Что такое DDoS-атака
DDoS - атака (Distributed Denial of Service - распределенный отказ в обслуживании) - это хакерская атака на любой сервис (сетевую систему, сервер, программу) с целью вызвать технические неполадки.
Примеры атак:
- слишком много одновременных запросов;
- обращение к отдельным страницам сайта, генерация которых связана с нагрузкой на сервер (поиск, фильтры товаров);
- неправильные или незаконченные запросы.
Предположим, что максимальное количество запросов (кликов по ссылкам, открытие форм обратной связи и т.д.), которое может обработать сервер в секунду на одном сайте - 75. Теоретически, если в одну секунду по одной и той же ссылке пройдет не 75 человек, а 76, то один из них получит ошибку и не сможет попасть на сайт.
Даже одновременные 100 входящих запросов выдержит не каждый сервер, 1000 соединений заставят подтормаживать большинство систем, 10000 одновременных запросов “уронит” даже серьезные профессиональные системы хостинг-провайдеров.
Мощность атак DDoS может достигать миллионов запросов в секунду. Такие атаки представляют собой серьезную угрозу всей инфраструктуре провайдера.
У большинства серверов есть встроенная защита от нагрузки с одного IP-адреса, поэтому чаще всего запросы, вызывающие перегрузку ресурсов системы и отказ в обслуживании, приходят с разных IP-адресов. Их практически невозможно отфильтровать на сетевом оборудовании и нейтрализовать. Но если у сервера нет защиты от нагрузки с одного IP, то теоретически DDoS-атаку можно организовать и с одного компьютера.
Компьютерами-зомби называют компьютеры, взломанные при помощи вирусных программ, с которых и идет обращение к атакуемому сайту. Зомби они называются потому, что сам владелец компьютера, скорее всего, даже не знает, что его компьютер вместе с множеством других участвует в DDoS-атаке.
Причины DDoS-атак
Происки нечистоплотных конкурентов. Эти атаки направлены на понижение репутации конкретного сервиса и потерю им своих клиентов.
Ваш сайт разделяет IP-адрес с сайтом-объектом атаки. При использовании виртуального хостинга вы разделяете сетевые ресурсы сервера с “соседями”, поэтому, если DDoS - атака направлена не на ваш сайт, а на сайт соседа, вы все равно попадете под удар.
DDoS-атаку могут заказать в целях шантажа. Такая ситуация происходит, но редко, так как DDoS-атаки, как правило, анонимны и договариваться о ее прекращении за деньги просто не с кем. Приходится ждать, когда атака закончится.
DDoS-атака может быть обманным маневром. Она отвлекает на себя внимание web-мастера и программистов сайта. Пока они разбираются с защитой от DDoS, злоумышленники проникают в защищенные зоны сайта или сервиса, взламывают сервер, похищают конфиденциальные данные.
Что происходит при DDoS-атаке
Атакуемый сервер исчерпывает свои аппаратные ресурсы и лимиты ПО. В зависимости от типа конкретной DDoS-атаки, это может быть:
- пропускная способность канала связи;
- лимит на количество устанавливаемых соединений;
- физическая память сервера;
- количество процессов web-сервера;
- перегрузка дисковой подсистемы и базы данных.
Сайт под DDoS-атакой сначала открывается медленно, затем может вообще не открываться с ошибкой 500 в браузере или просто с ошибкой о невозможности установки соединения.
Провайдер хостинга может среагировать на атаку на конкретный сайт тем, что отключит его на время атаки. В случае постоянных атак он может попросить пользователя разорвать договор, так как это будет мешать работе других сайтов, которые расположены на виртуальном хостинге с общим IP-адресом.
DDoS-атака на IP-адрес характеризуется тем, что все сайты и интернет-сервисы на данном сервере прекращают нормально работать. Возможна полная потеря соединения с сервером по протоколу SSH или FTP. При DDoS-атаке управление сервером через сеть будет затруднено. Доступ к серверу могут обеспечить только виртуальная или KVM-консоли, предоставляемые провайдером.
Защита от DDoS-атак для сайта
В случае использования виртуального хостинга, ответственность по защите от DDoS лежит на провайдере хостинга. Атаки небольшой интенсивности отсеиваются аппаратурой хостера автоматически и не влияют на работу конкретного сайта.
При сильных атаках страдают все сайты, расположенные на конкретном сервере, и часто в такой ситуации провайдер вынужден отключить конкретный сайт или перенести его на другой сервер (IP-адрес).
Для самого владельца ресурса, расположенного на виртуальном хостинге, способов защиты от DDoS немного.
Сервис CloudFlare
CloudFlare - это сервис, предоставляющий защиту от DDoS-атак. В основе работы сервиса лежит принцип проксирования, то есть те, кто пробует узнать, где находится ваш сайт, видят, что он расположен на сервере CloudFlare, а реальное нахождение сайта скрыто, что защищает его от атак.
Большинство атак DDoS отсеиваются сервисом автоматически. Для перевода сайта в режим ручного отражения атаки есть специальная кнопка в панели управления.
Защита сервера от DDoS-атак
Если DDoS-атака идет на сайт, который расположен на находящемся под вашим управлением сервере, то вы сами можете выбирать способы защиты от DDoS.
Серверы под управлением ОС Windows гораздо хуже переносят DDoS-атаки, чем Linux-серверы, и отказывают в обслуживании намного раньше. Защита таких серверов производится с помощью специального оборудования или дополнительных услуг хостинг-провайдеров.
Мы рекомендуем использовать для сервера уже рассмотренный метод защиты расположенных на сервере сайтов через проксирующий сервис, наподобие CloudFlare.
Заказ DDoS-защиты от хостинг-провайдера
Многие провайдеры хостинга предлагают свои решения для защиты сайтов пользователей от атак DDoS. Например, провайдер thehost.ua предлагает систему AntiDDoS. Для подключения услуги необходимо обратиться в службу технической поддержки.
У провайдера FirstVDS также имеется услуга подключения защиты от DDoS-атаки. Стоимость услуги зависит от используемого канала связи.
Основной недостаток этого метода защиты, кроме стоимости услуги, - это необходимость изменения IP-адреса сайта и ожидание, пока изменения вступят в силу, что может занять несколько часов. Чтобы узнать, есть ли у вашего провайдера хостинга подобная услуга, следует изучить информацию на его сайте или обратиться в техническую поддержку.
Существуют хостинг-провайдеры, позиционирующие свои услуги хостинга именно как специальные отказоустойчивые и максимально защищенные от DDoS-атак. У таких провайдеров защита от DDoS уже включена в перечень услуг как виртуального хостинга, так и хостинга VPS/VDS.
Использование специальных аппаратных комплексов
Для защиты выделенного сервера можно договориться с провайдером хостинга об установке в связке с вашим сервером еще и аппаратного устройства защиты от DDoS. Оборудование действует как сетевой экран. Только такой Firewall намного больше, чем просто софт, защищающий локальную сеть предприятия или обычный ПК. Для крупных сетей под такие защитные аппаратные и программные комплексы уже выделяются отдельные серверы, которые, действуя как сетевой экран, пропускают или запрещают трафик, отсеивая потенциальные угрозы.
Такое сетевое оборудование предлагают многие вендоры: от гигантов Cisco и Juniper до небольших компаний. Они, кроме защиты от DDoS, выполняют также много других функций безопасности, например:
- защиту от взлома и подбора пароля;
- ограничение трафика;
- ведение статистики;
- мониторинг доступности сайтов.
Управление этими устройствами осуществляется через удобный Web-интерфейс. Настройка подобного устройства требует навыков профессионального сетевого администратора.
Настройка сетевой подсистемы сервера
Эти настройки делаются специальной утилитой sysctl. Для ее использования важно уметь работать с сервером через командную строку.
Оптимизируйте выделение памяти и настройте тайм-ауты ожидания соединений. Для сервера на скорости 1Gb/s мы рекомендуем использовать настройки в виде следующего Shell-скрипта:
!/bin/sh
sysctl -w net.core.rmem_max=8388608
sysctl -w net.core.wmem_max=8388608
sysctl -w net.ipv4.tcp_rmem='4096 87380 8388608'
sysctl -w net.ipv4.tcp_wmem='4096 65536 8388608'
sysctl -w net.ipv4.tcp_fin_timeout=10
Эти строки, каждая из которых представляет собой настройку определенного параметра сетевой подсистемы ядра Linux, сохраните в текстовый файл с названием antiDDoS.sh и запустите его командой:
sh antoDDoS.sh
Также для отражения DDoS-атак можно использовать встроенный в сетевую подсистему ядра Linux файрволл, взаимодействие с которым обеспечивается утилитой iptables.
Использование производительного устойчивого Web-Сервера
Для Linux-серверов существует программное обеспечение, устойчивое ко многим типам атак. Мы рекомендуем установить на сервер быстрый и защищенный Web-сервер, например, Nginx.
Nginx способен поддерживать одновременно тысячи соединений по протоколу HTTP, что повышает устойчивость при HTTP flood-атаке. Также Nginx способен работать, используя тот же принцип проксирования, что и сервис CloudFlare, позволяя выводить из-под атаки сервер, на котором располагается сайт, и это экономит его ресурсы.
Функциональность Nginx расширяется с помощью дополнительных модулей. Для защиты от DDoS-атаки очень полезен модуль http_limit_req_module, который при соответствующей настройке позволяет контролировать количество HTTP/HTTPS-запросов, приходящих на сервер с каждого IP-адреса. При превышении определенного лимита он просто заблокирует конкретный IP-адрес. Это хорошо помогает защититься от HTTP Flood DDoS-атаки. IP-адреса в атакующем ботнете просто заканчиваются.
Другой полезный модуль nginx - GeoIP. Он позволяет запрещать соединения сразу со всех IP-адресов, принадлежащих целой стране. Это помогает, если DDoS-атака была организована с использованием ботнета из определенного региона.
Существуют и другие полезные модули для Nginx, помогающие при DDoS-атаках. Описание всех возможностей этого web-сервера заслуживает отдельной статьи.
