Сегодня всевозможные вмешательства в работу ИТ-инфраструктуры и вычислительных систем стало практически обыденностью. Хакерские атаки и разнообразные компьютерные вирусы наносят огромный ущерб бизнесу и экономике стран. Одним из распространенных способов вывода из строя серверов и веб-сайтов стал DDoS.
При DDoS-атаке системы зависают и часто полностью перестают реагировать на запросы. Для ее оперативного блокирования может потребоваться внешняя помощь или даже временное отключение ресурса. После чего следует определить тип DDoS-атаки, используя журналы, оповещения и другие ресурсы и, наконец, восстановиться, внеся изменения в архитектуру безопасности и инвестировав в инструменты для предотвращения будущих вмешательств.
Давайте рассмотрим тактику первоначального реагирования — что следует предпринять в первую очередь, чтобы защита от ddos дала свои плоды.
1. Обратитесь к провайдеру услуг
В некоторых ситуациях, чтобы остановить DDoS-атаку, достаточно связаться с провайдером интернета или хостинга и уведомить его о ситуации. Возможно, они уже знают об этом и работают над блокировкой трафика. Провайдеры могут подтвердить существование атаки и внести некоторые изменения, чтобы предотвратить попадание вредоносного трафика в вашу сеть. Вот некоторые из них:
- Увеличение пропускной способности. Это может помочь вам противостоять DDoS-атаке или полностью ее предотвратить, но и оказаться неэффективным с точки зрения затрат.
- Изменение IP-адреса/диапазонов. Смена IP-адреса и DNS-информации может временно остановить атаку, пока хакер не нацелится на новый IP-адрес. Кроме того, потребуется изменить несколько внутренних систем, чтобы они отражали новый IP-адрес.
Хотя обращение к провайдеру может оказаться полезным, этого может быть недостаточно. Типичные размеры DDoS-атак интернет-ботов могут достигать от 100 до 500 Гбит/с, а некоторые крупные атаки — более 100 миллионов запросов в секунду. Даже крупнейшим предприятиям будет сложно блокировать атаки такого масштаба без профессиональной помощи.
2. Привлеките экспертов по кибербезопасности
Использование комбинации квалифицированных специалистов и высококлассных инструментов — один из самых эффективных способов защиты от DDoS-атак. К ним относятся:
- Специалисты по кибербезопасности. Консультанты по безопасности, эксперты по управляемому обнаружению и реагированию и другие специалисты, к которым следует обратиться, чтобы они помогли остановить атаку, усовершенствовали системы для защиты от будущих внешних вмешательств и порекомендовали другие инструменты и сервисы по реагированию на инциденты.
- Облачные сервисы. Облачные сервисы защиты часто предоставляют наиболее полную возможность блокировать DDoS-атаки, поэтому организации часто переносят часть или всю свою инфраструктуру к облачным провайдерам, таким как Microsoft Azure, Google Cloud или AWS.
Обязательно обновите списки контроля доступа, чтобы разрешить соединение между службами и защищаемой системой, и заблокируйте другие соединения, чтобы ничто не могло обойти службу DDoS. Однако не забывайте, что даже облачные провайдеры не могут предотвратить DDoS-атаки, исходящие из внутренней сети организации.
Стоит особо отметить, что профессиональные инструменты и сервисы стоят вложенных в них инвестиций, поскольку управление риском и информационной безопасностью в них поставлены на самом высоком уровне.
3. Фильтрация целевых IP-адресов и местоположений
Просмотр файлов журналов часто позволяет получить ценную информацию о вашей сети, включая IP-адреса и местоположения, генерирующие большую часть DDoS-трафика. Эти данные можно использовать для быстрой и недорогой защиты вашей сети. Некоторые варианты включают:
- IP-фильтрация позволит вам блокировать определенные IP-адреса.
- Геоблокировка позволяет блокировать соединения из определенной географической точки.
Эти меры могут дать командам необходимое время для разработки и развертывания других стратегий, но редко являются постоянным решением, поскольку злоумышленники могут подделывать свои IP-адреса или использовать ботнеты из незаблокированных регионов, что приводит к эдакой игре в кошки-мышки, где специалисты по киберзащите постоянно пытаются угнаться за хакерами.
Кроме того, любой легитимный трафик из заблокированного региона не сможет получить доступ к вашим ресурсам, что может привести к финансовым потерям и подрыву репутации в этом регионе. Наконец, обычно рекомендуется применять эти фильтры и на уровне провайдера, чтобы избежать потребления блокируемого трафика.
4. Включение или усиление опций защиты от DDoS
Организациям следует проверить имеющиеся ресурсы (ПО серверов, встроенное ПО маршрутизаторов и т. д.) на предмет наличия опций защиты от DDoS, которые, возможно, еще не активированы. Проверьте сетевые устройства на наличие следующих опций:
- Защита от DDoS на маршрутизаторах. Включение этой опции помогает защитить сеть от DDoS, контролируя количество пакетов трафика, поступающих в сеть.
- Ограничение скорости. Это функция безопасности ограничивает количество запросов, которые могут быть сделаны за определенный промежуток времени.
Поскольку данные функции уже встроены в некоторые сетевые устройства, их относительно легко и недорого настроить и запустить в вашей сети до предполагаемой атаки.
5. Отключение служб
Иногда оптимальным вариантом является отключение атакуемой системы. Службу или ресурс можно изолировать и защитить от дальнейших атак, прежде чем вернуть их в сеть. Вот некоторые примеры:
- Остановка специфических запросов. Если вы заметили, что вас бомбардируют определенными сетевыми запросами (например, SYN-флуд), вы можете ограничить скорость входящих запросов на соединение.
- Блокировка загрузки. Если определенная служба пытается загрузить очень большие файлы, можно временно ее отключить, не затрагивая остальную часть веб-сайта.
Это быстрый, недорогой и эффективный способ остановить DDoS-атаки на ваши ресурсы. Но подобный простой может также нарушить работу организации и обойтись ей недешево. Особенно в случае полного отключения системы.
