DDoS-атаки: скрытая угроза
Интернет-торговля в России развивается стремительными темпами. Обороты магазинов растут, растет и количество рисков для онлайн-бизнеса. DDoS-атаки — самый доступный и безопасный для злоумышленника способ "отключить" тот или иной сайт. Кто и зачем совершает атаки на интернет-магазины? Как этому противостоять? Попробуем с этим разобраться.
Прежде всего, нужно прояснить, что же такое DDoS-атака. Существует множество способов вывести ваш сайт из строя. Самые популярные из них:
- использование уязвимостей в программном обеспечении, когда с помощью определенных действий можно вызвать ошибку в работе программ на сервере. Такого рода атаки чаще используются для получения доступа к корпоративным сетям и компьютерам и все меньше встречаются в Интернете благодаря эволюции современного серверного ПО;
- флуд — создание большого потока обращений к системе с целью создания чрезмерной нагрузки на сервер. Это как раз то, что обычно называют DDoS-атакой.
DDoS (Distributed Denial of Service) – дословно можно перевести как "распределенная атака типа "отказ в обслуживании". Цель такой атаки – вывести из строя удаленную информационную систему (в нашем случае — сайт интернет-магазина), чтобы пользователи не могут получить доступ к ней (просмотреть товары, оформить и оплатить заказ).
Защищаться от подобных атак все сложнее, а инструменты для их проведения стали доступны широкому кругу лиц, поэтому DDoS-атаки получили самое широкое распространение в наше время.
Кто может стать жертвой и почему?
Итак, цель DDoS-атаки — сделать сайт недоступным для посетителей. А значит, в зоне риска оказывается интернет-бизнес, прежде всего – онлайн-торговля и публичные сервисы. Основной мотив — причинить жертве экономический или репутационный ущерб.
Часто вслед за атакой следует шантаж владельца магазина, вымогательство денег "за отсутствие проблем".
Важный момент:ни в коем случае нельзя идти на поводу у злоумышленников. Лучше потратьте деньги на защиту сайта от дальнейших покушений. Имейте в виду, поддавшись и заплатив однажды, вы, во-первых, не избавитесь от преступников (они придут снова и снова), а во-вторых, простимулируете их деятельность, собственноручно оплатите им проведение новых и более мощных атак против вас и других бизнесменов.
Стоит отметить, что повод для проведения атаки не всегда связан с финансовыми интересами атакующего. Многие атаки проводятся по принципиальным соображениям. Как правило, это попытка насолить неугодной компании. Если вас атаковали, в первую очередь надо искать виновников даже не среди конкурентов – а среди обиженных сотрудников или, возможно, клиентов.
Как защитить свой сайт?
Чтобы разобраться с этим, стоит выделить несколько уровней, на которые может быть направлена DDoS -атака.
Самый простой и действенный способ — атака на уровне приложения. Это значит, что атака идет множеством простых запросов на страницы вашего сайта.
Практически все интернет-магазины имеют страницы, создание которых занимает значительное количество ресурсов сервера. Чаще всего, это страница с полным каталогом товаров или поиском по сайту.
Если при создании скриптов программисты не задумывались о кэшировании и защите от чрезмерной нагрузки на сервер, то такой интернет магазин едва ли сможет выдержать 10-20 одновременных обращений к форме поиска или другой нагруженной странице. Сервер надолго "задумается". В это время другие посетители сайта будут получать страницы с ошибками, либо отображение страниц будет происходить очень медленно.
Обратите внимание, что такое количество обращений можно создать с любого домашнего компьютера или даже смартфона. Т.е. испортить жизнь небольшому магазину невероятно просто. В то же время, защита от подобных атак целиком во власти владельца.
Против таких атак можно посоветовать следущее:
- Выявите самые медленные и нагруженные страницы вашего сайта и сделайте так, чтобы все эти страницы максимально использовали кэширование данных. В случае с поиском по каталогу можно выстроить очередь поисковых запросов таким образом, чтобы они выполнялись по одному-два за раз, а не все одновременно.
- Кроме того, можно предусмотреть механизм, который при высокой нагрузке на сервер будет отключать скрипт поиска, пока нагрузка не спадет. В конце концов, лучше, если магазин на какое-то время останется без поиска, чем если вы останетесь без магазина на несколько часов, а то и дней.
- Не используйте обычный хостинг, т.к. при создании высокой нагрузки хостинг-провайдер выключит ваш аккаунт, даже если эта нагрузка была создана обычными посетителями сайта. Для интернет-магазина используйте виртуальные серверы, либо, если позволяет бюджет, берите отдельные серверы в аренду. Сервер нужно выбирать таким образом, чтобы у вашего магазина был, по меньшей мере, двукратный запас по производительности.
Чаще всего от отдельного сервера отказываются из-за необходимости его администрировать. Если собственного сотрудника нет — вы можете взять уже настроенный сервер с ежемесячным обслуживанием. Это сэкономит вам кучу нервных клеток.
- Как правило, у всех производителей CMS (систем управления контентом) для интернет-магазинов есть собственные рекомендации по настройке серверов для оптимальной работы. Убедитесь, что настройки вашего сервера полностью соответствуют этим рекомендациям. Неправильно настроенный сервер будет тратить больше ресурсов, а значит, его гораздо проще атаковать.
Следующая "точка отказа" — возможности операционной системы по "перевариванию" большого потока входящих обращений. По такому принципу действует, например, атака tcp syn. Большой поток обращений создает нагрузку на сетевую часть сервера и операционной системы. В этом случае все зависит от качества используемого оборудования и системных настроек. До определенного уровня сервер сможет противостоять подобным атакам самостоятельно, но при повышении нагрузки он просто перестанет успевать обрабатывать все входящие обращения по сети, и настоящие посетители просто не смогут достучаться до вашего сайта.
