Защита от DDoS и тестирование производительности

Защита от DDoS, нагрузочное тестирование, тестирование мощности, стресс-тестирование, пиковое тестирование, тестирование на выдержку и Chaos Engineering

Нарушения производительности и доступности системы относятся к любой ситуации, когда система не может работать с приемлемым уровнем функциональности и эффективности или становится недоступной для предполагаемых пользователей из-за преднамеренных или непреднамеренных причин, таких как кибератаки, сбои оборудования или программные ошибки.

DoS-атака («отказ в обслуживании») – это нарушение требования доступности системы, что приводит к простою бизнеса, репутационным потерям и финансовым убыткам.

Распределенная атака типа «отказ в обслуживании» (DDoS) – это разновидность DoS, злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, путем перегрузки цели или окружающей ее инфраструктуры потоком интернет-трафика.

Атака TDoS (Telecommunication Denial of Service) – это разновидность DoS, которая существует в телекоммуникационных сетях. Этот тип атаки используется для отключения телефонов.

Изображения - DDoS-атаки

DDoS-атаки достигают эффективности за счет использования нескольких скомпрометированных компьютерных систем как источников атакующего трафика. Используемые машины могут включать компьютеры и другие сетевые ресурсы, такие как устройства IoT.

Чаще всего DDoS-атака похожа на неожиданную пробку, забивающую автомагистраль, не позволяя обычным транспортным средствам прибывать в пункт назначения.


Категории DoS и DDoS атак

DoS/DDoS-атаки можно условно разделить на три группы:

Объемные атакиОбъемные атаки
Включают UDP-флуд, ICMP-флуд и другие потоки поддельных пакетов. Цель атаки состоит в том, чтобы заполнить полосу пропускания атакуемого сайта или другого объекта. Величина атак измеряется в битах в секунду (бит/с).
Атаки на уровне протоколовАтаки на уровне протоколов
Включают SYN-флуд, атаки фрагментированными пакетами, Ping of Death, Smurf DDoS и другие. Этот тип атаки потребляет фактические ресурсы сервера или ресурсы промежуточного коммуникационного оборудования, такого как межсетевые экраны и балансировщики нагрузки, и измеряется в пакетах в секунду (Pps).
Атаки на уровне приложенийАтаки на уровне приложений
Включают малые и медленные атаки; наводнения GET/POST; атаки, нацеленные на веб-сервер; уязвимости Windows или OpenBSD и многое другое. Атаки состоят из, на первый взгляд, легитимных и невинных запросов. Цель этих атак – сбой веб-сервера, а величина измеряется в запросах в секунду (Rps).

Таким образом, защита от атаки DoS/DDoS поможет сохранить доступность ваших систем, а также минимизировать последствия подобных атак.

ЗАПРОСИТЬ ЦЕНУ

Как работает предотвращение DDoS-атак?

Развитие надежной инфраструктуры, несомненно, является краеугольным камнем предотвращения DDoS-атак. Ниже приведены все важные первоочерёдные действия для предотвращения DDoS:

  1. Увеличение пропускной способности.
  2. Изоляция сетей и центров обработки данных безопасным образом.
  3. Обеспечение отказоустойчивости и зеркалирования.
  4. Конфигурация устойчивости для протоколов и приложений.
  5. Повышение производительности и доступности с помощью таких инструментов, как CDN.

Кому нужна защита от DDoS-атак?

Компании и организации, которые оперируют конфиденциальными данными или могут стать целью кибератак, существуют во многих отраслях. Наиболее заметными из них являются онлайн-торговля, платежные системы, СМИ, государственный и финансовый секторы.

Методы защиты от DDoS

Чтобы автоматически отличить обычные всплески трафика от DDoS-атак, службы безопасности, использующие решения по предотвращению DDoS-атак, обычно используют следующие технологии и сервисы.

  • Анализ трафика:

Большинство стратегий предотвращения DDoS-атак основано на круглосуточном мониторинге трафика, чтобы следить за опасностями и выявлять ранние признаки активности DDoS-атаки до того, как она выйдет из-под контроля и превратится в непредвиденные объемы или продолжится с помощью резких методов DDoS, которые могут ухудшить производительность без отключения системы от сети. Поставщики управляемых услуг обычно берут на себя эту функцию для предприятий, которым не хватает штатного персонала для круглосуточного облачного мониторинга. Индивидуальные средства защиты от DDoS-атак могут значительно снизить стоимость простоев и повысить эффективность работы после атаки.

