Ataki typu Distributed Denial-of-Service (DDoS) są jednym z najtrudniejszych zagrożeń dla stron internetowych. Liczba ataków DDoS rośnie z roku na rok.
Ten Raport o zagrożeniach DDoS w czwartym kwartale 2024 r. autorstwa Cloudflare podaje, że firma odnotowała 117-procentowy wzrost rok do roku liczby ataków DDoS na warstwę sieciową oraz ogólny wzrost aktywności DDoS wymierzonej w strony internetowe zajmujące się sprzedażą detaliczną, wysyłką i public relations w okresie Czarnego Piątku i świąt.
Pokazuje to, że liczba ataków DDoS rośnie, ponieważ są one wykorzystywane przeciwko firmom i instytucjom rządowym do przeprowadzania cyberataków. Na przykład, Cloudflare zgłosił wzrost liczby ataków DDoS po wybuchu wojny Izraela z Hamasem.
Jak działają ataki DDoS
Ataki DDoS mogą nastąpić w dowolnym momencie i mają na celu przeciążenie serwera, usługi lub sieci nadmiernym ruchem internetowym, zakłócając ich normalne funkcjonowanie.
Atakujący DDoS często używają botnetów — zainfekowanych sieci komputerowych, znanych jako „zombie” lub „boty”. Te boty są zazwyczaj zainfekowane złośliwym oprogramowaniem i kontrolowane zdalnie przez atakującego.
Gdy atakujący inicjuje atak DDoS, wydaje polecenie wszystkim botom w botnecie, aby wysłały ogromną liczbę żądań do serwera docelowego lub sieci. Ten przytłaczający napływ ruchu przekracza możliwości serwera w zakresie obsługi uzasadnionych żądań, powodując spowolnienie lub całkowitą awarię.
Istnieją trzy typy ataków DDoS:
- Ataki oparte na objętości — Oto najczęstsze typy ataków DDoS. Mają one na celu nasycenie przepustowości docelowej witryny lub sieci. Techniki obejmują powodzie UDP, powodzie ICMP i inne powodzie spoofed-packet.
- Ataki protokołowe —Te ataki zużywają zasoby serwera lub pośrednie urządzenia komunikacyjne, takie jak zapory sieciowe i moduły równoważenia obciążenia. Przykłady obejmują zalew wiadomości SYN (synchronizacja), ataki pakietów fragmentowanych i pakiety o zbyt dużych rozmiarach używane w atakach ping-of-death.
- Ataki na warstwę aplikacji — Są to najbardziej wyrafinowane i ukryte ataki DDoS, których celem są określone aplikacje lub usługi. Generują wyglądające na legalne żądania, ale w dużych ilościach, co utrudnia rozróżnienie legalnego ruchu od ruchu atakującego. Przykłady obejmują ataki HTTP floods i Slowloris, które mogą być skuteczne przy niższych ilościach żądań niż standardowe ataki HTTP floods, utrzymując otwarte połączenia serwerowe.
Jak zapobiegać atakom DDoS
Zapobieganie atakom DDoS wymaga strategicznego i wielowarstwowego podejścia. Łącząc różne metody, możesz skutecznie chronić swoją sieć i aplikacje.
Oto pięć metod, które mogą pomóc w zapobieganiu atakom DDoS:
1. Wdrożenie ochrony sieci i aplikacji
Zacznij od ograniczenia liczby żądań, jakie użytkownik może wysłać do serwera w określonym przedziale czasowym. Na przykład, jeśli prowadzisz sklep internetowy, możesz skonfigurować serwer tak, aby zezwalał na tylko 10 żądań na sekundę od dowolnego użytkownika. Pomaga to zapobiec przeciążeniu serwera przez pojedynczego klienta zbyt wieloma żądaniami naraz.
Następnie użyj zapory sieciowej aplikacji internetowej (WAF). WAF działa jak punkt kontrolny bezpieczeństwa, sprawdzając przychodzący ruch i blokując szkodliwe żądania, a jednocześnie przepuszczając uzasadnione. Na przykład, jeśli używasz Cloudflare, jego WAF może filtrować złośliwy ruch na podstawie znanych wzorców ataków. Regularne aktualizowanie reguł WAF jest kluczowe, aby nadążać za nowymi zagrożeniami.
Dodatkowo wdróż wykrywanie włamań i systemy prewencyjne (IDPS). Te systemy są jak kamery bezpieczeństwa dla Twojej sieci, obserwujące podejrzaną aktywność i automatycznie blokujące wszystko, co szkodliwe. Na przykład Snort to popularny IDPS typu open source, który wykrywa i zapobiega atakom.
