Amenințări

Ce este un atac DDoS și cum îți protejezi site-ul

Cum arată un atac DDoS în practică, de ce un firewall obișnuit nu ajunge și ce înseamnă mitigarea la nivel de rețea.

Echipa UpTrust9 aprilie 20268 min citire

Îți începi dimineața cu o cafea și descoperi că site-ul afacerii tale nu se mai încarcă. Codul nu s-a stricat, hostingul pare în regulă, dar paginile rămân blocate. De multe ori, explicația este un atac DDoS: cineva trimite spre site-ul tău mii sau milioane de cereri false în fiecare secundă, până când acesta cedează.

Ce este, de fapt, un atac DDoS

DDoS vine de la „Distributed Denial of Service", adică blocarea distribuită a serviciului. Ideea e simplă: un atacator copleșește site-ul tău cu atât de mult trafic fals încât nu mai rămân resurse pentru vizitatorii reali. Rezultatul: site-ul devine lent sau pică de tot, exact când ai mai mare nevoie de el.

Cuvântul-cheie este „distribuit". Atacul nu vine dintr-un singur loc, ci de la o rețea de mii de dispozitive infectate, numită botnet: routere, camere de supraveghere, telefoane și laptopuri compromise, răspândite în toată lumea. De aceea nu poți pur și simplu să blochezi o adresă IP și să scapi de problemă.

Cum funcționează: cele trei niveluri de atac

Atacurile DDoS lovesc la niveluri diferite ale modului în care funcționează internetul. Înțelegerea lor te ajută să pricepi de ce unele soluții opresc atacul, iar altele nu fac nimic.

Atacuri volumetrice (L3 și L4)

Inundă legătura cu trafic brut: amplificare UDP sau DNS, SYN flood. Scopul este să sature lățimea de bandă, măsurată în gigabiți sau terabiți pe secundă.

Atacuri de protocol

Exploatează modul în care serverele țin evidența conexiunilor, lăsând mii de conexiuni pe jumătate deschise care consumă memoria și capacitatea serverului.

Atacuri pe stratul aplicație (L7)

Cereri HTTP care par legitime, dar repetate la nesfârșit: reîncărcări, căutări, accesări de login. Sunt cele mai greu de deosebit de traficul real.

Cele trei tipuri majore de atacuri DDoS, în funcție de nivelul la care lovesc.

Indiferent de nivel, principiul apărării rămâne același: traficul trebuie filtrat înainte să ajungă la serverul tău, într-o rețea suficient de mare cât să absoarbă lovitura.

Cu un scut în față, atacurile sunt oprite în rețea. La serverul tău ajunge doar traficul curat.

Cât de mari pot fi atacurile

Un site obișnuit primește câteva zeci de cereri pe secundă în mod normal. Un atac DDoS poate ridica acel număr cu câteva ordine de mărime, până la milioane de cereri pe secundă. Recordul global înregistrat de marile rețele de securitate a depășit 46 de milioane de cereri pe secundă.

Cereri pe secundă: de la trafic normal la recordul global. Scara reală este de ordinul milioanelor.

De ce hostingul obișnuit nu te salvează

Multe afaceri cred că hostingul sau un plugin de securitate le acoperă. Problema este una de poziție. Un plugin rulează în interiorul site-ului, deci traficul rău a ajuns deja la server și i-a consumat resursele. Iar hostingul partajat are o lățime de bandă limitată: când aceasta se saturează, contul tău este de cele mai multe ori suspendat ca să nu afecteze vecinii de pe același server.

Un plugin nu oprește un DDoS

Filtrele instalate pe site intervin după ce cererea a ajuns la server. Într-un atac volumetric, serverul cade înainte să apuce să le ruleze. Mitigarea reală se face în rețea, înaintea infrastructurii tale.

Cum se oprește, de fapt, un atac DDoS

Apărarea eficientă mută bătălia departe de serverul tău, într-o rețea globală care poate absorbi traficul de atac și îl poate filtra. Pe scurt, funcționează așa:

Absorbție în rețea: traficul trece printr-o rețea distribuită în sute de orașe, care diluează și înghite vârfurile volumetrice.
Filtrare inteligentă: cererile suspecte sunt provocate sau blocate, iar cele legitime trec mai departe. Aici se leagă strâns de bot management, pentru că mare parte din trafic este automat.
Rate limiting: rutele sensibile, precum login sau checkout, primesc limite, ca un flood L7 să nu le poată epuiza.
Reguli de aplicație: un firewall pentru aplicații web (WAF) oprește cererile construite anume ca să suprasolicite anumite pagini.

Ce poți face acum

Nu trebuie să aștepți primul atac ca să iei măsuri. Cele mai multe atacuri scurte sunt, de fapt, teste: atacatorul verifică dacă ești protejat înainte de lovitura mare. Dacă site-ul tău nu trece încă printr-un scut de rețea, ești expus, indiferent dacă rulezi pe WordPress, pe un magazin online sau pe o aplicație custom. Vestea bună este că protecția se activează rapid și fără să atingi codul.

Întrebări frecvente

Cât durează un atac DDoS?

De la câteva minute la zile întregi. Atacurile scurte „de test" sunt frecvent urmate de unul mare. Fără mitigare automată, fiecare reluare îți doboară din nou site-ul.

Mă poate proteja hostingul de DDoS?

Hostingul standard absoarbe vârfuri mici, dar un atac volumetric serios saturează legătura înainte să ajungă la server. Mitigarea reală se face în rețea, înainte de infrastructura ta.

Cum știu dacă sunt sub atac sau am doar trafic mare?

Trafic legitim crește gradual și vine din surse variate. Un DDoS apare brusc, din IP-uri sau țări neobișnuite, cu cereri repetate spre aceleași rute. Rapoartele de trafic clarifică imediat diferența.