Продолжаем рассказывать про то, как устроен интернет изнутри и как там дела с безопасностью. Сегодня поговорим про DoS-атаки — с ними может столкнуться каждый владелец сайта, онлайн-приложения или своего сервера.
Это статья для расширения ИТ-кругозора — почему иногда не работают сайты и что за этим стоит. Если нужно что-то более практичное, почитайте наш цикл про компьютерное зрение или посмотрите, насколько сейчас перспективна профессия Python-разработчика.
Что такое DoS
DoS — это сокращение от английского Denial of Service, что означает «отказ в обслуживании». Что это значит:
- злоумышленник отправляет на сервер слишком много запросов; параллельно обычные пользователи тоже отправляют свои обычные запросы;
- возможности сервера ограничены, поэтому он вынужден ставить все запросы в длинную очередь — и обычные, и зловредные;
- сервер будет отвечать очень медленно или вообще перегрузится и перестанет отвечать;
- в результате сайты не открываются, онлайн-сервисы не работают; мобильные приложения, которые зависят от данных с сервера, тоже перестают работать.
Если запросов достаточно много и они приходят достаточно быстро, сервер просто перестанет отвечать на запросы и начнёт выдавать ошибку 500 — внутреннюю ошибку сервера. Эта ошибка необязательно означает, что сайт подвергся DoS-атаке, но она всё равно говорит о том, что с сервером что-то не так:
Что такое DDoS
Чтобы сгенерировать настолько много запросов, что сервер с ними не справится, одного компьютера недостаточно — крупные провайдеры и дата-центры могут обрабатывать десятки гигабит входящих данных в секунду. Но если собрать много компьютеров и заставить их массово отправлять запросы, то провайдеры могут и не справиться с такой нагрузкой.
Такой вид атаки называют DDoS, а первая буква D означает Distributed — то есть распределённая DoS-атака. Для её организации чаще всего используют ботнеты — сети из обычных компьютеров, на которых дремлет специальное ПО. В нужный момент это ПО активируется, и компьютер начинает слать запросы на выбранный сервер, чтобы его перегрузить.
Владельцы компьютеров чаще всего даже не знают, что их техника является частью ботнета. Внешне это проявляется как то, что компьютер начал немного тормозить и резко упала скорость интернета. А всё потому, что для DoS-атаки каждый компьютер в ботнете использует по максимуму свой канал связи и не даёт другим программам им пользоваться.
Зачем это делают
Смысл любой DDoS-атаки — на время сделать так, чтобы сайт или сервер перестали работать. Если речь идёт об интернет-магазине, то, пока не работает сайт, он может недополучить часть выручки. Иногда хакерские группировки так делают, чтобы заявить о себе или показать свою силу.
Но если цель DDoS-атаки — корневые сервера интернета, CDN-провайдеры или, например, DNS-сервера, то последствия может ощутить весь интернет: большинство сайтов начинает тормозить или не открываться совсем. Иногда это используют для того, чтобы подменить настоящий сайт фальшивым и с его помощью украсть данные пользователей.
Одна из таких серьёзных атак случилась в сентябре 2012 года — целью стал CDN-провайдер CloudFlare, серверы которого расположены почти по всему миру. Мощность атаки тогда составила 65 гигабит в секунду — с такой нагрузкой в то время компания справиться не смогла. В итоге несколько дней все замечали падение скорости интернета — а всё потому, что не работал глобальный кэш, который ускорял загрузку контента.
Сегодня рекорд по мощности DDoS-атаки принадлежит голландскому провайдеру CyberBunker — он в марте 2012 года атаковал компанию Spamhaus с мощностью почти в 300 гигабит в секунду. А всё из-за того, что Spamhaus внёс этого провайдера в список спамеров.
Как защититься
Нам с вами от DDoS-атак не защититься никак: это задача провайдеров и хостеров. Но на всякий случай всегда важно иметь свежие бэкапы, чтобы, если что, — быстро переехать на новый сервер или восстановить утраченные данные.
Если вы администратор сайта, вам могут оказать услуги DDoS-щитов: тогда ваш сайт скрывается за неким агентом, который принимает на себя весь входящий трафик. Если видно, что началась DDoS-атака, этот агент может отфильтровать плохой трафик, сохранив работоспособность сайта.
Если вы хотите работать в ИТ и защищать компании от таких атак — присмотритесь к профессиям системного администратора или девопса.
Если есть опыт в ИТ и желание разобраться, что к чему — приходите сюда:
Курс «DevOps для эксплуатации и разработки»
Если опыта нет, но хочется уже начать — начните с профессии инженера по тестированию. А как появятся нужные навыки — переходите на новый уровень:
