В марте 2021 года на DNS-серверы крупного российского регистратора доменов и хостера nic.ru совершили несколько DDoS-атак. Пользователи не могли получить доступ к сайтам, использующим ns-серверы регистратора. Сайт nic.ru на время тоже вышел из строя и выдавал ошибку 502. Владимир Завертайлов, основатель и руководитель Scrum-студии «Сибирикс», рассказал, как вернуть сайт, который оказался недоступен, и защитить его от таких атак в будущем.
Как атакуют сайты
DNS (Domain Name System, «система доменных имен») — это старая и стандартная служба интернета. Большинство компаний, которые продают домены, предоставляют и услугу делегирования DNS.
Во время DDoS-атак хакеры искусственно подвергают серверы огромному количеству запросов. Если провайдер подвергается DDoS-атаке, его DNS-служба может перестать работать, как произошло с Nic.ru. Службы DNS преобразуют доменное имя сайта в IP-адрес, по которому браузер пользователя загружает с сервера содержимое этого сайта. Если сервер не успевает обрабатывать запросы, сайты пользователей и корпоративная почта, размещенная на домене, перестают работать.
RU-CENTER (nic.ru) является одним из крупнейших регистраторов доменных имен в России. По состоянию на начало марта 2022 года он обслуживал 6,11% всех доменов в зоне .RU. Поэтому у большой доли владельцев доменных имен NS были именно там.
24 марта на серверы RU-CENTER обрушились крупные DDoS-атаки, в результате которых около 400 пользователей перенесли NS своих сайтов к другим регистраторам.
Кто производит атаки на серверы и зачем?
- Чаще всего DDos-атаки направляют на сайты органов власти, подведомственные учреждения и крупные компании. Это протест, цель которого — привлечь внимание общественности. Количество DDoS-атак на сайты государственных структур и компаний России с 23 февраля выросло больше чем в 30 раз.
- DDoS-атаку можно использовать как инструмент подавления конкуренции. Конкурирующая компания может атаковать сервис, чтобы нанести морально-материальный урон компании, снизить продажи и ограничить трафик.
- Вымогательство — хакерский метод зарабатывания денег. Злоумышленник попросит оплату за прекращение атак на сайт.
- Менее редкие и опасные случаи — когда начинающие хакеры взламывают сайты, чтобы научиться.
Примеры наиболее массовых атак:
- 2007 год. В течение трех недель правительственные учреждения Эстонии подвергались кибератаке, в результате которой сильно пострадала сфера торговли.
- 2012 год. Атака на шесть крупных американских банков мощностью в 60 Gbps.
- 2017. Google атаковали предположительно ботнетами китайского правительства. Мощность атаки — 2,5 Tbps.
Крупнейшей в Рунете считают атаку, совершенную на Яндекс в 2021 году, — ее скорость составила 21,8 млн запросов в секунду. Атаку реализовали через ботнет, маскирующийся под обычных пользователей.
Как обезопасить сайт от атак
Чтобы DDoS-атаки не убивали резолвинг (поиск соответствий IP и доменных имен), нужно использовать не менее двух NS-серверов. У основного сервера (Master) будет прописана конфигурация для поиска IP-адреса конкретного имени. Вспомогательные серверы (Slave) подтянут эту информацию к себе и передадут ее, когда основной сервер будет недоступен.
Размещайте master- и slave-серверы как минимум в разных подсетях, а лучше — у разных провайдеров и даже в разных частях света.
Если вовремя обезопасить сайт не удалось и он оказался недоступен впоследствии DdoS-атаки на провайдера ваших NS-серверов, рекомендую сделать резервные NS в нескольких независимых организациях и в разных подсетях — например, Google или Яндекса. Как перенести домен с nic.ru на Яндекс, вы можете узнать из нашей инструкции.
Что в итоге
С каждым днем количество DDoS-атак растет и все больше сайтах оказываются незащищенными. Перенос DNS-домена на другие серверы — не панацея, но один из самых действенных способов защитить ресурсы.
Читать далее:
Ядерному синтезу больше не нужны миллионы градусов: как работает новый метод
Ученые установили, что горожане ориентируются в пространстве хуже жителей села