Что такое DDoS-атака: виды и способы защиты

DDoS-атака (Distributed Denial of Service) — это онлайн-атака на системы компании, при которой злоумышленники посылают огромное число запросов. Это делается, чтобы загрузить серверы, используя уязвимости в системе безопасности. Они могут быть направлены как на крупные компании, так и на небольшие организации и частных лиц.

Чтобы провести DDoS-атаку, злоумышленники создают ботнеты — сети компьютеров, заражённых вирусами. Они заполняют сайт «блуждающим» трафиком, то есть одновременно посылают миллионы запросов на сервера. В результате система или отдельные её элементы перегружаются и не могут нормально функционировать. Проще говоря, сайт «зависает» или страницы вообще не открываются, а посетители не могут совершить нужные действия, например зайти в личный кабинет или совершить покупку онлайн.

В отличие от DoS-атаки (Denial of Service), при DDoS-атаке используется не одна, а несколько систем для отправки запросов на сервер. Именно поэтому DDoS-атака называется распределённой.

Количество DDoS-атак ежегодно увеличивается. Например, по данным DDoS-Guard, за весь 2023 год система фильтрации зафиксировала больше 2 млн атак — на 80% больше, чем в 2022 году.

Основная цель DDoS-атак — навредить организации или человеку, но причины бывают разными.

● Конкуренция. DDoS-атаку иногда организуют конкуренты компании с целью нанести ущерб её репутации или бизнесу.
● Прокачка навыков. Некоторые злоумышленники делают это из спортивного интереса — атакуют сайты ради развлечения или проверки своих навыков.
● Вымогательство. Хакеры могут требовать выкуп от владельцев сайтов, угрожая провести DDoS-атаку, если те не заплатят.
● Месть. DDoS-атаку может организовать бывший партнёр организации, обиженный сотрудник или клиент.
● Политический или идеологический протест. Злоумышленники могут атаковать сайты государственных учреждений, политических партий или организаций, с которыми они не согласны идеологически.
● Кража данных. Иногда DDoS-атака является лишь отвлекающим манёвром, который позволяет хакерам украсть данные со взломанного сайта.

Для того чтобы разобраться в том, как происходят атаки на системы и как с ними бороться, можно пройти курс «Специалист по информационной безопасности». В ходе занятий студенты учатся использовать методики безопасной разработки и находить уязвимости в продуктах, а по итогам курса имеют в портфолио 4 проекта.

Все DDoS-атаки, с которыми сталкиваются специалисты по информационной безопасности, можно разделить на три вида:

1. Переполнение канала (флуд). Самый простой вид DDoS-атак, который заключается в том, что злоумышленник с большой скоростью посылает миллионы запросов на сервер, то есть флудит. К этому виду относятся SYN flood, ICMP flood, UDP flood и другие типы атак. Например, суть ICMP flood заключается в передаче большого количества ICMP-пакетов, которые используются для передачи управляющих сообщений между устройствами в сети, на сервер или сетевое устройство.

2. Атака на стек сетевых протоколов. Этот вид DDoS-атак основывается на уязвимостях в протоколах передачи данных, например в TCP/IP, UDP или ICMP. Возьмём для примера сайт, на котором нет ограничения по количеству символов в комментариях. Злоумышленник может отправить множество комментариев с миллиардом символов, при обработке которых сервер будет перегружен.

3. Атаки на уровне приложений. Они направлены на различные компоненты приложения, например серверы баз данных. Сюда входят атаки, направленные на HTTP-протоколы, допустим HTTP-флуд одиночными запросами или атака фрагментированными HTTP-пакетами, а также на HTTPS, DNS, VoIP, SMTP, FTP и другие прикладные протоколы. Например, есть атака медленными сессиями, интенсивность которой нарастает постепенно, из-за чего её сложно заметить быстро.

Особенность всех видов DDoS-атак состоит в том, что злоумышленники действуют через устройства пользователей, которые об этом не подозревают. В зоне риска любое «умное» устройство: смартфон, телевизор со Smart TV или колонка с голосовым помощником

В случаях, когда специалистам по кибербезопасности удалось защитить серверы, последствия будут минимальны. Однако если системы компании недостаточно защищены, это приведёт к нескольким проблемам:

● Замедление или остановка работы. В зависимости от мощности DDoS-атаки длительность сбоя может быть разной: как правило, от нескольких минут до нескольких часов. Чем квалифицированнее специалисты по информационной безопасности компании, которая подверглась атаке, тем быстрее они могут устранить последствия. Однако бывают и мощные удары по безопасности системы. Например, в 2024 году Мегафон зафиксировал атаку на сайт интернет-провайдера, которая длилась непрерывно 9 дней. На восстановление работоспособности сайта после такой атаки может уйти больше времени.

