Технологии развиваются с огромной скоростью, повышая качество жизни и расширяя возможности в интернете. Но, как и во все времена, у этой медали две стороны. Одна — созидательная, другая — разрушительная. Сетевые атаки и злоумышленное взломы — одна из тёмных сторон интернета, которая за последнее десятилетие резко набрала обороты. Методы атак при этом становятся всё изощрённее. Одна из наиболее распространённых — это распределённая атака типа «отказ в обслуживании», известная под аббревиатурой DDoS. DDoS — это развитая и более продвинутая версия DoS-атаки (denial of service). Многие методы атак, например печально известный троянский вирус, когда-то наводили страх, а сегодня устарели. Атаки DDoS на сети и серверы, напротив, выдержали проверку временем и по-прежнему активно применяются. Разумеется, существуют способы противодействия и профилактики. Но что делать, если атакуют вашу домашнюю сеть? В этой статье я расскажу о десяти способах защиты домашней сети от DDoS. Но сначала разберёмся с определениями.
Что такое атака DDoS?
Вопреки расхожему мнению, DDoS — это атака, а не взлом. Цель злоумышленника — не получить контроль над вашей сетью или сервером, а вывести их из строя. Существует несколько разновидностей DDoS-атак, которые укладываются в три общих категории, однако принцип у всех примерно одинаков. При DDoS-атаке злоумышленник перегружает целевую сеть или сервер огромным потоком фиктивных сетевых запросов.
Скорость и объём этих запросов настолько велики, что они захватывают всю полосу пропускания сети или сервера, вынуждая его тратить все ресурсы на их обработку. В результате сервер либо перестаёт отвечать на другие задачи и запросы из-за нехватки ресурсов, либо полностью выходит из строя. Как правило, атака ведётся через множество устройств, запрограммированных на спам-запросы — так называемую бот-сеть (ботнет). Поскольку домашние сети работают на выделенной полосе пропускания от центрального сервера провайдера, вывести их из строя с помощью DDoS значительно проще, чем собственный сервер. Именно поэтому так важна DDoS-защита на уровне роутера.
Три типа DDoS-атак
Важно понимать, к каким трём общим категориям прибегают злоумышленники, чтобы нанести ущерб домашней сети. Это не конкретные методы атак, а схемы, каждая из которых включает несколько различных способов проведения DDoS-атаки. Рассмотрим их кратко.
Объёмные атаки
Как следует из названия, объёмные атаки берут числом: их успех основан исключительно на масштабе трафика. Именно поэтому они также считаются наиболее распространённый тип DDoS-атак именно так это и работает. Принцип прост: атакующий делает ставку на объём и отправляет как можно больше нелегитимного трафика, чтобы положить сервер. Хакер целится в ваш DNS. Если первая волна запросов не достигла цели, он просто повторяет её снова и снова. Объёмные атаки популярны потому, что их может провести практически кто угодно. Зато и защита домашней сети от DDoS в этом случае тоже относительно проста.
Протокольные атаки
Атаки на уровне протоколов требуют немного больше усилий, но и урон для домашней сети от них значительно серьёзнее. Для такой атаки злоумышленнику необходимо установить базовое соединение между вашей сетью и своей. Для этого он отправляет так называемое «TCP»-рукопожатие. При его принятии происходит обмен начальными данными, включая IP-адреса и адреса DNS. После этого хакер намеренно не завершает рукопожатие. Вместо этого он использует полученные данные для непрерывной отправки TCP-запросов с поддельными IP-адресами. На обработку и отклонение каждого такого запроса расходуется пропускная способность канала. В итоге сервер перегружается и перестаёт отвечать.
Прикладной уровень
DDoS-атаки на прикладном уровне считаются наиболее изощрёнными: злоумышленник обращает ресурсы самого приложения или сервера против него же. Название говорит о том, что атака направлена не на базовую инфраструктуру, а на «прикладной уровень» данных, размещённых на сервере. Если это сайт, хакер постоянно запрашивает несуществующий раздел страницы. В ответ сервер вынужден сообщать, что такого раздела нет, отправляя ответный пакет. Атакующий продолжает делать запросы до тех пор, пока сервер не перегружается и не перестаёт отвечать вообще — ни на нелегитимные, ни на обычные запросы.
Zero Day и другие методы DDoS-атак
Каждая из трёх перечисленных категорий DDoS-атак включает несколько конкретных методов. Среди протокольных атак наиболее распространены TCP-флуд и SYN-флуд. Среди объёмных атак выделяют ICMP-флуд, пинг смерти, и UDP-флуд. На прикладном уровне известен метод slowloris. Все эти методы хорошо изучены, и против каждого из них существуют способы защиты — как для домашних сетей, так и для отдельных серверов. Однако есть ещё одна категория DDoS-атак — Zero Day-атаки. Как следует из названия, это методы, которые ещё не были обнаружены: о их существовании становится известно лишь тогда, когда они впервые применяются против новой жертвы. Поскольку DDoS-атаки постоянно эволюционируют, Zero Day-атак существует множество, и каждая использует новые, нестандартные подходы. Такие атаки высоко ценятся именно потому, что их механизм ещё не раскрыт. Считается, что подобные методы намеренно придерживают для применения против крупных целей. Все методы, упомянутые выше, тоже когда-то были Zero Day. Тем не менее применительно к защите домашней сети от DDoS Zero Day-атаки — это последнее, о чём стоит беспокоиться.
HTTP-флуд также является распространённым видом DDoS-атак. Чтобы не стать его жертвой, настоятельно рекомендуется защищать свой HTTP при работе в браузерах, например Chrome.
Что стоит за DDoS-атаками
Мотивы у каждой DDoS-атаки свои, но в целом прослеживается определённая закономерность. Крупные DDoS-атаки, как правило, проводятся по двум причинам. Первая — вымогательство. Когда хакерам удаётся отрезать компанию от интернета, это серьёзно бьёт по её маркетинговым и операционным возможностям. Поэтому жертве нередко проще заплатить злоумышленникам, чтобы те прекратили атаку. Вторая причина крупных DDoS-атак — политические заявления или акции социального протеста.
Когда же под удар попадает домашняя сеть, мотивы могут быть иными. В таких случаях причины, как правило, личные. Если это не так, скорее всего, вы или ваш провайдер стали жертвой схемы вымогательства. Известно, что некоторые геймеры прибегают к DDoS против других игроков в многопользовательских сессиях, чтобы создать лаг у противника и получить преимущество. В целом вероятность целенаправленной DDoS-атаки на вашу домашнюю сеть невелика, но что делать, если она всё же произошла? Вот десять способов защитить домашнюю сеть от DDoS.
10 методов защиты домашней сети от DDoS
Прежде чем разбирать каждый из этих методов, важно понимать: ни одно из этих решений не даёт абсолютной защиты от DDoS-атаки на домашнюю сеть. Они работают только в связке — только совместное применение позволяет надёжно защититься от DDoS.
1. Профилактика прежде всего
Это не технический метод борьбы с DDoS-атаками, а скорее правильный подход к безопасности. DDoS — самый распространённый вид вредоносной активности в сети. Поэтому, даже если вероятность атаки на вашу домашнюю сеть кажется низкой, настоятельно рекомендуется самостоятельно изучить тему и заранее принять все возможные меры: защитные, предупредительные и превентивные. Ни одна жертва успешной DDoS-атаки не была к ней готова. Это наглядно показывает: часть описанных в этой статье мер нужно внедрять прямо сейчас — до того, как атака затронет вашу домашнюю сеть.
2. Защитите свой IP
Ваш IP-адрес — это ваш идентификатор в сети. Именно по нему вас, ваши устройства и вашу сеть распознают в интернете. Поэтому он же становится главной точкой входа для атак в любом гипотетическом сценарии. При любой рискованной активности в сети рекомендуется скрывать свой IP-адрес. Ещё лучше — договориться с провайдером о периодической смене выданного вам IP-адреса. Это существенно усложнит задачу тому, кто захочет вас атаковать.
3. Используйте VPN
Многие злоумышленники, проводящие DDoS-атаки, работают по большим спискам IP-адресов, собранным из открытых источников. Вполне возможно, что ваш адрес тоже есть в одном из таких списков. Поэтому, возвращаясь к вопросу защиты IP: хорошим решением будет использование виртуальной частной сети. VPN не только полностью скроет и подменит ваш реальный IP-адрес, но и зашифрует передаваемые данные. Это значительно усложнит проведение успешной DDoS-атаки на вашу домашнюю сеть. Ещё один весомый аргумент в пользу того, зачем использовать VPN.
4. MACsec
IEEE 802.1AE, известный как MACsec, — это сетевой протокол, который делает отдельные элементы вашего соединения, такие как Ethernet и VLAN, устойчивыми к любым массированным DDoS-атакам. Настройка MACsec для защиты домашней сети — задача непростая и требует определённых технических знаний. Тем не менее это один из наиболее действенных способов защиты от атак типа «человек посередине» и DDoS. Если ваша домашняя сеть регулярно подвергается DDoS-атакам, внедрение MACsec станет серьёзным шагом в сторону защиты.
5. Используйте программы защиты от DDoS
Это самый прямолинейный подход. Программы защиты от DDoS созданы специально для того, чтобы распознавать паттерны, характерные для различных типов DDoS-атак. Как только входящий трафик определяется как вредоносный, программа либо блокирует соединение, либо полностью разрывает связь между вредоносным устройством и вашей сетью, заблокировав его IP. Среди проверенных решений в этой категории стоит выделить SolarWinds' Security Event Manager, который также защищает от атак, эксплуатирующих протоколы удалённого доступа, в том числе SSH.
6. Своевременно обновляйте ОС
Сложно переоценить, насколько важно поддерживать операционную систему в актуальном состоянии. И это касается всех устройств, подключённых к вашей домашней сети. Linux, macOS, Windows на компьютерах, Android или iOS на смартфонах — все они должны работать на последних доступных версиях. Устаревшие версии ОС — одно из наиболее уязвимых мест в безопасности. Через них злоумышленник сначала проникает на устаревшее устройство, а затем использует его для атаки на всю сеть.
7. Избегайте ненадёжных портов
Многие из нас ежедневно пользуются различными развлекательными и коммуникационными сервисами, которые передают данные через определённые порты. Типичные примеры: Steam, Netflix, Discord, Skype, Spotify, Xbox Live и другие. Помимо официальных и защищённых портов существуют альтернативные, которые иногда используют для обхода ошибок или доступа к новому контенту. Но это не стоит риска для безопасности вашей сети. Настоятельно рекомендую ни при каких обстоятельствах не использовать такие ненадёжные порты и всегда работать только с официально указанными портами каждого сервиса. Иначе атакующему не составит труда организовать TCP-флуд против вас.
8. Своевременно обновляйте роутер
Это ещё один ключевой аспект безопасности домашней сети в целом. Актуальная прошивка роутера не только снижает риск DDoS-атак, но и помогает противостоять любой другой вредоносной активности, направленной против вас. Как и подключённые к сети устройства, модемы и роутеры также получают программные обновления, направленные на повышение безопасности. Устаревшие версии прошивок уступают в защите более новым. Взломанный роутер — это худший из возможных сценариев: он становится одновременно главной целью атаки и её инструментом, поскольку злоумышленник использует его для перегрузки сети. Держите роутер в актуальном состоянии!
9. Безопасность голосового чата
Известно, что такие сервисы, как Skype и даже Discord, могут иметь уязвимости на базовом уровне защиты. Это позволяет злоумышленнику встроить UDP-пакет в простой запрос на аудио- или видеозвонок, чтобы установить соединение и затем провести полноценную DDoS-атаку. Поэтому как общее правило: никогда не принимайте запросы на аудио- или видеозвонки от незнакомых людей в интернете. Это согласуется с первым советом статьи — всегда придерживаться защитного мышления и предотвращать DDoS-атаки, а не бороться с последствиями после их начала. Также рекомендуется использовать средства связи, которые не раскрывают ваши данные.
10. Обратитесь к своему провайдеру
Если у вас недостаточно технических знаний, чтобы самостоятельно применить описанные решения, или если атака уже привела к полной недоступности сети, единственный выход — обратиться к интернет-провайдеру. Как администраторы сервера, они могут сменить ваш IP-адрес, чтобы остановить текущую атаку, и заблокировать IP-адрес, с которого велась DDoS-атака. Многие провайдеры также предлагают базовую защиту от DDoS-атак — выбор такого провайдера существенно снижает риски.
Заключение
DDoS-атаки — безусловно, один из самых неприятных видов вредоносной активности в сети. Хотя они не направлены на кражу личных данных, сложность отслеживания атакующего и остановки атаки делает их особенно раздражающими. DDoS-атаки не ограничены каким-то одним типом серверов или хостинга. Они могут случиться и при использовании сервисов удалённого доступа, например VPS. Поэтому настоятельно рекомендуется выбирать провайдера VPS, который не только обеспечивает высокий базовый уровень защиты от DDoS-атак, но и способен оперативно их остановить. Cloudzy предлагает первоклассные VPS под защитой DDoS услуги, которые избавят вас от беспокойства о DDoS раз и навсегда. Cloudzy также предлагает более 12 локаций, гибкие тарифы, отличную связность, уровень доступности 99,95% и даже семидневную гарантию возврата средств.
Высокопроизводительный хостинг VPS по доступным ценам
Используйте наш доступный хостинг VPS для самых разных задач: размещение сайтов и игровых серверов, трейдинг, удалённый рабочий стол, разработка и тестирование приложений.
Получите эффективный VPSЧасто задаваемые вопросы
Можно ли атаковать домашнюю сеть с помощью DDoS?
Да. Это не только возможно — домашние сети особенно уязвимы, поскольку им выделяется ограниченный объём ресурсов от центрального сервера. Под нагрузкой серьёзной DDoS-атаки они могут быстро выйти из строя.
Существуют ли роутеры с защитой от DDoS?
Да, и их использование настоятельно рекомендуется. Поскольку защита реализована программно, некоторые старые роутеры, изначально не имевшие функции анти-DDoS, получают её через обновления прошивки. Именно поэтому так важно обновлять роутер.
Как обнаружить DDoS-атаку на домашнюю сеть?
Есть несколько признаков активной DDoS-атаки: резкое падение скорости сети, ошибки тайм-аута, а также всплески трафика, повторяющиеся с определённой периодичностью.
