Защита от DDoS-атак

Защита от DDoS-атак и кибербезопасность

Инструменты защиты от DDoS-атак становятся важны как никогда

Защита от DDoS-атак и кибербезопасность

DoS (Denial of Service) означает отказ в обслуживании, расширенной формой которого является DDoS (Distributed Denial of Service) — распределенный отказ в обслуживании. Это часто используемый тип атак в интернете. При данном типе нарушения безопасности в конкретный сервис (YouTube, GitHub, Twitter и т. д.) за короткое время передается бесчисленное количество запросов. В конечном итоге это приводит к перегрузке сервиса, и соответствующая страница становится недоступной для пользователя. Это может нанести значительный финансовый ущерб оператору данного интернет-сервиса. Злоумышленники могут шантажировать операторов с целью получения денег за защиту от таких атак. В этом материале вы сможете более подробно ознакомиться с этой темой и узнать о мерах защиты от DDoS-атак.

DDoS-атака в отсутствии надлежащих мер защиты от DDoS-атак

DDoS-атаки имеют все большее влияние. Они перегружают сервисы постоянно растущими объемами данных. Для защиты от DDoS-атак необходимы средства защиты, позволяющие рассредоточить эти объемы данных. При этом фиксируется все большее количество атак, в которых киберпреступники атакуют только определенные области ИТ-инфраструктуры. Эти атаки, конечно, менее заметны. Чем меньше по размеру приложение или сервис, тем меньший объем данных потребуется для атаки. С другой стороны, DDoS-атаки больше не служат цели вызвать отказ в обслуживании, а все чаще используются в качестве прикрытия кибератак других типов. К последним относятся утечки данных и финансовое мошенничество. Организации должны быть заинтересованы во внедрении инструментов мониторинга и защиты от DDoS-атак, которые обнаруживают и блокируют все потенциальные DDoS-атаки по мере их возникновения. Это позволит им получить исчерпывающее представление о работе своих сетей.

Бот-сети играют решающую роль

Киберпреступники в большинстве видов DDoS-атак используют бот-сети (ботнеты). Злоумышленники заранее захватывают управление чужими компьютерами. Для этого они обычно применяют вредоносные программы, такие как трояны или черви. Они удаленно управляют чужими зараженными компьютерами с помощью C&C серверов (командно-контрольных серверов). В случае DDoS-атак они эксплуатируют уязвимости пропускной способности систем-жертв. Они одновременно отправляют одинаковые запросы на серверы жертв. Эти атаки можно предотвратить с помощью системы защиты от DDoS-атак и реализации надлежащих мер безопасности.

Кэширующий сервер Memcached: кибератаки возможны и без бот-сетей

Захват чужих компьютеров или устройств IoT иногда может быть очень проблематичным для злоумышленников. Именно поэтому в некоторых атаках не используются бот-сети. Достаточно взглянуть на атаку на Github в 2018 году, в которой использовались memcached-серверы. Эти службы кэширования баз данных предназначены для ускорения работы сетей и веб-сайтов. Доступ из интернета к этим серверам возможен без аутентификации; достаточно получить их IP-адрес. Затем злоумышленники отправляют небольшие запросы одновременно на несколько memcached-серверов — около 10 в секунду на сервер. Эти memcached-серверы спроектированы так, чтобы выдавать гораздо больший по объему ответ. Затем они возвращают системе-жертве 50-кратный объем запрошенных данных. Таким образом, можно генерировать запросы данных с частотой несколько терабайт в секунду, а это с легкостью приведет к краху отдельного сервиса. Защита от DDoS-атак также эффективно предотвращает этот тип кибератак.

Защита от DDoS-атак предотвращает атаки с отражением DNS

Точно так же используются DDoS-кибератаки с помощью методов отражения DNS. Злоумышленник делает DNS-запрос, используя IP-адрес жертвы (IP-спуфинг), что успешно выполняется. DNS-сервер передает запрос жертве. Здесь в игру вступает усиление, то есть усиление происходит на следующем этапе.

"Пакеты UDP с DNS-запросами обычно относительно малы (<100 байт). Ответные пакеты значительно больше (<500 байт) в зависимости от запрашиваемой записи. В результате злоумышленник может добиться значительного увеличения атакующей нагрузки на стороне жертвы, если DNS-запрос будет грамотно выбран при сравнительно небольшой пропускной способности; атака таким образом усиливается (усиление)."
Федеральное управление по информационной безопасности (немецкая служба BSI)

Защита от DDoS-атак: решения для защиты от DDoS-атак

Наши инструменты и меры защиты от DDoS-атак:

К ним относятся брандмауэры веб-приложений (сокращенно WAF), которые защищают онлайн-сервисы на уровне приложений. Как правило, они обеспечивают выполнение следующих функций:

  • WAF разрешает входящие соединения только от сервисов, которым разрешен доступ. Для этого используется принцип черных списков (список запрещенных подключений) или белых списков (список разрешенных подключений)
  • То же самое относится и к исходящим соединениям — они возможны только при наличии явного разрешения. Таким образом могут быть парализованы бот-сети, поскольку, например, они больше не смогут связываться с командно-контрольным сервером злоумышленников.

Атаки с усилением через memcached-серверы:

  • Удалите открытые memcached-серверы из интернета и безопасно разверните их за брандмауэрами во внутренних сетях.
  • Фильтры в WAF, которые блокируют memcached-трафик при обнаружении подозрительного количества запросов.
  • Если операторы сети смогут обнаружить используемую команду атаки, они смогут пресечь вредоносный трафик в зародыше, заблокировав все memcached-пакеты известной длины.

