Что такое DDoS-атаки?

Атака типа «отказ в обслуживании» (Denial-of-Service, DoS) — это инцидент в области информационной безопасности, цель которого — нарушить нормальную работу сервера, сети, веб-приложения или других систем, сделав их недоступными для легитимных пользователей. Добиться этого можно разными способами, самый простой из них — перегрузить цель огромным числом мусорных запросов, чтобы система не могла справляться с их потоком и перестала обрабатывать легитимные запросы.

В свою очередь, распределенная атака отказа в обслуживании (Distributed Denial-of-Service, DDoS) представляет собой множество одновременных DoS-атак, координируемых атакующим.

Иногда DoS-атаки случаются непреднамеренно или являются результатом вандализма, однако чаще всего они кем-то специально организованы. Распространенные мотивы таких атак — недобросовестная конкуренция, вымогательство, месть и хактивизм.

Классифицировать DDoS-атаки можно по-разному, но с практической точки зрения наиболее удобно делить их на две основные категории: атаки на сетевом и транспортном уровнях (L3/L4) модели OSI, а также атаки на прикладном уровне (L7). Эти категории важны для выбора методов защиты от DDoS.

• DDoS-атаки L3/L4: такие атаки направлены на нижние уровни модели OSI — сетевой и транспортный. Распространенные методы включают UDP flood, TCP flood, IP flood, ICMP flood и SYN flood. Цель таких атак — перегрузить канал связи жертвы за счет огромного объема отправляемых сетевых пакетов, что в итоге вызывает сетевые задержки и делает сервис недоступным.
• DDoS-атаки L7: эти атаки нацелены на верхний, прикладной уровень модели OSI — прежде всего на протоколы HTTP/HTTPS, которые напрямую обрабатывают пользовательские запросы. В отличие от L3/L4-атак, перегружающих сеть, L7-атаки стремятся истощить ресурсы веб-сервера, так как обработка HTTP-, и особенно HTTPS-запросов требует значительных вычислительных ресурсов.

С точки зрения бизнеса успешные DDoS-атаки могут иметь целый ряд неприятных последствий. В краткосрочной и среднесрочной перспективе они приводят к прямым финансовым потерям из-за упущенной выручки и снижения продуктивности сотрудников. Также, как правило, возникают затраты на восстановление работы сервисов, которые могут быть весьма значительными. Кроме того, DDoS-атаки все чаще используются операторами ransomware, поэтому в некоторых случаях может потребоваться выплата выкупа для прекращения атак.

В долгосрочной перспективе частые сбои подрывают доверие и лояльность клиентов. Пользователи, разочаровавшиеся в ненадежных сервисах, могут перейти к конкурентам, что наносит ущерб репутации бренда и его рыночным позициям. DDoS-атаки также перегружают ресурсы ИТ-команд, отвлекая их от других критически важных задач в области безопасности и операционной деятельности. Поэтому последствия успешной DDoS-атаки на организацию могут ощущаться еще долго.

Для защиты от современных сложных DDoS-атак бизнесу требуются специализированные инструменты. При этом важно понимать, что атаки на уровне L3/L4 и атаки на уровне L7 принципиально различаются — следовательно, и методы защиты для них тоже должны быть разными. Рассмотрим три наиболее распространенные стратегии защиты от DDoS.

• Оборудование Anti-DDoS на стороне заказчика (on-premise). Некоторые компании предпочитают устанавливать специализированное оборудование в собственной инфраструктуре. Такой подход дает больший контроль, но связан с двумя серьезными ограничениями: высокими расходами (как капитальными, так и операционными) и ограниченной пропускной способностью собственного Anti-DDoS оборудования, которая может стать узким местом при масштабной атаке.
• Услуги защиты от DDoS от телеком-провайдеров. Провайдеры связи нередко предлагают защиту от DDoS как дополнительную услугу. Такие решения, как правило, хорошо справляются с атаками на сетевом и транспортном уровнях (L3/L4). Однако из-за специфики работы телеком-операторов они часто неэффективны против более сложных атак на прикладном уровне (L7).
• Облачные решения Anti-DDoS. Благодаря распределенной архитектуре облачные решения обеспечивают надежную и масштабируемую защиту от DDoS с глобальным покрытием и низкой совокупной стоимостью владения. Кроме того, облачные сервисы защиты от DDoS — такие как CURATOR.ANTIDDOS — особенно эффективны против атак уровня L7 благодаря продвинутой архитектуре, интеллектуальным алгоритмам фильтрации и накопленному опыту в отражении даже самых сложных атак.