Защита сайта от DDoS атак. 12 способов противодействия.

защита от ddos атак

DDoS расшифровывается как Distributed denial of service, что в переводе означает «Распределённая атака типа «отказ в обслуживании»». Количество таких атак растёт, и хотя они больше квалифицируются как мелкая неприятность, нежели серьёзная угроза, они могут вывести из строя сайты различных компаний и заставить IT-специалистов разбираться с существующей угрозой.

Угрозы в виде DDoS-атак могут привести к серьёзным последствиям, если они происходят (к примеру) во время чрезвычайных ситуаций, так что абсолютно всем организациям нужно быть готовым к подобным вещам.

Степень опасности DDoS атак и методы борьбы с ними кардинально отличаются от других угроз безопасности. Сайты организаций могут иметь сложнейшую систему безопасности, но всё ещё быть уязвимыми для DDoS атак, т.к. подобного рода угрозы по существу блокируют весь трафик. В таких случаях должен быть найден альтернативный метод борьбы с подобной угрозой и способы уменьшить потенциальный ежедневный риск.

Большинство учреждений не смогут без особых усилий справиться с начавшейся DDoS атакой. Но они способны найти способ избежать последствий атаки. Мы же предоставим несколько идей о том, как повысить уровень безопасности вашего сайта при возникновении подобных проблем.

12 Приемов защититься от DDoS атаки:

статистика

1. Попросите провайдера изменить лимит трафика, проходящий через канал соединения с интернетом каждого отдельно взятого пользователя. Возможно, некоторые будут против такого решения, но данный способ поможет обнаружить заражённую компьютерную единицу в случае того, если этот компьютер будет потреблять больше трафика, чем он обычно. Возможно, это потребует больших усилий и чётко скоординированных действий, но подобный способ основан на лучших решениях в данной области.

2. Попробуйте заставить ISP быть более ответственным и продвинутым. Подобная цель является превосходным решением, но также является и очень трудной задачей. Возможно, настало время изменить правила мониторинга, с пониманием того, что ISP будет отключен от соседних сетей при условии, что провайдер будет уделять недостаточно внимания своей безопасности. Подобные решения в любом случае приведут к мелким междоусобным конфликтам, так что данный вопрос должен быть предварительно обговорён со всеми участвующими сторонами.

3. Критически важные для работы бизнеса системы должны быть разработаны с учётом возможного излишка данных, а также быть устойчивыми к внешним воздействиям. Подобные правила включают в себя возможность наличия запасного сервера — к примеру, наличие дополнительных баз данных и сервера, где хранится копия всего портала, но этот сервер будет скрыт от посторонних глаз и иметь другие IP-адреса.

4. Список отзыва сертификатов (CRL) должен быть создан для того, чтобы отслеживать сертификаты, которые были просрочены и более не действуют. Любому (будь то программа, или же человек), предоставившему подобный сертификат, больше не будут доверять. Альтернативой ему является сетевой протокол статус сертификата или Online Certificate Status Protocol (OCSP), используемый для обнаружения аннулированных цифровых сертификатов типа X.509.

Необходимость работы с подобными сервисами заключается в том, что просроченные сертификаты могут быть использованы для установления связи злоумышленниками и получения возможности начать один из видов DoS-атаки на саму инфраструктуру открытых ключей. На данный момент ведётся множество обсуждений на тему поиска решений для веб-браузеров, которые помогли бы решить данную проблему. Организациям государственного и публичного сектора не мешало бы следить за новостями в данной теме, и возможно, у них найдутся идеи, как улучшить безопасность своих сайтов.

security-ddos5. Рассмотрите вариант установки Системы Обнаружения Вторжений, которая также включает в себя возможность блокировки определённых портов, протоколов и т.п. Подобные продукты существуют давно, но с течением времени появляется всё больше и больше новых систем защиты против угроз безопасности веб-сайтов в сети интернет. В большинстве случаев они просто перехватывают передаваемые пакеты данных в беспорядочном режиме и сообщают об обнаруженных аномалиях.

Система IPS может блокировать или перенаправлять трафик в зависимости от того, что именно было обнаружено. Несмотря на то, что на данный момент всё ещё трудно выявить быстро передающийся и неопознанный пакет трафика, подобные решения позволяют предотвратить попадание большого объёма трафика в определённые части сети.

6. Помните, что при ведении бизнеса нельзя ограничиваться лишь одним из существующих видов связи (наземная линия, беспроводная сеть, интернет). Тактика непрерывности бизнес-процессов должна включать в себя использование всех трёх типов подключений к сети интернет.

7. Берите под контроль ситуации, при которых цифровые системы связи могут быть полностью отключены. Разработали запасной план связи с клиентами при возникновении непредвиденных ситуаций? Подключите другие доступные каналы связи и удостоверьтесь в том, что ваши коллеги и клиенты знают, как при необходимости можно немедленно подключиться к резервному серверу.

8. Передача пакета данных с малым объёмом имеет больше шансов дойти до адресата, чем передача данных в режиме реального времени. Если вдруг ваша система не сможет работать в штатном режиме, исследуйте возможности ваших резервных серверов, — смогут ли они передавать короткие автономные сообщения и распознает ли их различная правительственная или частная техника. К примеру, сможет ли светофор переключиться с зеленого на красный цвет, или же ваша система дать команду гидроэлектростанции на открытие или закрытие клапанов, отвечающих за движение воды.

komiks

9. Электронная почта и обмен текстовыми сообщениями являются одним из альтернативных вариантов связи. Они не используют много трафика (по крайней мере до того момента, пока в письма не добавляют дополнительные файлы в виде документов или же архивов) и в большинстве случаев имеется возможность добавить их в очередь. Это значит, что подобного рода сообщения будут автоматически доставлены адресату при появлении стабильно работающего канала связи.

10. Блокировка доступа (Blackholing) является одним из лучших решений, но временным. При использовании такого подхода, весь трафик — включая даже легальный деловой оборот информации, -уходит в никуда. Данное решение полностью закрывает доступ к ресурсу (что не очень радует), но предотвращает проникновение большого объёма трафика и аннулирует огромное количество запросов, которые могут навредить и другим сайтам. Конечно же, лучше всего избегать подобных мер, но, тем не менее, порой бывает так, что они действительно необходимы.

11. Обзаводитесь скрытым форумом, доступ к которому имеют лишь служащие. Он может послужить местом встречи в сети, где вы можете обговорить определённые вопросы, в то время как доступ ко всему остальному закрыт.

12. Настройте брандмауэры и другое фильтрующее трафик ПО на блокировку доступа через неразрешённые порты и протоколы.

Сами по себе ни один из вариантов выше не смогут полностью избавить сайты государственных  организаций от последствий DDoS атаки во время возникновения чрезвычайных ситуаций. Но тем не менее, вместе они помогут уменьшить риск, подскажут владельцам сайтов, как разобраться с возникшей ситуацией, увеличат ваши знания по данному вопросу и помогут развить дискуссию, посвященную поиску альтернативных способов работы их сайтов. Гораздо сложнее добиться ответственности от региональных провайдеров сети интернет. Это очень сложный вопрос, но оставить данную тему без внимания никак нельзя.

29
Июн

Вверх