Технологія розвивається стрімко, й це поліпшує якість життя та можливості в інтернеті. Однак, як завжди в людській історії, технологія — це монета з двома сторонами. Продуктивна та деструктивна. Онлайн-атаки та зловмисний хакінг — це один із руйнівних аспектів мережі, який масово розповсюджується останнє десятиліття. Методологія також ускладнюється. Один із найпоширеніших типів онлайн-атак — распределённая атака на відмову в обслуговуванні, скорочено DDoS. DDoS — це еволюційна та більш складна форма DoS (denial of service) атаки. Тоді як багато інших методів онлайн-атак, як-от печально відомий вірус Троян, колись були страшні, а тепер застаріли, DDoS атаки на мережу чи сервер витримали випробування часом і використовуються успішно й досі. Звичайно, існують методи боротьби та профілактики. Але що робити, коли вашу домашню мережу атакують? У цій статті я розберу десять рішень і способів профілактики DDoS захисту домашніх мереж. Але перш ніж переходити далі, давайте уточнимо визначення.
Що таке DDoS атака?
На відміну від звичайних уявлень, DDoS — це атака, а не хакерська операція. Це означає, що зловмисник, що стоїть за DDoS атакою, не намагається перехопити контроль над вашою мережею чи сервером. Він хоче їх знешкодити та зруйнувати. Хоча існує кілька різних методів DDoS атак, що вписуються у три загальні категорії, загальна схема приблизно однакова. Під час DDoS атаки зловмисник перевантажує мережу чи сервер масивною хвилею фальшивих запитів.
Велика швидкість та обсяг цих поддільних запитів настільки високі, що вони захоплюють пропускну здатність вашої мережі чи сервера й змушують його присвятити всі ресурси обробці цих запитів. Тому сервер або не реагуватиме на інші завдання й запити через брак обчислювальних ресурсів, або повністю впаде. Зловмисник зазвичай запускає такі атаки через численні пристрої, запрограмовані на розсилання запитів; ці пристрої працюють як частина botnet мережі. Оскільки домашні мережи працюють на виділеній пропускній здатності від сервера вашого провайдера, вивести їх з ладу DDoS атакою легше, ніж сервер, який ви запускаєте самі. Це вимагає маршрутизатора DDoS захисту.
Три типи DDoS атак
Важливо знати три загальні категорії, які використовує DDoS зловмисник для пошкодження вашої домашної мережі. Ці три категорії — це не самі методи атак, а скоріше схеми атак, що містять у собі кілька різних DDoS методів. Давайте їх швидко оцінимо.
Об'ємні атаки
Як випливає з назви, атаки об'ємної категорії покладаються на чистий обсяг для успішної атаки. Через це вони також є найпоширенішим типом DDoS атак яка може статися. Процес досить простий. Зловмисник просто покладається на кількість і надсилає якомога більше незаконного трафіку, щоб зруйнувати сервер. Хакер націлюється на ваш DNS. Якщо першої хвилі запитів та небажаного трафіку недостатньо, він може повторити все знову й знову. Об'ємні атаки поширені, тому що їх легко виконати майже кожному. На щастя, це також означає, що DDoS захист домашніх мереж легше впровадити проти цього методу.
Атаки на протоколи
Атаки на основі протоколу потребують більше зусиль, але взамін вони завдають набагато більшої шкоди домашній мережі. Для такої атаки потрібен базовий рівень зв'язку між вашою мережею та мережею зловмисника. Тому він відправляє так звану «TCP» рукостискання. Прийнявши це рукостискання, ви обмінюєтесь набором початкових даних, включаючи IP та DNS адреси. Потім хакер не завершує цей запит. Замість цього він використовує отримані дані, щоб постійно надсилати TCP запити рукостискання з підробленими IP адресами — одна за одною. Кожен такий запит вимагає пропускної спроможності для обробки та відхилення. Внаслідок цього сервер перевантажується та дає збій.
Прикладний рівень
Атаки рівня застосунку DDoS найскладніший вид атак, оскільки вони звертаються проти власних ресурсів сервера або застосунку. Назва вказує на те, що атака спрямована не на базову інфраструктуру сервера, а на «рівень застосунку» — на дані, розміщені на сервері. Якщо це сайт, хакер постійно запитує неіснуючий розділ сайту. При цьому веб-сервер має відповісти, що такого розділу немає. Зловмисник продовжує робити запити, поки сервер не стає перевантаженим і перестає відповідати ні на легітимні, ні на нелегітимні запити.