● Финансовые потери. Компания, чьи серверы подверглись DDoS-атаке, может понести финансовые убытки. Допустим, если речь идёт об интернет-магазине, где из-за сбоев пользователи не смогли купить товары онлайн и ушли к конкурентам. Для крупного игрока даже пятиминутная остановка работы может привести к миллионным убыткам. Возьмём для примера Meta**, которая подверглась массированной DDoS-атаке в 2021 году. Из-за инцидента Facebook*, Instagram* и мессенджер WhatsApp не работали в течение нескольких часов, что привело к потере рыночной капитализации в размере 47,3 млрд долларов.

● Репутационные потери. Проблемы с доступом к сайту и уязвимости в информационной безопасности могут негативно отразиться на репутации компании. Партнёры и клиенты могут потерять доверие к организации, что, в свою очередь, приведёт к снижению доли рынка. Компании несут репутационные потери после любого крупного системного сбоя, однако оценить их довольно сложно. Например, по мнению экспертов, недавний сбой в работе логистической компании СДЭК с учётом репутационных издержек причинил ущерб, который можно оценить примерно в 1 млрд рублей. Кроме того, пострадала и репутация консультанта СДЭК по информационной безопасности, которому передали привет хакеры, взявшие на себя ответственность за инцидент.

Для защиты от DDoS-атак применяются различные методы:

● Фильтрация трафика. Это можно сделать, например, с помощью брандмауэров. Допустим, если компания работает только по России, можно отсеивать подозрительный трафик из других стран. Или можно настроить автоматическую блокировку посетителей сайта, которые делают много запросов на сервер. Однако это не панацея. Провайдеры выдают уникальные IP-адреса не одному пользователю, а группе — например, это могут быть жители одного дома или сотрудники одного офиса. Блокировка идёт как раз по IP-адресу, то есть придётся закрыть доступ к сайту сразу группе пользователей.
● Ограничение скорости. Настройка параметров сервера таким образом, чтобы он мог обрабатывать только ограниченное количество запросов в секунду. Это может помочь предотвратить перегрузку системы.
● Балансировка нагрузки. Полезно использовать Content Delivery Network (CDN) — распределённую сеть серверов, которая позволяет ускорить доставку контента и снизить нагрузку на основной сервер. Это особенно важно для крупных компаний, системами которых пользуется большое количество людей, например для интернет-магазинов, финансовых и страховых компаний, стриминговых сервисов.
● Мониторинг и анализ трафика. На рынке есть системы обнаружения и предотвращения атак, которые с помощью ИИ и машинного обучения постоянно мониторят трафик на предмет подозрительной активности.
● Резервное копирование данных. Регулярное создание резервных копий позволит быстро восстановить важную информацию и наладить работу сайта в случае успешной DDoS-атаки.

При этом исследование StormWall показывает, что многие крупные компании используют только защиту сети, но уязвимы на уровне приложений. По данным компании, в этом смысле слабо защищены организации из сфер телекома, энергетики, финансов, транспорта, производства и нефтяной отрасли.

В 2021 году Яндекс подвергся массированной DDoS-атаке: на серверы отправлялось 20 млн запросов в секунду. В компании зарегистрировали ботнет из 56 тысяч устройств, но предполагается, что их число достигало 200 тысяч. Специалистам по информационной безопасности удалось отразить атаку благодаря масштабированию инфраструктуры, работающей на разных уровнях модели ISO/OSI.

Компания РЖД подвергалась DDoS-атакам в 2022 и 2023 годах. В первый раз пострадал исключительно сайт перевозчика, во второй — и сайт, и приложение, клиенты могли купить билеты только в офлайн-кассах.

Свежий пример: в июне 2024 года серверы МТС подверглись массированной DDoS-атаке с 20 тысяч устройств из разных стран, которая длилась два часа. Злоумышленники посылали запросы на маршрутизатор со скоростью 207 гигабит в секунду. Если бы организации не удалось прекратить атаку, клиенты потеряли бы доступ к интернету.

Месяцем позже произошла DDoS-атака на сервисы Microsoft и Azure, которая длилась около 9 часов. В результате действий хакеров у пользователей были проблемы с доступом к Microsoft 365, Microsoft Purview, Azure App Services, Application Insights и другим сервисам. Сложность ситуации заключалась в том, что после резкого скачка нагрузки из-за неверных настроек системы безопасности компании не предотвратили ущерб, а усилили его.

* сервис предоставляется организацией, признанной экстремистской на территории РФ

** организация, признанная экстремистской на территории РФ