⠀
Банки, маркетплейсы и игровые онлайн-платформы — одни из главных целей DDoS-атак. Разбираемся, как системно выстраивать защиту, в том числе с помощью облачных сервисов.
DDoS-атаки — нередкая причина киберинцидентов. По итогам прошлого года Россия находится на восьмом месте в списке самых атакуемых стран мира. И хотя по сравнению с 2023 годом наша страна в этом рейтинге опустилась на одну строчку, общее число нападений за период с 2023 по 2024 выросло на 45%.
В этой статье расскажем, какие бывают DDoS-атаки, приведём примеры самых крупных из них за последнее время и дадим полезные рекомендации, как противостоять DDoS и минимизировать риски.
Какие бывают DDoS-атаки
DDoS-атака (Distributed Denial of Service, распределенный отказ в обслуживании) — это кибератака, при которой злоумышленники перегружают сервер, сеть или онлайн-сервис, из-за чего они становятся недоступными для легитимных пользователей. Для этого используется много заражённых устройств, объединённых в ботнет, которые одновременно отправляют к цели огромное число запросов, истощая вычислительные ресурсы или объём каналов связи веб-сервиса.
Существует несколько основных видов DDoS-атак:
- Атаки, перегружающие интернет-канал, отправляют внушительный объем трафика, из-за чего сеть или инфраструктура сайта не могут справиться с нагрузкой. Примеры: UDP Flood, ICMP Flood.
- Атаки на слабые места сетевых протоколов используют особенности работы интернета и серверов, заставляя их тратить ресурсы впустую. Примеры: SYN Flood, Ping of Death.
- Атаки на веб-сайты и приложения имитируют активность пользователей (например, массовые заходы на страницы сайта или отправку тяжеловесных запросов), из-за чего сервер перегружается. Примеры: HTTP Flood, Slowloris.
DDoS-атаки могут использоваться для вымогательства, борьбы с конкурентами и в других целях. С каждым годом их масштабы растут, что заставляет искать новые способы защиты.
Количество устройств в используемых для атак ботнетах за год выросло в среднем с 7 до 35 тысяч, а максимально в России фиксировали атаку с 4,6 млн IP-адресов одновременно.
Успеть за 80 секунд
Расскажем про несколько знаковых кейсов. Крупнейшая DDoS-атака в мире мощностью 5,6 терабит в секунду состоялась 29 октября 2024 года. Она длилась 80 секунд и была направлена на то, чтобы нарушить работу интернет-провайдера в Восточной Азии. А примерно за месяц до того была атака чуть слабее, но тоже на тот момент рекордная — 3,8 терабит в секунду (длилась 65 секунд). Успешно справиться с ними помогли подключённые инструменты облачной защиты от одной из специализированных компаний.
Атаки становятся всё более короткими, поэтому человеку нецелесообразно на них реагировать, чтобы анализировать трафик и вручную смягчать удар. На адекватный разбор и ответ понадобятся десятки минут или даже часы, в то время как длительность описанных выше DDoS-атак измеряется секундами. Это говорит о важности постоянно работающей автоматизированной службы защиты.
Например, бизнес может подключить решение Anti-DDoS. Оно не требует участия специалистов ИБ-служб для отражения атак любой сложности и обеспечивает непрерывность бизнес-процессов, а также бесперебойную работу веб-ресурсов компании.
Действительно чёрная пятница
Поскольку задача DDoS-атаки — перегрузить сервер, сеть или онлайн-сервис, наиболее результативны подобные нападения в «Чёрную пятницу», когда и без того фиксируется большая пользовательская активность. Например, в 2024 году в даты акции в России рост таких атак составил 70% по сравнению с 2023 годом.
Об увеличении числа DDoS-атак также отчитывались крупнейшие российские маркетплейсы, например, Ozon. Компании успешно удалось отбиться. Но не все организации оказываются готовы к очень большому наплыву реальных и не очень пользователей. Так, в 2015 году пользователи Sony PlayStation не смогли подключиться к онлайн-платформе игровой консоли. В США и Европе не работали вход в учётную запись и многопользовательский режим. Из-за этого люди, которые хотели зарегистрировать новые консоли, не смогли этого сделать, что привело к сильному удару по репутации компании и прямым финансовым потерям.
