Что такое DDoS-атака

DDoS-атака (Distributed Denial of Service, «распределенный отказ в обслуживании») — распределенная атака на веб-сайт, во время которой множество устройств одновременно отправляет запросы на сервер, перегружая его, исчерпывая вычислительные ресурсы или пропускную способность каналов.

Основная цель DDoS-атаки — перегрузить сервер трафиком и сделать веб-приложение недоступным для легитимных пользователей.

Почему DDoS-атаки опасны для веб-приложений

DDoS-атака может привести к частичной или полной недоступности веб-ресурса. Чем важнее для компании бесперебойная работа сайта или системы, тем серьезнее последствия DDoS-атаки.

Среди последствий DDoS-атак можно выделить следующие:

Потеря дохода и клиентов. Злоумышленник атаковал крупный интернет-магазин бытовой техники. Сайт магазина был недоступен для покупателей два дня. Многие клиенты купили товар у конкурентов: компания лишилась заказов и потеряла деньги.

Потеря бизнеса. Хакер атаковал компанию-провайдера и парализовал её инфраструктуру. После инцидента руководство компании столкнулось с финансовыми трудностями и закрыло бизнес.

Потеря репутации. Злоумышленник атаковал сайт авиакомпании: он был недоступен три дня. Всё это время клиенты не могли купить билет, зарегистрироваться на рейс, заказать дополнительное питание на борт, ознакомиться с нормами провоза багажа — люди разочаровались в авиаперевозчике и решили впредь пользоваться услугами другой компании.

DDoS-атаки могут быть частью сложных атак, во время которых происходит кража данных, установка вредоносного ПО, кибершпионаж и так далее. DDoS-атака в таком случае нужна, чтобы отвлечь внимание.

Как устроена DDoS-атака

Перед тем, как провести DDoS-атаку, злоумышленник создает или арендует ботнет. В него могут попасть компьютеры, смартфоны, планшеты, IoT и другие устройства, которые подключены к интернету (даже умная розетка или умный чайник). Всеми этими устройствами (ботами) хакер управляет удаленно из командного центра.

Некоторые устройства ботнета могут принадлежать злоумышленнику, но большая часть ботов — техника обычных пользователей интернета, которые даже не знают, что их смартфон или ноутбук заражен и является частью вредоносной сети.

Когда злоумышленник активирует ботнет, все зараженные устройства начинают отправлять большое количество нелегитимных запросов или пакетов на сервер целевой организации.

DDoS-атака приводит к перегрузке сервера и отказу в обслуживании. Веб-приложение становится полностью недоступным для легитимных пользователей или начинает работать некорректно, со сбоями и задержками. В обоих случаях нужно оперативно принять меры защиты и восстановить нормальное функционирование веб-ресурса.

Как обнаружить DDoS-атаку

Многие боты — устройства реальных пользователей, поэтому отличить атакующий нелегитимный трафик от легитимного бывает сложно.

Характерная особенность DDoS-атаки — внезапное замедление работы или полная недоступность сайта. Однако вызвать аналогичные проблемы могут другие факторы, например, легитимный рост трафика. Чтобы понять, в чем проблема, нужно иметь определенный набор систем и инструментов для анализа. Они помогут выявить характерные для DDoS-атаки признаки:

➡️ подозрительно большие объемы трафика с одного IP-адреса или диапазона IP-адресов;

➡️ поток трафика с похожими характеристиками (устройство, местоположение или версия браузера);

➡️ неожиданный всплеск запросов к определенной странице;

➡️ неестественные паттерны запросов: активность в необычные часы или странные временные интервалы (например, всплеск каждые 10 минут).

Зачем нужен NGENIX DDoS Protection

Сервис DDoS Protection анализирует запросы пользователей на уровне приложения (L7) модели OSI и блокирует нежелательный трафик. Он нужен для обеспечения непрерывной работы веб-ресурса при DDoS-атаках.

Подробнее о сервисе читайте в документации.

DDoS Protection можно использовать вместе с сервисом управления правилами обработки запросов Edge Logic Rules.

Как NGENIX Edge Logic Rules помогает защититься от ботов и DDoS-атак 

NGENIX Edge Logic Rules — сервис управления правилами обработки запросов. Он предназначен для клиентов, которым нужно настроить определенную логику обработки запросов по конкретным признакам.

NGENIX Edge Logic Rules обеспечивает проверку каждого пользовательского запроса на соответствие заданным критериям, что может помочь предотвратить атаки, совершаемые ботами.

Сервис NGENIX Edge Logic Rules помогает:

• бороться с ботами без использования Captcha;
• блокировать нелегитимные запросы по заданному критерию: например, по местоположению, типу устройства, IP-адресу;
• блокировать запросы, которые используют VPN, PROXY, TOR для сокрытия IP-адреса.

Подробнее о сервисе читайте в документации.