При подобной атаке вас может спасти либо хостинг-провайдер/дата-центр, если он обладает нужными специалистами и средствами для фильтрации трафика, либо специализированные компании, профессионально занимающиеся созданием средств защиты от атак.
Еще более мощные атаки направлены на следующий уровень — уровень сетевой инфраструктуры. В этом случае злоумышленники пытаются либо вывести из строя коммутаторы, через которые ваш сервер подключен к Интернету, либо забить целиком входящий канал к вашему серверу. Как правило, серверы подключаются к сети через канал со скоростью передачи данных до 1 гбит/с. Таким образом, если злоумышленник способен создать входящий поток к вашему серверу более 1 гбит/с, то обычные посетители будут испытывать серьезные проблемы с получением доступа к сайту, поскольку их запросы просто не будут проходить через забитый "мусором" канал.
Важный момент: атаки такой мощности были экзотикой несколько лет назад, но сейчас цена организации широкополосной DDoS-атаки заметно снизилась. В Рунете достаточно часто возникают атаки и на 3, и на 5, и на 10 гбит/с. Это значит, что в наше время риск получить атаку такой мощности достаточно велик.
Бороться с такими атаками можно только силами хостинг-провайдера/дата-центра или с помощью специализированных компаний.
В данном случае нужно отдавать себе отчет, что защита от атак такой мощности стоит дорого. Далеко не всегда хостинг-провайдер или дата-центр могут или хотят задействовать дорогое оборудование и специалистов для бесплатной защиты того или иного сайта от мощной атаки. Таким образом, нужно заранее согласовать с вашим поставщиком варианты защиты и ее стоимость.
Как действует защита от DDoS-атак?
Все современные методы защиты от атак основаны на анализе трафика защищаемого сайта. То есть специальное оборудование пропускает через себя трафик вашего интернет-магазина и анализирует посетителей, с каких ip-адресов они пришли, как часто и какие запросы делают. Атакующие роботы ведут себя иначе, они не похожи на обычных посетителей вашего сайта. Благодаря этим отличиям в момент начала атаки система понимает, что пора включать фильтры и начинает выявлять и отключать "плохих" посетителей в реальном времени. Таким образом, настоящие посетители пользуются интернет-магазином как обычно, а ненастоящие отключаются.
Важный момент: для того, чтобы понимать, какие обращения к серверу пропускать, а какие фильтровать, система должна обучиться — набрать статистику "настоящих" обращений. Поэтому если на ваш сайт уже идет атака подключать в этот момент систему защиты практически бесполезно.
Во-первых, подключение защиты гарантированно займет от нескольких часов до суток. Все это время ваш сайт не будет работать. Во-вторых, системе нужно время для того, чтобы собрать статистику обращений. Это время составляет от 30 минут до нескольких часов. Кроме того, качество анализа на основе статистики, собранной уже во время атаки, будет на порядок ниже.
Некоторые системы могут защитить сайт, уже находящийся под атакой, однако качество такой защиты не гарантируется: настоящие посетители вашего магазина могут быть отнесены в категорию "плохих" и не получат доступ к страницам сайта.
Вывод: защиту от DDoS-атак необходимо подключать заранее. Как правило, за это взимается ежемесячная абонентская плата: от 20-60 тысяч рублей ежемесячно (верхний предел зависит от объема трафика и других параметров и на самом деле практически не ограничен). Бывают и более щадящие тарифы: в этом случае ежемесячная плата может быть меньше — от 5-7 тысяч рублей в спокойный месяц. Но в случае, если крупная атака все-таки произойдет, вам придется оплатить значительный счет за весь зловредный трафик, который пришлось отфильтровать.
Преступление и наказание
Предположим, интернет-магазин не был защищен, атака состоялась и привела к вполне осязаемым убыткам. Есть ли у вас шанс наказать заказчиков и исполнителей?
Если начистоту, то шансы невелики. К сожалению, любые киберпреступления в России (как впрочем, и во всем мире) пока расследуются с большим скрипом. Для того, чтобы проводить подобные расследования, необходимы специалисты с огромным опытом, гуру в области сетевой безопасности и специальные технические средства. Кроме того, сбор данных и доказательств – достаточно трудоемкий процесс.
Как правило, пострадавшая сторона проводит расследование самостоятельно, либо с помощью компании, специализирующейся на информационной безопасности. Все материалы собираются и систематизируются и лишь затем передаются в органы. При определенной доле везения дело может быть доведено до конца.
Пожалуй, самый громкий подобный процесс в России — дело об атаке на серверы платежной системы Assist. Атака состоялась в июле 2010 года, в результате чего в течение 7 дней не функционировала продажа электронных билетов на рейсы Аэрофлота. Пострадавшие (Assist и Аэрофлот) оценили ущерб в 160 млн. рублей. Расследование велось около года при участии сотрудников ФСБ. Сейчас все еще идет суд над подозреваемыми, среди которых два предполагаемых заказчика и два исполнителя.
Как видите, даже при наличии серьезного ущерба и привлечения квалифицированных специалистов, наказать злоумышленников достаточно сложно. Но можно. Есть надежда, что чем больше подобных процессов будет у нас в стране, тем меньше будет желающих заработать с помощью проведения атак на бизнес.
Пока этого не произошло, спасение утопающих — дело рук самих утопающих. Оценивайте риски, которые вы понесете в случае простоя вашего онлайн-бизнеса и принимайте соразмерные меры защиты. Для кого-то может быть проще смириться с вынужденным выключением магазина на несколько часов или даже дней, чем заниматься его защитой, а для кого-то даже 30 минут простоя обернутся серьезными убытками. Решать вам.
Об авторе:
Юрий Устинов, исполнительный директор хостинг-провайдера "Русоникс"