2. Wykorzystaj skalowalną i rozproszoną infrastrukturę
Korzystanie ze skalowalnej i rozproszonej infrastruktury pomaga zarządzać atakami DDoS i łagodzić ich skutki. Routing sieciowy anycast to świetna technika. Wyobraź sobie, że masz popularnego bloga z czytelnikami na całym świecie. Routing anycast kieruje ruch przychodzący do wielu centrów danych, więc jeśli masz dużo ruchu, rozprowadza się on po różnych lokalizacjach, zmniejszając obciążenie pojedynczego serwera.
Load balancers to kolejne przydatne narzędzie. Działają jak policjanci ruchu drogowego, kierując ruch przychodzący do wielu serwerów, aby żaden serwer nie został przeciążony. Na przykład AWS Elastic Load Balancing może automatycznie rozprowadzać ruch na kilka instancji Amazon EC2.
Sieci dostarczania treści (CDN), takie jak Akamai lub Cloudflare, mogą również odgrywać dużą rolę. CDN przechowują kopie treści Twojej witryny na serwerach na całym świecie. Jeśli ruch nagle wzrośnie, CDN może sobie z tym poradzić, udostępniając treści z wielu lokalizacji, zmniejszając obciążenie Twojego głównego serwera.
3. Korzystaj ze specjalistycznych usług ochrony przed atakami DDoS
Specjalistyczne usługi ochrony przed atakami DDoS są jak wynajęcie osobistego ochroniarza dla Twojej witryny. Te usługi stale monitorują Twój ruch i wykorzystują zaawansowane techniki do filtrowania szkodliwego ruchu. Na przykład usługi takie jak ochrona przed atakami DDoS firmy Cloudflare lub AWS Shield mogą wykrywać i łagodzić ataki w czasie rzeczywistym.
Ci dostawcy mają solidne globalne infrastruktury, które mogą poradzić sobie nawet z największymi atakami. To tak, jakby zespół ekspertów ds. bezpieczeństwa stale czuwał nad Twoją witryną.
4. Monitoruj i reaguj na nieprawidłowości w ruchu drogowym
Monitorowanie ruchu jest kluczowe. Używaj narzędzi do analizy ruchu w czasie rzeczywistym, aby wykryć wszystko, co nietypowe. Na przykład Twój dostawca hostingu może zapewnić analizę, która pomoże Ci monitorować wzorce ruchu i wykrywać anomalie. Jeśli zauważysz nagły wzrost ruchu z jednego źródła, może to oznaczać atak DDoS.
Skonfiguruj alerty oparte na stawkach, aby powiadamiać Cię, gdy ruch przekroczy określone limity. Na przykład, jeśli Twój zwykły ruch wynosi 100 żądań na minutę i nagle wzrośnie do 10 000 żądań, otrzymasz alert. Narzędzia takie jak Datadog mogą pomóc Ci skonfigurować te alerty i monitorować ruch w czasie rzeczywistym.
5. Wdrożenie solidnej kontroli dostępu i regularnych audytów
Na koniec kontroluj, kto może uzyskać dostęp do Twojej sieci. Wdróż blokowanie IP, aby zablokować znane złośliwe adresy IP i listę dozwolonych adresów IP, aby zezwolić tylko na zaufane adresy. Na przykład możesz skonfigurować swój serwer tak, aby blokował ruch z adresów IP oznaczonych w przeszłości jako złośliwe działania.
Przeprowadzaj regularne audyty bezpieczeństwa, aby znaleźć i naprawić luki. To jak rutynowe badanie lekarskie, aby upewnić się, że jesteś w dobrej formie. Narzędzia takie jak Nessus mogą pomóc Ci przeskanować sieć pod kątem potencjalnych słabości i upewnić się, że Twoje zabezpieczenia są aktualne.
Jak Kinsta zapobiega atakom DDoS
Twój dostawca hostingu może odegrać kluczową rolę w ochronie Twojej witryny przed atakami DDoS. W rzeczywistości, jeśli korzystasz z usług dobrego dostawcy hostingu, powinien on obsługiwać wszystkie techniki zapobiegania atakom DDoS wymienione powyżej.
W Kinsta jesteśmy zobowiązani do łagodzenia wszystkich ataków DDoS na naszej platformie. Wdrażamy solidne środki bezpieczeństwa, aby zapobiegać tym atakom, powiadamiamy Cię natychmiast, jeśli nastąpi atak, i pomagamy w ich odpieraniu. Ponadto wykonujemy codzienne automatyczne kopie zapasowe Twojej witryny WordPress, aby zapewnić bezpieczeństwo Twoich danych.
Aby dać Ci jaśniejszy obraz, zapytaliśmy kilku naszych inżynierów ds. bezpieczeństwa, DevOps i SysOps w Kinsta, jak zapobiegamy atakom DDoS. Mieli wiele do powiedzenia.
Zwiększanie bezpieczeństwa Kinsta poprzez integrację z Cloudflare
Kluczowym elementem naszych starań o zapewnienie naszym klientom najwyższego poziomu bezpieczeństwa jest nasza integracja Premium-Tier z Cloudflare. Ta strategiczna integracja pozwala nam skutecznie obsługiwać i łagodzić ataki DDoS, zapewniając nieprzerwaną usługę i zwiększoną ochronę dla naszych użytkowników.
Statystyki dostarczone przez zespół DevOps pokazują, że w ciągu ostatnich 30 dni (22 kwietnia – 23 maja 2024 r.) obsłużyliśmy oszałamiającą liczbę 75,51 miliarda żądań za pośrednictwem Cloudflare. Z tego 3,3 miliarda zostało złagodzone przez Web Application Firewall (WAF) Cloudflare, co zapewnia, że potencjalne zagrożenia nigdy nie dotrą do naszych klientów.
Otrzymaliśmy również alerty dotyczące 200 ataków DDoS, z których wszystkie zostały automatycznie złagodzone przez Cloudflare. Jednym z najpoważniejszych ataków, z jakimi mieliśmy do czynienia ostatnio, był ten z marca, ze szczytem 318 930 żądań na sekundę, który bezproblemowo obsłużyliśmy dzięki Cloudflare.
Liczby te podkreślają, jak solidne są nasze środki bezpieczeństwa, pokazują ciągłą ochronę, jaką zapewniamy naszym klientom, i pokazują wartość naszej integracji Premium Cloudflare.
Historycznie, przed naszą integracją z Cloudflare, musieliśmy zarządzać wszystkimi atakami ręcznie. Jeśli atak nie był zbyt intensywny, mogliśmy połączyć się przez SSH z modułami równoważenia obciążenia (LB) i analizować ruch za pomocą narzędzi takich jak wyrzucić I WiresharkNa podstawie naszych ustaleń zakazalibyśmy konkretnych adresów IP lub utworzylibyśmy ukierunkowane iptables reguły i reguły zapory GCP w celu złagodzenia ataku.
Tymczasowo zmieniliśmy również rozmiar instancji LB, aby obsłużyć obciążenie i zmodyfikowaliśmy różne ustawienia jądra. Z czasem zautomatyzowaliśmy wiele z tych procesów, uruchamiając skrypty, aby ustawić i anulować ustawienia reguł iptables i parametrów jądra w razie potrzeby. Jeśli atak był zbyt intensywny, klonowaliśmy LB i mnożyliśmy instancje, aby rozłożyć obciążenie.
Ponieważ ataki stały się częstsze i bardziej wyrafinowane, zintegrowaliśmy Cloudflare z naszą infrastrukturą hostingową, aby zapewnić bezpieczeństwo i solidność witryn naszych klientów. Natychmiast zaczęliśmy zauważać mniej ataków docierających do naszych serwerów.
Obecna infrastruktura łagodzenia ataków DDoS firmy Kinsta
Obecnie dysponujemy jedną z najlepszych infrastruktur hostingowych zdolnych do obrony przed atakami DDoS, dzięki wbudowanym narzędziom, zaangażowanemu zespołowi oraz integracji z Cloudflare.
Po integracji z Cloudflare skutecznie wyeliminowaliśmy ataki typu sync flood niskiego poziomu, ponieważ cały nasz ruch sieciowy jest kierowany przez Cloudflare. Zapewnia to ochronę przed atakami DDoS (warstwy 3, 4 i 7) w celu blokowania niechcianych połączeń TCP/UDP pochodzących z określonych adresów IP lub sieci na skraju naszej sieci.
Dodatkowo korzystamy z zapory sieciowej Google Cloud Platform (GCP) w celu zabezpieczenia naszej sieci przed potencjalnymi atakami, które mogą bezpośrednio uderzyć w naszą infrastrukturę.
Kinsta oferuje w pełni zarządzaną zaporę sieciową WAF z regularnie aktualizowanymi niestandardowymi zestawami reguł i konfiguracji, gwarantując ciągłą ochronę przed najnowszymi zagrożeniami.
Ponadto korzystamy ze zautomatyzowanej funkcji, która stale wykrywa ataki siłowe na Twoją witrynę. /wp-login.php ścieżka. Następnie blokujemy tych aktorów przed naszą infrastrukturą, co jeszcze bardziej wzmacnia nasze środki bezpieczeństwa.
Jak złagodziliśmy skutki potężnego ataku DDoS na klienta finansowego
Niedawno firma finansowa zdecydowała się przenieść do Kinsta jako swojego nowego dostawcy hostingu. Nie wiedzieliśmy, że byli w trakcie masowego ataku DDoS na swojego poprzedniego hosta. Po uruchomieniu w Kinsta, strona internetowa klienta została natychmiast zbombardowana milionami żądań z różnych adresów IP, co spowodowało znaczne zakłócenia.
