Защита от DDoS-атак Надежная защита онлайн-ресурсов

Что такое DDoS

DDoS – это вид хакерской атаки, при которой на какой-либо сервис отправляется
большое количество запросов, достаточное для того, чтобы вызвать перегрузку
и парализовать работу проекта, сделав его недоступным для пользователей.

DDoS-атаки могут работать на различных уровнях сетевой модели OSI. Всего их 7.

Модель OSI

L1 – Физический уровень

На первом уровне модели OSI происходит передачи физических сигналов (токов, света, радио) от источника к получателю. На этом уровне мы оперируем кабелями, контактами в разъемах, кодированием единиц и нулей, модуляцией и так далее.

L2 – Канальный уровень

На втором уровне мы оперируем понятием «фрейм», или как еще говорят, «кадр». Тут появляются первые идентификаторы – MAC-адреса. Они состоят из 48 бит и выглядят примерно так: 00:16:52:00:1f:03

L3 – Сетевой уровень

Сетевой уровень вводит термин «маршрутизация» и, соответственно, IP-адрес. Кстати, для преобразования IP-адреса в MAC-адреса и обратно используется протокол ARP.

L4 – Транспортный уровень

Транспортный уровень, как можно понять из названия, обеспечивает передачу данных по сети. Здесь две основных рок-звезды – TCP и UDP. Разница в том, что различный транспорт применяется для разной категории трафика.

L5 – Сеансовый уровень

Сеансовый уровень занимается тем, что управляет соединениями или, попросту говоря, сессиями. Он их разрывает. Помните мем про «НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА»? Мы помним. Так вот, это 5 уровень постарался.

L6 – Уровень Представления

На шестом уровне творится преобразование форматов сообщений, такое как кодирование или сжатие. Тут живут JPEG и GIF, например.

L7 – Уровень Приложения

На седьмом этаже, на самой верхушке айсберга, обитает уровень приложений! Тут находятся сетевые службы, которые позволяют нам как конечным пользователям, серфить просторы Интернета.

Рассмотрим некоторые виды DDoS-атак на уровнях L3, L4 и L7:

Сетевой уровень (L3):

Ping flood – В основе этой атаки используется протокол ICMP третьего уровня модели OSI. Злоумышленники отправляют тысячи или даже миллионы ping-запросов на сервер за раз.

Smurf attack – ICMP протокол не имеет механизма проверки подлинности источника отправки пакета, что создает возможность для злоумышленника подменять адрес отправителя в ICMP-пакете. При атаке такого вида атакующий отправляет запросы тысячам серверов с подмененным адресом источника, ответы же на эти запросы уходят на адрес жертвы, а не на адрес атакующего.

Транспортный уровень (L4):

TCP SYN Flood – При установке TCP-соединения между хостами происходит так называемое трехэтапное рукопожатие («three-way handshake»). Хост, инициирующий TCP-соединение, должен послать первый сегмент с флагом SYN, получатель в ответ отправляет сегмент с флагом SYN-ACK и последний этап – инициатор отправляет подтверждение – сегмент с флагом ACK. На этом TCP-соединение считается установленным.

При атаке такого вида как TCP SYN Flood происходит отправка большого количества SYN запросов на атакуемый хост, часто с подмененным адресом отправителя, при этом злоумышленник не отправляет ожидаемое подтверждение – ACK. Атакуемый хост при этом вынужден ожидать получения подтверждения по этим «полуоткрытым» соединениям. Подобная атака может привести к исчерпанию возможностей сервера по установке новых соединений.

UDP flood – в отличие от предыдущего типа атаки, данный вид использует другой протокол транспортного уровня UDP. UDP не имеет встроенной системы установки соединения, а также не обеспечивает гарантию доставки данных. При атаках такого типа, злоумышленник отправляет большое количество UDP-датаграмм на хост жертвы с целью исчерпать ресурсы устройства для обработки запросов.

Когда сервер принимает UDP-датаграмму на какой-либо порт, ему необходимо выполнить несколько шагов:

  • Проверить, что данный порт «слушает» какая-либо программа.
  • Если нет программы, готовой принять данные, уведомить отправителя ICMP-пакетом об этом.

Данная процедура потребляет ресурсы сервера и при большом количестве UDP-датаграмм, это может привести к нехватке ресурсов для обработки новых запросов сервером.

Уровень приложения (L7):

HTTP flood – данная атака использует HTTP-протокол и является весьма распространенной. Суть атаки сводится к тому, чтобы добиться отказа в обслуживании какого-либо веб-сервиса, отправляя большое количество http запросов к нему. Злоумышленник может прибегнуть к помощи ботнетов для генерации запросов из разных источников, включая разные страны, что делает блокировку по IP адресам малоэффективной или невозможной. При всем этом отличить легитимные запросы от нелегитимных бывает не просто. Для защиты от подобного вида атак используются сложные алгоритмы фильтрации, но и они не имеют 100% эффективности.

Здесь представлен далеко не весь спектр возможных атак, но достаточный для понимания, что у злоумышленников есть, из чего выбирать.

Почему важно защищаться

Защита сайта от DDoS-атак – это необходимая мера, потому что DDoS стал одной из самых распространенных киберугроз в России. Особенно риску подвержены коммерческие сайты, реализующие товары и услуги, ведь для них недоступность сайта ведет к прямым убыткам. По данным аналитиков, только за первое полугодие 2022 года количество DDoS-атак на сайты Рунета увеличилось в 15 раз по сравнению с идентичным периодом 2021 года. Растет длительность атак – от нескольких часов до нескольких дней, а максимальная мощность DDoS была зафиксирована на отметке 700 000 HTTP-запросов в секунду.

Чем поможет masterhost

Мы предлагаем Вам эффективную защиту от DDoS на уровнях L3,L4 и L7 на базе продуктов нашего партнера DDoS-Guard, специализирующегося на защите от DDoS-атак уже более 10 лет.

Всего за 250 рублей в месяц Вы получаете защищенный Ipv4 адрес и 1 Мбит/с «очищенного» трафика. Услуга доступна для клиентов виртуального хостинга, а также для владельцев VPS.

Подсчет трафика и стоимость

Для эффективной работы алгоритмов по выявлению нелегитимного трафика мы пропускаем через сервис партнера как входящий, так и исходящий трафик пользователя.

Как это работает

Защита работает гораздо эффективнее, когда сервис имеет возможность работать с трафиком в оба направления, потому что при этом задействует больше алгоритмов фильтрации. Если же Ваша защита стоит меньше предложенной нами, скорее всего в ней используется асинхронная маршрутизация, когда входящий трафик пропускают через инфраструктуру партнера, а исходящий трафик отправляют через свою, что само по себе дешевле.

Как подключить услугу:

  • Защиту уровня L3 и L4 для VPS Вы можете подключить в Личном кабинете, активировав опцию «Защита от DDoS» при создании виртуальной машины или форме добавления дополнительного IP-адреса.
  • Защиту уровня L7 Вы можете активировать, отправив заявку в нашу техническую поддержку.

Для подключения выделенного IP-адреса с защитой от DDoS-атак на виртуальном хостинге перейдите в раздел «Услуги», далее в разделе «Виртуальный хостинг» выберите из списка нужный домен. В разделе «SSL-сертификат и выделенный IP» нажмите на кнопку «Заказать». В появившемся окне переключите ползунок на активацию защиты от DDoS.

Для Вашего удобства мы подготовили более подробную инструкцию по активации защиты от DDoS.

Для подключение выделенного IP-адреса с защитой от DDoS-атак для VPS-сервера перейдите в раздел «Облачные сервисы», далее выберите VPS-сервер, для которого необходимо подключить услугу. Далее в разделе «Публичная сеть» нажмите на «Добавить IPv4». В появившемся окне переключите ползунок на активацию защиты от DDoS.

Для Вашего удобства мы подготовили более подробную инструкцию по активации защиты от DDoS.