Захист від DDoS-атак - як зберегти веб-інфраструктуру в безпеці

Захист від DDoS-атак - це комплекс заходів, який відфільтровує шкідливий трафік до того, як він потрапляє на ваш сервер, і зберігає сайт або сервіс доступним навіть під навантаженням в десятки гігабіт в секунду. Без такого захисту навіть найпотужніший виділений сервер може впасти за кілька хвилин.

Що таке DDoS-атаки і для чого вони потрібні зловмисникам?

DDoS (Distributed Denial of Service) - це атака з різних пристроїв, мета якої - вичерпати всі ресурси сервера: Інтернет-з'єднання, потужність комп'ютера або кількість з'єднань, щоб легітимні користувачі не змогли отримати доступ до сервісу.

Мотиви атак найчастіше зводяться до наступних ознак:

  • Вимагання і шантаж - вимога викупу за припинення атаки.
  • Недобросовісна конкуренція - виведення з ладу сервісу конкурента.
  • Особиста неприязнь - атаки на конкретних людей або компанії.
  • Розвага - так звані script kiddies.
  • Політичний протест - атаки на державні та медіаресурси.

Наслідки для бізнесу відчутні: прямі фінансові втрати через простої, репутаційні збитки і, що особливо погано, відхід клієнтів до "більш надійних" конкурентів. За статистикою нашої компанії, простий інтернет-магазину навіть на годину в піковий сезон обходиться дорожче, ніж річна підписка захисту.

Класифікація атак - на якому рівні б'ють

DDoS-атаки прийнято ділити за рівнями моделі OSI - це ключове для вибору захисту.

Рівень OSIТип атакиПрикладиНа що б'є
L3 (мережі)ВолюметричніICMP-флуд (Smurf), UDP-флуд (Fraggle)Смуга пропускання
L4 (транспортний)ПротокольніSYN-флуд, переповнення пакетамиТаблиці з'єднань, файрвол
Л7 (додаток)ПрикладніHTTP-флуд; "важкі" запити до БДCPU, пам'ять, логіка додатку
ЗмішанийПриховані адаптивніКомбіновані, які змінюють патернВсі рівні одночасно

Окремо є атаки на вразливості: переповнення буфера, помилки в коді, DoS через погані системи розподілу ресурсів і атаки на DNS-сервери - вони ламають не самі сервера, а системи доменних імен (DNS), що робить доступність сайту обмеженою, навіть якщо сервера працюють добре.

Архітектурні підходи системи захисту від DDoS-атак на серверах

Тут важливо розуміти різницю між трьома моделями:

  • On-Premises (локальна захист) - обладнання встановлено у клієнта, мінімальна затримка, але обмежена по потужності відбивання атак.
  • Хмарний захист - трафік очищається на розподіленій мережі фільтрації провайдера, здатна відбивати атаки від 7+ Тбіт/с і понад 5 млн команд в секунду.
  • Гібридна схема - поєднання локальних інструментів для базової фільтрації з хмарним "резервом" на випадок великих атак.

Ми рекомендуємо гібридний підхід більшості клієнтів: він дає баланс між швидкістю реакції і вартістю.

Інструменти захисту на рівні сервера

Перш ніж підключати промисловий захист від DDoS, варто закрити базові уразливості своїми силами. Ось порівняння популярних інструментів:

ІнструментРівень захистуПлюсиМінуси
IPTables/NFTablesL3-L4Гнучка настройка правил, безкоштовноНеобхідна експертиза, ручна настройка
CSF (ConfigServer Firewall)L3-L4Готові пресети, проста конфігураціяМенше гнучкості ніж iptables безпосередньо
UFW (Ubuntu)L3-L4Простота настройки для початківцівНе такий хороший як CSF по функції моніторингу
Fail2banL4-L7Авто-блокування по паттернам поведінкиНе захищає від волюметричних атак
Модулі Nginx (limit_req)L7Обмеження запитів на веб-сервераНе убезпечить інфраструктуру в цілому
CDNL7Кешування, розподіл навантаженняІноді не закриває L3-L4
Хмарний анти DoS сервісL3-L7Промислові потужності фільтраціїПотрібно делегувати трафік за який відповідає провайдер компанія

Локальні інструменти добре працюють з точковими загрозами, але не справляються з волюметричними в десятки або сотні гігабіт - тут потрібна розподілена мережа фільтрації, яка "розділяє" трафік по безлічі точок присутності ще до того, як він дійде до вашої інфраструктури.

Чек-лист: як підготуватися і поставити захисту від DDoS-атак заздалегідь

  • Налаштуйте фільтрацію трафіку і ліміти запитів - базовий файрвол і rate limiting знижують ризик точкових DDoS-атак
  • Підключіть CDN - розподіляє навантаження і кешує статичний контент
  • Увімкніть професійну захисту від DDoS-атак - не чекайте загрози, підключайте заздалегідь.
  • Постійно оновлюйте програмне забезпечення - більшість атак використовують відомі вразливості.
  • Проводьте стрес-тестування – хоча б раз на рік перевіряйте, як інфраструктура справляються з навантаженням.
  • Робіть резервне копіювання - на випадок, якщо загроза супроводжується зі спробою злому.

