Захист від DDoS і тестування продуктивності

Захист від DDoS, навантажувальне тестування, тестування потужності, стрес-тестування, пікове тестування, тестування на витримку і Chaos Engineering

Порушення продуктивності та доступності системи стосуються будь-якої ситуації, коли система не може працювати на прийнятному рівні функціональності та ефективності або стає недоступною для передбачуваних користувачів через навмисні чи ненавмисні причини, такі як кібератаки, збої обладнання або програмні помилки.


DoS-атака («відмова в обслуговуванні») – це порушення вимоги доступності системи, що призводить до простою бізнесу, репутаційних втрат і фінансових збитків.

Розподілена атака типу «відмова в обслуговуванні» (DDoS) – це різновид DoS, зловмисна спроба порушити нормальний трафік цільового сервера, служби або мережі, шляхом перевантаження цілі або інфраструктури, що її оточує, потоком інтернет-трафіку.

Атака TDoS (Telecommunication Denial of Service) – це різновид DoS, що існує в телекомунікаційних мережах. Цей тип атаки використовується для відключення телефонів.

DDoS-атаки

DDoS-атаки досягають ефективності шляхом використання декількох скомпрометованих комп’ютерних систем як джерел атакувального трафіку. Машини, що використовуються, можуть включати комп’ютери та інші мережеві ресурси, такі як пристрої IoT.

Найчастіше DDoS-атака схожа на несподівану пробку, що забиває автомагістраль, не дозволяючи звичайним транспортним засобам прибувати в пункт призначення.


Категорії DoS і DDoS атак

DoS/DDoS-атаки можна умовно розділити на три групи:

Об'ємні атакиОб’ємні атаки
Включають UDP-флуд, ICMP-флуд та інші потоки підроблених пакетів. Мета атаки полягає в тому, щоб заповнити смугу пропускання сайту або іншого об’єкту жертви. Величина атак вимірюється в бітах у секунду (біт/с).
Атаки на рівні протоколівАтаки на рівні протоколів
Включають SYN-флуд, атаки фрагментованими пакетами, Ping of Death, Smurf DDoS та інші. Цей тип атаки споживає фактичні ресурси сервера або ресурси проміжного комунікаційного обладнання, такого як міжмережеві екрани та балансувальник навантаження, і вимірюється в пакетах у секунду (Pps).
Атаки на рівні додатківАтаки на рівні застосунків
Включають малі та повільні атаки; повені GET/POST; атаки, націлені на веб-сервер; уразливості Windows або OpenBSD і багато іншого. Атаки складаються з, на перший погляд, легітимних і невинних запитів. Мета цих атак – збій веб-серверу, а величина вимірюється в запитах у секунду (Rps).

Таким чином, захист від DoS/DDoS допоможе зберегти доступність ваших систем, а також мінімізувати наслідки подібних атак.

ЗАПРОСИТИ ЦІНУ

Як працює запобігання DDoS-атакам?

Розвиток міцної інфраструктури, безсумнівно, є наріжним каменем запобігання DDoS-атакам. Нижче наведено всі важливі першочергові дії для запобігання DDoS:

  1. Збільшення пропускної здатності.
  2. Безпечна ізоляція мереж і центрів обробки даних.
  3. Забезпечення відмовостійкості та дзеркалювання.
  4. Конфігурація стійкості для протоколів і застосунків.
  5. Підвищення продуктивності та доступності за допомогою таких інструментів, як CDN.

Кому потрібен захист від DDoS-атак?

Компанії та організації, які оперують конфіденційними даними або можуть стати мішенню для кібератак, існують у багатьох галузях. Найбільш помітними з них є онлайн-торгівля, платіжні системи, медіа, державний і фінансовий сектори.

Методи захисту від DDoS

Щоб автоматично розрізнити звичайні сплески трафіку та DDoS-атаки, служби безпеки, які використовують рішення для запобігання DDoS-атак, зазвичай використовують наступні технології та сервіси.

  • Аналіз трафіку:

Більшість стратегій запобігання DDoS-атак заснована на цілодобовому моніторингу трафіку, щоб стежити за небезпеками та виявляти ранні ознаки активності DDoS-атаки, перш ніж вона вийде з-під контролю в непередбачених обсягах або продовжиться за допомогою різких методів DDoS, які можуть погіршити продуктивність без відключення системи від мережі. Постачальники керованих послуг зазвичай беруть на себе цю функцію для підприємств, яким бракує штатного персоналу для цілодобового хмарного моніторингу. Індивідуальні засоби захисту від DDoS-атак можуть значно знизити вартість простоїв та підвищити ефективність після атаки.

