Как дата-центры защищают от DDoS-атак и сколько это стоит. Обзор Market.CNews
Web-ресурсы сегодня все чаще становятся средством основного заработка. Появляются коммерческие и развлекательные площадки, пользующиеся популярностью у тысяч пользователей. И чем крупней и значимей сервис, тем ощутимей его утрата как для владельцев, так и для пользователей. Ввиду этого особой популярностью стали пользоваться хакерские DoS-атаки. Что это такое и как с этим можно бороться, рассмотрим в этой статье ниже.
Что такое DDoS-атака
Существует достаточно много вариантов, как злоумышленники могут воздействовать на интернет-ресурс. Одним из наиболее часто встречающихся способов манипуляции является DoS — вид вмешательства в работу web-сайта, сервера или любого другого сервиса, когда генерируется большое количество клиентских запросов, что оказывает чрезмерную нагрузку на аппаратные и пропускные возможности. Такую атаку можно отфильтровать, так как она осуществляется с одного источника.
DDoS — более сложное сетевое нападение, проводимое с помощью большого количества сторонних клиентов. Другими словами, хакер начинает одновременное взаимодействие с сервисом сразу с нескольких компьютеров, в результате жертва просто не может справиться с этим потоком.
Главная цель DDoS — это создание определенных условий, при которых обычный пользователь не получит доступ к сервисам атакуемого ресурса. Работа жертвы полностью блокируется. При этом хакеру не обязательно получать непосредственный доступ к базам данных и программному коду.
В DDoS-атаках всегда задействованы сторонние клиентские компьютеры, пользователи которых не подозревают, что с их устройств осуществляется незаконная деятельность. Ввиду того, что в одной атаке могут участвовать тысячи зараженных ПК, отследить первоисточник очень сложно. Еще одним привлекательным для злоумышленников фактором является то, что DDoS не оставляет юридически значимых улик, за которые хакера могут привести к ответственности.
Классификация атак и к чему они приводят
Осуществление DDoS-атак может проходить по нескольким сценариям. Фактически, процесс зависит от функционала конкретного сервиса. Существуют как универсальные методы, так и узкоспециализированные типы воздействий. Можно выделить следующие виды DDoS:
- переполнение пропускного канала — флуд;
- нагрузка аппаратных ресурсов;
- недостатки программных кодов.
Каждый из приведенных типов включает в себя несколько подкатегорий. Конкретный метод DDoS-атаки подбирается в зависимости от защищенности жертвы и от возможностей злоумышленника.
Переполнение пропускного канала
В ходе этой манипуляции хакер рассчитывает на исчерпание пропускной способности жертвы. Главное условие для осуществления DDoS-атаки – это наличие атакующего канала с возможностью проведения большего количества запросов, чем способен принять атакуемый ресурс. Обойти это правило злоумышленникам помогает использование пакетных данных, требующих от жертвы ответ превышающий запрос по объемам. Выделяют следующие подвиды:
- HTML и PING-флуд. Отправка примитивных запросов, вынуждающих жертву к автоматическому ответу.
- SMURF-атака. Хакер организует рассылку вредоносной команды, требующей провести проверку всех участников сети, отправляя задание на определение задержки — ping-запрос. При этом используется системный ICMP-протокол, предназначенный для передачи информации об ошибках и других внештатных ситуациях.
- Fraggle — этот метод схож с предыдущим. Однако в этому случае для переполнения пропускного канала используется команда ECHO, отправляемая в пакете UDP на седьмой порт атакуемого. Запрос рассылается по широковещательному соединению, затем адрес атакующего заменяется на адрес жертвы, которая получает множественные ответы от участников сети. Отключение ECHO приводит к генерированию ICMP-сообщения, что также приведет к перенасыщению канала.
- SYN. Это один из самых древних способов DDoS-атаки. В ходе её злоумышленник запрашивает с жертвой TCP соединение, для передачи данных. Этот тип подключения подразумевает резервирование определенного количества системных ресурсов. Отправив несколько подобных запросов, можно исчерпать возможности атакуемого.
Нагрузка аппаратных ресурсов
Данный метод DDoS подразумевает полную загрузку процессора, исчерпание оперативной или физической памяти. Одно из главных условий такой атаки — это наличие у хакера контроля над частью ресурсов жертвы. Различают следующие типы:
- Тяжелые команды. Хакер отправляет запрос, занимающий большую часть процессорного времени. В ходе такой атаки сервер становится неспособным проводить сложные вычисления, при этом пропускная полоса остается свободной.
- Переполнение ЛОГ-файлами. В этих пакетах сохраняются действия программ и пользователей, если неквалифицированный администратор не настроит ограничение на количество ЛОГов, то хакер сможет отправлять объемные пакеты, информация о которых будет записываться на жесткий диск. Постепенно физический носитель переполнится.
- Неотлаженная система распределения ресурсов процессора на выполнение скриптов. На многих площадках применяют взаимодействие сервера с внешними программами. Хакер, получивший доступ к интерфейсу связи, пишет скрипт, который циклически задает системе сложное математическое вычисление. В результате задействуется больший процент выделенных ресурсов процессора;
- Контроль данных пользователя. Многочисленные запросы к базе для проверки пароля логина или прочих сведений о профиле, могут применяться для загрузки оперативной памяти;
- DDoS-атака вторичного порядка. Хакер вызывает ложное срабатывание защиты, что блокирует ресурс для сторонних пользователей.