Що робити, якщо DDoS вже почалася

Порядок дій тут важливий:

  • Зафіксуйте факт проведених атак - зростання трафіку, аномальні патерни запитів, недоступність послуг.
  • Активуйте модулі системи захисту від DDoS - якщо захист не був включений постійно, час реакції критично.
  • Ведіть постійний моніторинг - відстежуйте динаміку атаки в реальному часі.
  • Проаналізуйте вектор атак - це визначає, які правила фільтрації потрібні.
  • Проведіть точкову модернізацію - додайте правила під конкретний патерн DDoS-атак.

Ознаки, за якими можна запідозрити загрозу: різке зростання команд з однотипних IP-діапазонів, аномально високе навантаження на CPU при низькій реальній відвідуваності користувачів, масові тайм-аути і зростання часу відповіді сервера.

Кому захист необхідний в першу чергу

  • Фінансовому сектору - банкам, страховим компаніям, де простій означає прямі збитки і регуляторні ризики.
  • Медичним установам - клінікам з онлайн-записом і електронними картами пацієнтів.
  • Державним організаціям - часта мішень як для протестів, так і для цілеспрямованих кібератак.
  • E-commerce і IoT - маркетплейсам, онлайн-касам, пристроям "розумного будинку", де сервіс недоступний означає пряму втрату виручки.

Кейс з практики: кібератака на інтернет-магазин в розпал розпродажу

Клієнт - середній інтернет-магазин електроніки, близько 15 000 унікальних відвідувачів на добу, стандартний VPS в якому не використовувалася виділена захист від DDoS-атак, тільки базовий файрвол з можливостями iptables.

Що сталося.

У перший день сезонного розпродажу, коли відвідуваність сайту і так зросла втричі відносно звичайної, протягом 20 хвилин навантаження зросло ще в 40 разів. Кібератака йшла в дві хвилі:

  • Волюметрична частина (L3/L4) - UDP- і SYN-флуд з ботнету, розподіленого більш ніж по 12 000 IP-адрес з різних країн, сумарною потужністю близько 60 Гбіт/с
  • Прикладна частина (L7) - паралельно йшов HTTP-флуд по картках товарів і сторінці пошуку, що імітує поведінку звичайних покупців, що ускладнювало автоматичне фільтрування за простими правилами.

Що не спрацювало.

Локальний файрвол відфільтрував частину SYN-флуду, але смуга пропускання каналу клієнта (1 Гбіт/с) вичерпалася в перші ж хвилини - хост просто перестав отримувати легітимні запити, незалежно від того, наскільки добре було налаштовано фільтрування на самій машині. Це класичний випадок, коли on-premises захист фізично не може впоратися з волюметричною кібератакою такого масштабу.

Що зробила наша компанія.

Протягом 4 хвилин з моменту звернення замовника пропускну здатність переключили на наші розподілені мережі мікрофільтрації:

  • Волюметричну частину відсікли на стадії мережі передачі даних - кібератака "розмазалася" по декількох точках присутності і не дійшла до каналу клієнта.
  • Для L7-частини підключили поведінковий аналіз команд: система відрізняла реальних покупців від ботів по патерну поведінки (швидкість кліків, відсутність взаємодії з JS, повторювані User-Agent) і блокувала аномальний трафік без капчі для справжніх користувачів.
  • Реальні IP-адреси хоста додатково замаскували, щоб запобігти повторній загрозі в обхід фільтрування.

Результат.

Сайт був доступний під час спроби злому, яка тривала близько 6 годин з перервами.

Швидкість завантаження сторінок для легітимних користувачів просіла не більше ніж на 8% в пікові моменти. Продажі в день розпродажу не постраждали - за даними замовника, конверсія залишилася на стадії планової, а простій, який трапився б без кіберзахисту, за грубими прикидками замовника обійшовся б дорожче декількох років обслуговування.

Як вибрати сервіс захисту

При виборі компанії зверніть увагу на:

  • Заявлену ємність мережі фільтрування (в Тбіт/з і RPS).
  • Чи надає компанія кіберзахист на всіх стадіях OSI, а не тільки L3/L4.
  • Швидкість реакції - скільки часу займає перемикання на фільтрування з моменту виявлення кіберзагрози.
  • Прозорість умов - як вважається перевищення каналу, чи є приховані ліміти.

FAQ

Так, це стандартна практика - час активації є критичним, і хороший провайдер компанія запускає фільтрування протягом хвилин.

Чи потрібно проксі весь потік користувачів через мережу фільтрування?

Не завжди - є рішення з прямим підключенням і активацією мікрофільтрації тільки при виявленні злому, що знижує базову затримку.

Підсумок

Комп'ютерне вторгнення більше не є рідкістю і точковою проблемою великого бізнесу. Локальні інструменти як iptables, CSF або Fail2ban блокують точкові і протокольні зломи, але не можуть впоратися проти волюметричних вторгнень на десятки і сотні гігабіт - тут допомагає тільки розподілена мережа мікрофільтрації на стороні компанії провайдера.