Украинский хостинг: как защититься от DDoS-атак

Как защититься от атак DDoS, какие шаги можно предпринять? В первую очередь, не надо откладывать это на потом.

Украинский хостинг: как защититься от DDoS-атак

Как украинский хостинг защищается от DDoS-атак

Как можно защититься от DDoS-атак?

Определенные меры необходимо принимать во внимание во время настройки сети, запуске серверов и развертывании программного обеспечения. Каждое следующее изменение не должно повышать уязвимость от атак DDoS.

  • Безопасность программного кода. При написании программного обеспечения во внимание должны приниматься соображения безопасности. Желательно следовать стандартам безопасного кодирования, а также тщательно тестировать ПО, дабы избежать типовых уязвимостей и ошибок, таких как SQL-инъекции и межсайтовые скрипты.
  • Создайте план действий при обновлении ПО. У вас всегда должна быть возможность отката в случае, если что-либо пойдет не так.
  • Всегда обновляйте программное обеспечение. В случае если накатить апдейты удалось, однако при этом возникли проблемы, смотрите пункт 2.
  • Не забывайте также про ограничение доступа. Аккаунты admin должны быть защищены сильными и постоянно сменяемыми паролями. Также нужен периодический аудит прав доступа, своевременное удаление аккаунтов всех уволившихся работников.
  • Интерфейс администратора должен быть доступен исключительно из внутренней сети, либо через VPN. Всегда своевременно закрывайте доступ VPN для уволившихся и уволенных работников.
  • Включите ликвидацию последствий атак DDoS в план аварийного восстановления. Такой план должен предусматривать методы обнаружения факта такой атаки, верные контакты для связи с хостинг провайдером, а также дерево эскалации проблемы для каждого отдельного департамента.
  • Сканирование на наличие различных уязвимостей поможет обнаружить проблемы в вашей инфраструктуре и ПО, сократить риски. Простой тест OWASP Top 10 Vulnerability обнаружит самые критичные проблемы. Также полезными будут тесты на проникновение, которые помогут найти самые слабые места.
  • Аппаратные инструменты защиты от атак DDoS могут быть недешевы. В случае если ваш бюджет подобного не предусматривает, есть отличная альтернатива – защита от атак по требованию. Данную услугу можно активировать сменой схемы маршрутизации трафика в любой экстренной ситуации, или же находится под надежной защитой постоянно.
  • Применяйте CDN-партнера. Сети доставки контента сегодня позволяют доставлять контент веб-сайта при помощи распределенной сети. Трафик распределяется по целому ряду серверов, сокращается задержка при доступе пользователей, в частности географически удаленных. Хотя главное преимущество CDN – скорость, она также служит специальным барьером между главным сервером и всеми пользователями.
  • Пользуйтесь Web Application Firewall – файрволом для веб-программ. Он мониторит весь трафик между сайтом или программой и веб-браузером, проверяя таким образом легитимность запросов. Работая на уровне программ, WAF способен выявлять разные атаки по хранимым шаблонам, а также выявлять любое необычное поведение. Атаки на уровне программ нередки в онлайн-коммерции. Как и в случае CDN, можно использовать сервисы WAF в облаке. Тем не менее, настройка правил требует определенного опыта. В идеале же защитой WAF должны быть обеспечены все главные программы.

Украинский хостинг: как защититься от DDoS-атак

Защита DNS

А как можно защитить инфраструктуру DNS от атак DDoS? Обычные файрволы здесь не помогут. Они бессильны против комплексной атаки DDoS на DNS. Брандмауэры и специальные системы предотвращения любых вторжений сами уязвимы для атак DDoS.

На выручку здесь могут прийти так называемые облачные сервисы для очистки трафика. Последний направляется в определенный центр, в котором проверяется и перенаправляется назад по назначению. Такие услуги очень полезны для TCP-трафика.

Те, кто самостоятельно управляют собственной инфраструктурой DNS, могут принять следующие меры для ослабления последствий атак.

  • Мониторинг серверов DNS на предмет подозрительной деятельности — это первый шаг в деле защиты DNS. Платные решения DNS, а также продукты с открытым исходным кодом, как BIND, предоставляют подробную статистику в реальном времени, которую использовать можно для поиска атак DDoS. Мониторинг атак может быть довольно ресурсоемкой задачей. Желательно создать какой-то базовый профиль инфраструктуры при обычных условиях работы и потом время от времени обновлять его по мере развития инфраструктуры, а также смены шаблонов трафика.
  • Вспомогательные ресурсы сервера DNS помогут справиться с небольшими атаками благодаря избыточности инфраструктуры DNS. Сетевых ресурсов и ресурсов сервера должно хватать не обработку множества запросов. Разумеется, избыточность стоит определенных денег. Вы платите за сетевые и серверные ресурсы, которые, как правило, не применяются в обычных условиях. И при существенном запасе мощности данный подход вряд ли будет очень эффективным.
  • Включение DNS Response Rate Limiting сократит вероятность того, что ваш сервер будет задействован в специальной атаке DDoS Reflection – снизится скорость его реакции на повторные запросы. Response Rate Limiting поддерживают довольно многие реализации DNS.
  • Применяйте конфигурации высокой доступности. От DDoS-атак можно защититься при помощи развертывания DNS-службы на сервере высокой доступности. В случае если в результате атаки упадет один физический сервер, то служба DNS может быть восстановлена на специальном резервном сервере.

Оптимальным вариантом защиты DNS от атак DDoS будет применение географически распределенной сети под названием Anycast. Распределенные сети DNS бывают реализованы при помощи двух разных подходов: адресации Unicast, либо Anycast. Первый подход гораздо проще реализовать, однако второй намного более устойчив к атакам DDoS.

В случае Unicast каждый из DNS-серверов вашей организации получает уникальный адрес IP. DNS поддерживает таблицу серверов DNS вашего домена и соответствующих адресов IP. Когда пользователь вводит определенный URL, для выполнения запроса выбирается один из адресов IP в случайном порядке.

В случае Anycast различные серверы DNS применяют общий адрес IP. Во время ввода пользователем URL возвращается коллективный адрес DNS-серверов. Сеть IP маршрутизирует данный запрос на самый ближайший сервер.

В плане безопасности Anycast предоставляет гораздо большие преимущества перед Unicast. Unicast предоставляет адреса IP отдельных серверов, в связи с чем нападавшие могут инициировать атаки на конкретные виртуальные машины и физические серверы, и, когда исчерпаны ресурсы данной системы, происходит полный отказ службы. Anycast может помочь несколько смягчить атаки DDoS посредством распределения запросов между всей группой серверов.

Также Anycast полезно применять для изоляции последствий такой атаки.

Украинский хостинг: как защититься от DDoS-атак

Провайдерские инструменты защиты от DDoS

Проектирование, развертывание и использование глобальной сети Anycast требует денег, времени и ноу-хау. Подавляющее большинство ИТ-компаний не располагают для этого финансами и специалистами. Можно доверить обеспечение нормальной работы инфраструктуры DNS-провайдеру. Они имеют все необходимые знания для надежной защиты DNS от атак DDoS.

Поставщики услуг Managed DNS используют крупномасштабные сети Anycast и имеют точки присутствия по всей планете. Специалисты по безопасности сети выполняют мониторинг сети в круглосуточном режиме без выходных и используют особые инструменты для смягчения последствий атак DDoS.

Услуги защиты от атак предлагает также виртуальный украинский хостинг. Подробный анализ сетевого трафика выполняется в круглосуточном режиме, поэтому ваш веб-ресурс будет в безопасности. Данная защита может выдержать достаточно мощные атаки — примерно до 1500 Гбит/сек. При этом оплачивается трафик.

Еще один хороший вариант – это защита адресов IP.

Провайдер помещает адрес IP, который клиент подобрал в качестве защищаемого, в сеть-анализатор. Во время атаки трафик к клиенту специально сопоставляется с уже известными шаблонами атак. В итоге клиент получает исключительно чистый и отфильтрованный трафик. Поэтому, пользователи сайта могут даже не узнать, что на него предпринята была атака.

Для организации подобного создается распределенная сеть особых фильтрующих узлов таким образом, чтобы для каждой такой атаки можно было легко выбрать самый близкий узел и сократить задержку во время передачи трафика.

Итогом применения сервисов защиты от атак DDoS будет своевременное обнаружение, а также предотвращение атак, непрерывность и стабильность работы веб-ресурса и его постоянная доступность для всех пользователей, минимизация репутационных и финансовых потерь от простоев веб-портала.


Оставить комментарий



Хостинг с отличным саппортом — HOSTiQ