Как дата-центры организуют защиту от DDOS-атак

Многие компании все чаще выбирают услуги дата-центров для создания и размещения своей ИТ-инфраструктуры. Возможно использование облачных решений, виртуальных выделенных машин и других технологий, которые помогают создать отказоустойчивую и масштабируемую систему под цели любого бизнеса. Однако есть и определенные риски, так как в последнее время все чаще происходят хакерские DDoS-атаки. Ни один дата-центр не застрахован от такого события, однако существует ряд способов предотвращения утраты данных. Как же организуется защита ЦОДа от DDoS-атак и какие технологии являются самыми эффективными?

Что относят к DDoS

Злоумышленники действуют на интернет-ресурс несколькими способами. Наиболее простой вариант – это DoS. Denial-of-service attack предполагает вмешательство в работу сайта или сервера, сопровождающееся генерацией большого количества клиентских запросов. В результате на хостинг оказывается чрезмерные нагрузка, которая влияет на аппаратные или пропускные характеристики системы. Однако с подобным вмешательством можно бороться, так как все запросы осуществляются из одного источника.

Более сложная разновидность такой атаки – это DDoS, то есть распределенная DoS. В этом случае нападение на сервер осуществляется с колоссального количества сторонних пользователей. То есть влияние на работу сервиса оказывается сразу с нескольких машин, в результате чего отразить такую атаку в разы сложнее. Работа веб-сайта полностью блокируется, обычный пользователь уже не может зайти на ресурс. При этом злоумышленнику не нужно получать прямой доступ к файлам или базам данных.

Чаще всего в таких атаках задействуются клиентские компьютеры, так что пользователи и не подозревают о том, что участвуют в какой-либо незаконной деятельности. Количество устройств нередко доходит до тысяч ПК, поэтому отследить источник также непросто. Согласно статистике, каждый день происходит более 2000 атак на различные ресурсы, поэтому столкнуться с подобной проблемой может любой сайт.

Виды DDoS-атак

Вмешательство в функционирование сервера осуществляется по нескольким схемам. Все зависит от функционала и задач сервиса. Используются как многофункциональные, так и узконаправленные решения. Например, это:

• Дополнительная нагрузка на аппаратные ресурсы.
• Поиск погрешностей в программном коде.
• Воздействие на пропускные каналы.

В каждую категорию включено по несколько возможных сценариев, которые выбираются в зависимости от направленности ресурса, его размеров и целей злоумышленников. Рассмотрим каждую категорию в отдельности.

Нагрузка на аппаратные ресурсы

Очень часто дата-центрам требуется защита от DDoS-атак подобного типа. Происходит 100% загрузка процессора, также возможно исчерпание RAM или дисковой памяти. Однако для проведения такой атаки злоумышленнику потребуется контроль над ресурсами.

Существует несколько вариантов создания нагрузки:

• Применение ЛОГ-файлов. В таких файлах содержатся действия софта и пользователей. При отсутствии ограничения на число ЛОГов, злоумышленники смогут отправлять пакеты данных, которые напросто переполнят физический носитель.
• Контроль информации о пользователях. Для загрузки оперативной памяти могут применяться многочисленные запросы к данным для проверки логина и пароля пользователя.
• Тяжелые команды. В этом случае применяются запросы, которые занимаются часть процессора. Сервер не может производить сложные вычисления, несмотря на то что пропускная способность не понижается.
• Выполнение цикличных скриптов. Многие проекты сегодня используют различные скрипты для взаимодействия сервера с внешними ресурсами и программами. Хакеры могут получить доступ к интерфейсу связи и задать циклический скрипт со сложными вычислениями.

Поиск погрешностей в программном коде

Этот один из самых вредоносных видов DDoS-атак, так как завязан на поиске ошибок в исходном коде. В этом случае хакеры ищут уязвимости системы, пытаются провести обращение к невостребованному пространству или запустить неполняемые команды. В результате этого происходит отключение серверной программы.

Возможно два варианта таких атак:

• Переполнение буфера. Задействуются протоколы, которые сервис использует не в полном объеме. Свободное пространство принудительно записывается.
• Наличие исключение. Очень часто существуют задачи, решение которых напросто не предусмотрено в коде. Задача злоумышленника – найти такие запросы и отправить их в составе архива.

Воздействие на пропускные каналы

Цель таких атак – исчерпать пропускные возможности сервера. Условием для выполнения процесса является наличие специального канала с возможностью осуществления большого количества запросов. Важно, чтобы запросов было больше, чем способен принять ресурс. Чаще всего злоумышленники используются пакетные данные. Возможны следующие варианты:

• SMURF-атака. Выполняется рассылка опасной команды, которая проверяет всех участников сети и определяет ping. В этом процессе задействован системный ICMP, который должен сообщать об ошибках.
• Fraggle. Этот вариант DDoS-атаки на дата-центр схож со SMURF. Однако применяется специальная команда ECHO, которая рассылается по широковещательной сети. Далее адрес атакующего компьютера заменяется на адрес сервера, в результате жертва получает множественные ответы от участников сети.
• HTM и PING-флуд. В этом случае отправляются примитивные запросы, которые вынуждают прибегать к автоматическому ответу на них.
• SYN. В ходе такой атаки задействуется TCP-соединение, которое предполагает резервирование определенного количества ресурсов. В результате удается полностью исчерпать возможности сервера, отправив на него множественные запросы.

Атаки на DNS

Еще одна распространенная разновидность DDoS-атак — это воздействие на DNS. Выделяют:

• Воздействие через незащищенные участки кода. В этом случае хакеры подменяют IP-адрес DNS сервера, поэтому пользователи не могут попасть на нужную страницу. 
• Перенагрузка каналов. Устаревший способ, которые заключался в использовании зараженных компьютеров, проводивших одновременную атаку на сервер

Способы защиты

Дата-центры тщательно продумывают защиту от возможных атак хакеров, пытаясь исключить любые риски. Однако полной защиты, к сожалению, не существует, так как нельзя избежать влияния человеческого фактора. В том числе, очень часто происходят атаки, связанные с минусами программного кода, так как в нем имеются ошибки и недочеты. Многие недостатки упускаются в процессе тестирования, тогда как хакер, который хочет атаковать сервер, обязательно найдет их.

Сегодня наиболее простым способом защиты является использование облачного сервера или хостинга со встроенной защитой. В этом случае применяется специальный сетевой экран с фильтрацией трафика, который позволяет предотвратить множественные запросы к базе данных и ограничить возможности злоумышленников.

Отдельного внимания заслуживают способы защиты IaaS. Облачные ресурсы в этом случае находятся в сети в свободном доступе, поэтому риски атак многократно возрастают. Чаще всего поставщики используют следующие варианты защиты:

• Межсетевой экран. Служит для защиты сети от внешнего доступа.
• Антивирус. Позволяет контролировать трафик и удалять вредоносный код.
• Защита DLP. Предотвращается возможная утечка данных, которая может повлечь за собой утерю пользовательских аккаунтов.
• Защита резервного хранилища. Копии файлов хранятся на отдельном сервере, за пределами основного облака, в зашифрованном виде.

Большинство дата-центров сегодня предоставляются защиту от DDoS в рамках услуги Colocation. В этом случае применяется специальный фильтр, позволяющий исключить недочеты и ошибки, которые были допущены во время разработки сервера или ресурса. Автоматически блокируются любые сторонние команды и контролируются все выполняемые протоколы.

Варианты тарификации средств

Чаще всего в основной пакет услуг подобные защитные меры не включены, поэтому их необходимо заказывать отдельно. Функционал подключается опционно по той причине, что многие клиенты прибегают к применению сторонних средств и приложений.

Как показывает практика, такой способ менее эффективный и безопасный, так как встроенные технологии, имеющиеся на облаке или хостинге, лучше подготовлены к сторонним вмешательствам.

Как вы понимаете, стоимость защиты сервера в каждом случае определяется индивидуально. Многое зависит от ширины канала связи, так как при высокой скорости соединения потребуется лучшая фильтрация трафика.

Мы рекомендуем сразу же арендовать хостинг со встроенной защитой от DDoS-атак. Такое решение обойдется дешевле, чем использование сторонних программ, при этом и уровень безопасности будет в разы выше.

Помните, что рано или поздно любой сервер сталкивается с DDoS-атака, поэтому нужно быть готовыми к подобной ситуации. Важно минимизировать потери и как можно скорее нормализовать работу ресурса.

Наш дата-центр Xelent предлагает различные программные и аппаратные методики для предотвращения хакерских атак на ресурс. Вы можете обратиться за помощью к нашим специалистам, и они подробнее расскажут о применяемых решениях и их стоимости.

Аренда хостинга для сайта

Хостинг сайтов в СПб приходится приобретать любой уважающей себя компании. Это нужно для создания и дальнейшей раскрутки сайта. В компании Xelent клиентам на выбор доступна аренда виртуального или vps-сервера.

Виртуальный Дата-центр, VDC с управлением через vCloudDirector

Простая, удобная и надежная интеграция облачной инфраструктуры в IT-инфраструктуру компании с глубокими индивидуальными настройками.

Аренда выделенного сервера в России

Аренда сервера и СХД необходимой производительности. Все оборудование размещается в собственном отказоустойчивом ЦОДе с зарезервированными системами энергоснабжения, охлаждения и каналами связи.