Создание сайтов. Какими бывают DDoS-атаки и что с ними делать .

   Не всегда организаторы DDoS-атак – «сетевые гопники». По поведению – бесспорно (сам метод априори разбойный), но, к сожалению, эту порочную стезю нередко избирают деятели технически подкованные, которые подходят к процессу творчески, с выдумкой. С каждым годом распределенные кибератаки становятся все более изощренными, и эксперты по IT-безопасности регулярно расширяют их и без того разветвленную классификацию. Методы и цели у DDoS-атак разнятся в широчайшем диапазоне. В частности, «долбить» могут как сам сайт, отдельные его страницы, так и напрямую сетевое оборудование на стороне провайдера (например, роутер), особенно когда злоумышленник осведомлен о техническом оснащении хостера. Гарантированно от атаки не защищен ни один интернет-протокол, по которому осуществляется обмен данными между узлами Веба: HTTP, DNS, UDP, TPC и т. д.

    Существует и такое понятие, как «социальный DDoS»: большая группа недоброжелателей договаривается в массовом порядке совершать с сайтом однообразные действия, атакуя его запросами примерно так же, как это делают боты. С одной стороны, известно, как противостоять таким наскокам. С другой – бывает, что «социальный DDoS» прикрывает основную атаку: он лишь служит ширмой для злоумышленников, которые под шумок, используя иные, более тонкие методы, надеются взломать ваше веб-приложение и, например, украсть персональные данные его пользователей (см. главу 19 «Уязвимости на сайте: семь раз отмерь, семь раз зашей»). Так что, узнав, что в соцсетях против вас замышляют «черный флэшмоб», не спешите презрительно хмыкать.

   Что же нужно сделать, чтобы обезопасить себя от DDoS-атак, насколько только возможно в современных условиях?

   • Учесть риски на стадии разработки архитектуры. Как точно сформулировал руководитель компании «Онтико» Олег Бунин в программе «Рунетология», «ваш сайт должен быть спрограммирован таким образом, чтобы не замечать DDoS». С одной стороны, это все-таки утопия, с другой – действительно можно сделать так, чтобы мелкие и средние атаки проходили для площадки наименее болезненно. Например, одна из уязвимостей уровня архитектуры – слабая продуманность в работе с процедурой SSL handshake, которая сильно нагружает процессор; грубо говоря, это взаимное «обнюхивание» клиента и сервера, требующее шифрования данных. Если ваш веб-сервер не оптимизирован с расчетом на сокращение числа таких операций, в эту слабую точку будет чрезвычайно соблазнительно ударить киберпреступникам. И таких слабых мест может быть вагон и маленькая тележка.

   Чрезвычайно полезно проводить учебные нагрузочные тестирования, с тем чтобы проверить, как сайт держится под наплывом трафика того или иного типа. Из подобных инструментов популярны в профессиональном сообществе Load Impact (http://loadimpact.com/) и Tsung (http://tsung.erlang-projects.org). С их помощью вы заранее выявите узкие места в своем проекте, что полезно не только в аспекте профилактики DDoS-конфузов.

   Александр Лямин, руководитель компании HighloadLab, советует: «Обязательно нужно иметь запас производительности приложения, как минимум двукратный от его маршевой нагрузки». И он глубоко прав. Рекомендация касается как архитектуры, так и площадки, на которой развернут сайт (см. ниже).

   • Выбрать клиентоориентированный «ударостойкий» хостинг. Часто дидосер попросту заполняет до отказа мусорным трафиком доступный проекту канал, что характерно, например, для атак на DNS-серверы сайта. Бывает, забивают пустыми запросами не только входящую, но и исходящую полосу, что, само собой, вдвойне неприятно хостинг-компании.

   Хоть сколько-нибудь серьезные хос теры используют межсетевые экраны (файерволы) – программные или программно-аппаратные комплексы, способные гасить DDoS-атаки, фильтруя трафик по сложным правилам. Непременно уточняйте, входит ли такая оборона в плату по тарифу, и если нет, то сколько стоит.

   Будьте требовательны к хостеру, но не жадничайте. Если ваш сайт «крутится» на одном виртуальном хостинге еще с несколькими десятками площадок, а то и сотней, то удар по вашему проекту затронет и их. Дабы обезопасить ваших ни в чем не виноватых соседей, в случае сильной DDoS-атаки провайдер, скорее всего, заблокирует доступ к вашему ресурсу. Лучше разоритесь на выделенный хостинг.

