Контакты
Соц. сети
Digital
агентство
ua-flag
Перейти на Українську?

Звонок бесплатный

Как защитить сайт от DDoS-атак — реальные кейсы

user logo
8мин. чтения
389

Если Вы интересуетесь этим материалом, значит, Ваш сайт атаковали, и Вам необходима помощь специалистов. В «Черную пятницу» на нашего клиента было совершена DDoS-атака, у него начали вымогать деньги, угрожать разрушением бизнеса и продажей клиентской базы данных.

Первое, чего нельзя делать в таких ситуациях, — идти на поводу у злоумышленников.

Правильное решение – обратиться к специалисту, который защитит от атаки и подобных ситуаций в будущем.

Сегодня я предлагаю изучить кейс и разобрать – что такое ДДос атака и как от нее защититься. Тема актуальная, поскольку это может нанести ощутимый урон бизнесу в целом.

Вот почему так важно задуматься о защите от подобных действий.

Что такое DDoS-атака

Аббревиатура «DDoS» означает – Distributed Denial of Service или распределенный отказ в обслуживании. Суть нападения – создать такие условия, при которых пользователи не могут получить доступ к сервисам, приложениям, продуктам (в нашем случае к сайту).

А цель – экономическое давление, поскольку незаконные действия ощутимо «бьют» по карману владельца бизнеса, который теряет контроль над онлайн продажами. Реже преступник планирует дискредитировать или полностью разрушить бизнес пострадавшего.

На сегодняшний день хакеры применяют две наиболее распространенные атаки – DoS и DDoS. Их популярность обусловлена высокой эффективностью – практически всегда налет заканчивается реальным уроном для бизнеса, не оставляет весомых улик. К счастью, защитить свой сервер от ДДос атак несложно.

DoS и DDoS удары идентичны по своей сути и направленности, но имеют одно отличие. При DoS киберпреступники используют одно устройство для рассылки большого количества запросов, а при DDoS – формируется целая сеть из зараженных вирусом компьютеров – ботнет.

Как происходит DDoS-атака

В такой сети есть координирующий сервер, на который мошенник подает сигнал о начале штурма, после чего главное устройство передает аналогичный сигнал на все устройства.

Когда количество запросов, превышает максимально допустимое значение, происходит следующее:

  • увеличивается время обработки запроса и ответа на него;
  • частичный или полный отказ в обслуживании запросов.

Существует понятие «естественный DDoS», происходит подобное в период сезонных распродаж, когда онлайн-магазин не справляется с количеством покупателей, в результате работает с перебоями или вовсе недоступен.

Принцип действия

Большинство киберштурмов происходят в несколько этапов:

  • сбор сведений о жертве, их анализ для определения наиболее слабых и уязвимых мест, а также выбора метода атаки;
  • формирование потока запросов со всех устройств, которыми управляет мошенник;
  • анализ эффективности штурма – если результат неудовлетворительный, хакер повторяет весь цикл, но предварительно повторно анализирует цель налета и тщательнее выбирает методику.

Успешные действия хакера всегда сопровождаются снижением производительности сайта, зачастую он просто не обрабатывает запросы клиентов и других сервисов.

Если своевременно не защитить свой сайт от DDos атак, возможны такие последствия – он «зависает», перестает работать корректно, пользователи не могут получить к нему доступ.

Мотивация киберпреступников может быть различной, но чаще всего это: нечестная конкуренция, конфликт интересов, выражение политического или социального протеста, месть. Сегодня многие хакеры атакуют с единственной целью – незаконным путем подзаработать.

В некоторых случаях хакерские действия используются в качестве отвлечения внимания в процессе целенаправленной атаки, цель которой – взломать систему, похитить конфиденциальные данные, внедрить вирусные коды.

Важно! Если заказчик щедро оплатил DDoS-атаку, она может оказаться весьма эффективной, продолжительной и неоднократной. В результате жертва несет большие репутационные и финансовые издержки в виде недополученной прибыли, оттока клиентов, сорванных контрактов, негативных материалов в СМИ, социальных сетях.

Причины DDoS-атак

В случае с клиентом, который обратился за помощью после атаки в «Черную пятницу», киберпреступники попытались использовать метод «социальная инженерия». В этом случае ресурс не взламывают извне, внедрение происходит через человеческий фактор.

Поскольку атака происходила в «Черную пятницу», преступник был уверен, что владелец онлайн-бизнеса не захочет терять большое количество клиентов и прибыль, соответственно, согласится с условиями и выплатит запрашиваемую сумму.

Сообщение с угрозами мошенника
Сообщение с угрозами мошенника

Существуют другие причины DDoS-ударов.

  • Личная неприязнь или месть. Один из наглядных примеров – журналист Брайан Кребс раскрыл незаконную деятельность крупного сервиса по организации и проведению хакерских нападений. Подробные сведения о деятельности киберпреступников вызвали ответные действия – была проведена атака на персональный блог журналиста, которая вошла в историю, как самая мощная.
  • Развлечение. В этом случае речь идет о примитивных действиях, такое нападение легко остановить, определить личности возомнивших себя «хакерами», успешно бороться с DDoS атаками.
  • Протест по политическим мотивам или хактивизм. Один из первых подобных ударов, ставший известным во всем мире, организован в 1996 году хакером Omega, который входил в ряды хакерской коалиции «Cult of the Dead Crew». На сегодняшний день самыми известными организаторами атак-протестов являются группы Anonymous и LulzSec.
  • Недобросовестные конкуренты. Подобные мотивы часто встречаются в сфере торговли, онлайн-казино и других игровых сервисов. Довольно эффективный способ разрушить репутацию, но только в том случае, если ее владельцы оперативно не обратились за помощью.

Способы защиты от DDoS-атак

Результативный метод защитить сайт от DDoS атак – отсеивать сомнительную активность на уровне провайдера, хостинга. Для этого используются сетевые маршрутизаторы или специальное оборудование.

Как избежать ДДоС-атаки

Также владелец онлайн-бизнеса должен со своей стороны минимизировать риски подобных атак:

  • Подробно обследовать и тестировать логику продукта, чтобы выявить возможные ошибки, уязвимые места в процессе разработки.
  • Контролировать все версии программного обеспечения, работу сетевых служб – важно регулярно обновлять ПО, а также отслеживать актуальный код продукта. Целесообразно развернуть проект на разном серверном оборудовании – тестовом, рабочем, бэкап-сервере, где будут храниться резервные копии на случай необходимости восстановления системы, а также исходники.
  • Контролировать доступ к сетевым службам. Важно определить разные уровни доступа, например, админ, гость. Перечень пользователей и их уровень доступа нужно регулярно проверять, после увольнения сразу отключать доступ. При подозрительной активности все пароли, учетные записи сбрасывать.
  • Возможность доступа к панели администратора ограничивается внутренней сетью или VPN-сетью.
  • Проверять систему для выявления уязвимостей. С этой целью используют публичные рейтинги или предложенные разработчиком инструменты.
  • Применять брандмауэр приложений. Это повысит эффективность и качество проверки сетевого трафика, валидации запросов.
  • Использовать CDN (Content Delivery Network) для распределения контента, оптимизации нагрузки на серверное оборудование – в комплектацию сети входят серверы, которые располагаются по определенным географическим критериям, чтобы сократить время обработки трафика, запросов.
  • Регулярно чистить кэш DNS, чтобы исключить вероятность спуфинга. Это разновидность хакерской атаки, в процессе которой преступник меняет настройки сервера DNS, доменное имя переадресовывается на мошеннический IP адрес.
  • Контролировать перечень доступа (ACL) с целью ограничить возможность управления компьютерами и другим устройствами, которые являются сетевыми узлами.
  • Применять защиту от спама. Одно из ключевых слабых мест сайта – форма обратной связи. Довольно часто злоумышленники действуют просто – направляют ботов заполнять эти формы и тем самым перегружают сервер однотипной информацией. Чтобы отсеять подобный трафик, необходимо использовать капчи, переводить формы на JS-компоненты, задействовать дополнительные инструменты проверки.
  • Использовать контратаку, то есть – перенаправлять вредоносный трафик на хакерскую сеть. Ваш сервер останется работоспособным, а преступник временно будет обездвижен.
  • Применять бэкапирование, а также распределенное хранение. Это может восстановить работу системы на другой машине, когда один или несколько серверов окажутся заблокированными.
  • Установить и настроить специальное оборудование для защиты от нападения, например, Impletec iCore, DefensePro.
  • Внимательно выбирать провайдера, который гарантирует защиту от возможных угроз, имеет круглосуточную клиентскую поддержку и инструменты аналитики по конкурентным условиям.

Защита DNS

  • Для TCP-трафика и отсеивания запросов, вызывающих подозрения, подойдут облачные сервисы. Также есть другие способы защиты.
  • Анализировать DNS, чтобы оперативно остановить подозрительную сетевую активность. С этой задачей справляются коммерческие DNS-решения, а также Open-source продукты. Для рационального использования временного ресурса постройте базовый профиль инфраструктуры сети.
  • Закупать дополнительные мощности для DNS. Такое решение защитит сайт от ДДос атак, но незначительных, мелких.
  • Использовать одну из лучших защит от кибернападения — Response Rate Limiting (RRL). Функция снижает вероятность успешной атаки на ваш сервер, уменьшает время обработки повторных обращений.
  • Строить систему высокой доступности, использовать соответствующее оборудование, программное обеспечение, это позволит восстановить работу ресурса на резервном оборудовании.
  • Еще один метод защиты от DDoS атак – географически распределенная сеть. Для ее построения используют два подхода – Anycast или Unicast.

Кейс №1: Как защитили интернет-магазин в “Черную пятницу”

Уже несколько лет компания Solarweb занимается продвижением производителя мебели MatroLuxe. В «Черную пятницу», когда количество заказов достигло пикового значения, он перестал работать.

Сразу после этого в чат начали поступать угрозы и требования выплатить крупную сумму. При этом злоумышленники утверждали, что система не подлежит восстановлению, у них есть доступ к клиентской базе, а также за отдельную плату они готовы предоставить аналогичную базу конкурентов.

Требования мошенников
Требования мошенников

Мы перешли к конкретным действиям по защите:

  • оплатили PRO план в Cloudflare, после чего была включена активная защита;
  • ограничили доступ для посетителей с других стран.

Эти действия помогли быстро организовать DDoS защиту для сайта и остановить атаку, поскольку преступники не захотели тратить бюджет впустую.

Кейс №2: Как защитили сайт после 4 дней DDoS-атак

В следующую неделю после «Черной пятницы» к Павлу Бережному обратился владелец Domki.com.ua. Его сайт уже 4 дня не работал из-за DDoS-атак. Естественно, продажи остановились и «Черная пятница» не дала ожидаемых результатов.

Обращение domki.com.ua
Обращение domki.com.ua

Нам потребовалось всего 30 минут, чтобы защитить сайт от DDoS и запустить его. Такой скоростью восстановления клиент был удивлен.

Клиент доволен результатом
Клиент доволен результатом

Подведем итоги

Если на Ваш ресурс совершено хакерское нападение, не паникуйте, а главное – не соглашайтесь на условия мошенников.

Ваша задача – обратится к профессионалам, которые быстро организуют защиту сервера от DDoS атак. Если Вы столкнулись с подобной проблемой, команда Solarweb поможет восстановить работу сайта.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *