Защитить сайты от атак ботов и пользовательских DDoS-атак

Как мы помогаем отразить массовые атаки на российские сайты с помощью сервиса на основе WAF, анти-DDoS и ELK.

Защитить сайты от атак ботов и пользовательских DDoS-атак

Задача

У крупной российской компании есть множество сайтов для клиентов из разных стран. Они размещаются на стороннем облачном хостинге, а для распределения нагрузки используется балансировщик.

С 24 февраля веб-ресурсы компании подверглись целевым атакам “хактивистов”. Хакеры запускали на сайт ботов, а также на специализированных сайтах предлагали всем желающим стать участниками DDoS. Стандартные системы безопасности не справлялись с атаками, сайты оказывались недоступны. Компания обратилась в DataLine для защиты веб-ресурсов.

Что нужно было сделать
  • Быстро восстановить доступность сайтов под атакой. Вернуть сайты к работе нужно было максимально оперативно. Компания искала решение, которое не потребует переезда, а позволит отразить атаку на текущем хостинге.

  • Настроить защиту для противодействия атакам. Хакеры использовали сложную атаку, которая шла и со стороны ботов, и со стороны “хактивистов”. Часть вредоносного трафика маскировалась под пользовательский, поэтому автоматическая блокировка могла не отразить нападение или затронуть реальных клиентов. Нужно было создать профиль защиты, который распознает атаку по конкретным признакам и отразит ее без ущерба для посетителей сайта.

Как решили задачу
Завели сайты за DDoS-защиту

Заказчику предложили комплексный сервис для защиты веб-приложений, который включает анти-DDoS и Web Application Firewall (WAF). К этому сервису можно подключить сайт на любом хостинге: заказчику достаточно изменить DNS-запись сайта и указать IP-адрес из белой подсети сервиса анти-DDoS. После этого трафик на сайт будет идти через узлы очистки от DDoS на модули WAF и приходить на веб-сервер по защищенному каналу.

Инженеры DataLine завели сайты компании за DDoS-защиту в течение 3-4 часов. Это позволило сразу же отфильтровать машинную атаку на узлах анти-DDoS и частично восстановить работу сайтов.

Изучили характер атак и настроили профили защиты на WAF

За следующие 2 дня инженеры центра киберзащиты изучили паттерны атак пользователей-”хактивистов” с помощью аналитики на основе ELK  (Elasticsearch, Logstash, Kibana). Неструктурированные данные из журналов событий WAF собираются в базу, конвертируются в нужный формат и визуализируются на дашбордах. С помощью такого инструмента можно увидеть неочевидные закономерности в трафике.

Это позволило выявить и запретить подозрительные действия, непохожие на обычных клиентов:

  • Пользователи-злоумышленники чаще всего приходили с определенных хакерских ресурсов. Эти сайты запретили на уровне параметра referrer.
  • Часть трафика шла из регионов, где компания не ведет свою деятельность. Такой трафик отсекли на уровне геополитики.
  • “Хактивисты” использовали не обычные браузеры, а специальное ПО для атак. Эти обращения отфильтровали на уровне параметра user agent. 
  • Также инженеры ввели правила на основе количества запросов с определенными параметрами. Это позволило ограничить слишком частые действия, которые не мог совершать обычный человек.

Такая комбинация политик не задевала легитимных посетителей, но защищала от замаскированной атаки от живых пользователей.

Настроенный профиль защиты можно было использовать как основу и для других клиентов WAF. Похожие атаки одновременно велись на множество российских сайтов, и за счет знания паттернов инженеры уменьшили время реагирования на подобные инциденты.

Поставили сайты на мониторинг

Для отслеживания подозрительных действий инженеры настроили оповещения в системе мониторинга. Атаки на сайты продолжаются, но политики на WAF справляются с защитой.  Даже если “хактивисты” изменят какой-то из параметров атаки, инженеры смогут увидеть это на дашбордах, предупредить заказчика и доработать политики под новый паттерн.

Что получил клиент
Доступность сайтов восстановлена за 3-4 часа с момента начала атаки

Для отражения машинной атаки достаточно завести сайт за анти-DDoS, который будет пропускать на веб-сервер уже очищенный трафик.

Защита от сложных атак без влияния на легитимных пользователей

Тонкая настройка политик WAF защищает от замаскированных атак и не блокирует обычных посетителей.

Сопровождение сайта и доработка политик в случае новых атак

Сайты продолжают работать, несмотря на атаку длиной в несколько недель. Опытные инженеры сразу видят подозрительные паттерны в аналитике и совершенствуют политики.

Запрос консультации по услуге "Защита веб-приложений (Web Application Firewall)"

Есть похожая задача? Хотите попробовать услугу "Защита веб-приложений (Web Application Firewall)"?

Оставьте заявку — мы свяжемся и обсудим, чем можем вам помочь

CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Защита веб-приложений (Web Application Firewall)
  • Защита от атак из списка OWASP TOP-10 и DDoS-атак.
  • Регулярное сканирование приложения и анализ уязвимостей.
  • Круглосуточный мониторинг специалистами по ИБ и оперативное обновление правил безопасности.
  • Минимальное влияние на реальных пользователей.

Другие кейсы

Как мы помогли сократить недоступность официального сайта банка с 2,5 часов до 2,5 минут.

Катастрофоустойчивость

Как мы подобрали комплексный набор инструментов послеаварийного восстановления для крупного ритейлера.

Катастрофоустойчивость

Best practice

Как обмениваться большими объемами конфиденциальной информации с подрядчиком и не бояться утечек.

Best practice, Удаленная работа офиса