Czym jest atak DDoS — i jak można mu skutecznie zapobiegać?

Czym jest atak DDoS — i jak można mu skutecznie zapobiegać?

Bycie celem hakerów i innych podejrzanych postaci to horror dla każdego właściciela strony internetowej. Niestety, w dzisiejszych czasach coraz łatwiej i taniej jest korzystać z usług, które czynią strony internetowe niedostępnymi dla normalnego ruchu odwiedzających. W szczególności nasilają się ataki DDoS. Tutaj dowiesz się, jakie zagrożenia czyhają na Twoją stronę i jak możesz się przed nimi uzbroić.

Każdy właściciel strony internetowej musi być świadomy zagrożenia, jakie niesie ze sobą atak DDoS. Skrót ten oznacza "Distributed Denial of Service" i jest również nazywany "rozproszonym atakiem sieciowym". W tym przypadku serwer i inne systemy sieciowe strony internetowej są celowo przeciążane przez żądania z wielu urządzeń i rzucane na kolana.

Ataki tego typu są niestety częstym zagrożeniem. Im bardziej znana jest Twoja witryna, tym bardziej prawdopodobne jest, że ktoś spróbuje zaszkodzić Twojej sprzedaży lub reputacji poprzez atak DDoS. To może być druzgocące - zwłaszcza jeśli nie wiesz, co się dzieje i jak sobie z tym poradzić.

W dzisiejszych czasach zakup usług DDoS jest coraz łatwiejszy i tańszy. Z tego powodu firmy i strony internetowe są bardziej zagrożone niż kiedykolwiek. Dzięki odpowiednim środkom ostrożności można zapobiec atakom DDoS, a nawet zatrzymać je w miejscu.

Co to jest atak DDoS?

Krótkie wyjaśnienie ataków DDoS

Atak DDoS to nagły napływ sztucznego ruchu, którego celem jest sparaliżowanie serwera strony internetowej i uczynienie jej niedostępną dla prawdziwych użytkowników. Kiedy Twój serwer otrzymuje więcej żądań, niż jest w stanie obsłużyć, zwalnia lub zawiesza się, przez co nikt nie może załadować Twojej strony.

Dla porównania, zwykły atak typu denial-of-service (DoS) może pochodzić z jednego źródła. W przeciwieństwie do tego atak DDoS składa się z dużej liczby ukierunkowanych żądań pochodzących z dziesiątek, setek, a nawet tysięcy pojedynczych urządzeń. Są to zazwyczaj porwane komputery, które zostały zhakowane i potajemnie uruchamiają złośliwe oprogramowanie w tle. Razem te urządzenia tworzą botnet lub sieć zombie.

ilustracja botnetu
Jak działa botnet

Botnety nie ograniczają się jednak do komputerów i telefonów. Tablety, kamery bezpieczeństwa, a nawet urządzenia domowe, takie jak zmywarki z dostępem do Internetu, telewizory, kamery bezpieczeństwa czy monitory dla dzieci (które często są bardzo słabo zabezpieczone lub w ogóle nie są zabezpieczone) również mogą tworzyć botnet.

To właśnie czyni atak DDoS tak perfidnym. Ponieważ dotyczą one prawdziwych urządzeń w różnych miejscach, wyglądają jak normalne wejścia i trudno je odróżnić od prawdziwych gości — nawet podczas aktywnego ataku.

Ataki DDoS trwają zwykle najwyżej kilka godzin. W ciężkich przypadkach mogą one jednak trwać nawet kilka dni. Najdłuższy atak DDoS w historii trwał 509 godzin, czyli prawie 21 dni. Ale nawet najbardziej ekstremalne przypadki zwykle ustępują w ciągu dnia lub dwóch: Ponad 80 procent ataków trwa krócej niż cztery godziny. Ponad 90 procent z nich kończy się najpóźniej po dziewięciu godzinach.

stats-duration-dos-attack
Raport dotyczący rozkładu ataków DDoS według czasu trwania (w godzinach) w III i IV kwartale 2019 r.

