DDos атаки. Что это такое, их последствия и способы защиты
Про DoS-атаки слышали наверное все. DDoS и DoS атаки очень похожи и различаются буквально одним параметром.
DoS - Denial of Service. Дословно переводится как "отказ в обслуживании".
DDoS - Distributed Denial of Service. Дословно переводится как "распределённый отказ в обслуживании".
Как это работает
Работает всё просто до безобразия. В случае DoS-атаки на ваш сервер/сайт просто посылается большое количество запросов. Ваш сервер для того, чтобы обслужить все эти запросы выстраивает их в очередь и обрабатывает поочерёдно. Но, так как количество запросов увеличивается быстрее, чем они обрабатываются сервером - сервер банально не успевает обслужить реальных посетителей и просто не отдаёт им сайт, или выдаёт ошибку.
- При DoS атаке запросы на атакуемый сайт/сервер происходят от одного сервера.
- При DDoS атаке запросы идут от большого количества серверов.
Это кратко, суть.
Подробнее о видах DDoS атак
Провести атаку можно на сервер, на приложение или на канал. В чём разница. Допустим ваш сайт кэширует страницы и может отдавать их тысяче пользователей в секунду. Если DDoS-атака направляет более тысячи запросов в секунду - сайт "зависнет" - это атака на сервер.
Для того, чтобы положить страницу в кэш - её нужно сгенерировать сервером. Допустим злоумышленник знает как запросить генерацию страницы(например добавлением случайного GET-параметра) и отправляет запросы на её генерацию. Генерация страницы занимает больше процессорного времени и сайт может сгенерировать её сто раз в секунду.Следовательно злоумышленнику достаточно сделать более ста запросов. Это атака на приложение.
Атака на канал - это просто большое количество запросов к сайту, которые израсходуют пропускную способность канала.
Так же можно провести атаку на DNS-сервер сайта-жертвы. Если положить DNS - то сайт не будет открываться по доменному имени.
Пару лет назад был отказ DNS-серверов крупнейшего российского регистратора reg.ru и большое количество сайтов оказались недоступны, хотя с их серверами всё было в полном порядке
Уязвима ли ваша система к такого рода атакам
Как правило - да. Если вы не озаботились защитой от DDoS-атак или ваш хостер не включил эту услугу в ваш тариф - то ваш сайт уязвим для DDoS-атаки.
Как проводится такая атака
Злоумышленник владеет сетью компьютеров(как правило это компьютеры случайных людей, зараженных вирусом) и в определённый момент начинает с этих компьютеров отправлять запросы к сайту-жертве. Если у сайта-жертвы слабый сервер, неграмотно написанный сайт или сервер плохо настроен - то сайт выйдет из строя.
Чем грозит такая атака
Такая атака грозит простоем. То есть на время проведения атаки ваш сайт не будет доступен посетителям. Если у вас интернет магазин или какая-либо другая коммерческая система, будь то биржа, партнёрка и т.п. - то ущербом будет недополученная прибыль. Так же это репутационная потеря. Если вы серьёзное издательство или правительственный сайт - то нерабочий сайт - это ещё и удар по имиджу.
По поводу выхода из строя оборудования, сбития настроек ПО - этого не произойдёт.
Кража личных данных - нет. Это не взлом.
Ущерб будет только на программном уровне и только на время проведения атаки.
Восстановление системы
Если сервер настраивал грамотный системный администратор - то всё заработает само. В каких-то случаях может остановиться работа базы данных, интерпритатора PHP, веб-сервера Apache/Nginx или любого другого ПО. Для запуска зависшего сервиса его нужно просто перезапусить.
Стоит ли бояться такой атаки
Если ваши потери будут выше затрат на защиту от DDoS - то стоит защититься. Для простенького бложика нет никакого смысла тратиться на защиту.
Если ваше приложение должно работать 24/7/365 - то такая защита обязательна.
Как защититься
Так как единственный инструмент такой атаки - это трафик - то защищаться нужно от трафика:)
Занимаются этим, как правило, специализированные компании. Вы просто пропускаете весь трафик сайта через сервера такой компании и они сами отфильтруют запросы от атакующей сети. По итогам месяца вы заплатите за объём трафика.
Выглядит это примерно так:
Красный прямоугольник - это проксирующий сервер компании, предоставляющей услугу DDoS-защиты. Он фильтрует трафик атакующих и не даёт ему положить сервер клиента. Как он отличает "хороший" трафик от "плохого" - это уже его коммерческая тайна:) Скорей всего "поведенческий фактор".
Можно конечно и самим поразбираться с софтом, с настройками сервера или даже купить железо, в которое встроена такая защита - но это не стоит того, лучше довериться профессионалам.
Заключение
Рад, если я для кого-то прояснил ситуацию и, возможно, развеял какие-то мифы или страхи на эту тему. Всем стабильной работы :)