10 шагов по киберзащите от DDoS-атак

DDoS-атаки бьют все рекорды по количеству, продолжительности и мощности. Только за первые 10 дней марта в России зафиксировано и отражено больше тысячи кибератак, что в четыре раза превышает показатели февраля. Их мощность уже измеряется терабайтами, а продолжительность в некоторых случаях достигает 20 и более часов. Беспрецедентные DDoS-нападения на ИТ-инфраструктуру коммерческого сегмента и государственных компаний вынуждают идти на усиление киберзащиты. Эксперты ИТ-компании «КРОК» составили рекомендации по повышению защищенности ИТ-инфраструктуры на фоне усиления активности со стороны киберпреступников.

Техподдержка «КРОК», работающая с клиентами компании, в феврале-марте зафиксировала всплеск атак с последующей благополучной их остановкой. Напомним, DDoS — Distributed Denial of Service или «Распределенный отказ в обслуживании» — нападение на информационную систему для того, чтобы она не имела возможности обрабатывать пользовательские запросы.

«Как правило, конечной целью злоумышленников является полное прекращение работы веб-ресурса или «отказ в обслуживании», а в некоторых случаях — попытка дискредитировать или разрушить бизнес конкурента. В связи с этим со стороны заказчиков в настоящее время наблюдается повышенный спрос на защиту от DDoS по модели SaaS. Проанализировав самые распространенные инциденты, мы составили чек-лист из 10 шагов по защите от DDoS-атак», — рассказал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании «КРОК».

10 шагов по защите от DDoS-атак

1. Активно использовать фаервол — закрыть все порты кроме используемых повседневно, остановить лишние сервисы, запретить пинг для скрытия машины от различных злонамеренных роботов пингующих и сканирующих диапазоны ИП, проверять входящие пакеты на их соответствие стандартам стека протоколов TCP.
2. Сменить стандартные номера портов для FTP и SSH.
3. Регулярно анализировать критические сообщения из лог файлов сервера, например при помощи Logwatch и делать адекватные выводы.
4. Своевременное обновление всего системного и прикладного ПО.
5. Снять с автоматической загрузки все сервисы находящиеся в публичном доступе, включая веб-серверы nginx и httpd: chkconfig httpd off and chkconfig nginx off, что поможет получить доступ к серверу в случае непрерывной DDoS-атаки на эти сервисы.
6. Использовать PHP ака Fast CGI + акселераторы типа eAccelerator или APC.
7. Выполнить тонкую настройку сетевых параметров ядра через sysctl.
8. Возможно использовать дополнительное ПО вроде mod_evasive или анти DDoS шел-скрипты на базе tcpdump или netstat.
9. Выбрать правильный диспетчер ввода/вывода и оптимизировать использование оперативной и виртуальной памяти.
10. Выбрать сервис защиты от DDoS, который может заменить все выше перечисленные действия.

DDoS-нападение распознать просто — замедление работы сети и серверов, заметное как администратору системы, так и обычному пользователю. Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещенного там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать еще в самом ее начале. Серверное ПО и ОС начинают часто и явно сбоить — зависать, некорректно завершать работу. Резко возрастает нагрузка на аппаратные мощности сервера, отличающаяся от среднедневных показателей. Стремительно увеличивается входящий трафик в одном или ряде портов. Многократно дублируются однотипные действия клиентов на одном ресурсе (переход на сайт, закачка файла) и т.д.

В ходе DDoS-атаки хакеры искусственно инициируют лавинообразный рост запросов к онлайн-ресурсу, чтобы превысить его возможности и сделать его недоступным. Для этого используются так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются издалека. Ботнет-сети, как правило, состоят из зараженных устройств пользователей (например, компьютерами с активированными на них вирусами, которые хакеры используют без ведома пользователя). Размер ботнета может составлять от десятков до сотен тысяч устройств. В момент атаки киберпреступники отправляют команды зараженным компьютерам-зомби, а те начинают масштабное наступление. Ботнеты генерируют огромный объем трафика, способный перегрузить любую систему. Основными объектами для DDoS обычно становится пропускной канал сервера, DNS-сервер, а также само интернет-соединение.

«Основной способ защиты от DDoS-атак — фильтрация трафика на основе его содержимого, IP-адресов и других параметров. Реализовать его можно двумя путями: установить собственное оборудование и приобрести защиту от DDoS в виде услуги. Плюсы первого — он позволяет не зависеть от третьих лиц и полностью контролировать свою инфраструктуру, тонко ее настраивая. Второй путь дает возможность снизить издержки на обслуживание своего оборудования, снимает наобходимость в найме профильных специалистов внутри компании. Кроме того, внешние услуги по АнтиDDoS можно в любой момент как подключить, так и отключить. Именно поэтому данный сегмент набрал наибольшую популярность за последние 5 лет», — подчеркнул Дмитрий Старикович.

Сегодня наибольшую популярность приобретают облачные сервисы защиты от DDoS-атак. Решение, развертываемое в облаке, реализует объемную функциональность: помимо пакетной защиты нередко предлагается и защита сайтов от атак ботами (по протоколу HTTP), а также техническая поддержка и сопровождение во время DDoS-атаки. К очевидным преимуществам здесь относятся невысокая стоимость, отсутствие необходимости нанимать дополнительный персонал, высокая емкость фильтрации и скорость подключения, доступность фильтрации атак на веб-сайты на уровне приложения, а также получение экспертизы по эффективной нейтрализации атак.

Eще один надежный способ киберзащиты — сервис Security Operation Center (SOC), который позволяет передать этот функционал на аутсорс, где эксперты ИБ в круглосуточном режиме будут обеспечивать защиту от киберугроз.

«Сервисная модель киберзащиты  при помощи Security Operation Center работает по правилам настоящих экстренных служб, только в мире ИТ. В SOC КРОК мы ведем круглосуточный мониторинг состояния ИТ-инфраструктуры компании на предмет потенциальных взломов и других угроз. Для этого используем современные технологии обнаружения, анализа и предотвращения инцидентов, превентивно детектируя угрозы, оценивая и прогнозируя возможные сценарии их реализации», — отметил Андрей Заикин, руководитель направления информационной безопасности ИТ-компании «КРОК».