10 шагов по киберзащите от DDoS-атак

10 шагов по киберзащите от DDoS-атак
DDoS-атаки бьют все рекорды по количеству, продолжительности и мощности.

Только за первые 10 дней марта в России зафиксировано и отражено больше тысячи кибератак, что в четыре раза превышает показатели февраля. Их мощность уже измеряется терабайтами, а продолжительность в некоторых случаях достигает 20 и более часов. Беспрецедентные DDoS-нападения на ИТ-инфраструктуру коммерческого сегмента и государственных компаний вынуждают идти на усиление киберзащиты. Мы составили рекомендации по повышению защищенности ИТ-инфраструктуры на фоне усиления активности со стороны киберпреступников.

Техподдержка КРОК, работающая с клиентами компании, в феврале-марте зафиксировала всплеск атак с последующей благополучной их остановкой. Напомним, DDoS – Distributed Denial of Service или «Распределенный отказ в обслуживании» - нападение на информационную систему для того, чтобы она не имела возможности обрабатывать пользовательские запросы. Как правило, конечной целью злоумышленников является полное прекращение работы веб-ресурса или «отказ в обслуживании», а в некоторых случаях – попытка дискредитировать или разрушить бизнес конкурента. В связи с этим со стороны заказчиков в настоящее время наблюдается повышенный спрос на защиту от DDoS по модели SaaS. Проанализировав самые распространенные инциденты, мы составили чек-лист из 10 шагов по защите от DDoS-атак.

10 шагов по защите от DDoS-атак

  1. Активно использовать фаервол - закрыть все порты кроме используемых повседневно, остановить лишние сервисы, запретить пинг для скрытия машины от различных злонамеренных роботов пингующих и сканирующих диапазоны ИП, проверять входящие пакеты на их соответствие стандартам стека протоколов TCP.

  2. Сменить стандартные номера портов для FTP и SSH.

  3. Регулярно анализировать критические сообщения из .лог файлов сервера, например при помощи Logwatch и делать адекватные выводы.

  4. Своевременное обновление всего системного и прикладного ПО.

  5. Снять с автоматической загрузки все сервисы находящиеся в публичном доступе, включая веб-серверы nginx и httpd: chkconfig httpd off and chkconfig nginx off, что поможет получить доступ к серверу в случае непрерывной DDoS-атаки на эти сервисы.

  6. Использовать PHP ака Fast CGI + акселераторы типа eAccelerator или APC.

  7. Выполнить тонкую настройку сетевых параметров ядра через sysctl.

  8. Возможно использовать дополнительное ПО вроде mod_evasive или анти DDoS шел-скрипты на базе tcpdump или netstat.

  9. Выбрать правильный диспетчер ввода/вывода и оптимизировать использование оперативной и виртуальной памяти.

  10. Выбрать сервис защиты от DDoS, который может заменить все выше перечисленные действия.

DDoS-нападение распознать просто - замедление работы сети и серверов, заметное как администратору системы, так и обычному пользователю. Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещенного там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать еще в самом ее начале. Серверное ПО и ОС начинают часто и явно сбоить – зависать, некорректно завершать работу. Резко возрастает нагрузка на аппаратные мощности сервера, отличающаяся от среднедневных показателей. Стремительно увеличивается входящий трафик в одном или ряде портов. Многократно дублируются однотипные действия клиентов на одном ресурсе (переход на сайт, закачка файла) и т.д.

В ходе DDoS-атаки хакеры искусственно инициируют лавинообразный рост запросов к онлайн-ресурсу, чтобы превысить его возможности и сделать его недоступным. Для этого используются так называемые «ботнет-сети» - компьютерные сети с запущенными на устройствах ботами, которые управляются издалека. Ботнет-сети, как правило, состоят из зараженных устройств пользователей (например, компьютерами с активированными на них вирусами, которые хакеры используют без ведома пользователя). Размер ботнета может составлять от десятков до сотен тысяч устройств. В момент атаки киберпреступники отправляют команды зараженным компьютерам-зомби, а те начинают масштабное наступление. Ботнеты генерируют огромный объем трафика, способный перегрузить любую систему. Основными объектами для DDoS обычно становится пропускной канал сервера, DNS-сервер, а также само интернет-соединение.

Основной способ защиты от DDoS-атак – фильтрация трафика на основе его содержимого, IP-адресов и других параметров. Реализовать его можно двумя путями: установить собственное оборудование и приобрести защиту от DDoS в виде услуги. Плюсы первого – он позволяет не зависеть от третьих лиц и полностью контролировать свою инфраструктуру, тонко ее настраивая. Второй путь дает возможность снизить издержки на обслуживание своего оборудования, снимает наобходимость в найме профильных специалистов внутри компании. Кроме того, внешние услуги по АнтиDDoS можно в любой момент как подключить, так и отключить. Именно поэтому данный сегмент набрал наибольшую популярность за последние 5 лет.

Сегодня наибольшую популярность приобретают облачные сервисы защиты от DDoS-атак. Решение, развертываемое в облаке, реализует объемную функциональность: помимо пакетной защиты нередко предлагается и защита сайтов от атак ботами (по протоколу HTTP), а также техническая поддержка и сопровождение во время DDoS-атаки. К очевидным преимуществам здесь относятся невысокая стоимость, отсутствие необходимости нанимать дополнительный персонал, высокая емкость фильтрации и скорость подключения, доступность фильтрации атак на веб-сайты на уровне приложения, а также получение экспертизы по эффективной нейтрализации атак.

Опубликовано 24.03.2022

Похожие статьи