Co się dzieje podczas ataku DDoS?

Zasoby sieciowe, takie jak serwery internetowe, mogą przetwarzać tylko określoną liczbę żądań w danym czasie. Ograniczona jest też przepustowość łącza internetowego serwera i innych warstw sieci.

Atakujący mogą więc atakować różne punkty ataku - nawet jednocześnie. Im bardziej skomplikowana ofensywa, tym trudniej jest odróżnić ruch związany z atakiem od normalnych żądań. W konsekwencji środki zaradcze mogą być mniej skuteczne.

Czym jest atak DDoS — i jak można mu skutecznie zapobiegać?
Wyjaśnienie modelu OSI

W momencie, gdy liczba żądań do komponentów sieciowych przekroczy limit przepustowości, Twoja strona natychmiast zacznie się psuć. Czas ładowania strony wydłuża się, użytkownicy muszą czekać coraz dłużej. W końcu może nawet dojść do awarii serwera i całkowitego zaprzestania odpowiadania na żądania. Jeśli Twój interfejs użytkownika WordPress lub administracja serwerem, taka jak cPanel, znajdują się również w tym miejscu, nie będziesz mógł się do nich zalogować i uzyskać do nich dostępu.

Gorsze jest jednak następstwo ataku DDoS: dla dotkniętych nim firm i organizacji może to oznaczać znaczne straty ekonomiczne. W zależności od czasu sprzedaży, fakt bycia niedostępnym przez kilka minut może szybko kosztować dziesiątki tysięcy euro w postaci utraconych zysków.

Nie należy również lekceważyć utraty wizerunku. 88 procent użytkowników jest mniej skłonnych do powrotu na stronę internetową po złych doświadczeniach - na przykład bardzo długim czasie ładowania. Nie tylko można przegapić nowych gości, którzy mogą nigdy nie wrócić, ale twoi stali klienci mogą być zirytowani i winić cię za przestój.

Jeśli nie uda ci się szybko porozmawiać z hosterem, żeby wyłączył serwer, możesz skończyć z terabajtami kosztownych przekroczeń przepustowości.

Dobra wiadomość jest taka, że chociaż ataki DDoS mogą mieć ogromne konsekwencje, zazwyczaj nie stanowią bezpośredniego zagrożenia dla bezpieczeństwa. Twoja witryna może zostać wyłączona, ale Twoje dane uwierzytelniające i nazwy użytkowników nie są automatycznie zagrożone.

Dlaczego strony internetowe są celem ataku DDoS?

Istnieje wiele powodów, dla których możesz zostać zaatakowany. W każdym razie celem jest uniemożliwienie innym dostępu do Twojej witryny. Może to nastąpić z wielu powodów:

  • Jako reakcja na kontrowersyjną wypowiedź z Twojej strony lub decyzję firmy, z którą atakujący się nie zgadza (hacktivism).
  • Konkurent może zdecydować się na zamknięcie Twojej strony internetowej w kluczowym okresie sprzedaży, pozostawiając dostęp tylko do swojej strony.
  • Aby zniszczyć twoją reputację.
  • Aby odwrócić uwagę pracowników IT podczas włamywania się hakerów do witryny. (Jest to rzadki przypadek, w którym ataki DDoS mogą być faktycznie niebezpieczne).
  • Zażądanie okupu.
  • Albo po prostu z nudów.

Wynajęcie botnetu i wyłączenie strony internetowej na krótki czas jest zaskakująco łatwe i tanie. Inni hakerzy wykonali już prace przygotowawcze i teraz każdy może tymczasowo kupić ich usługi.

W rezultacie częstotliwość i siła ataków DDoS gwałtownie wzrosła. W samym 2019 roku nastąpił 180-procentowy wzrost w porównaniu z rokiem poprzednim. Niezależnie od motywacji, łatwiejszy dostęp jest główną zachętą dla mniejszych ataków DDoS. Na szczęście te najłatwiej zatrzymać.