  • Обнаружение аномалий:

Наиболее актуальные признаки компрометации, связанные с наиболее эффективными стратегиями DDoS-атак, часто отслеживаются источниками разведки об угрозах и оборудованием для обнаружения аномалий, которое откалибровано в соответствии с сетевыми стандартами и политиками. После таких обнаружений специалисты по предотвращению DDoS-атак и автоматизированные технологии реагируют на них.

  • Перенаправление и очистка:

Чтобы остановить DDoS-активность при ее обнаружении, многие компании используют локальные решения, включая брандмауэры, унифицированные устройства мониторинга угроз и устройства для предотвращения DDoS-атак. Однако аппаратное обеспечение имеет ограничения на количество данных, которые эти устройства могут отклонять или принимать. Это требует обширной настройки аппарата.

Защита от DDoS с H-X Technologies

Мы предлагаем комплексный подход на каждом уровне защиты от DoS и DDoS:

  1. Базовый уровень. Установка и отладка сервисов Cloudflare, Imperva Incapsula, Akamai и других для того, чтобы спрятать ваши реальные IP-адреса от пользователей Интернета и отфильтровать трафик.
  2. Уровень приложений. Анализ проблемных запросов, например, единичных запросов большого размера. Проверка исходного кода приложения и результатов профилирования приложения, а также нахождение узких мест, например, проблем автоматического масштабирования (средствами кластера Kubernetes и т. д.).
  3. Тестирование. Команда наших специалистов проводит симуляцию атаки, чтобы протестировать решение и убедиться, что ваше приложение готово к настоящей DDoS-атаке. Мы используем комплексное тестирование производительности и методы и инструменты хаос-инжиниринга, моделирование ботнетов и т. д.

Тестирование производительности против Chaos Engineering

Тестирование производительностиChaos Engineering
Инструменты– stress-ng
– tc
– iperf
– yandex-tank
– Apache-jmeter
– Locust
– ChaosToolkit
– Chaosblade
– Chaos Monkey
– ChaosKube
– kube-monke
– Toxiproxy
– Hastic.io
Находки– Время отклика (нагрузочный тест)
– Максимально допустимое количество пользователей (тест мощности)
– Неожиданные ошибки (стресс-тест, пиковый тест)
– Ошибки, появляющиеся со временем (тест на выдержку)
– Слабые места на уровне приложения (фаззинг API и т. д.)
– Сбои хоста (выключение, перезагрузка и т.д.)
– Ресурсные атаки (ЦПУ, ввод-вывод, оперативная память и т. д.)
– Сетевые атаки (падение, потеря, задержка, DNS и т.д.)
– Региональные атаки (split-brain и т.д.)

Резюме сервиса

⏳ Продолжительность проекта

В среднем 2–3 недели. Иногда, в зависимости от объема и требований, несколько недель или месяцев.

🎁 Это бесплатно или с тестовым периодом?

Используйте такие сервисы, как cloudflare.com, для начальной защиты и нашу бесплатную консультацию, чтобы определить дальнейшие шаги.

💼 Для какого бизнеса это нужно?

Любой бизнес, использующий онлайн-сервисы: веб-сайты электронной коммерции, финансовые учреждения, поставщики медицинских услуг, государственные учреждения и т. д.

💡 Когда нужна эта услуга?

Когда ваша сеть или системы могут подвергнуться злонамеренным атакам, целью которых является нарушение работы или блокирование ваших сервисов.

📈 Ваша выгода

Предотвращение или минимизация последствий атак типа “отказ в обслуживании”. Сохранение репутации и доверия клиентов.

⚙️ Наши методы и инструменты

Сетевые брандмауэры, балансировщики нагрузки, системы предотвращения вторжений, сети распространения контента, ограничение скорости, обнаружение аномалий и т. д.

📑 Результаты

Отчет об анализе и оценке, стратегия защиты, полностью внедренное и настроенное решение защиты, отчеты о тестировании и проверке.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для того, чтобы заказать защиту от DDoS-атак, TDoS-атак или тестирование производительности. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Анализ безопасности исходных кодов программного обеспечения
Аудит смарт-контрактов и блокчейн
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)