Zero Day та інші методи атак DDoS
Кожна з трьох названих категорій атак DDoS має низку методів, які під неї потрапляють. Найпоширеніші методи атак на рівні протоколу — TCP повінь та SYN наводнення. При об'ємних атаках ми маємо на увазі ICMP flood атака, напад Ping of Death, і UDP атака навмисне перегрузки. Нарешті, на рівні застосунку — метод slowloris. Усі ці методи добре задокументовані, і існують способи їм протидіяти — як на домашніх мережах, так і на незалежних серверах. Проте є й інша категорія атак DDoS — Zero Day атаки. Як випливає з назви, це методи, які ще не виявлені. Їхнім існування дізнаються лише під час першого використання проти нової жертви. Мінливість концепції атак DDoS означає, що існує багато різних zero-day атак з новими та інноваційними методами. Zero-day атаки вважаються цінними, оскільки їхній протокол ще не розкритий. Тому припускають, що такі методи берегли для використання проти великих цілей. Усі методи, які я назвав раніше, колись також називали zero-day атаками. Однак, як правило, саме zero-day атаки — це те, про що вам менше за все варто турбуватися щодо захисту вашої домашної мережі від DDoS.
HTTP флуд — також виразна атака DDoS. Щоб захистити себе від неї, наполегливо рекомендується захистити вашу HTTP під час перегляду в інтернеті в браузерах, таких як Chrome.
Мотиви, що стоять за атаками DDoS
Мотиви атак DDoS різні, але загалом є певна закономірність. Великі атаки DDoS зазвичай відбуваються з двох причин. По-перше — вимагання. Коли групі хакерів вдається отримати доступ, вони серйозно паралізують маркетингові та операційні можливості жертви. Тому постраждалі часто вважають простішим просто сплатити зловмисникам, щоб ті припинили атаку. По-друге — донесення політичного послання або участь у соціальному активізмі.
Однак коли атака DDoS спрямована на домашню мережу, мотиви можуть бути іншими. Якщо вас конкретно цілять атаки DDoS, причини зазвичай особисті. Якщо ні, то ви або ваш Інтернет-провайдер, ймовірно, потрапили в пастку вимагання. Відомо, що деякі геймери використовують DDoS проти інших гравців під час багатокористувацьких сеансів, щоб створити затримку для суперників і отримати перевагу. Загалом, шанс особистої атаки на вашу домашню мережу невисокий, але що робити, коли це все-таки відбувається? Ось десять способів захистити вашу домашню мережу від DDoS.
10 методів захисту від DDoS на домашній мережі
Перш ніж розповідати про кожен метод, важливо зазначити, що жоден з цих способів не дає абсолютного захисту від атак DDoS. Замість цього вони мають використовуватися разом, щоб запобігти DDoS на домашній мережі.
1. Профілактика — королева
Це не технічний метод боротьби з атаками DDoS. Скоріше, це питання менталітету. DDoS — найпоширеніший тип онлайн-зловмисної діяльності. Тому, як би маловірогідно це не звучало, все одно варто самостійно провести дослідження і мати на місці всі запобіжні та попередні заходи. Жодна жертва успішної атаки DDoS не була до неї готова. Це ясно показує, що деякі з варіантів, які ми розглянемо далі, потрібно впровадити вже зараз. До того, як атака дійсно прийде на вашу домашню мережу.
2. Змініть IP безпеку
Ваша IP адреса — це ваша онлайн-ідентичність та основний спосіб розпізнавання вас і ваших пристроїв в інтернеті. Тому це також головний вектор, з якого постійно спрямовуються атаки. Рекомендується, коли ви займаєтесь ризикованою онлайн-діяльністю, приховати вашу IP адресу. Ще краще — запросити у свого провайдера змінювати вашу IP адресу час від часу. Це значно ускладнить вас як мету атаки.
3. Використовуйте VPN
Багато зловмисників DDoS зазвичай вибирають велику кількість IP адрес, зібраних з публічних баз даних. Можливо, ваша адреса також там є. Тому, щоб зменшити цей ризик, добрим рішенням буде скористатися віртуальною приватною мережею. Такий VPN не лише повністю замаскує вашу реальну IP адресу, але й зашифрує ваші дані. Це значно ускладнить успішну атаку DDoS на вашу мережу. От чому варто користуватися VPN.
4. MACsec
IEEE 802.1AE, також відомий як MACsec, — це мережевий протокол, який зробить певні аспекти вашого з'єднання, такі як Ethernet та VLAN, надійно захищеними від будь-яких потужних атак DDoS. Конфігурація MACsec для захисту від DDoS на домашній мережі — це складний процес. Попри це, це залишається одним з найефективніших методів запобігання атакам типу man in the middle та DDoS. Якщо ваша домашня мережа часто потерпає від DDoS, впровадження MACsec буде дуже корисним.
5. Використовуйте антивірусне програмне забезпечення
Це найпростіший можливий спосіб захисту. Антивірусне програмне забезпечення спеціально розроблено для розпізнавання шаблонів, які використовуються в різних методах атак. Після успішного визначення вхідного трафіку як шкідливого програма просто блокує з'єднання або повністю перериває зв'язок між шкідливим пристроєм та вашою мережею, заблокувавши його IP-адресу. Існує багато надійних варіантів такого програмного забезпечення, як SolarWinds' Security Event Manager, яке також захистить вас від атак, спрямованих на експлуатацію протоколів віддаленого доступу, таких як SSH.