Jak przygotować się na atak DDoS

Bycie przygotowanym jest najlepszym lekarstwem na tego typu ataki. Opracuj plan na najgorszy przypadek, zanim coś się stanie. Pytanie brzmi nie tyle czy, ale kiedy nastąpi atak na Twoją stronę. Dlatego lepiej być bezpiecznym niż żałować. Oto kilka wskazówek, jak uniknąć ataków DDoS.

Sformułowanie planu awaryjnego

Jak już wcześniej wspomniano, najlepszym sposobem przeciwdziałania temu zagrożeniu jest bycie przygotowanym. Usiądź z zespołem IT i programistami, aby wszyscy wiedzieli, co robić, gdy zdarzy się najgorsze.

Plan awaryjny dla obrony przed DDoS

Utwórz plan awaryjny, w którym dokładnie określisz, co każdy musi zrobić w przypadku ataku DDoS: Kto jest odpowiedzialny za blokowanie IP? Kto kontaktuje się z hostingiem i dostawcami zabezpieczeń? Kto monitoruje, jak i gdzie odbywa się atak?

Bądź również przygotowany na napływ skarg klientów przez telefon, e-mail i media społecznościowe. Twoi goście będą chcieli wiedzieć, co się dzieje i dlaczego nie mogą uzyskać dostępu do witryny. Zastanów się, jak zautomatyzować jak najwięcej z tych interakcji, ponieważ wszystkie oczy będą w innym miejscu na czas ataku.

Wybierz Hosting Zarządzany

Jeśli nie masz zespołu doświadczonych informatyków, którzy mogą zająć się tym problemem, kolejną najlepszą opcją jest Hosting Zarządzany. Wybierz hosta, który oferuje środki ochrony przed atakami DDoS. Zajmą się oni wszystkimi technicznymi aspektami ochrony twojej strony i przywrócą ją do działania tak szybko, jak to możliwe.

Ważne jest, aby przeprowadzić dokładne badania. Zapytaj hosta, czy oferują ochronę przed DDoS, co dokładnie robią podczas ataku i jak radzą sobie z opłatami za przekroczenie przepustowości.

Ustaw monitorowanie czasu pracy

Automatyczne monitorowanie czasu pracy witryny jest kluczową metodą wczesnego wykrywania. Usługa monitorowania czasu sprawności powiadamia Cię za pośrednictwem poczty elektronicznej i wiadomości push w ciągu kilku minut, jeśli Twoja witryna ulegnie awarii lub znacznie spowolni.

Twój hosting może oferować tę usługę w standardzie. Jeśli nie, możesz skorzystać z Pingdom, płatnego rozwiązania profesjonalnego, lub Uptime Robot, darmowego rozwiązania, które wykonuje pingi na Twojej stronie co pięć minut. Innym niemieckojęzycznym rozwiązaniem jest Uptrends. Więcej rozwiązań znajdziesz tutaj.

Użyj zapory sieciowej i sieci dostarczania treści (CDN)

Zapora sieciowa (WAF) jest jedną z najlepszych metod obrony przed atakiem DDoS. Znajduje się on pomiędzy witryną a żądaniami użytkowników, filtrując ruch sieciowy w celu wykluczenia złośliwego dostępu. To nie tylko pomaga chronić przed atakami hakerów, ale może również powstrzymać ataki DDoS poprzez ograniczanie żądań.

web-application-firewall-diagram
Jak działa zapora aplikacji sieci owych?

Jeśli atakujący nie korzysta z zaawansowanych technologii, atak DDoS może w ogóle nie dotrzeć do Twojej witryny. Nawet w przypadku częściowego sukcesu, znaczna część ruchu zostanie wyeliminowana.

Aby skonfigurować firewall, możesz skorzystać z usług takich jak Cloudflare (dostępny w języku niemieckim) lub Sucuri (tylko w języku angielskim). Cloudflare, w przeciwieństwie do Sucuri, ma bezpłatny plan z ochroną przed DDoS, ale nie zawiera zapory aplikacji internetowych. Jeśli chcesz mieć najlepszą ochronę, musisz niestety zapłacić. Możesz znaleźć więcej dostawców tutaj.

