DDoS атаки - как защититься?

Что такое DDoS атака?


DoS, DDoS - хакерская атака на вычислительную систему с целью довести её до отказа (чтобы сайт выключился или стал работать значительно медленнее, что приведет к отказам со стороны пользователей), то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам, либо этот доступ будет затруднён, что мотивирует зашедших покинуть портал.



Какие виды атак бывают?


«Ping атака» — слишком большой пакет размером более 65535 байт. Обычно такой пакет приводит к ошибкам и перебоям на сервере, но уже не так актуален в наше время.



HTTP(S) GET-флуд — на сервер отправляется большое количество информации "пустышки", которая ничего в себе не несет и отправляется ботами, а не пользователями и тем самым забивает канал.



Smurf-атака — взломщик отправляет операционной системе запрос с подменным MAC-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул данный товарищ-взломщик.



HTTP(S) POST-запрос — передача больших объемов данных, помещенных в тело запроса.



UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.



SYN-флуд — одновременно запускается целый рой TCP-соединений, упакованных в SYN-пакеты с недействующим или несуществующим обратным адресом — «посылка на деревню дедушке».



POST-флуд — по аналогии с GET-флуд передает большое количество запросов, что приводит к подвисанию сервера. Если используется протокол с автоматическим шифрованием данных HTTPS, дополнительные ресурсы расходуются на дешифровку, что только облегчает задачу хакера «положить»



Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых — коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.



Layer 7 HTTP-флуд — на виртуальном сервере нагружает только отдельные площадки. Такой вид DDos трудно определить, потому что трафик похож на обычный пользовательский. Основная цель — повышенная нагрузка сервера.



Переполнение HDD — если на сайте настроена ротация лог-файлов, жертве отправляются все новые логи, которые займут все свободное пространство на винчестерах. Очень примитивный способ — закидать мусором, эффективен и опасен. Скорость «закидывания» мусорных файлов очень высокая, уже через 5 минут сайт будет недоступен клиентам.



Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.



Атаки на уровне приложения DNS-сервера. В большинстве случаев жертвами становятся владельцы площадок на CMS Drupal, WordPress, Joomla, Magento. Выделенный Amazon VPS-сервер может справиться с 180 000 пакетов в секунду, обычный сервер обрабатывает в среднем 500 запросов за то же время.



Зачем и кто это делает? Самое главное - для чего?


За атаками стоят злоумышленники, которые делают это с целью затруднить доступ к сайту или вовсе заставить его "Уснуть", то есть - выключиться. В основном под угрозой находятся сайты банков, образовательных учреждений, государственного значения и информационные порталы с важными данными.



Это делается с целью мошенничества, кражи данных и вымогательства.

В современном мире DDOS атака часто направляется на конкурентов.



Живой пример:

Бизнесмен Иван Иванов открыл интернет-магазин по продаже вещей и очень преуспел в данном деле, а его конкурент Пётр Петров владеющий оффлайн-магазином увидев рост своего товарища, а также его достижения и успех решил сделать также. Так как его коллега уже популярен, а он ещё нет - Пётр Петров заплатил злоумышленникам чтобы они "Отключили" сайт его конкурента и осуществили DDOS атаку.



Вроде бы, история печальна и в конце Пётр Петров нечестным методом "уничтожит" своего конкурента... Но, не тут то было - не в наше время! Бизнесмен Иван Иванов прочитал статью и теперь знает - как правильно защитить свой интернет-магазин!



Как правильно защищаться от DDoS, DoS атак?


На просторах интернета очень много сервисов которые за небольшую плату, либо же за бесплатные тарифы будут оберегать ваш сайт от злоумышленников, пример: StormWall, DDos-Guard, React, Cloud-Flare, Selectel, Kaspersky и много других сервисов. Для подключения вам всего-лишь нужно будет перенаправить NS сервера на сервис защиты от DDos атак, а он уже направит его на ваш хостинг, подробные инструкции есть в интернете. Так-же некоторые хостинги лично предоставляют защиту от DDoS атак, лично посоветовал бы NetAngels, никогда не применял никаких сервисов, все атаки он отбивает сам.



Что нам предлагают CloudFlare и DDos-Guard в бесплатных тарифах?


Cloud-Flare из го тарифа предоставляет нам:

Быстрый и простой в использовании DNS

Бесплатные автоматизированные SSL-сертификаты

Глобальная сеть доставки контента (CDN)

Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тбит / с

До 100 тыс. Запросов Workers и 30 скриптов



DDoS-Guard из го тарифа предоставляет нам:

Защита 1 домена

Неограниченный объем/полоса легитимного трафика

Кэширование и доставка статического контента (CDN)

Аналитика по трафику в личном кабинете

Бесплатный SSL-сертификат

Время ответа на обращение – до 12 часов



Итоги бесплатных хостеров


Соответственно, DDoS-Guard будет лучше, чем Cloud-Flare в м тарифе.