Сайт hostings.info ведет рейтинг провайдеров по степени защищенности от DDoS-атак.
Комментарий эксперта
Александр Шишкин, системный администратор FirstDEDIC Cloudflare — хорошее бюджетное средство для отражения, в первую очередь, простых DDoS-атак. Схема работает при условии, что вы заблаговременно скрыли реальный IP-адрес сервера, чтобы злоумышленники не могли обратиться к нему напрямую. Но, если злоумышленник узнал IP, то он может найти путь для обращения к вашему ресурсу в обход Cloudflare. Чтобы усилить защиту, я бы рекомендовал дополнительно настроить файервол, открыв доступ к 80/443 портам только для сетей Cloudflare. На примере Iptables это можно сделать следующими командами:
Это только базовая настройка, которую можно кастомизировать, ограничив доступ и к DNS, и по почтовым портам, добавив правила для доступа ваших рабочих и других легитимных IP-адресов и т.д. В целом, грамотная настройка файервола может помочь справляться с базовыми атаками даже без участия Cloudflare. Однако никакие бесплатные решения не помогут от серьезных и мощных DDoS-атак — для этих случаев на проекте 1dedic.ru можно подключить защищенный канал. |
От панели управления зависит ваше удобство в настройке хостинге\сайта.
Большинство качественных хостингов из нашего ТОПа используют удобные панели управления, поэтому рекомендуем больше внимания уделить другим параметрам при выборе.
Облачный хостинг - распределение нагрузки на несколько серверов, если сервер с вашим сайтом перегружен или не работает. Это гарантия того что пользователи в любом случае смогут видеть ваш сайт. Но это дорогая, более сложная опция, которую предоставляют далеко не все провайдеры.
Виртуальный хостинг - подходит для большинства проектов начального уровня с посещаемостью до 1000 человек в сутки. В таком хостинге мощность сервера делится между несколькими хостинговыми аккаунтами. Услуга проста в настройке даже для новичков.
VPS - подходит для более сложных проектов с достаточно большой нагрузкой и посещаемостью до 10000 человек в сутки. Здесь мощность сервера фиксированная для каждого виртуального сервера, при этом сложность настройки увеличивается.
Выделенный сервер - нужен для очень сложных и ресурсоемких проектов. Для вас выделяют отдельный сервер,мощность которого будете использовать только вы. Дорого и сложно настраивать.
Размещение и обслуживание вашего собственного сервера в дата-центре хостинга - это не очень популярная услуга и требуется в исключительных случаях.
CMS - это система управления контентом сайта. Хостеры стараются для каждой из них делать отдельный тариф или упрощать установку. Но в целом это больше маркетинговые ходы, т.к. у большинства популярных CMS нет специальных требований к хостингу, а те что есть - поддерживаются на большинстве серверов.
Виртуализация - это создание виртуальной среды на физическом сервере, позволяющая запускать требуемые ПО без затрагивания процессов, совершаемых другими пользователями сервера. С её помощью ресурсы физического сервера распределяются между виртуальными (VPS/VDS). Основные виды: аппаратная (KVM), паравиртуализация, виртулизация на уровне ОС (OpenVZ).
Абузоустойчивый хостинг - компании, которые разрешают размещать практически любой контент, даже запрещенный (спам, варез, дорвеи, порнографические материалы). Такие компании не удаляют контент вашего веб-сайта при первой же жалобе (“абузе”).
Безлимитный хостинг - хостинг у которого отсутствуют лимиты на количество сайтов, БД и почтовых ящиков, трафик, дисковое пространство и т.д. Обычно это больше маркетинговый трюк, но можно найти что-то интересное для себя.
Безопасный хостинг - тот, где администрация постоянно обновляет ПО установленное на серверах, устанавливает базовую защиту от DDoS-атак, антивирус и файерволлы, блокирует взломанные сайты и помогает их "лечить".
Защита от DDOS - компании, которые предоставляют хостинг с защитой от DDoS-атак. Такие пакеты ощутимо дороже обычных, но они стоят своих денег, так как ваш сайт будет защищен от всех видов сетевых атак.
Тестовый период - предоставляется хостером бесплатно на 7-30 дней, чтобы вы могли удостовериться в его качестве.
Moneyback - период на протяжении которого хостер обязуется вернуть деньги, если вам не понравится хостинг.
Настоятельно рекомендуем не покупать слишком дешевый хостинг! Как правило с ним очень много проблем: сервер иногда не работает, оборудование старое, поддержка долго отвечает или не может решить проблему, сайт хостера глючит, ошибки в регистрации, оплате и т.д.
Также мы собрали тарифы от тысяч хостеров, чтобы вы могли выбрать хостинг по конкретной цене.
На языке программирования PHP и базах данных MySQL сейчас работает большинство сайтов. Они же поддерживаются практически всеми современными хостингами.
ASP.NET - платформа для разработки веб-приложений от Майкрософт.
ОС - операционная система, установленная на сервере хостинга. Мы рекомендуем размещать на серверах с Linux, если нет особых требований у разработчиков сайта.