдер захисту від DDoS повинен мати хороші канали зв'язку для прийому великого обсягу трафіку з можливістю "гарячого" розширення, тому що сила кібератак зростає мало не в геометричній прогресії і вже були зафіксовані DDoS-атаки в 1 Tbps. Тому при спілкуванні з представниками компанії обов'язково треба дізнатися про їх технічні потужності.

Великим плюсом буде, якщо фільтруючі вузли компанії розташовані в різних країнах, тому що це дозволяє обробляти трафік максимально близько до його джерела і звести затримки передачі до мінімум. Крім того, розподіл трафіку на кілька точок дозволяє знизити загальне навантаження на фільтруючу мережу і підвищує стабільність її роботи.

Крім того, якщо Ви не маєте в штаті підкованих досвідчених айтішників, які самі все налаштують, то Вам знадобиться допомога техпідтримки. Великим плюсом буде, якщо саппорт компанії, що надає сервіс по захисту від DDoS, працює 24/7 і розмовляє однією мовою з замовником.

Зрозуміло, всі ці послуги не безкоштовні, однак їх підключення - єдиний варіант превентивної боротьби з DDoS. Інакше Вам доведеться боротися вже з наслідками, які для окремих сегментів бізнесу можуть бути критичні. І в будь-якому випадку, вартість такого захисту від DDoS набагато нижче, ніж покупка і обслуговування власного фільтруючого обладнання.