CDN, czyli Content Delivery Network, może również pomóc w tej kwestii - ponieważ strona, która korzysta z takiej sieci, jest nieco trudniejsza do zniszczenia. W przypadku CDN, kopie strony znajdują się na różnych serwerach w różnych lokalizacjach.

content-delivery-network-chart
Serwer lokalny vs. Content Delivery Network

W ten sposób powrót po dużym obciążeniu jest łatwiejszy. Nie jest to jednak rozwiązanie niezawodne. Jeśli Twój główny serwer jest bezpośrednio atakowany, CDN może tylko zmniejszyć wpływ, a nie zatrzymać go. Mimo to jest to dobra inwestycja, zwłaszcza że wiele usług łączy w swoich pakietach zarówno CDN, jak i ochronę przed DDoS.

Co robić podczas ataku DDoS?

Nieważne, czy czytasz to, gdy jest już po wszystkim, czy po prostu chcesz się przygotować na najgorszy scenariusz: Oto kilka wskazówek, co zrobić, gdy Twoja strona zostanie zaatakowana. Nie zawsze możesz zrobić coś, by powstrzymać napastnika, który już Cię namierzył, ale nie jesteś też całkowicie bezradny.

1. Nie panikuj

Otrzymanie e-maila z informacją, że Twoja strona nie działa, może być przerażające. Skrzynka pocztowa pełna skarg użytkowników jest równie nieprzyjemna. Próbujesz wejść na swoją stronę internetową lub zalogować się - a ona po prostu nie chce się załadować. Pojawia się panika.

Mimo że jest to nieprzyjemna sytuacja, ataki DDoS nie są same w sobie niebezpieczne. Twoje dane są nadal bezpieczne, Twój login nie został zhakowany. Oczywiście powinieneś zachować czujność i upewnić się, że nikt nie będzie próbował sforsować twojego konta administratora w tym całym zamieszaniu. Jednak sam atak DDoS stanowi jedynie zagrożenie dla Twojej reputacji i nic więcej.

Niezależnie od tego, czy jesteś przygotowany, czy masz z tym do czynienia teraz po raz pierwszy: W pewnym momencie nie pozostaje nic innego, jak czekać. Atak DDoS kosztuje sprawcę pieniądze i zasoby, więc nie będzie trwał wiecznie.

Tylko bardzo duże i znaczące firmy mogą być narażone na długotrwałe ataki. Istnieje prawdopodobieństwo, że wszystko skończy się w ciągu kilku godzin. Wykonaj poniższe kroki i nie stresuj się niczym innym.

2. Powiadom swojego hosta

W przypadku ataku DDoS należy jak najszybciej skontaktować się z dostawcą usług hostingowych, aby poinformować go o zaistniałej sytuacji. Jeśli jeszcze tego nie zrobiłeś, zapytaj go o opłaty za przekroczenie salda i środki ochrony przed DDoS. Jeśli zaoferują coś takiego, szybko zabiorą się do pracy, aby powstrzymać atak.

Nawet jeśli tak nie jest, dowiesz się, ile (jeśli w ogóle) będzie Cię kosztował atak. Na dodatek dostawca może wyłączyć Twój serwer, jeśli sytuacja będzie trwała zbyt długo.

Nadwyżki przepustowości mogą być kosztowne, a ruch z zaatakowanych komputerów płynie szybko. Jak najszybciej porozmawiaj ze swoim hostingiem i - jeśli jeszcze tego nie zrobiłeś - poszukaj takiego, który oferuje w pakiecie usługi zapobiegania DDoS i usługi awaryjne.

3. Skonfiguruj CDN i zaporę sieciową

Jeśli jeszcze nie masz CDN i firewalla na swoim serwerze, teraz jest dobry moment, aby to zrobić. Dostawcy usług bezpieczeństwa chętnie pomogą i często będą współpracować bezpośrednio z Tobą, aby natychmiast zablokować złośliwy ruch.