W dniu migracji witryny wszystko wydawało się iść gładko przed jej uruchomieniem. Pomogliśmy im z problemem z motywem WordPress i zaczęli kierować swój DNS do Kinsta. Jednak wkrótce potem zauważyli dziwne statystyki przepustowości w swoich analizach MyKinsta i skontaktowali się z nami, zaniepokojeni nietypowym ruchem.
Nasz zespół SysOps szybko wkroczył do akcji, potwierdzając, że atak DDoS rzeczywiście miał miejsce. Klient przyznał, że miał podobne problemy ze swoim poprzednim hostem, ale nie zdawał sobie sprawy, że przyczyną był atak DDoS. Mieli nadzieję, że przejście na Kinsta rozwiąże ich problemy z wydajnością.
Aby rozwiązać tę sytuację, nasz zespół SysOps współpracował z Cloudflare w celu złagodzenia ataku. Wdrożyliśmy niestandardową regułę Cloudflare WAF, aby kwestionować podejrzany ruch i zapewnić dodatkową ochronę.
Przez cały ten okres strona internetowa pozostawała dostępna podczas testów przeprowadzanych przez nasz zespół wsparcia. Jednak klient zgłosił problemy na urządzeniach mobilnych, które później powiązaliśmy z problemem propagacji DNS spowodowanym przez stary rekord AAAA.
Pod koniec dnia atak ustał. Zarządzane zestawy reguł DDoS firmy Cloudflare obsłużyły większość złośliwego ruchu, automatycznie łagodząc ponad 516 milionów żądań. Nasza niestandardowa reguła WAF zapewniła dodatkowe bezpieczeństwo, gwarantując, że witryna klienta pozostanie sprawna.
W ciągu zaledwie 27 minut złagodziliśmy atak ze średnią liczbą żądań 350 000 na sekundę. To pokazuje, jak wybitny dostawca hostingu może zapobiegać atakom DDoS dzięki solidnemu monitorowaniu, wsparciu ekspertów i zaawansowanym środkom bezpieczeństwa.
Od śledzenia przepustowości i przeprowadzania analiz w panelu MyKinsta po współpracę z zespołami wsparcia, korzystanie z usług ekspertów w zakresie dostosowywania reguł WAF i wykorzystywanie solidnej infrastruktury — niezawodny dostawca hostingu, taki jak Kinsta, jest w stanie odeprzeć większość ataków i zadbać o bezpieczeństwo Twojej witryny.
Streszczenie
W tym artykule wyjaśnimy, w jaki sposób Ty i dobra firma hostingowa możecie współpracować, aby łagodzić skutki ataków DDoS, zapewniając jednocześnie bezpieczeństwo i funkcjonalność Twojej witryny.
Oprócz ataków DDoS infrastruktura Kinsta oferuje solidną ochronę przed wszystkimi formami cyberataków. Każda witryna na naszej platformie działa w odizolowanym kontenerze oprogramowania, zapewniając 100% prywatności i brak współdzielonych zasobów oprogramowania lub sprzętu, nawet między własnymi witrynami.
Wykorzystujemy poziom premium Google Cloud Platform, zapewniając bezpieczny transport Twoich danych przez dobrze wyposażoną, nisko-opóźnieniową, globalną sieć Google. Dzięki temu korzystasz z modelu bezpieczeństwa opracowanego przez 15 lat, zabezpieczającego najlepsze produkty, takie jak Gmail i Google Search.
Jak zapobiegasz atakom DDoS? Chętnie Cię wysłuchamy. Podziel się z nami w sekcji komentarzy.
Oszczędź czas i koszty, a także zmaksymalizuj wydajność witryny dzięki integracjom na poziomie przedsiębiorstwa o wartości ponad 300 USD zawartym w każdym planie Managed WordPress. Obejmuje to wysokowydajną sieć CDN, ochronę przed atakami DDoS, ochronę przed złośliwym oprogramowaniem i hakowaniem, buforowanie brzegowe i najszybsze maszyny CPU Google. Zacznij bez długoterminowych umów, wspomaganych migracji i 30-dniowej gwarancji zwrotu pieniędzy.
Zapoznaj się z naszymi planami lub porozmawiaj z przedstawicielem handlowym, aby znaleźć plan odpowiedni dla siebie.
Joel Olawanle Kinsta
Joel jest programistą front-endu pracującym w Kinsta jako redaktor techniczny. Jest pasjonatem nauczania, który kocha open source i napisał ponad 300 artykułów technicznych, głównie na temat JavaScript i jego frameworków.