6. Постійно оновлюйте операційну систему
Не можу достатньо наголосити на важливості оновлення операційної системи. Це стосується всіх пристроїв, підключених до вашої домашної мережі. Незалежно від того, чи це Linux, macOS або Windows на ваших комп'ютерах, чи Android або iOS на смартфонах, абсолютно необхідно оновити їх до останньої версії. Застарілі версії операційної системи - одна з найчастіше експлуатуваних вразливостей у безпеці. Вони дозволяють хакерам спочатку проникнути в застарілий пристрій, а потім запустити атаку на всю мережу.
7. Уникайте підозрілих портів
Ми щодня використовуємо різне розважальне та комунікаційне програмне забезпечення, яке працює на певних портах для передачі даних між нашим пристроєм та сервісами. Яскраві приклади - Steam, Netflix, Discord, Skype, Spotify, Xbox Live та інші. Хоча існують офіційні захищені порти, є й альтернативні порти, які можуть розв'язати деякі проблеми або надати доступ до нового контенту. Однак ризик для безпеки вашої мережі не варто цього. Я наполегливо рекомендую використовувати тільки офіційні порти кожного сервісу. Інакше для зловмисника стане дуже легко організувати атаку, наприклад TCP flood.
8. Постійно оновлюйте маршрутизатор
Це ще один критично важливий аспект безпеки вашої домашної мережі. Оновлення не тільки запобігають атакам на саму домашну мережу, але й захищають від інших видів шкідливої діяльності в інтернеті. Як і пристрої в мережі, модеми та маршрутизатори також отримують оновлення програмного забезпечення, спрямовані на підвищення безпеки. Старші версії мають послаблену безпеку порівняно з новішими. Якщо маршрутизатор буде скомпрометований, це буде найгіршим сценарієм - він стане одночасно мішенню атаки та інструментом атакуючого, оскільки зловмисник використовуватиме його для перевантаження мережі. Тримайте маршрутизатори в актуальному стані!
9. Безпека голосових чатів
Відомо, що сервіси вроді Skype та Discord можуть мати скомпрометований базовий рівень безпеки. Це дозволяє зловмиснику вставити UDP пакет у запит на голосовий або відеочат, встановити з'єднання, а потім розпочати повномасштабну атаку. Тому практичне правило просте: ніколи не приймайте запити на голосові чати чи відеодзвінки від незнайомих вам людей в інтернеті. Це узгоджується з першою порадою статті - завжди мати оборонну позицію, щоб запобігти атакам, замість того щоб розв'язувати їх потім. Також бажано використовувати комунікаційне програмне забезпечення, яке не піддає вас ризику.
10. Зв'яжіться зі своїм інтернет-провайдером
Якщо ви просто не маєте достатніх знань для впровадження цих рішень, або якщо вас вже атакували настільки сильно, що мережа повністю неактивна, то вашим єдиним варіантом є контакт з інтернет-провайдером. Як адміністратори сервера, вони можуть змінити вашу IP-адресу, щоб припинити атаку, а потім заблокувати IP-адресу того, хто запустив атаку. Багато інтернет-провайдерів також пропонують базовий захист від таких атак, тому вибір одного з них значно допомагає!
Висновок
Атаки такого типу - далеко найболючіший вид шкідливої діяльності в інтернеті, з якою доводиться мати справу. Хоча вони не спрямовані на вашу особисту інформацію, складність відстеження атакуючого і припинення атаки робить це неймовірно дратівливим. Такі атаки не обмежуються певним типом сервера чи хосту. Вони також можуть трапитися, коли ви користуєтеся сервісами віддаленого доступу, таким як VPS. Тому настійно рекомендуємо вибирати провайдера VPS, який не тільки має високий базовий рівень безпеки від таких атак, але й може миттєво припинити атаку, якщо вона трапиться. Cloudzy пропонує премію DDoS-захищеного VPS послуги, які повністю звільнять вас від таких проблем. Cloudzy також мають понад 12 розташувань, адаптовані пакети, відмінну з'єднаність, час безперервної роботи 99,95% та навіть гарантію повернення коштів за 7 днів!
Хостинг VPS з високою продуктивністю та доступними цінами
Використовуйте наш доступний хостинг VPS для різних задач: розміщення сайтів і ігор, торгівля, віддалений робочий стіл, розробка та тестування застосунків.
Отримайте продуктивний VPSЧасто задавані питання
Чи можна атакувати домашну мережу таким способом?
Так. Не тільки це можливо, але й домашні мережі особливо вразливі до краху через те, що їм виділяється певна кількість ресурсів з центрального сервера.
Чи існують маршрутизатори зі вбудованим захистом?
Так. І дуже рекомендується їх використовувати. Оскільки захист доступний як оновлення програмного забезпечення, навіть старіші маршрутизатори без такого захисту можуть його отримати. Звідси й важливість оновлення маршрутизатора.
Як виявити атаку на мою домашну мережу?
Існує кілька ознак такої атаки. Сюди входять різке зниження швидкості мережі та помилки timeout. Сплески трафіку, які слідують певній схемі, також є чітким показником.