Атаки с отражением через протокол сетевого времени NTP:

  • Здесь могут помочь брандмауэры веб-приложений и соответствующая существующая сетевая инфраструктура, состоящая из нескольких центров обработки данных.
  • Даже если целью атаки является единственный IP-адрес, можно распределить поток данных с помощью соответствующей функции в брандмауэре. WAF распределяет входящую нагрузку по разным дата-центрам. Таким образом, атакованный сервис по-прежнему будет доступен.

Эффективная защита от DDoS-атак: брандмауэр веб-приложений R&S®Web Application Firewall

  • Выявление DDoS-атак и разграничение хорошего и вредоносного трафика — обнаружение атаки и ограничение ущерба
  • Обеспечение доступности сервиса для пользователей во время атаки.
  • Минимизация простоев
  • Предвидение будущих атак и более эффективная борьба с ними

Если у вас возникнут вопросы, обратитесь к нам.

Рекомендуемые материалы по защите от DDoS-атак и кибербезопасности

Вебинар: угрозы безопасности для API

В этом вебинаре мы представим 10 наиболее важных угроз безопасности для API и способы защиты от них.

Зарегистрироваться

Официальный документ: Как защитить свои API-интерфейсы

В этом официальном документе вы узнаете, как защитить свои API-интерфейсы с помощью брандмауэра веб-приложений R&S Web Application Firewall.

Зарегистрироваться

Официальный документ: Выбор брандмауэра веб-приложений

Этот документ поможет вам определить ключевые факторы, которые следует учитывать при выборе брандмауэра веб-приложений.

Зарегистрироваться

Часто задаваемые вопросы

Можно ли отследить отказ в обслуживании?

Источник, который вызывает отказ в обслуживании, отследить сложно. Это делает хорошие решения для защиты от DDoS-атак еще более важными. Большинство потоков трафика исходят от бот-сетей, которые в большинстве своем являются компьютерами сторонних организаций. Редко можно проследить, кто взломал эти системы. То же самое относится к атакам с отражением и усилением. В основном это связано с тем, что злоумышленник использует IP-адрес жертвы. Сама атака затем выполняется законной службой, например, DNS-сервером.

Что обеспечит оптимальную защиту от DDoS-атак?

Существующие инфраструктурные решения, такие как брандмауэры, средства управления инициализацией приложений и балансировка нагрузки, обеспечивают базовую защиту от DDoS-атак. Однако они отражают только известные типы кибератак. Поэтому очень важно дополнительно защитить прикладной уровень информационной системы. Лучшим средством для предотвращения веб-атак является брандмауэр веб-приложений (сокращенно WAF).

Что такое объемные DDos-атаки?

ICMP-флуд, IP/ICMP-фрагментация, UDP-флуд и IPSec-флуд — это так называемые объемные атаки, в которых злоумышленники пытаются воздействовать на пропускную способность, например внутри целевой сети/сервиса или между целевой сетью/сервисом и остальной частью интернета, чтобы вызвать перегрузку.

Проводите ежемесячное обновление системы кибербезопасности

Проводите ежемесячное обновление системы кибербезопасности

Запросить информацию

У вас есть вопросы или вам нужна дополнительная информация? Просто заполните эту форму, и мы свяжемся с вами в ближайшее время..

Я хочу получать информацию от Rohde & Schwarz по

Согласие на получение маркетинговых материалов

Что именно это означает?

Я соглашаюсь с тем, что ROHDE & SCHWARZ GmbH & Co. KG и предприятие ROHDE & SCHWARZ или его дочерняя компания, указанная на данном Веб-сайте, может обращаться ко мне выбранным способом (по электронной или обычной почте) с целью маркетинга и рекламы (например, сообщения о специальных предложениях и скидках), относящейся в числе прочего к продуктам и решениям в области контрольно-измерительной техники, защищенной связи, мониторинга и тестирования сети, вещания и средств массовой информации, а также кибербезопасности.

Ваши права

Настоящее заявление о согласии может быть в любое время отозвано путем отправки электронного письма с темой «Unsubscribe» (отказ от подписки на рассылку) по адресу: news@rohde-schwarz.com.Кроме этого, в каждом отправляемом вам письме имеется ссылка на отказ от подписки на рассылку будущих рекламных материалов.Дополнительная информация об использовании персональных данных и процедуре отказа от их использования содержится в Положении о конфиденциальности.

Обязательное поле Предоставляя свои персональные данные, я подтверждаю их достоверность и свое согласие на их обработку Обществом с ограниченной ответственностью «РОДЕ и ШВАРЦ РУС» (ОГРН 1047796710389, ИНН 7710557825, находящемуся по адресу: Москва, Нахимовский проспект, 58) в следующем объеме и следующими способами: обработку с использованием средств автоматизации и без таковых, сбор, систематизацию, классификацию, накопление, хранение, уточнение, обновление, изменение, шифрование с помощью любых средств защиты, включая криптографическую, запись на электронные носители, составление и переработку перечней и информационных систем, включающих мои персональные данные, маркировку, раскрытие, трансграничную передачу моих персональных данных, том числе, на территории стран всего мира, передачу с использованием средств электронной почты и/или эцп, в том числе, передачу с использованием интернет-ресурсов, а также обезличивание, блокирование, уничтожение, передачу в государственные органы в случаях, предусмотренных законодательством, использование иными способами, необходимыми для обработки, но не поименованными выше до момента ликвидации / реорганизации Компании либо до моего отзыва настоящего согласия.

Ваш запрос отправлен. Мы свяжемся с вами в ближайшее время.
An error is occurred, please try it again later.