Вывод: к «Чёрной пятнице» нужно готовиться не только маркетологам, логистам и дистрибьюторам, но и специалистам по информационной безопасности.
Главные жертвы DDoS-атак
Если говорить про успешные с точки зрения злоумышленников атаки в России за последнее время, то на общем фоне выделяется случай с нападением на ИТ-инфраструктуру российских судов в октябре 2024 года. В результате атаки вся система ГАС «Правосудие», интернет-сайты федеральных арбитражных судов на домене arbitr.ru и даже интернет-телефония арбитражных судов перестали работать. Частично восстановить систему и открыть ее для общего пользования удалось лишь через месяц. О том, какой именно была атака, в публичном поле не объявляли, но вероятен и комбинированный вариант, когда DDoS-атака сопровождается попытками взлома и проникновения в ИТ-инфраструктуру.
В целом, на фоне текущей геополитической ситуации государственным сервисам и крупному бизнесу сильно достаётся. В разное время целями DDoS-атак становились «Госуслуги» и РЖД, а Сбер в октябре 2024-го столкнулся с самой крупной атакой за всё время. Как сообщали в руководстве банка, мощность в 3-4 раза превышала предыдущие: нападение совершили квалифицированные хакеры, которые системно атакуют российские ресурсы.
В ситуации нет ничего удивительного. По cтатистике Curator, 40% DDoS-атак уровня L3-L4 приходится на финтех, а 36% — на электронную коммерцию (вспоминаем про «Чёрную пятницу»). На третьем месте с большим отрывом — сегмент медиа с долей 6%. Если говорить про атаки уровня L7, то здесь на финтех приходится и вовсе более половины всех атак.
В прошлом году Т1 Облако успешно отразил крупную атаку на свои ресурсы. Злоумышленники атаковали как сетевой и транспортный уровни (L3-L4), так и прикладной уровень (L7). Чтобы отбиться, команда использовала фильтрацию трафика, маршрутизацию через BGP community и сервис Anti-DDoS, что позволило быстро локализовать атаку и сохранять доступность ключевых сервисов на протяжении трёх часов, в течение которых длилось нападение.
Три совета против DDoS
Представленная статистика демонстрирует, компании из каких отраслей в первую очередь находятся под угрозой. Но это не значит, что бизнесу и организациям из остальных сфер экономики можно расслабиться. Вот три базовые вещи, которые помогут избежать проблем:
- Пользоваться защитой магистральных операторов связи — услугой фильтрации трафика. Это защищает от DDoS-атак на уровне L3-L4, но важно знать, что на более высоких уровнях метод не сработает.
- Подключать сервисы Anti-DDoS ко всем критически важным, доступным из сети ресурсам и внешним сервисам. Это обезопасит от атак уровня L7. Когда хакер или ботнет атакует ресурс, который стоит под защитой, весь его нелегитимный трафик прилетает не в облако, а в провайдера защиты Anti-DDoS. Там он проходит фильтрацию, а к клиенту по выделенному каналу поступает уже очищенный трафик.
- Диверсифицировать использование DNS-сервера, тем более что свои серверы DNS есть у любого российского интернет-провайдера. Не нужно пользоваться только DNS-серверами от Google и других зарубежных вендоров.
Эти и другие действия позволяют минимизировать риски и обеспечить доступность ИТ-инфраструктуры. Главное — понимать, что защита от DDoS должна быть не разовой мерой, а частью стратегического подхода к кибербезопасности. Хакеры наращивают свои возможности, стоимость DDoS-атак на «чёрном рынке» падает, но и инструменты противодействия совершенствуются. В этой гонке вооружений важно не оказаться безоружным.
© Т1 Облако, 2021–2025
г. Москва, пр-кт Ленинградский, д. 36 стр. 41, помещ. 22.
Команда выделенной технической поддержки на связи 24/7
по телефону +7 (495) 727-09-81 и почте support@t1.cloud