  • Виявлення аномалій:

Найновіші ознаки компрометації, пов’язані з найефективнішими стратегіями DDoS-атак, часто відстежуються за допомогою джерел розвідки про загрози та обладнання для виявлення аномалій, яке відкаліброване відповідно до мережевих стандартів і політик. Після цих виявлень спеціалісти з запобігання DDoS-атак і автоматизовані технології реагують у відповідь.

  • Зміна маршруту та очищення:

Щоб зупинити активність DDoS-активність у разі її виявлення, багато компаній використовують локальні рішення, включаючи брандмауери, уніфіковані пристрої моніторингу загроз і пристрої для запобігання DDoS-атак. Однак апаратне забезпечення має обмеження на кількість даних, які ці пристрої можуть відхиляти або приймати. Це вимагає ретельного налаштування апарату.

Захист від DDoS із H-X Technologies

Ми пропонуємо комплексний підхід на кожному рівні захисту від DoS та DDoS:

  1. Базовий рівень. Встановлення та налагодження сервісів Cloudflare, Imperva Incapsula, Akamai та інших для того, щоб заховати ваші реальні IP-адреси від користувачів Інтернету та відфільтрувати трафік.
  2. Рівень застосунків. Аналіз проблемних запитів, наприклад, одиничних запитів великого розміру. Перевірка вихідного коду програми та результатів профілювання застосунку, а також знаходження вузьких місць, наприклад, проблем автоматичного масштабування (засобами кластера Kubernetes тощо).
  3. Тестування. Команда наших фахівців проводить симуляцію атаки, щоб протестувати рішення та переконатися, що ваш застосунок готовий до справжньої DDoS-атаки. Ми використовуємо комплексне тестування продуктивності та методи та інструменти хаос-інженерії, моделювання ботнетів тощо.

Тестування продуктивності проти Chaos Engineering

Тестування продуктивностіChaos Engineering
Інструменти– stress-ng
– tc
– iperf
– yandex-tank
– Apache-jmeter
– Locust
– ChaosToolkit
– Chaosblade
– Chaos Monkey
– ChaosKube
– kube-monke
– Toxiproxy
– Hastic.io
Знахідки– Час відгуку (навантажувальний тест)
– Максимально допустима кількість користувачів (тест потужності)
– Несподівані помилки (стрес-тест, піковий тест)
– Помилки, що з’являються згодом (тест на витримку)
– Слабкі місця на рівні програми (фазинг API тощо)
– збої хоста (вимикання, перезавантаження тощо)
– ресурсні атаки (ЦПУ, введення-виведення, оперативна пам’ять тощо)
– Мережеві атаки (падіння, втрата, затримка, DNS тощо)
– Регіональні атаки (split-brain тощо)

Резюме сервісу

⏳ Тривалість проєкту

У середньому 2-3 тижні. Іноді, залежно від обсягу та вимог, кілька тижнів або місяців.

🎁 Це може бути безкоштовним чи мати тестовий період?

Використовуйте такі сервіси, як cloudflare.com для початкового захисту та нашу безкоштовну консультацію, щоб визначити подальші кроки.

💼 Для якого типу бізнесу це потрібно?

Будь-який бізнес, який покладається на онлайн-послуги: вебсайти електронної комерції, фінансові установи, постачальники медичних послуг, державні установи тощо.

💡 Коли потрібна ця послуга?

Коли ваша мережа або системи знаходяться під загрозою зловмисних атак, спрямованих на переривання або блокування ваших сервісів.

📈 Ваша вигода

Запобігання або мінімізація впливу атак на відмову в обслуговуванні. Збереження репутації та довіри клієнтів.

⚙️ Наші методи та інструменти

Мережеві брандмауери, балансувальники навантаження, системи запобігання вторгненням, мережі розподілу вмісту, обмеження швидкості, виявлення аномалій тощо.

📑 Результати

Звіт про аналіз та оцінку, стратегія захисту, повністю реалізоване та налаштоване рішення захисту, звіти про тестування та перевірку.

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для того, щоб замовити захист від DDoS-атак, TDoS-атак або тестування продуктивності. Отримайте безкоштовну консультацію.

Бізнес-кейси проектів, виконаних нами

Автоматизація бізнесу
Аналіз безпеки вихідних кодів програмного забезпечення
Аудит смарт-контрактів та блокчейн
Аудити безпеки та тести на проникнення
Кейси з впровадження центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування