Как устранить DDoS-атаку: советы вебмастеру.

Сегодня сообщения об очередной DDoS-атаке на сайт уже никого не удивляют. Действительно, в последнее время подобные действия хакеров заметно участились. При этом DDoS-атаки не стали слабее, а, напротив, обрели большую мощность. Правда, цель таких атак осталась неизменной – вывести конкретный объект из своего рабочего состояния. Все это приводит к тому, что определенный сайт или группа ресурсов становятся недоступными для пользователей, что влечет за собой большие потери денежных средств, уменьшение количества клиентов, затраты на оборудование и восстановление рабочего состояния объекта. При этом больше всего достается коммерческим ресурсам, чья деятельность непременно связана с потоком финансовых средств: Интернет-магазинам, банкам, биржам, онлайн-казино и т.д. Проведение DDoS-атак на подобные сайты является серьезным испытанием для владельца ресурса. Даже 2-3 часа простоя нанесут существенный вред его репутации, а через неделю данный сайт, скорее всего, придется вновь поднимать с нуля. Часто вследствие проведения DDoS-атаки убытки платных и солидных сайтов составляют десятки тысяч долларов в день.
Любая DDoS-атака основывается на применении силы, потому как хакер пытается направить на определенный адрес максимально возможное количество запросов, которое сервер не сможет обработать. Все это приведет к существенной потере скорости или зависанию атакуемого объекта.
Принцип DDoS-атаки обусловлен ее названием. Например distributed означает «распространенная». Это действительно так, ведь ресурс, как правило, атакуют десятки или сотни тысяч ботов (зомби).
Откуда появляются зомби? Обычно ими выступают компьютеры или серверы, которые заражены вредоносной программой, вследствие чего они находятся под управлением хакера, выполняя его команды. Как правило, принцип создания зомби включает в себя использование экплоитов для операционной системы. Хакер может легко завладеть компьютером пользователя, когда он посещает сайты, получает письма по электронной почте либо устанавливает программы с содержащимися в них троянами. Количество компьютеров-зомби может быть очень большим. Порой процент заражаемости трафика составляет около 80 процентов, в результате чего спам рассылается в огромных количествах, порождая десятки тысяч зомбированных компьютеров. В зависимости от кода, который используется хакером для получения контроля над машиной, компьютер-зомби способен выполнять различные задачи. Все они направлены на выведение из строя сервера, который после проведения DDoS-атаки достаточно нелегко «поднять».
Как же можно бороться с DDoS-атаками, и кто должен это делать? По статистике в 98 процентах всех случаев устранять DDoS-атаки приходится вебмастеру, поскольку провайдеры предпочитают решением данной проблемы не заниматься. Именно поэтому, вебмастеру никогда не помешает знать, как бороться с DDoS-атакой на различных уровнях:
1. На уровне сервера.
Необходимо, чтобы у вашего сервера имелся вывод консоли на другой ip-адрес по ssh-протоколу и удаленный ребут. Это поможет вам быстро производить перезагрузку страниц, что очень необходимо на ранних стадиях проведения DDoS-атак. Очень часто ssh также подвергается атаке наравне с сервером, а потому вывод консоли поможет быстро и полностью его выключить. Так сервер будет доступен для администрации, что существенно улучшит ваше положение.
2. На уровне сервисов сервера.
Желательно, чтобы во всех сервисах машины отсутствовали известные «дыры». Решение этого вопроса избавит вас от множества неприятных проблем, связанных с DDoS-атаками.
3. На уровне сети.
Заблокируйте все, что позволит хакеру получить дополнительную информацию о вас. Сервер следует убрать под nat, а трейс и пинг необходимо заблокировать. Очень желательно спрятать ip-адрес. Кстати, данный метод применяется во многих профессиональных, коммерческих системах защиты от DDoS-атак.
4. На уровне провайдера.
В этом случае целесообразно проведение блокировки ip-адреса и анализа пакетов данных.
5. На уровне компьютера и программного обеспечения.
Рекомендуется использовать для защиты системы решения от известных фирм 3com, Cisco, nortel и т.д. Безусловно, подобные методы борьбы с DDoS-атаками являются недешевыми (от 10 тысяч долларов). К слову, комплексная защита от атаки может обойтись в 50-80 тысяч долларов. В основном подобные средства защиты функционируют на основе анализа пакетов данных и их фильтрации. В результате, нужные пакеты проходят на сервер, а сомнительные и опасные блокируются файерволом или роутером. Некоторые системы защиты от DDoS атак могут и вовсе скрыть ip-адрес сервера, и хакер не сможет найти его на просторах сети, а потому DDoS-атака не будет проведена.
6. На уровне администраторов сервера.
При помощи анализа логов файервола сервера можно увидеть, с каких ip-адресов производятся атаки. В этом случае целесообразно попробовать найти уязвимые рабочие станции. При определенных усилиях и доле везения можно отыскать и главный компьютер-зомби, а затем попытаться вывести его из строя посредством контратаки или другого метода. К слову, не следует забывать, что DDoS-атака может быть легко нейтрализована путем обычной смены ip-адреса, если действия компьютеров-зомби не контролируются вручную.
Очень часто вебмастер предпочитает комбинировать все вышеперечисленные варианты защиты сервера от DDoS-атаки, и это, безусловно, помогает. Правда, на этом методы борьбы с DDoS не заканчиваются, а потому даже в этой статье мне не удастся расписать их полностью. Однако хочется верить, что вышеперечисленная информация непременно поможет вам в борьбе с DDoS-атаками.