В праздничные первомайские и победные дни 2022 года IT студия Сайт PRO столкнулась с массированной DDoS-атакой.
Злоумышленники в течение длительного времени создавали трафик около 1000 Мбит/с, среднесуточный трафик почти 10 ТБ.
Общее количество хостов, участвовавших в атаке, превысило 40 000.
В DDoS-атаке, о которой идёт речь, замечены IP-адреса устройств со всего мира: из Китая, Америки, Европы, Африки, из разных государств и разных уголков сети Интернет.
Возможно, в них участвовали китайские мобильные телефоны, дешёвые телеприставки, камеры видеонаблюдения, домашние Wi-Fi-роутеры, компьютеры со старыми операционными системами – это далеко не полный список устройств, которые могут заразиться вирусами и стать частью ботнета.
Несмотря на выходные дни наша техническая поддержка справилась с проблемой: в кратчайшие сроки был создан интеллектуальный алгоритм, выявляющий и блокирующий злоумышленников.
В настоящее время (11 мая 2022 года) попытки атаки продолжаются, но все серверы работают в штатном режиме, сайты загружаются быстро.Сергей Фролов, технический директор Сайт PRO
И раз конфликт на Украине повлек за собой кибервойну, то мы хотим объяснить своим Заказчикам:
- Как происходит атака
Злоумышленники с разных IP-адресов заходят на разные страницы разных сайтов, размещённых на наших серверах в дата-центре.
При этом имитируется поведение реальных пользователей: весь трафик в данном случае представляет собой корректно сформированные HTTP-запросы, просто их очень много.
Всё было бы просто, если бы атака проводилась с одного или нескольких IP-адресов (хостов) – их достаточно легко отследить и заблокировать.
Но в данном случае одновременно участвовало несколько десятков тысяч хостов – количество атакующих превышало число реальных посетителей.
Получается парадоксальная вещь: нагрузка на сервер в сотни раз превышает среднестатистическую, налицо попытка атаки, а заблокировать атакующих не получается, так как количество одновременных подключений к сайтам огромное, но какое из подключений от обычного посетителя, а какое от злоумышленника – непонятно.
Именно в этом заключается основная черта, отличающая DDoS-атаку: «D» означает «Distributed», «распределённая».
- Кому и зачем это нужно?
Чаще всего DDoS-атаки проводятся умышленно с целью вызвать «отказ в обслуживании» – говоря простыми словами, чтобы на сайты нельзя было зайти.
Заказчиков атаки удаётся найти редко, только если они открыто заявляют о своих действиях.
По действующим законам, подобные атаки не являются преступлением.
К тому же злоумышленники действуют не «своими руками»: ни одна организация не имеет достаточно ресурсов для организации атаки своими силами.
Поэтому в качестве атакующих используется так называемый «ботнет» – множество устройств и серверов, зараженных вирусом, выполняющих команды из «центра».
Ходят слухи, что заказать DDoS-атаку у «центра управления ботами» можно на чёрном рынке, но официальных подтверждений этому, естественно, нет.
- Что с этим делать?
Общая стратегия борьбы с DDoS-атакой такая:
- Отделить злоумышленников от обычных пользователей
- Заблокировать подключения от злоумышленников
Один из частых вопросов, которые нам задают – а можно ли просто отключить сайты, подверженные атаке?
Да, можно, но это будет означать, что атака достигла своей цели – на сайты невозможно зайти.
Мы не хотим давать повод думать, что злоумышленники могут в любое время отключить действующие сайты, организовав атаку.Сергей Фролов, технический директор Сайт PRO
- Какие сложности предотвращения DDoS-атак?
Сложностей много, и связаны они с большим объёмом трафика и массированностью атаки.
Серверы во время атаки работают медленнее – сказывается повышенное потребление ресурсов и загруженность сети.
Высока цена ошибки – заблокировать подключение пользователей к сайтам означает потерять посетителей и потенциальных клиентов.
Технически имеющиеся механизмы блокировки, хоть и близки к совершенным, но на больших количествах заблокированных хостов приводят к снижению скорости загрузки сайтов..
Играет роль и то, что скорость анализа входящего трафика должна быть поистине космической – количество хостов, которые участвуют в атаке, постоянно растёт.
Кроме того, распространённость сервисов VPN и прокси позволяет злоумышленникам подменять свои реальные IP-адреса.
- Что мы сделали для решения проблемы?
Наши технические специалисты разработали интеллектуальный алгоритм, позволяющий достоверно отличать настоящих посетителей от атакующих роботов.
Это требует определённых затрат ресурсов, особенно на этапе обучения алгоритма, когда злоумышленники только начинают блокироваться.
Тем не менее, после этапа обучения алгоритма, который занял несколько часов, нагрузка на серверы нормализовалась, сайты стали открываться стабильно и быстро.
