Від принципів до захисту: як за три хвилини зрозуміти атаки DDoS і CC, а також ключову роль WAF

Вступ: Чому ці концепції настільки важливі?

У світі Інтернету кібербезпека більше не є виключною темою для великих підприємств. З прискоренням цифрової трансформації як індивідуальні веб-майстри, так і малі та середні підприємства, а також великі платформи стикаються з безпрецедентними кіберзагрозами. Серед них DDoS-атаки та атаки CC є найбільш поширеними формами атак через їх високу руйнівну силу та низький поріг впровадження. А WAF (веб-додатковий брандмауер) є основним засобом захисту від цих атак.

У цьому документі ці концепції будуть систематично розібрані простою мовою, щоб допомогти вам створити повну систему знань з нуля. Цінна інформація буде корисна як для новачків, так і для досвідчених фахівців.

1. Детальний аналіз: суть атак DDoS і CC

Від принципів до захисту: як за три хвилини зрозуміти атаки DDoS і CC, а також ключову роль WAF – LikaCloud

1. Атаки DDoS: "транспортний колапс" у кіберсвіті."

Основні поняття.

ДДОС (розподілені атаки відмови у обслуговуванні) — це коли велика кількість заражених пристроїв (також відомих як "ботнети") надсилають безліч запитів на цільовий сервер, виснажуючи його мережеву пропускну здатність або системні ресурси, внаслідок чого звичайні користувачі не можуть отримати доступ до сервісу.

Детальне пояснення принципу атаки.

Джерело атаки.Атакувальники зазвичай заражають десятки або навіть мільйони пристроїв шкідливим ПЗ, включаючи сервери, персональні комп’ютери та пристрої Інтернету речей (відеокамери, маршрутизатори тощо).
Метод атаки.Ці контрольовані пристрої одночасно надсилають запити до цільової системи, створюючи "потік даних"."
Ціль атаки.Це стосується в основному пропускної здатності мережі та базових ресурсів підключення.

Аналогії з реальним світом

Уявіть, що одного разу десятки тисяч людей раптово увійдуть до супермаркету і не будуть нічого купувати, а просто заблокують проходи, не даючи можливості справжнім покупцям зайти всередину. Це і є основа атаки DDoS.

Виявлення симптомів атаки.

Веб-сайт працює дуже повільно або недоступний взагалі.
Нормальний трафік на мережевому інтерфейсі сервера різко збільшився.
Значно збільшилося навантаження на мережеве обладнання (маршрутизатори, комутатори).
Звичайні користувачі отримують помилку "Тайм-аут з'єднання" або "Сервіс недоступний".

2. Атака CC: точна війна за витрату ресурсів.

Основні поняття.

Атака CC (Challenge Collapsar) — це особливий вид DDoS-атаки, орієнтований на атаки на рівні додатків. Вона імітує поведінку звичайних користувачів, відправляючи велику кількість запитів до динамічних сторінок веб-сайтів, спеціально для виснаження ресурсів сервера, таких як процесор, пам'ять і база даних.

Детальне пояснення принципу атаки.

Характеристики атакиНа відміну від DDoS, який вимагає великої пропускної здатності, цей метод є більш "точним і зловмисним"."
Ціль атаки.Зазвичай вибирають сторінки, які вимагають великої кількості обчислювальних ресурсів, такі як функція пошуку, сторінка запиту даних, інтерфейс входу тощо.
Він дуже ховається.Оскільки вони імітують поведінку звичайних користувачів, традиційні брандмауери не можуть їх розпізнати.

Аналогії з реальним світом

Наприклад, хтось може найняти багато "посередників-покупців", які постійно запитують у продавців складну інформацію про товари та перевіряють деталі запасів, в результаті чого продавці виснажені і не можуть обслуговувати справжніх клієнтів.

Виявлення симптомів атаки.

Доступ до веб-сайту надзвичайно повільний, але обсяг інтернет-трафіку може бути не надто великим.
Відомо, що використання ЦП сервера надзвичайно високе (близько 1001 ТП4Т).
Обсяг роботи бази даних різко збільшився.
Певні функції (наприклад, пошук, вхід) є повністю недоступними.

3. Ключові відмінності між DDoS і CC.

Порівняння характеристик.	Атака DDoS	Атака типу "розподілений відмова у обслуговуванні" (DDoS)
Рівень атаки	Мережевий рівень/Рівень передачі (L3-L4)	Протокол прикладного рівня (L7)
Головні цілі	Вичерпання пропускної здатності мережі.	Витрачає ресурси сервера.
Характеристики трафіку	Обсяг трафіку є величезним і явно ненормальним.	Обсяг трафіку може бути невеликим, але запити надходять часто.
Складність розпізнавання.	Це відносно легко виявити.	Трудно відрізнити його від нормального трафіку.
Пріоритети оборони	Очищення та фільтрація трафіку.	Аналіз поведінки та контроль частоти.

II. WAF: ваш персональний захисник веб-додатків.

1. Що таке WAF? Як він працює?

Основне визначення

Веб-додатковий фаєрвол (WAF) — це спеціальне рішення для захисту веб-додатків. Він розташований між веб-клієнтом і сервером, і відстежує, фільтрує та блокує шкідливі запити в трафіку HTTP/HTTPS.

Принцип роботи.

1.Аналіз трафікуПеревірте всі запити, що надходять до веб-додатка.
2.Матч правилЗгідно з набором правил безпеки, виявляємо шкідливі патерни.
3.Виконання рішень.Дозволяти законні запити, блокувати або оскаржувати підозрілі запити.
4.Журнальні записиЗаписуйте всі дії для аналізу та аудиту.

Ключові функції

Запобігання атакам SQL-інжекції.
Запобігання атакам типу крос-сайтовий скриптинг (XSS)
Зниження впливу DDoS-атак та атак на основі відмови у обслуговуванні (DoS).
Захист від експлуатації уразливостей нульового дня.
Надати детальний журнал відвідувань та аналіз.

2. Як WAF захищає від DDoS-атак і атак на доступність послуг (CC)?

Боротьба з DDoS-атаками.

Обмеження швидкостіВстановіть максимальну частоту запитів для кожної IP-адреси.
База даних про репутацію IP-адресАвтоматично блокувати відомі шкідливі IP-адреси.
Формування трафікуЗгладжування раптових піків трафіку для запобігання перевантаженню системи.
Механізм виклику.Провести перевірку підозрілого трафіку за допомогою капчі.

Боротьба з атаками на ланцюжок поставок.

Аналіз поведінки.Виявлення аномального поведінкового паттерну користувача.
Збереження ресурсівОсобливий захист сторінок з високим рівнем споживання (пошук, вхід тощо)
Відстеження сеансуСтежте за частотою та моделями сеансів користувача.
Інтелектуальне навчання.Використовуйте машинне навчання для розрізнення нормального та шкідливого трафіку.

3. Спосіб розгортання WAF.

Хмарний сервіс WAF

Немає необхідності встановлювати обладнання, його можна активувати за допомогою DNS-аналізу або переадресації трафіку.
Автоматичне оновлення правил, без необхідності ручного обслуговування.
Гнучке масштабування та оплата за фактичне використання.

Місцевий пристрій WAF.

Фізичні пристрої розміщені на межі мережі.
Надання захисту з меншою затримкою.
Це підходить для компаній, які мають суворі вимоги до відповідності даних.

Програмне забезпечення WAF

Він встановлюється на сервер у вигляді програмного модуля, наприклад, як WAF від BaoTa.
Він має нижчу вартість і підходить для організацій з сильними технічними командами.

III. Практичний посібник: як вибрати та впровадити захисні рішення.

1. Оцініть свої потреби у безпеці.

Ключові фактори, які необхідно врахувати

Масштаб і важливість бізнесу: невеликі блоги мають різні потреби, ніж платформи електронної комерції.
Технічні можливості: чи є у компанії професійна команда з безпеки?
Обмеження бюджету: від безкоштовних рішень до корпоративних рішень.
Вимоги щодо відповідності: чи необхідно відповідати певним галузевим стандартам?

2. Стратегія багаторівневого захисту.

Рекомендації щодо кращих практик

1.Захист інфраструктуриВиберіть хмарного провайдера або IDC, який має можливість захисту від DDoS-атак.
2.Захист на рівні додатківРозгортання рішення WAF для захисту веб-додатків.
3.Спостережне попередженняНалаштування системи моніторингу та оповіщення у реальному часі.
4.Реагування на надзвичайні ситуаціїВизначення процедури реагування на випадок атаки.

3. Аналіз ефективності витрат

Малі вебсайти/особисті проекти.

Існує можливість вибору безкоштовних або недорогих хмарних сервісів WAF.
Тенцент КлаудБезкоштовна версія EdgeOne.Надання базового захисту від DDoS і CC-атак.
Багато хмарних провайдерів пропонують послуги WAF для початківців.

Малі та середні підприємства

Рекомендується користуватися хмарним сервісом WAF у професійній версії.
Розгляньте можливість використання багаторівневого захисту від декількох хмарних провайдерів.
Рочний бюджет зазвичай становить від кількох тисяч до декількох десятків тисяч юанів.

High-Protection Edge SCDN

Безпечне прискорення (Edge Secure Content Delivery Network, SCDN) — це комплексне рішення для захисту від DDoS-атак, запобігання порушенням прав інтелектуальної власності, веб-атакам та аналізу поведінки ботів, яке пропонує компанія CoolSecure. Завдяки технології кешування на краях мережі та інтелектуальному розподілу, користувачі можуть отримувати необхідний контент максимально близько до себе, що забезпечує стабільний і швидкий доступ. Крім того, в один клік можна активувати налаштування безпеки, які захищають розповсюдження бізнес-контенту у всіх аспектах.

сторінка доступу

Великі підприємства/критично важливі бізнеси

Потрібні індивідуальні рішення для корпоративного сектора.
Зазвичай використовується комбінований захист (хмарний WAF + локальний пристрій).
Може знадобитися професійна команда безпеки, яка буде здійснювати моніторинг 7 днів на тиждень і 24 години на добу.

Рішення з захисту інформації від Тенцент Клауд у Китаї тощо.

Відповідно до технічних вимог та вимог до послуг стандарту ЕКП 2.0, а також з урахуванням інфраструктури платформи Tencent Cloud, ми пропонуємо орендарям повний набір хмарних продуктів безпеки, які відповідають усім технічним вимогам у сфері безпечного зв’язку, захисту периметра, безпечного обчислювального середовища, центру управління безпекою та послуг експертів з безпеки, допомагаючи компаніям легко відповідати вимогам стандарту ЕКП щодо безпеки.

сторінка доступу

IV. Вичерпні відповіді на поширені запитання

Щодо самої атаки

"Атаки DDoS та CC — це одне й те саме?"

Не зовсім так. Хоча DDoS є однією з форм атак, між ними є важливі відмінності: DDoS атакує переважно мережеву пропускну здатність, як ніби наводнюючи дамбу; у свою чергу, CC атакує ресурси додатків, наприклад, залучаючи велику кількість людей, які постійно займають вікна обслуговування.

Як були здійснені ці атаки?

Нападники зазвичай діють таким чином:

1. Контроль заражених "зомбі"-пристроїв, об'єднаних у мережу.
2. Використовуйте спеціалізовані інструменти або платформи для атак (ви навіть можете орендувати послуги з атак у Даркнеті).
3. Надсилання певного типу шкідливого трафіку до цільової системи.

Які симптоми виникають після атаки?

Доступ до вебсайту надзвичайно повільний або він взагалі не відкривається.
Використання ресурсів сервера (ЦП, пам'ять) надзвичайно високе.
Незвично великий обсяг інтернет-трафіку.
Певні функції (наприклад, пошук, вхід) не працюють.

Про вплив атаки

"Також атакують і невеликі вебсайти?"

Так, і вони можуть стати жертвами набагато легше. Малі веб-сайти часто мають слабший захист, а атаки на них коштують небагато. Мотивами атак можуть бути зловмисні дії конкурентів, навчання хакерів або вимагання грошей.

"Чи призведе атака до витоку даних?"

Зазвичай основна мета атак DDoS/CC — зробити послугу недоступною, а не вкрасти дані. Однак атаки можуть бути прикриттям для справжньої крадіжки даних.

Ви можете дізнатися, хто був нападником?

Це дуже складно. Нападники зазвичай використовують підроблені IP-адреси та багатошарові проксі-сервери, тому для виявлення джерела атаки потрібні професійні криміналістичні навички та співпраця правоохоронних органів.

Про захист WAF

"WAF — це програмне або апаратне забезпечення?"

Існують дві форми: хмарний WAF у вигляді послуги; апаратний WAF у вигляді фізичного пристрою; програмний WAF у вигляді програми, встановленої на сервері.

"Чи потрібен WAF маленьким веб-сайтам?"

Наполегливо рекомендується користуватися ними. Зараз існує багато вигідних рішень, навіть безкоштовних. Витрати на захист набагато нижчі, ніж втрати від перебоїв у бізнесі через кібератаки.

Чи WAF може помилково заблокувати нормальних користувачів?

Це можливо, але хороший WAF може мінімізувати помилкові спрацювання завдяки інтелектуальному навчанню та точній налаштуванні. Зазвичай пропонується "режим навчання" для поступового коригування правил.

Про засоби захисту

Крім WAF, які ще є методи захисту?

Виберіть хмарного провайдера, який пропонує захист від DDoS-атак.
Розподіл трафіку за допомогою CDN допомагає знизити навантаження на мережу.
Здійснити балансування навантаження та автоматичне масштабування.
Регулярно проводити аудити безпеки та усувати вразливості.

Що робити, якщо на вас напали?

1. Негайно активуйте план екстреної захисту.
2. Зв'яжіться зі своїм провайдером мережевих послуг або постачальником безпеки.
3. Збирати та аналізувати журнали атак.
4. У разі необхідності повідомляти про це регулюючим органам.

"Чи є витрати на захист дуже високими?"

Не обов'язково. Зараз є варіанти на будь-який бюджет:

Безкоштовний план: Tencent CloudБезкоштовна версія EdgeOne.等
Низьковитратне рішення: базові послуги WAF від провідних хмарних провайдерів.
Корпоративне рішення: індивідуальна посилена захист.

Розглядаєте можливість розгортання CDN?

Якщо у вас недостатньо бюджету:Будь ласка, перегляньте безкоштовний CDN, який ми рекомендуємо.
Якщо у вас достатньо бюджету:Будь ласка, перегляньте CDN великих компаній, які ми рекомендуємо.

5. Підсумок та рекомендації

Атаки DDoS та CC стали поширеною загрозою у кіберпросторі, і будь-який онлайн-бізнес має приділити належну увагу базовому захисту. WAF, як спеціалізоване рішення для безпеки веб-додатків, може ефективно зменшити вплив цих атак.

Поради для організацій різних розмірів:

Особисті/маленькі веб-сайти

Використовуйте принаймні безкоштовні захисні послуги, такі як EdgeOne.
Регулярне резервування даних веб-сайту.
Зберігайте систему та плагіни у актуальному стані.

Малі та середні підприємства

Інвестиційні професійні хмарні WAF-послуги (такі як Alibaba Cloud WAF, Tencent Cloud WAF тощо)
Створити базові процеси моніторингу безпеки та реагування на надзвичайні ситуації.
Розгляньте можливість використання багатохмарної стратегії для розподілу ризику.

bunny.net CDN

Щомісячні платежі починаються від 1 долара з прозорими, не прихованими тарифами. Серед можливостей - постійне кешування, моніторинг у режимі реального часу, захист від DDoS-атак, безкоштовні SSL-сертифікати, оптимізовані для потокового відео, а також гнучка модель тарифікації за кожне використання.

Кредитна картка не потрібна, безкоштовна 14-денна пробна версія

Відвідайте bunny.net CDN →

Cloudways Cloudflare Enterprise

Тарифний план Enterprise CDN/WAF від Cloudflare становить 4,99 USD/місяць за домен до 5 доменів, включаючи 100 ГБ трафіку, і 0,02 USD/Гб за все, що перевищує цю межу.

100 ГБ безкоштовного трафіку на домен

Доступ до Cloudways Cloudflare Enterprise →

Великі підприємства

Здійсніть розгортання багаторівневої системи захисту (хмарний WAF + локальні пристрої).
Створити професійну команду з питань безпеки операцій.
Регулярно проводити аудити безпеки та тренування з протистояння атакам.
Розробіть ретельний план відновлення після катастрофи.

Кібербезпека — це безперервний процес, а не рішення, яке можна застосувати раз і назавжди. Вибір відповідного партнера з питань безпеки — це важливий крок.Такі, як Tencent Cloud, Alibaba Cloud тощо.Тільки створивши всеосяжну систему захисту, можна забезпечити стабільну роботу бізнесу в умовах все більш складних кіберзагроз.

Зверніть увагу.

На завершення нагадуюНавіть найдосконаліший захист не може гарантувати безпеку 100%, але належний базовий захист може протистояти більшості поширених атак і значно знизити бізнес-ризик. Почніть діяти зараз і створіть першу лінію захисту для ваших мережевих активів!