Недостатки в программном коде
Опытные хакеры редко делают ставку на насыщение пропускного канала. Гораздо более опасным видом DDoS будет поиск ошибок в исходном коде. Злоумышленник стремится найти возможность выполнения недопустимых команд или провести обращение к неиспользуемому адресному пространству. Результатом подобного действия будет автоматическое выключение серверной программы. Выделяют два типа атак, направленных на алгоритмы кода:
- Наличие исключений. Все программные коды пишут люди, поэтому существуют задачи, решение которых не предусмотрено. Хакер находит такой запрос и отправляет его в составе пакета.
- Переполнение буфера. Злоумышленник определяет протоколы, объем которых сервер использует не полностью. Оставшееся пространство записывается принудительно. Так, с новым пакетом данных, ресурс получит больше, чем ожидает. Излишек он запишет за пределами буфера.
Атаки на DNS
Отдельно выделяют два типа DDoS-атак, используемых для воздействия на DNS:
- Маршрутизация через уязвимые участки программного кода. Злоумышленник подменяет IP-адрес DNS жертвы, из-за чего пользователи не могут попасть на нужную веб-страницу.
- Перенасыщение канала связи. Так как сервер имеет большую пропускную способность, то для такой DDoS потребуется внушительное количество зараженных компьютеров, которые по команде хакера будут проводить одновременную атаку на сервер.
В настоящее время применим только первый метод хакерских атак. Большинство провайдеров выявляют подозрительный трафик, соответствующий второму типу атаки на DNS.
Как защититься от DDoS
К сожалению, полная защита от DDoS на настоящий момент невозможна. Сказывается влияние человеческого фактора. В кодах большого объема практически всегда остаются ошибки и недочеты. При тестировании их можно упустить, зато человек, задавшись целью атаковать ресурс, с большой долей вероятности сможет их отыскать. Одним из самых простых способов предотвратить хакерскую атаку является использование облачных серверов или хостингов со встроенной защитой.
Защита от DDoS в пакете услуг Colocation
Многие дата-центры, предоставляющие пользователям услуги размещения их сервера на своем носителе — colocation, обеспечивают своих заказчиков защитой от DDoS-атак.
Принцип работы такой защиты заключается в создании фильтра, исключающего большинство недочетов и ошибок, которые могли допустить разработчики сервера. Блокируются ненужные сторонние команды, дополнительно контролируются все поступающие протоколы. Само собой, исключаются примитивные атаки, связанные с переполнением полосы пропуска мусорным однообразным трафиком.
Как поставщики IaaS предотвращают DDoS-атаки
То, что облачные ресурсы находятся в свободном доступе в сети, делает их подверженными хакерским атакам. Подобные сервисы регулярно сталкиваются с DDoS. Поэтому они вынуждены своевременно выявлять и нейтрализовать любые угрозы.
Поставщики IaaS могут предложить своим клиентам следующие виды защиты:
- Антивирусы. Подобное ПО помогает контролировать трафик и выявлять вредоносную составляющую в стороннем коде.
- Межсетевые экраны. Это одно из наиболее действенных средств защиты внутренней части сети от несанкционированного доступа.
- Защиту DLP. Утечка данных может привести как к потере пользовательских аккаунтов, так и к стороннему вмешательству в алгоритм работы ресурса.
- Защищенное резервное хранилище. Данные в нем будут закодированы. Как правило, такая база находится за пределами основного облака.
Облачные хранилища, которые задействуются совместно с IaaS, обладают бОльшим запасом машинных ресурсов. Поставщики услуг постоянно развивают свои сервера, наращивая аппаратную мощность, что также затрудняет проведение DDoS.
Тарификация средств защиты
Как правило, защита от DDoS не входит в основной пакет услуг. Это можно отнести как к Colocation, так и к IaaS. При необходимости, заказчик отдельно оплачивает период пользования системными средствами предотвращения хакерских атак.
Функция подключается опционально по причине того, что многие потребители основной услуги прибегают к использованию сторонних защитных средств. Однако, как показывает практика, такой способ менее эффективный, чем задействование имеющихся на облаке или хостинге систем противодействия стороннему вмешательству.
Стоимость защиты от DDoS зависит от ширины канала связи: чем выше скорость соединения, тем больше данных надо фильтровать и тем выше стоимость этой фильтрации. Для выбора тарифов с защитой от DDoS на ИТ-маркетплейсе Market.CNews необходимо поставить галочку «Защита от DDoS» или в выпадающем списке DDoS выбрать пункт «Да».
Сколько стоит защита от DDoS
По данным ИТ-маркетплейса Market.CNews минимальная стоимость аренды 1 юнита в стойке ЦДО уровня надежности Tier III в Москве без DDoS-защиты составляет ₽1 тыс. в месяц. Стоимость аналогичного юнита с защитой от DDoS начинается от ₽1920 в месяц.
Так как в большинство тарифов Colocation входит канал связи фиксированной ширины, то и защита от DDoS предоставляется на эту ширину канала. Что касается IaaS, то канал связи часто настраивается под нужды клиента и обычно лежит в диапазоне от 10 до 10 000 Мбит/с. Соответственно, стоимость защиты от DDoS будет сильно различаться от клиента к клиенту.
Редкие провайдеры предлагают фильтрацию трафика бесплатно. Однако скорее всего она будет представлять собой простейший вид защиты на уровне сетевых протоколов L2 и L3 с целью фильтрации флуда.
Фильтрация атак на уровне протоколов L4—L7 и очистка трафика на уровне DNS, HTTP и SIP в итоге окажется платной и может достигать ₽150 тыс. — 200 тыс. за канал шириной всего 100Мбит/с. Стоимость наиболее продвинутой защиты от DDoS атак для канала связи шириной 10Гбит/с может достигать ₽10 млн. рублей в месяц.
Все цены указаны по состоянию на сентябрь 2020 года.