+7 495 023 63 33 Войти
Под атакой!
Под атакой! Бесплатный тест
+7 495 023 63 33
NGENIX в Telegram

Защита, ускорение и повышение
доступности веб-ресурса на базе
публичного распределенного облака

Уязвимости протоколов интернета: распространенные атаки на протоколы и способы митигации

Благодаря протоколам — например, DNS, TLS, HTTP — интернет способен работать так, как задумано. Протоколы играют ключевую роль в организации связи между устройствами и гарантируют совместимость, надежность и безопасность передачи информации. Злоумышленники могут использовать особенности и уязвимости протоколов, чтобы атаковать веб-приложения и компрометировать данные.

В этой статье:

➡️ самые распространенные атаки на основные протоколы веба и способы снизить риски;
➡️ специфика уязвимостей;
➡️ общие рекомендации по безопасности веб-приложений.

Распространенные атаки на протоколы и способы защиты от них

Протокол: IP (сетевой уровень) — Атака: IP Spoofing

Злоумышленники подделывают IP-адрес отправителя запроса для организации DDoS-атак и обхода систем фильтрации трафика.

Как защититься:
➡️ настроить фильтрацию по IP с использованием RPF (Reverse Path Forwarding);
➡️ включить аутентификацию на уровне сети, например, с помощью IPsec.

Протокол: TLS (транспортный уровень) — Атаки: FREAK, Logjam и другие

Современная версия протокола — TLS 1.3 — исключает уязвимости, характерные для более ранних версий, поэтому прямых атак на сам протокол, подобные POODLE или Raccoon, практически нет. Использование устаревших версий TLS (1.0, 1.1) или неправильная настройка TLS 1.2 (например, поддержка слабых алгоритмов или параметров) может привести к атакам типа FREAK и Logjam и компрометации.

Как защититься:
➡️ не использовать TLS 1.0 и 1.1, обновить сервер до TLS 1.2/1.3 с корректной настройкой параметров шифрования;
➡️ регулярно обновлять криптографические библиотеки и ПО, чтобы исключить уязвимости в реализации TLS;
➡️ настроить сервер на отказ от небезопасных алгоритмов шифрования.

Протокол: DNS (прикладной уровень) — Атака: DNS Spoofing (DNS Cache Poisoning)

Злоумышленники подменяют записи в DNS-кэше, перенаправляя пользователей на поддельные сайты.

Как защититься:
➡️ включить DNSSEC для проверки целостности DNS-записей;
➡️ использовать зашифрованные DNS-запросы (DoH или DoT);
➡️ проводить мониторинг DNS-трафика.

Протокол: HTTP (прикладной уровень) — Атака: HTTP Flood

Злоумышленники отправляют на сервер множество HTTP-запросов и возвращающихся обратно HTTP-ответов. Часто используются запросы, требующие объемных ответов, либо тяжелые POST-запросы, что делает веб-ресурс недоступным для реальных пользователей.

Как защититься:
➡️ очищать трафик при помощи специального оборудования или, что еще лучше, использовать для этого возможности облачных провайдеров — это эффективней и дешевле.
➡️ использовать CDN, чтобы демпфировать нагрузку и уменьшить влияние атаки.

Специфика уязвимостей

Некоторые уязвимости протокола могут быть «врожденными» и устраняются сообществом в следующих ревизиях. В отдельных случаях — например, в случае с DNS, это не так-то просто, если не невозможно: DNS является «единой точкой отказа» (SPOF), и это было заложено еще при его создании, когда масштабы и угрозы современного интернета было еще сложно предугадать. Но снижать риски можно и в этом случае — например, мы разработали сервис распределенного DNS, устойчивого к атакам.

Общие рекомендации защиты от атак на протоколы

С каждым обновлением протоколов ошибки прошлого исправляются, а уязвимости устраняются. Однако угрозы не стоят на месте, поэтому своевременная адаптация к ним необходима, чтобы эффективно защищать веб-приложения.

Важные составляющие комплексной защиты:

  • регулярный анализ логов;
  • внедрение системы обнаружения вторжений (IDS/IPS);
  • анализ аномальной активности;.
  • своевременное применение патчей и обновлений всего ПО, обеспечивающего работу протоколов.

🧑‍💻 Больше об актуальных киберугрозах — в нашем блоге:

«Бот-атака ≠ DDoS-атака: что такое паразитный бот-трафик и почему умные боты опасны», где мы рассказали, что такое бот-атака и умные боты; чем бот-атаки отличаются от DDoS-атак; почему умные боты опасны для сайта; кто в зоне риска и как именно паразитный бот-трафик вредит сайту.

«Сайт упал: почему DDoS-атаки опасны для вашего бизнеса», где мы рассказали, что такое DDoS-атаки и при чем тут боты; какие последствия DDoS-атак могут быть; какие известные компании сталкивались с масштабными DDoS-атаками.

«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.

Хотите бесплатно тестировать возможности NGENIX две недели?
Заполните форму

Нажимая «Хочу тестировать», я соглашаюсь на обработку персональных данных в соответствии с Пользовательским соглашением

Хотите бесплатно тестировать возможности NGENIX две недели?
Заполните форму

Как с вами удобнее связаться?

Выберите компанию из списка

Ваши ответы позволят направить запрос наиболее подходящему специалисту

Нажмите «Принять», если вы соглашаетесь с условиями обработки cookie и ваших данных о поведении на сайте, необходимых для аналитики. Запретить обработку cookie вы можете в настройках вашего браузера. Оставаясь на сайте ngenix.net, вы принимаете условия Пользовательского соглашения.

Обратный звонок

Выберите компанию из списка

Подпишитесь
на нашу рассылку

Ключевые обновления платформы, новые облачные сервисы, истории внедрения, ближайшие вебинары
и последние новости компании
дважды в месяц

Пожалуйста, подтвердите, что вы не робот.

Спасибо за обращение, в ближайшее время с Вами свяжутся.

При выполнении запроса произошла ошибка. Пожалуйста, повторите еще раз или свяжитесь с нами по почте: sales@ngenix.net или телефону: +7 495 023 63 33

Похоже, в настройках вашего браузера отключены cookies или dom storage, для полноценной работы сайта, пожалуйста, включите их и перезагрузите страницу