Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Как защитить сервера от DDOS-атак

1 апреля 2021

Сегодня вопрос обеспечения защиты серверов от DDOS-атак особенно актуален. Большая часть бизнеса построена именно на обработке данных и на предоставлении пользователям беспрепятственного доступа к сайту, веб-сервису, приложению или базам данных, расположенных на серверах. Чтобы нарушить работу бизнеса обычно применяется DDOS-атака. Это актуально не только для интернет-магазинов, которые в принципе не могут работать без сайта. Но и для многих других видов бизнеса, где поток клиентов и взаимосвязь с ними происходит удаленно онлайн. 

DDoS-атака дословно обозначает Distributed Denial of Service (множественная атака на систему). Конечная цель этого действия заключается в том, чтобы имитировать большую нагрузку на систему и заблокировать ее работу. Это как запустить на домашнем ноутбуке 1000 вкладок браузера одновременно. Вероятно, устройство зависнет. Так же происходит и с сервером, когда удалённо на него отправляется искусственный трафик в очень большом объеме. 

Для чего проводится DDoS атака

Существует несколько причин, по которым проводится DDoS-атака:

  1. Для блокировки работы веб-ресурса на некоторое время (для крупных интернет-проектов даже несколько минут сбоя чревато потерями в тысячи долларов);
  2. С целью отыскать уязвимые места и исправить их;
  3. Ограничить работу ресурса конкурента и переманить клиентов на свою сторону.

К сожалению, в 80% случаев DDoS-атаки осуществляются со стороны недоброжелателей бизнеса. Для этого есть целый нелегальный рынок, где можно заказать услуги подобной атаки на любой веб-ресурс. 

Однако успешно совершить DDoS-атаку получается далеко не всегда, так как уже существуют разные способы защититься от них. 

Какие бывают типы DDoS атак

Существует несколько основных типов подобных атак на веб-ресурсы:

  • HTTP-флуд и ping-флуд;
  • Smurf-атака (ICMP-флуд);
  • Атака Fraggle (UDP-флуд);
  • Атака с помощью переполнения пакетами SYN (SYN-флуд);
  • Отправка «тяжелых» запросов;
  • Переполнение сервера лог-файлами.

Тот или иной тип подбирается в соответствии с уровнем защиты веб-ресурса, а также с учетом цели, бюджета и мастерства исполнителя. 

Например, самые простые атаки совершаются через HTTP-запросы. Более сложными считаются разные виды флуда: SYN, UDP, ICMP, MAC и другие виды attack. 

Как работает защита от DDoS атак

Если описать вкратце, то защита от DoS и DDoS-атаки направлена на отсечение избыточного трафика, который направляется по тем или иным каналам. Самые простые средства защиты от DDoS-атак осуществляют фильтрацию трафика еще до того, как он попадет на обработку в сервер. При чем уязвимыми могут быть и простые хостинги, которые первыми принимают трафик расположенных на них сайтах. 

Есть несколько базовых методов защиты от подозрительного трафика:

  1. Применение брандмауэров с динамической проверкой пакетов;
  2. Установка экранов флуда;
  3. Ограничение количества SYN-ов за секунду;
  4. Работа с параметрами Timeout, KeepAliveTimeout, директивой Options в настройках веб-сервера.

Стоит рассмотреть отдельно способы защиты для атак разных уровней.

Защита на уровне сети L3-L4

Чаще всего на сетевом уровне происходят атаки L3-L4. На 3 и 4 уровне действуют такие протоколы, как IP, ICMP, ARP, RIP, а также TCP и UDP. Рациональными средствами защиты считается фильтрация DDoS-трафика. Этот метод больше известен как blackholing. Однако этот способ блокирует не только опасный трафик злоумышленников, но и попытки простых пользователей попасть на веб-ресурс. Поэтому в качестве альтернативы можно ограничить количество обрабатываемых запросов по протоколу ICMP. 

Защита на уровне приложения L5-L7

В некоторых случаях может потребоваться более серьезная защита канала трафика в реальном времени. 5-7 уровни атак предотвратить сложнее. И здесь важно не просто быстро реагировать на ситуацию, но и поддерживать программное обеспечение с актуальными обновлениями. Так как многие операционные системы и программные решения вендоров уже содержат встроенные инструменты блокировки DDoS-атак. Подобными решениями отличается Timeweb защита от DDoS, Cisco защита от DDoS и некоторые другие. 

Защита в реальном времени

Для обеспечения защиты от DDoS-атак в реальном времени важно применять разные инструменты, предлагаемые авторитетными разработчиками. Все зависит от операционной системы серверов и внедренных решений. Например, если в компании сервера основаны на решениях Cisco, то стоит доверить этой компании защиту от DDoS. У этой компании есть специальное ПО под названием Cisco DDoS Protection Solution. Также подойдут и смежные инструменты Cisco Guard и Detector. Подобные элементы позволяют контролировать трафик на всех уровнях и отсекать искусственную нагрузку злоумышленников. 

Подобные решения есть и у других вендоров наподобие CloudFlare, Comod, Wanguard и других. О них не стоит забывать, если речь идет о корпоративной и очень ценной инфраструктуре.

Тарифы на услуги с защитой от DDoS атак

Стоимость услуг на защиту серверов от атак варьируется от несколько сотен долларов до сотен тысяч долларов за разовую защиту или комплексную работу в режиме реального времени. В крупных компаниях за безопасность отвечают целые отделы, которые смежно используют дорогостоящие пакетные решения от вендоров, часть из которых упомянута выше. 

Защита от DDoS атак без переноса

Сегодня существуют решения для удаленной защиты ресурса от внешних атак посредством перегрузки. И это делается без переноса сайта и смены хостинга. Например, можно воспользоваться услугой подключения внешнего IP-адреса для перенаправления трафика злоумышленников. Подобное решение должно быть защищено WAF (Web Applications Firewall), а сам процесс защиты подразумевает фильтрацию трафика по HTTP-протоколу. 

С каждым годом появляются все новые способы защиты серверов от внешних угроз. С развитием серверного ПО усиливаются и методы работы злоумышленников, но и при грамотном подходе этого можно избежать. 

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

ТОП-5 ошибок при выборе сервера
Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг