Что такое DDoS-атаки и как от них защищаться бизнесу

DDoS атака — это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры компании и клиентских сервисов. Злоумышленники искусственно создают лавинообразный рост запросов к онлайн-ресурсу, чтобы увеличить на него нагрузку и вывести его из строя.

Таким атакам подвержены все организации, чье взаимодействие с пользователями и потребителями происходит через веб-ресурсы: онлайн-ретейл и маркетплейсы, финансовый сектор, госуслуги, телеком, онлайн-обучение, сервисы доставки, социальные сети, мессенджеры, видеоконферцсвязь.

Кроме сайтов хакеры могут атаковать, например, номер телефона. В этом случае на телефон будет поступать много спам-звонков, чтобы телефонная линия была занята для обычных пользователей. Этот вид атаки характерен для небольших бизнесов, связанных с онлайн-доставкой готовой еды, вызовом такси и так далее.

Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов. Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.

Схематическое изображение ботнет-сети (Фото: Cloudflare)

«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.

По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.

Как распознать DDoS-атаку

Вот несколько признаков, которые могут помочь обнаружить DDoS-атаку:

• подозрительные объемы трафика с одного или нескольких IP-адресов;

• большой поток трафика от пользователей, у которых общий поведенческий профиль, такой как тип устройства, геолокация или версия веб-браузера;

• необъяснимый всплеск запросов к отдельной странице;

• необычный трафик, например резкий рост в ночное время.

Среди методов, которые можно применять, чтобы распознать DDoS-атаку:

• использование системы для мониторинга сети и анализа трафика, чтобы заметить необычные паттерны;

• анализ источников трафика, чтобы определить, идет ли он с обычных или подозрительных адресов;

• использование программного обеспечения для автоматического обнаружения аномалий и подозрительного поведения в сети.

Злоумышленники используют DDoS-атаки по нескольким причинам:

• Чтобы остановить работу какого-то сервиса, например, сорвать онлайн-занятия или экзамены.
• Для вымогательства. «Хакеры рассылают организациям по всему миру письма с требованием выкупа в биткоинах и угрожают мощной и продолжительной DDoS-атакой в случае неуплаты», — рассказал менеджер проекта Kaspersky DDoS Protection Алексей Киселев.
• Как инструмент борьбы с конкурентами. Чаще всего их заказывают владельцы нелегальных бизнесов, так как их конкуренты не станут обращаться в полицию, а также мелкие нишевые легальные бизнесы, которые хотят слегка улучшить свою позицию на рынке;
• Для отвлечения внимания, чтобы на фоне атаки внедрить вирусы-шифровальщики и/или украсть корпоративную информацию.

Цель злоумышленников — вывести из строя онлайн-ресурс и сделать его недоступным для конечного пользователя.

Эти действия несут две угрозы для коммерческого сектора:

1. потеря прибыли;
2. репутационные издержки.

Ежегодно количество DDoS-атак растет. В 2023 году, по данным сервиса, специализирующегося на защите от DDoS-атак Cloudflare число запросов за секунду превысило 201 млн. Это в семь раз больше, чем в 2022 году (Фото: Cloudflare)

Читайте также: Десять самых громких кибератак XXI века

Основной способ защиты — фильтрация трафика на основе его содержимого, IP-адресов и других параметров. Реализовать его можно двумя путями:

1. Установить собственный сервер и программное обеспечение. Такой подход позволяет не зависеть от третьих лиц и полностью контролировать свою инфраструктуру, настраивая все под собственные нужды. «Установленное оборудование позволяет анализировать все сетевые обращения к сервису и отсеивать подозрительные запросы», — объясняет Цыпко.
2. Приобрести защиту от DDoS в виде услуги у сторонней компании. Этот путь дает возможность снизить издержки на обслуживание своего оборудования, снимает необходимость в найме профильных специалистов безопасности внутри компании. Внешние услуги по анти-DDoS можно в любой момент как подключить, так и отключить. Этот способ защиты набрал наибольшую популярность за последние 5 лет. Подобные услуги предлагают, например, большинство провайдеров (хостинг, интернет) или профильные организации.

Атаки могут возникать из-за уязвимостей в системных компонентах организации, поэтому необходимо регулярно следить за обновлением системы.

Также компаниям необходимо убедиться, что корпоративные веб-сайты и IT-ресурсы в состоянии обрабатывать большое количество трафика.

Недавние примеры DDoS-атак:

• В начале 2022 года после начала специальной военной операции DDoS-атакам подверглись крупные российские СМИ, среди которых были «Лента.ру», «РИА Новости», ТАСС, РБК и другие.

• 20 июня 2024 года была зафиксирована попытка DDoS-атаки на Национальную систему платежных карт (НСПК, оператор карт «Мир»), из-за чего в работе НСПК произошел кратковременный сбой.

• 24 июля 2024 года банк ВТБ сообщил о массированной DDoS-атаке на российские банки из-за рубежа. В работе мобильных приложений ВТБ, Росбанка, Альфа-банка и Газпромбанка произошел сбой.

Больше всего DDoS-атак исходит из Китая и США. На графике представлена статистика по кварталам (Фото: Cloudflare)

Какой вариант защиты выбрать

1. Если необходимо защитить свой веб-сайт, который размещен на площадке хостинг-провайдера, то проще всего запросить у него варианты защиты, которые он может предложить. «Выбирать стоит варианты защиты на основе зарекомендовавших себя решений третьих компаний, потому что реализовать качественную защиту средствами только самого хостинг-провайдера невозможно», — утверждает Алексей Киселев. Можно, конечно, купить лицензию или услугу защиты от DDoS-атак непосредственно у вендора решения. Правда, в этом случае могут потребоваться дополнительные согласования с хостинг-провайдером на этапе подключения к решению.
2. Для защиты веб-ресурсов, размещенных на собственной площадке клиента, необходимо выбрать вендора решения (например, Arbor Networks, Radware, Fortinet и так далее), согласовать с ним процедуру подключения, возможно, договориться о пилотировании решения и по результатам опытной эксплуатации решения уже принять решение о покупке постоянной защиты.
3. Крупным организациям следует рассматривать решения, которые могут перенаправлять весь интернет-трафик на центры очистки от ложных запросов. Такие центры предлагают защитные решения. Если кратковременная недоступность ресурсов для компании приемлема, то для защиты можно использовать решения, которые перенаправляют трафик в центры очистки только в случае DDoS-атаки.

«Во всех трех случаях не стоит полагаться только на защиту, предлагаемую интернет-провайдерами. Как правило, они сосредоточены на защите от DDoS-атак собственной инфраструктуры. Это не полноценный клиентский сервис, при в первую очередь важно обеспечить доступность ресурсов клиента», — подчеркнул Киселев.

Сервис, специализирующийся на защите от DDoS-атак и сетевой безопасности, Cloudflare сообщил, что в IV квартале 2023 года число DDoS-атак по сравнению с аналогичным периодом 2022 года выросло на 117%. Больше всего страдают онлайн-ретейл и медиа-сервисы.

Кроме того, чаще обычного атакам подвергались веб-сайты Тайваня на фоне выборов президента страны и сообщений о напряженных отношений с Китаем, палестинские сайты из-за военного конфликта между Израилем и ХАМАСом, а также сайты экологических организаций в период 28-й конференции ООН по изменению климата.

«Действия за DDoS-атаки квалифицируются по общим нормам о преступлениях в сфере компьютерной информации: это ст. 272 УК РФ (Неправомерный доступ к компьютерной информации) и ст. 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ)», — рассказал управляющий партнер петербургского офиса коллегии адвокатов Pen & Paper Алексей Добрынин.

Максимальное наказание за совершение таких преступлений — до семи лет реального лишения свободы. В большинстве случаев суд назначает условное наказание или штраф. Размер штрафа может доходить до ₽500 тыс., также хакер обязан возместить причиненный ущерб, который обычно является очень существенным. «Молодой человек, осужденный в 2014 году за DDoS-атаку на сайт Тинькофф-банка, был приговорен к условному сроку и штрафу в ₽20 тыс. В то же время сумма исков от потерпевших превысила ₽11 млн», — привел пример Добрынин.

В России, в отличие от США и европейских стран, количество возбужденных уголовных дел по фактам DDoS-атак очень низкое. «Выявить и раскрыть подобные преступления очень сложно. Сотрудники правоохранительных органов в России просто не обладают необходимой квалификацией в сфере компьютерных технологий. Расследования DDoS-атак могут эффективно проводиться только с постоянным сопровождением и помощью независимых IT-компаний, специализирующихся на компьютерной безопасности. Однако система такого взаимодействия в РФ пока не налажена», — объяснил Добрынин.