Частота DDoS-атак неуклонно растёт. Их количество в 2024 году в мире увеличилось на 108 % по сравнению с 2023 годом. Например, специалисты Центра мониторинга угроз в прошлом году отразили почти 11 тысяч DDoS-атак на российские организации. А самая длительная кибератака длилась более 108 часов. Ни одна компания не застрахована от потенциального ущерба, поэтому нужно знать как распознать DDoS-атаки и предотвратить их.

В чём суть DDoS-атаки

DDoS-атака (распределённый отказ в обслуживании) — это кибератака, направленная на нарушение нормального функционирования сетевых ресурсов компании. Делается это с помощью отправки огромного количества сетевых запросов, чтобы мишень «захлебнулась» и не успевала обработать этот вал обращений. В результате как внутренние сотрудники, так и внешние пользователи теряют доступ к веб-сайтам, программному обеспечению и онлайн-сервисам. Этот внезапный сбой парализует работу, вызывая дезорганизацию и, возможно, отвлекая внимание специалистов по безопасности от более сложных угроз.

Для проведения DDoS-атак злоумышленники прибегают к помощи ботнетов — сетей, состоящих из десятков и сотен тысяч скомпрометированных устройств («умных» устройств (IoT), ПК, смартфонов). Они применяют различные методы для усиления эффективности нападения и обхода систем защиты. DDoS-атаки относительно просты в реализации, что делает их привлекательными для киберпреступников по всему миру. Такой способ нападения давно превратился из хулиганства в большой бизнес, и сейчас существует целый рынок DDoS-услуг с разным уровнем сложности и цены. 

Наиболее частые цели DDoS-атак в ИТ-инфраструктуре

DDoS-атаки сосредоточены на трёх основных областях ИТ-инфраструктуры: сетевой, транспортной и прикладной. Они соотносятся с уровнями L3, L4 и L7 модели OSI, описывающей взаимодействие между сетевыми устройствами. Каждый уровень OSI выполняет свою роль и использует различные протоколы для передачи информации.

Атаки на сетевой и транспортный уровни (L3 и L4) направлены на перегрузку сетевой среды, чтобы исчерпать пропускную способность каналов связи и ресурсы сетевого оборудования. В результате авторизованные пользователи не могут получить доступ к необходимым онлайн-сервисам.

Атаки на прикладной уровень (L7) используют имитацию реальных запросов к веб-ресурсам, чтобы вывести из строя серверы приложений. Этот тип атак нацелен непосредственно на внутренние процессы приложений и используют недостатки в алгоритмах их работы. 

Современные DDoS-атаки всё чаще направлены на прикладной уровень (L7) и используют различные методы перегрузки серверов и веб-приложений. Ярким примером является использование уязвимости HTTP/2 Rapid Reset, получившей идентификатор CVE-2023-44487.

Атака быстрого сброса

Протокол HTTP/2 был создан для улучшения веб-трафика, и его главным преимуществом перед HTTP/1.1 является мультиплексирование. В HTTP/1.1 ресурсы загружаются последовательно, что замедляет процесс при потере пакета. В HTTP/2 мультиплексирование позволяет передавать несколько потоков данных одновременно через одно TCP-соединение, повышая скорость и общую эффективность. Однако именно эта особенность делает возможной атаку быстрого сброса.

В такой атаке хакер открывает несколько потоков данных через одно TCP-соединение и прерывает каждый запрос командой RST_STREAM, не дожидаясь подтверждения от сервера. Постоянное повторение этой операции не превышает лимит на количество одновременно открытых потоков, но генерирует множество операций по открытию и закрытию потоков, что перегружает серверы и балансировщики нагрузки, истощая их вычислительные ресурсы. 

После обнаружения первых таких атак через HTTP/2 появились различные модификации этой техники. 

1. Злоумышленник открывает группу потоков, выжидает некоторое время, затем отменяет их все и немедленно открывает новую группу. Это позволяет обходить системы защиты, ограничивающие скорость обработки кадров RST_STREAM (например, блокирующие соединения, генерирующие более ста RST_STREAM в секунду).

2. Другой вариант атаки заключается в попытке открыть больше потоков одновременно, чем разрешено сервером (параметр http2maxConcurrentStreams). В отличие от оригинальной атаки потоки не сбрасываются. 

Согласно спецификации RFC 9113, необходимо прекращать только те потоки, которые превышают лимит, а не все соединение целиком. Однако на практике многие HTTP/2-серверы не обрабатывают такие потоки должным образом, что позволяет злоумышленнику сразу же начинать новый поток после завершения предыдущего.

Как предотвратить 

Один из способов — отслеживать статистику подключений. Если количество отмененных запросов превышает заданный порог, то такое подключение можно считать вредоносным. 

При обнаружении вредоносного соединения отправляйте команду GOAWAY или разрывайте TCP-соединение, чтобы предотвратить наращивание атаки.

QUIC-атака

QUIC (Quick UDP Internet Connections) — транспортный протокол для более быстрого и безопасного подключения к интернету. Он работает поверх UDP и объединяет функции TCP и протокола шифрования TLS. QUIC оптимизирован для приложений, требующих быстрого и надёжного соединения.

С помощью протокола QUIC можно проводить атаки методом отражения, используя начальное «приветственное» сообщение, с которого начинается соединение QUIC. Сервер включает свой сертификат TLS в первый ответ клиенту, из-за чего первое сообщение сервера больше, чем первое сообщение клиента. Подменив IP-адрес жертвы и отправив на сервер «приветственное» сообщение, злоумышленник заставляет сервер отправлять жертве большие объёмы нежелательных данных.

Особенности, затрудняющие защиту от этих атак:

• QUIC работает поверх UDP, который не предоставляет получателю достаточно информации для надёжной фильтрации трафика. В UDP нет механизма установления соединения, что затрудняет проверку подлинности источника.

• Протокол шифрует большую часть заголовков и данных, что затрудняет анализ трафика и выявление вредоносных шаблонов без расшифровки.

• QUIC использует начальное «приветственное» сообщение для установления соединения. Размер ответа сервера на это сообщение больше, чем размер клиентского запроса, что позволяет усилить трафик.

Как предотвратить

Механизмы ограничения скорости могут ограничивать количество пакетов QUIC, разрешённых для одного IP-адреса источника или конкретной подсети. Установка минимального размера для начального пакета может затруднить злоумышленнику отправку большого количества поддельных запросов. Однако нужно учитывать, что начальный размер ответа сервера всё равно больше начального размера запроса клиента, так что атака остаётся возможной.

Атака Slowloris

Slowloris — это DDoS-атака, нацеленная на прикладной уровень (L7) модели OSI. Она характеризуется низкой интенсивностью и использует частичные HTTP-запросы для установления множества соединений с веб-сервером, которые затем удерживаются открытыми как можно дольше без завершения запроса. Это постепенно истощает ресурсы сервера, снижает его производительность и приводит к отказу в обслуживании.

• Злоумышленник отправляет множество незавершённых HTTP-запросов на сервер, например, без символа конца строки или тела запроса. 

• Сервер открывает соединение для каждого запроса и ожидает его завершения. 

• Чтобы сервер не закрывал соединение по истечении времени ожидания, злоумышленник периодически отправляет дополнительные заголовки или небольшие фрагменты данных, имитируя продолжение передачи данных. 

• Это заставляет сервер удерживать соединение открытым, ожидая оставшуюся часть запроса. В конечном итоге он исчерпывает ресурсы для обработки соединений и перестаёт отвечать на легитимные запросы.

В отличие от традиционных DDoS-атак, которые перегружают сервер большим количеством завершённых HTTP-запросов и вызывают резкий скачок трафика, Slowloris характеризуется низкой интенсивностью и медленным развитием. Злоумышленник отправляет относительно немного запросов с регулярными интервалами, что затрудняет обнаружение атаки и не вызывает аномальных всплесков трафика.

Как предотвратить

Настройте обратный прокси-сервер для отклонения соединений, которые отправляют неполные HTTP-запросы или устанавливают соединения с необычно низкой скоростью.

Используйте брандмауэр веб-приложений (WAF). Он может обнаруживать и блокировать Slowloris-атаки, анализируя HTTP-заголовки и содержимое запросов, а также ограничивая количество подключений с одного IP-адреса. Либо настройте веб-сервер для ограничения количества одновременных подключений с одного IP-адреса. И сократите время ожидания, в течение которого соединение может оставаться открытым без активности — это поможет снизить влияние атаки, ограничивая потребление ресурсов.

Регулярно просматривайте журналы веб-сервера на предмет аномальной активности, такой как большое количество неполных запросов или соединений, которые долго остаются открытыми.

Усиление защиты от DDoS-атак

Для защиты от DDoS-атак используются различные инструменты и методы:

• Брандмауэры (firewalls) блокируют трафик по различным критериям, например, по странам, в которых компания не ведёт бизнес, или автоматически блокируют пользователей, отправляющих слишком много запросов. Однако это может затронуть обычных пользователей с тем же IP-адресом.

• Настройка параметров сервера ограничивает количество запросов, которые сервер может обработать в секунду, предотвращая перегрузку системы, но также может замедлить работу обычных пользователей в периоды высокой нагрузки.

• Использование сети доставки контента (CDN) позволяет кешировать контент и доставлять его пользователям с ближайшего сервера, ускоряя загрузку и снижая нагрузку на основной сервер. CDN особенно важны для крупных компаний с большим количеством пользователей (интернет-магазинов, финансовых и страховых компаний, стриминговых сервисов).

• Системы обнаружения и предотвращения атак (IDS/IPS) с помощью искусственного интеллекта и машинного обучения могут постоянно анализировать трафик и выявлять подозрительную активность, автоматически блокируя или ограничивая вредоносный трафик.

• Регулярное создание копий данных позволяет быстро восстановить важную информацию и работоспособность сайта в случае успешной DDoS-атаки.

Исследование компании StormWall показывает, что многие крупные компании уделяют основное внимание сетевой защите, но уязвимы на уровне приложений. Наименее защищены организации в сферах телекоммуникаций, энергетики, финансов, транспорта, производства и нефтяной отрасли.

Самые громкие DDoS-атаки на российские ресурсы в 2024 году 

В минувшем году ряд онлайн-платформ подверглись серьёзным кибератакам, повлёкшим за собой сбои в их работе. Приведём некоторые примеры:

НСПК (Национальная система платёжных карт)

В июне была зафиксирована мощная DDoS-атака, затронувшая функциональность банков и других сервисов. Пользователи Альфа-Банка, Сбербанка, Райффайзенбанка и ВТБ столкнулись с проблемами при проведении онлайн-платежей, получении SMS-уведомлений, доступе к мобильным приложениям и оплате банковскими картами. Также наблюдались перебои в работе операторов связи и мессенджеров.

СберБанк

В конце июля банк отразил DDoS-атаку, которая стала самой масштабной за всю его историю. Несмотря на серьёзность, средства клиентов остались в безопасности. Атака длилась 13 часов и была спланирована группой хакеров, которые задействовали как собственные ресурсы, так и сторонние бот-сети, состоящие из более чем 62 000 устройств. Примечательно, что более половины этих устройств располагались в России, что может указывать на причастность местных злоумышленников.

Rutube

В сентябре видеохостинг стал целью крупнейшей DDoS-атаки за последние два года. К концу дня сервис мониторинга «Сбой.РФ» зафиксировал около 1700 жалоб на перебои в работе платформы. Основные проблемы с доступом к сайту испытывали жители Москвы, Санкт-Петербурга и Московской области, что выражалось в невозможности просмотра видеороликов и добавления комментариев, существенно ограничивая функциональность ресурса.

Заключение

В современном мире, где бизнес переходит в онлайн, защита от кибератак становится жизненно важной. DDoS-атаки постоянно усложняются, и для их отражения требуются современные инструменты и комплексный подход. Важно внедрять системы безопасности в ИТ-инфраструктуру, использовать облачные сервисы и работать с надёжными провайдерами, чтобы важные сервисы работали стабильно и безопасно.