Понимание и реагирование на DDoS-атаки

Понимание и реагирование на DDoS-атаки

В последнее время команда UZCERT всё чаще сталкивается с атаками типа «отказ в обслуживании» на веб-сайты государственных органов. DoS и DDoS-атаки могут стоить организации времени и денег, а также могут привести к репутационным рискам из-за временной недоступности ресурсов и услуг. Поэтому важно позаботиться о защите от атак подобного типа. В этой статье рассмотрим понятие терминов DoS и DDoS-атак, а также поделимся рекомендациями.

Атака типа «отказ в обслуживании» (Distributed Denial-of-service, DDoS) — это распределённая целенаправленная атака на конкретное приложение или веб-сайт с целью исчерпания ресурсов целевой системы. Хотя и существует множество форм DoS и DDoS-атак, наиболее распространенными являются: исчерпание сетевых ресурсов, исчерпание ресурсов протокола, исчерпание ресурсов приложения. При DDoS перегруженный трафик исходит от более чем одной атакующей машины.

Какие шаги следует предпринять до DDoS-атаки?

-      Ознакомьтесь с уровнем защищенности хостинга.

-      Изучите средства защиты корпоративной сети.

-      Проверьте (высокую доступность/балансировку нагрузки/совместное размещение) подконтрольных вам информационных ресурсов.

-      Разработайте план реагирования организации на DDoS-атаку.

-      Разработайте план обеспечения непрерывности работы организации при DDoS-атаке.

-      Регулярно проверяйте свой план реагирования на DDoS-атаки.

Что делать, если вы подверглись DDoS-атаке?

-      Определите какого вида DDoS-атака и обратитесь к своему интернет-провайдеру, чтобы определить, есть ли сбой на его стороне или его сеть является целью атаки, а вы являетесь косвенной жертвой.

-      Понять природу атаки и предпринять меры, которые включают в себя внесение изменений в конфигурацию текущей среды и инициирование планов обеспечения непрерывности работы операций, которые могут помочь в реагировании и восстановлении.

-      Предоставить атакующие IP-адреса вашему интернет-провайдеру. Они могут ввести необходимые ограничения для предотвращения дальнейшего нелегитимного трафика.

-      Включите ведение журнала брандмауэром разрешенного и отклоненного трафика, чтобы определить вектор DDoS-атаки.

-      Установите строгие конфигурации «TCP keepalive» и «максимальное количество подключений» на всех устройствах сетевого периметра.

- Настройте брандмауэры (firewalls) для блокировки, как минимум, входящего трафика с IP-адресов, которые:

-     Зарезервированы (0/8);

-     Loopback (127.0.0.0/8);

-     Частный (RFC 1918 блокирует 10.0.0.0/8, 172.16.0.0/12, и 192.168.0.0/16);

-     Неопределенные DHCP-клиенты;

-     TEST-NET-1/2/3 (192.0.2.0/24, 198.51.100.0/24, и 203.0.113.0/24);

-     Рассылка (224.0.0.0/4);

Примечание. Отслеживайте сетевой трафик после настройки блоков брандмауэра, чтобы убедиться, что блокировка реализована правильно и не блокируют легитимный трафик.

Что делать после DDoS-атаки?

-    Продолжайте следить за другими сетевыми активами на предмет любых аномальных или подозрительных действий, которые могут указывать на вторичную атаку.

-    Обновите свой план реагирования на DDoS-атаки, чтобы лучше реагировать на будущие DDoS-атаки.

-    Активно контролируйте свою сеть, чтобы быстро выявлять DDoS-атаки.