Что известные хостеры предложат нам из минимальных платных тарифов?


Cloud-Flare
Быстрый и простой в использовании DNS.

Бесплатные автоматизированные SSL-сертификаты.

Глобальная сеть доставки контента (CDN).

Неограниченное противодействие DDoS-атакам с пропускной способностью до 90 Тб/с.

До 100 тыс. Запросов Workers и 30 скриптов.

20 правил страницы.

Повышенная безопасность с помощью брандмауэра веб-приложений (WAF)

Отчет бота и основные меры по устранению

Оповещения о DDoS-атаках.

Оптимизация изображений без потерь.

Ускоренная скорость загрузки мобильной страницы.

Аналитика, ориентированная на конфиденциальность.

Цена данного тарифа: 1460₽.

DDoS-Guard
Ускоренная валидация посетителей.

Возможность использования гео-блокировки.

Управление черными/белыми списками.

Возможность изменения защищенного IP-адреса.

Поддержка HTTP/2 и SPDY.

Поддержка SSL/TLS 1.2&1.3 шифрования.

Время ответа на обращение – до 4 часов.

Цена данного тарифа 1800 рублей.



Selectel
Базовая защита от DDoS 10 Мбит/с

Цена данного тарифа 2550 рублей.

React
Количество защищаемых сайтов - 1

Количество BackEnd-серверов - 1

Кэширование статического контента

Поддержка HTTPS

Выделенный IP

Суточная посещаемость не более 5,000 посетителей

Легитимная полоса 10Mbps

Расширенная DDoS защита Layer-7

Защита до 1 Tbps и 120млн PPS

Цена данного тарифа 2555 рублей.



StormWall
1 домен 2 уровня.

Поддержка до 3-х поддоменов.

Поддержка HTTPS.

Для сайтов с суточной посещаемостью до 5,000 посетителей.

Легитимная пропускная способность, включенная в подписку (возможно превышение) - 10 мб/с.

Максимальное время реакции на запрос - 60 минут.

Гарантируемая доступность, не менее - 98% в расчете за 1 месяц.

Защищенный DNS.

HyperCache CDN и оптимизация загрузки более 2 тб/с.

Максимальная полоса тонкой пакетной фильтрации - 600 гб/с.

Предназначение - специальное предложение для небольших веб-сайтов.

Цена данного тарифа 3555 рублей.

Kaspersky
Доступность ресурса - 98,5%

Объем атаки - 10 гб/с.

Схема включения - DNS/C-name.

Доменов на ресурс - 1

3 поддомена.

10 черно-белых списков.

Балансировка трафика - 100

Уровень поддержки: Лайт.

Цена данного тарифа - 4900 рублей.



Итоги платных хостеров


Из всех вышепоставленных тарифов я бы рассмотрел Cloud-Flare, DDoS-Guard, на крайний случай - React. Цены на тарифы приемлемы, как я считаю.



Установка й защиты от DDos-Guard и Cloud-Flare.
DDoS-Guard
1. Проходим регистрацию на сайте, нас перекинет в https://my.ddos-guard.net/dashboard

2. Нажимаем на синюю кнопку "+" Добавить услугу и выбираем защитить веб-сайт.



3. Нажимаем на большую синюю кнопку Подключить и выбираем самый последний Free - тариф.



4. Нажимаете кнопку Подключить и переходите к дальнейшей настройке.

5. Вписываем свой домен, IP-адрес будет заполнен автоматически, если этого не произошло - вам нужно будет вписать IP адрес от сервера.



6. После всех заполнений жмите оформить заказ, после чего начинается настройка услуги, вам нужно подождать немного, в среднем до 5 минут занимает это дело.

7. Вам попросит перевязать NS сервера на NS DDoS-Guard-а. Поэтому, заходите на сайт к своему хостеру, где приобретали домен и меняете NS сервера с прямого соединения на хостинг, на DDoS-Guard.



Cloud-Flare
1. Проходим регистрацию аккаунта, далее мы попадаем на dash.cloudflare.com ( сайт не поддерживает Русский Язык).

2. Нажимаем на синюю кнопку Add Site и указываем свой домен сайта.



3. Выбираем Free - тариф и нажимаем Continue.



4. Далее происходит сканирование NS серверов домена, после этого сканирования нажимайте Continue, делать там ничего не нужно.

5. Далее вас просит перевязать NS сервера на Cloud-Flare, после того как вы их перевязали, нажимайте Done, Check nameservers.

6. Все, ваш сайт будет недоступен первое время, в среднем это 2 часа, но дело может растянуться до 24 часов, поэтому придется немного подождать.

Итоги:
Теперь Вы знаете где и как подключать бесплатную защиту от DDoS, так-же знаете что различных сервисы предложат вам за минимальную плату у них.