- Безопасность, идентификация и соответствие требованиям›
- AWS Shield›
- Защита от DDoS-атак
Что такое DDOS-атаки?
Методы защиты и предотвращения атак с использованием сервиса защиты от атак типа «распределенный отказ в обслуживании» (DDoS), а также брандмауэра веб-доступа (WAF) и сети доставки контента (CDN)
Что такое DDoS-атака?
Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.
В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.
Модель взаимодействия открытых систем (OSI)
|
#
|
Layer
|
Application
|
Description
|
Vector Example
|
|---|---|---|---|---|
|
7
|
Приложение
|
Данные
|
Сетевой процесс в адрес приложения
|
флуд DNS-запросов, HTTP-флуд
|
|
6
|
Представление
|
Данные
|
Представление и шифрование данных
|
SSL-нарушение
|
|
5
|
Сеанс
|
Данные
|
Сеанс связи между хостами
|
Н/Д
|
|
4
|
Транспортный
|
Сегменты
|
Связь между конечными пунктами и надежность
|
SYN-флуд
|
|
3
|
Сетевой
|
Пакеты
|
Определение маршрута и логическая адресация
|
Атаки с отражением UDP-пакетов
|
|
2
|
Канальный
|
Кадры
|
Физическая адресация
|
Н/Д
|
|
1
|
Физический
|
Биты
|
Среда передачи, сигнал и двоичные данные
|
Н/Д
|
Классификация DDoS-атак
Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).
Атаки уровня приложения
К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC Wordpress (также известные как атаки Wordpress Pingback).
Атаки уровня инфраструктуры
К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.
Методы защиты от DDoS-атак
Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях это можно сделать, разместив вычислительные ресурсы в сетях распространения контента (CDN) или балансировщиках нагрузки и ограничив прямой интернет-трафик определенными частями инфраструктуры, например серверами баз данных. В других случаях вы можете использовать брандмауэры или списки контроля доступа (ACL) для управления трафиком, поступающим в ваши приложения.
Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.
Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Кроме того, веб-приложения могут пойти еще дальше, используя сети распространения контента (CDN) и интеллектуальные службы разрешения DNS, которые предоставляют дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые часто находятся ближе к конечным пользователям.
Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно сделать, работая на больших вычислительных ресурсах или на вычислительных ресурсах с такими функциями, как расширенные сетевые интерфейсы или улучшенная сеть, поддерживающая большие объемы. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.
Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.
Рекомендуется использовать брандмауэр веб-приложений (WAF) против атак, таких как SQL-инъекция или подделка межсайтовых запросов, которые направлены на использование уязвимости в самом приложении. Кроме того, учитывая уникальный характер этих атак, вы сможете легко создавать собственные средства защиты от незаконных запросов, которые могут иметь такие характеристики, как маскировка под хороший трафик или исходящие с плохих IP-адресов, неожиданные географические регионы и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Готовы начать?
1
Зарегистрировать аккаунт AWS
На аккаунт будет распространяться уровень бесплатного пользования AWS, который позволяет получить практический опыт работы с платформой, продуктами и сервисами AWS бесплатно.
2
Учитесь с помощью предварительно сконфигурированного шаблона и пошаговых руководств
Экспериментируйте и учитесь обеспечивать защиту от DDoS-атак на AWS с помощью пошаговых руководств.
3
Настройте защиту от DDoS-атак на AWS
Защита AWS Shield Standard предоставляется всем клиентам бесплатно.