   Широко разрекламированный как «антидидосерский», SaaS-хостинг не панацея: да, при лавинообразном росте входящего трафика на вашем сайте вам будут автоматически выделяться все новые и новые мощности, сайт может и не рухнуть. Однако если заказчик атаки и хозяин ботнета настроены серьезно, они усилят напор, и оборона , основанная на количественном принципе, влетит вам в копеечку. Значит, ваши недруги не мытьем, так катаньем добьются, чего хотели.

   Серьезному, поставившему себя на твердую ногу веб-проекту, экономическая база которого зависит от его устойчивости, следует обеспечить себе подключение сразу к нескольким провайдерам по каналам пропускной способностью не менее 10 Гбит/c каждый (такова рекомендация компании «Лаборатория Касперского»).

   • Следить за своим серверным хозяйством. Вовремя обновляйте все модули, проверяйте правильность конфигураций, чтобы не открывать своими же руками лазейку злоумышленникам. Инсталлируйте все патчи – «заплатки» на программное обеспечение. Регулярно изучайте серверные логи. Уделите внимание и настройкам операционной системы, под управлением которой работает машина (обычно имеет смысл увеличение объема памяти, доступной TCP-стеку, и т. д.).

   От DoS-атак – несравненно более слабых, чем DDoS, – способны когда частично, а когда и полностью предохранить правильные серверные настройки: ограничение числа открытых портов, лимит на количество соединений с одного адреса, на объем передаваемого за единицу времени трафика с одного IP-адреса или из одной сети. Однако в случае с DDoS нужны гораздо более серьезные меры противодействия.

   Часто ботнеты имеют географическую привязку: большая часть входящих в них компьютеров находится в каком-то одном регионе мира. Едва ли у вас в «мирное время» много посетителей из Индонезии и Уругвая, так что если большинство атакующих адресов расположено в такой экзотической стране, можно временно поставить блокировку на трафик из нее. Вяленький DDoS таким манером вы с высокой степенью вероятности ослабите в достаточной степени, чтобы хотя бы глубоко вдохнуть и развернуть полноформатную обороту. Для DoS-атак по понятным причинам бывает достаточно точечной блокировки конкретных IP.

   Небесполезны методы маскировки подлинног о IP-адреса сайта. Перед совсем уж недалекими киберпреступниками эти меры поставят серьезную преграду.

   Проект действительно крупный и чувствительный к простоям? Тогда желательно иметь в штате не просто администратора, а специального сотрудника, отвечающего за сетевую безопасность.

   • Озаботиться аппаратной защитой. Если у вас по-настоящему крупный и заметный на рынке проект, то в обязательном порядке. Производители телекоммуникационного оборудования (в первую очередь упомянем Cisco и HP / 3Com) выпускают целые аппаратные комплексы, предназначение которых – блокировать кибератаки разных категорий. Впрочем, нужно еще учесть, что, скажем, в 2013 году в Рунете участились атаки на уровне веб-приложений, которые сравнительно легко проходят аппаратные фильтры, поскольку умело имитируют «поведение» обычных пользовательских браузеров.

   Есть ультрамощные решения, прямо-таки «крепостные валы», и особенно популярно предлагаемое Arbor Networks, но их может позволить себе не каждый хостинг-провайдер: цена вопроса – в районе миллиона долларов, как минимум – в несколько сотен тысяч.

   • Убедиться в том, что всегда имеете черный ход для удаленной перезагрузки сервера и для перевода управлениям им по SSH-протоколу на другой IP-адрес. Эту деталь нужно проговаривать до того, как заключать договор с хостинг-провайдером. Кроме того, в расчете на критические ситуации многие хостеры предлагают услугу прямого доступа к серверу IP-KVM.

   • Заранее договориться с профессиональными защитниками от DDoS. Возможно, установить превентивную стороннюю защиту. Из числа заслуживающих доверия, по нашему мнению, порекомендуем сервисы Qrator (http://qrator.net), DDoS-Protection.ru (http://ddos-protection.ru), Kaspersky DDoS Prevention (http://www.kaspersky.ru/ddos-prevention/). У большинства из них имеются терпимые тарифы на абонентское обслуживание малого и среднего бизнеса. При соблюдении базовых пре досторожностей не помешает заручиться и такой поддержкой.

   Особняком стоят CDN-сервисы (англ. content delivery networks – «сети доставки контента»), рассчитанные не только на ускорение работы сайта в разных точках мира, но и в том числе на оборону против простых DDoS-атак. Например, CloudFlare (https://ru.cloudflare.com). По существу, он представляет собой CDN-прокси, который пропускает через себя трафик на подступах к вашему сайту.