DDoS-атаки проводять, коли хочуть, щоб сайт тимчасово перестав працювати або став гальмувати. Це популярний спосіб паралізувати роботу онлайн-бізнесу: поки сайт недоступний, відвідувачі йдуть купувати до конкурентів або чекають, щоб зайти до себе в обліковий запис. В результаті бізнес втрачає гроші та репутацію. Розбираємось, як влаштовані DDoS-атаки та як від них захиститися.
Що таке DDoS-атака
DDoS це окремий випадок DoS. Стисло введемо в курс справи, якщо ви не знаєте, що це.
DoS означає Denial of Service, українською — відмова в обслуговуванні. Це мережева атака, в ході якої зловмисник намагається так сильно навантажити сайт, щоб він почав сильно гальмувати або став недоступним для звичайних клієнтів. Іншими словами, атака, під час якої сайт повинен «відмовити в обслуговуванні».
А DDoS — це коли сайт атакують не з одного пристрою, а відразу з тисячі. Чим більше пристроїв, тим більше навантаження на сервер і вища ймовірність зробити сайт недоступним.
Брати участь в атаці можуть бути будь-які пристрої, які підключаються до інтернету та вміють відправляти запити: смартфони, смарт-годинники, побутова техніка, сервери хостингу.
Але знайти та організувати тисячу охочих провести атаку важко. Набагато простіше перетворити комп’ютери звичайних людей на зомбі та керувати ними здалеку. Зазвичай це роблять із допомогою вірусів.
Такі віруси не вимагають нічого від користувача та не видають себе, тому власник пристрою може навіть не підозрювати, що бере участь в атаці. Їх можуть вбудувати в програму для активації Windows, піратську копію гри або програми з торентів, неофіційну прошивку смартфона.
Як влаштовані атаки
Різновидів DDoS-атак багато, але умовно вони поділяються на два типи: атаки на мережеву та програмну частину сервера.
Під час атаки на мережу зловмисник намагається перевантажити канал зв’язку сервера. Канал зв’язку відповідає обсяг даних, який сервер здатний прийняти. Коли даних занадто багато, сервер не встигає їх обробляти і для відвідувачів сайт перестає відкриватися.
Припустимо, канал сервера може прийняти 1 Гб трафіку чи 10 000 користувачів одночасно. Завдання зловмисника — подолати цей бар’єр і робити це якнайдовше, щоб реальні користувачі не могли прорватися на сайт.
Під час атаки на програмну частину зловмисник намагається вичерпати якийсь із ресурсів сервера: потужність процесора, оперативну пам’ять, допустиму кількість процесів чи підключень до бази даних. Коли якийсь із ресурсів закінчується, сервер починає гальмувати чи зависає.
Сервер використовує якийсь із ресурсів щоразу, коли відвідувач здійснює на сайті якусь дію. Наприклад, коли відвідувач вводить деталі входу до облікового запису, сервер перевіряє їх і надсилає у відповідь наступну сторінку або показує помилку.
Для відповіді на різні запити потрібна різна кількість ресурсів. Завдання зловмисника — знайти запит, на який сервер витрачає максимум ресурсів, а потім закидати його їм, доки той не відключиться.
Як влаштувати DDoS
Теоретично можна спробувати атакувати сайт самому, але змусити сайт відмовити в обслуговуванні буде складно.
Шанси на успіх будуть лише у разі атаки на програмну частину сервера. Але для цього атакуючий повинен розуміти, як влаштований хостинг та програми зсередини. Без цих знань не вдасться знайти запити, які потребують багато ресурсів.
Атаку на мережеву частину сервера провести простіше, але робити це безглуздо. Канали зв’язку більшості хостинг-провайдерів витримують набагато більше трафіку, аніж здатен згенерувати один комп’ютер. Плюс грамотний системний адміністратор легко виявить сміттєвий трафік та відфільтрує його.
Більш популярний варіант — замовити атаку в інтернеті. За запитом «замовити DDoS» Google показує цілу купу сайтів, які пропонують будь-які типи атак. Але коштуватиме атака дорого. При цьому незрозуміло, чи атака буде ефективною, гарантій ніхто не дає.
Вартість послуг на одному із сайтів
Навіщо атакують сайти
Недоступність сайту завдає онлайн-бізнесу збитків. Більшість людей не розбиратиметься, чому сайт не відкривається або завантажується нескінченно. Простіше закрити його та пошукати товар в іншому інтернет-магазині. Особливо у дні великих акцій на зразок Чорної п’ятниці, коли через неквапливість можна залишитися без знижки.
Атака може позначитися як на виручці, так і на SEO. Якщо в момент недоступності сайту на якусь із сторінок прийде пошуковий бот, він виключить цю сторінку з пошукової видачі. Тому що пошуковикам немає сенсу показувати сторінки, які не працюють.
Це не означає, що сторінка зникне з результатів пошуку назавжди. З часом бот повернеться на неї та проіндексує знову, якщо цього разу вона буде доступна. Можна навіть знайти такі сторінки та відправити на переіндексацію вручну, просто на це доведеться витратити час. Особливо, якщо на сайті сотні сторінок.
Окрім конкурентів атакувати сайт можуть здирники. Вони зв’язуються з власником і вимагають заплатити за припинення атаки. Краще, звичайно, не платити, а зв’язатися з хостинг-провайдерами та разом з ними знайти спосіб впоратися з атакою.
Іноді трапляються ситуації, коли сайт починає гальмувати або стає недоступним, хоча його не атакують. Таке буває, якщо вебсайт зберігається на віртуальному хостингу. У користувачів такого хостингу є спільні ресурси, тому якщо під час атаки якийсь із них повністю витрачено, це торкнеться всіх сайтів.
У таких ситуаціях хостинг-провайдер може тимчасово відключити сайт, який атакують, щоб не порушувати роботу інших клієнтів.
Як захиститися від DDoS-атаки
На сервері без захисту відбити грамотно сплановану DDoS буде складно. На пошук рішення потрібен час, але якщо атака виявиться досить потужною, сервер буде гальмувати, а може взагалі зависнути. Тому подбати про захист краще заздалегідь.
Захист надають спеціальні компанії. Принцип його роботи нагадує фільтр: сайт підключають до серверів провайдера захисту, після чого весь трафік спочатку проходить через них, підозрілі запити відсіваються, а на сайт потрапляють тільки безпечні.
Базовий захист коштує $20 на місяць. Його можна купити у CloudFlare. Він захистить лише від найпоширеніших видів атак. Такий варіант підійде невеликим сайтам, яких ще не атакували або атаки були слабкими.
Мінус у тому, що при атаці навіть середньої потужності такого захисту може не вистачити і робота сайту порушиться.
Середній захист коштує близько $200 доларів на місяць. На нього можна перейти, якщо базовий тариф не підійшов. Такий захист врятує від більшості видів атак і ви матимете більше можливостей налаштування фільтрів на стороні провайдера.
Навіть якщо атака виявиться потужною, захист візьме на себе більшу частину навантаження. Через це сайт може залишатися працездатним, хоча без захисту давно б перестав відкриватися. Це дасть системним адміністраторам можливість вжити заходів зі свого боку.
Повноцінний захист від DDoS-атак будь-якого типу та потужності коштує від $1000 на місяць. Його надають великі компанії на зразок DataDome або Sucuri. Вартість може бути й вищою, тому що її часто розраховують індивідуально, виходячи з розміру сайту.
Такий захист підійде, якщо сайт працює на декількох виділених серверах і в минулому його вже доводили до відмови. Головне — оцінити збитки від простою. При регулярній недоступності вони можуть виявитися більшими, ніж вартість захисту.
А який захист ви використовуєте? Розкажіть про свій досвід боротьби з DDoS-атаками у коментарях.