Защита от DDoS-атакПоследнее время немало разговоров о защите сайтов от DDoS-атак. В статье мы рассмотрим, как определить атаку, а также как защитить свой ресурс. Что это такое?DDOS (сокращение от англ. — Distributed Denial of Service Attack) — буквально «отказ в обслуживании». Сам процесс атаки представляет собой большое количество бессмысленных запросов, которые идут на сайт. Сайт тратит свои ресурсы на обработку этих запросов, что приводит к невозможности обслуживания запросов обычных пользователей и к полному обвалу системы. Что подвергается атаке?- Интернет-магазины.
- Социальные сети.
- Политические сайты
- Банки.
- СМИ.
- Игровые порталы.
Основная цель атак — парализование работы ресурса (для прекращения работы конкурента, привлечения внимания, получения важной информации). Как определить атаку?Определить атаку можно по следующим признакам: - Проблемы с загрузкой сайта.
- Появление ошибок 403 и 500.
- Увеличение нагрузок на оборудование.
- Резкое увеличение трафика.
Как и где обеспечивать безопасность?Есть несколько болевых точек, которые могут стать узким местом: начиная от оборудования, на котором находится ваш сайт, заканчивая ПО и настройками самого сервера. Для хорошей защиты нужно: Обеспечить хорошее оборудованиеИспользование комплексных решений, но их стоимость обычно очень большая. Такие меры защиты подходят большим и серьезным проектам (подойдут комплексы от Cisco и 3com). Обратиться в хостинговую компаниюХостинговая компания, которую вы используете для своего ресурса, наверняка использует экраны, анализирующие и фильтрующие пакеты. Но это может быть дополнительная услуга, а не основная. Вам необходимо узнать о наличии услуги защиты от DDoS у своего провайдера. Иметь в штате специалиста или пользоваться услугами компанийОбновление ПО не сможет помочь защититься от атак, разве что в новых версиях будут присутствовать встроенные механизмы для защиты и фильтрации. NAT совсем не поможет отразить атаку, кроме как перенаправить её в другое место, но использование канала от этого сильно не сократиться и будет необходимо тратить ресурсы ещё и на макскарадинг. Tcptrace служит для определения маршрута прохождения пакета по сети и может помочь разве что для попытки определения источника атаки, чтобы локализировать атакующих. Если речь идёт о настоящем DDOS с использованием, скажем, ботнетов, то данное ПО ничем не поможет. На самом же деле процесс подготовки к возможной DDOS атаки зависит от нескольких факторов: - Ниши (проекты в разной тематике по разному подвержены атакам. Скажем, игровые сервера конкуренты DDOS'ят куда чаще, чем сервисы обмена кулинарными рецептами)
- Размера проекта (мелкие и средние проекты редко попадают под атаки, т.к. не интересны никому. Хорошая DDOS-атака стоит денег, а ради забавы никто не будет вкладывать такие средства)
- История (бывали ли ранее подобные инциденты)
Можно выделить ряд способов защиты - локальная (только средствами настройки ОС и сетевых сервисов) - самый дешёвый и простой способ защиты. Ориентирован на небольшие DOS и примитивные DDOS-атаки с малым количеством хостов. Как правило, администраторы ограничивают список открытых портов сервера, оставляя только необходимые сервисы и вводят лимит на количество соединений с одного адреса и / или объём передаваемого трафика за единицу времени с одного IP / сети. Есть различные модули для сервисов, что позволяют вести статистку запросов и находить подозрительные адреса / сети. Такие адреса просто помещаются в список заблокированных и более не обслуживаются сервисами.
- Защита аппаратная на уровне провайдера.
В подготовке к DDOS очень важным моментом является ширина канала. Чем уже канал - тем проще его "забить". Таким образом, даже если у вас имеется мощный сервер, что способен обрабатывать множество запросов за минимальное время, при исчерпании 100% ширины канала пользователи потеряют доступ к сайту. Из этого вывод - чем шире канал к вашему серверу, тем меньше шансов попасть под атаку.
Так же на стороне провайдера может быть установлено специальное оборудование, что способно выдерживать большие нагрузки. Это позволяет в случае атаки на одного из клиентов сберечь остальные сервера от проблем с доступностью.
Есть так же аппаратные решения, что анализируют входящий трафик и способы фильтровать массивные атаки ещё до прихода к серверам клиентом. Хорошим примером может служить (Cisco Guard DDoS Mitigation Appliances)http://www.cisco.com/web/RU/products/ps5888/index.html. Это оборудование дорогостоящее, по этому, увы, мало компаний может позволить себе его использование.
Распределение запросов по нескольким каналам и географически Как уже было сказано, атаки бывают разные. Хорошо спроектированная DDOS атака может быть столь велика, что ни один ДЦ в мире не сможет устоять под его нагрузкой, не говоря о хостинговых компаниях малого и среднего уровня. С такими атаками нередко сталкиваются крупные регистраторы серверных имён. Для защиты нередко используется несколько серверов, что расположены в разных точках мира. Географическое распределение нагрузки может очень эффективно помочь справится с атакой. Данный вариант является оптимальным по цене и качеству, но всё равно не может обеспечить 100% защиты от качественной DDOS-атаки. Так же существуют специальные компании и севрисы, что берут за себя вопрос защиты от отражения DDOS-атак, используя в том числе описанные выше методы. Это удобно тем, что не нужно беспокоится за технические детали защиты, закупать оборудование и нанимать специалистов. От вас потребуется только оплата данных услуг. Также существуют компании, которые предоставляют услугу защиты от DDoS-атак (например,Ddos-guard, Highloadlab). К ним обычно обращаются, когда атака уже в самом разгаре Что делать если вас атаковали?Не редки случаи, когда атака идет забавы ради. Но чаще DDoS заказывают целенаправленно. Это довольно дорогая «услуга», за подобную «работу» платят от 200 долларов в сутки. Помните, что подобные приемы запрещены и уголовно наказуемы. Если вас атаковали, ни в коем случае не пытайтесь ответить тем же. Вы можете помимо создания хорошей защиты обратиться в Управление К, там охотно берутся расследовать подобные дела. Большинство атакующих не являются суперспециалистами, и их легко вычислить. ВыводыЕсли у вас простой сайт, то скорее всего подобные атаки вам не грозят. Большим и сложным проектам следует обеспечивать полноценную защиту на всех уровнях: хостинг, на уровне сети (наличие межсетевого экрана и файервола) и на уровне железа (актуальное оборудование и программы). Лучше всего прибегать к помощи специалиста.
Источник: http://www.setup.ru/client/subscription/68 |