Sucuri i Cloudflare to dwie najpopularniejsze usługi zapobiegania DDoS. Gdy już je uruchomisz, ich automatyczne środki powinny zadziałać natychmiast i zmniejszyć skutki ataku. W krajach niemieckojęzycznych działa również Akamai.

Jeśli nie widzisz żadnych rezultatów, włącz"Tryb ataku" Cloudflare lub skontaktuj się ze swoim dostawcą i poproś o dodatkowe wsparcie.

4. Stosuj geoblokadę i blokadę IP

Możesz też ręcznie poprawić sytuację, blokując adresy IP, które nie należą do prawdziwych odwiedzających. Adresy IP to unikalne identyfikatory nadawane każdemu urządzeniu w Internecie.

Jeśli dany IP odwiedza Twoją stronę dziesiątki, setki czy tysiące razy podczas aktywnego ataku, po prostu go zablokuj. Wtedy nie będzie w stanie wyrządzić dalszych szkód i zostanie po prostu odrzucony. W ten sposób można samodzielnie rozwiązać część problemu.

Twój dostawca usług hostingowych może oferować blokadę IP do takich celów. Możesz też po prostu skorzystać z funkcji blokowania IP w Raidboxes. Możesz ją znaleźć w ustawieniach Boxa:

rb_ip_blocking
Funkcja blokowania IP w pulpicie nawigacyjnym Raidboxes

Dobrym rozwiązaniem jest też geoblokowanie. W tym przypadku adresy IP z różnych części świata są blokowane na całym świecie. Jest to bardzo przydatne, jeśli duża część ruchu danych pochodzi z określonych krajów. Ta funkcja jest częścią wielu wtyczek bezpieczeństwa WordPressa. Istnieją również rozszerzenia takie jak IP2Location Country Blocker, które mogą być używane specjalnie w tym celu.

Blokowanie IP nie zawsze jest skuteczne - lub skuteczne na bardzo długo - ponieważ atakujący może po prostu zmienić swój adres i ponownie zalać Twoją witrynę żądaniami. Ale warto spróbować.

Zapory aplikacji internetowych wykonują wiele z tych funkcji automatycznie. Można tu również sprawdzić, czy możliwe jest zablokowanie serwerów proxy, włączenie ograniczeń dostępu lub włączenie istniejących list kontroli dostępu IP.

Wniosek: Skutecznie zapobiegaj atakom DDoS

Niestety, jeśli ktoś jest wystarczająco zdeterminowany i posiada odpowiednie zasoby, nie da się go powstrzymać przed przeprowadzeniem ataku DDoS na Twoją witrynę. Nie oznacza to jednak, że powinieneś siedzieć z założonymi rękami i nic nie robić. Istnieje kilka rzeczy, które możesz zrobić, aby zapobiec większości mniejszych ataków i zminimalizować ich skutki.

Nawet jeśli ktoś naprawdę chce się zemścić na twojej firmie, nie będzie w stanie utrzymać tego długo bez płacenia niebotycznych kwot. W porównaniu z wyrządzonymi szkodami, zwykle nie warto tego robić. W końcu każdy atak DDoS musi się skończyć - choćby wtedy, gdy atakujący się znudzi.

Zapora sieciowa, CDN i wysokiej jakości dostawca usług hostingowych to najlepsze sposoby zapobiegania atakom DDoS. Podejmij środki ostrożności, zanim dojdzie do najgorszego. Opracuj plan, dzięki któremu ty i twój zespół będziecie mogli opanować sytuację tak szybko, jak to możliwe.

Jakie masz pytania do Nicka na temat ataków DDoS?

Zachęcamy do komentowania. Chcesz być informowany o nowych artykułach i wskazówkach dotyczących większego bezpieczeństwa? Obserwuj nas na TwitterzeFacebooku lub poprzez nasz Newsletter.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.