← Как HTTPS защищает трафикFirewall, наименьшие привил… →

Сетевые угрозы: MITM, перехват, DDoS

Понимая, как устроены сетевые угрозы на уровне принципа, легче выбрать правильную защиту.

MITM (man-in-the-middle) — атака, при которой посредник незаметно встаёт между двумя сторонами и читает или подменяет их трафик.

Перехват открытого трафика

Если данные идут по незашифрованному каналу (HTTP, открытый Wi-Fi), посредник на пути может их прочитать. Это пассивная угроза: данные просто «подслушивают». Защита прямолинейна — шифровать трафик (HTTPS, VPN). По зашифрованному каналу перехватчик видит лишь бессмысленный поток.

Атака посредника (MITM)

Более активная угроза: посредник не только слушает, но и подменяет — например, выдаёт себя за сервер для клиента и за клиента для сервера. Защита здесь — аутентификация сторон: именно поэтому TLS проверяет сертификат сервера. Подставной посредник не сможет предъявить валидный сертификат нужного домена, подписанный доверенным CA, — и браузер поднимет тревогу.

УгрозаСутьОсновная защита
Перехватчтение открытого трафикашифрование (HTTPS, VPN)
MITMподмена и выдача себя за сторонупроверка сертификата (TLS)
DDoSперегрузка сервиса запросамифильтрация, лимиты, CDN

Отказ в обслуживании (DoS/DDoS)

DoS — попытка сделать сервис недоступным, перегрузив его. DDoS — то же, но из множества источников одновременно (распределённо), что усложняет фильтрацию. Цель атаки — не украсть данные, а нарушить доступность (помните триаду CIA?).

Защита от DDoS — это в первую очередь инфраструктура, а не код:

  • Фильтрация на границе. Специальные сервисы и CDN отсекают подозрительный трафик до того, как он дойдёт до сервера.
  • Ограничение частоты (rate limiting). Не больше N запросов с одного источника за период.
  • Масштабирование и кэширование. Чтобы пиковую нагрузку было чем выдержать.

Почему публичный Wi-Fi требует осторожности

Открытая сеть — удобная площадка для перехвата и MITM. Но если ваш трафик идёт по HTTPS, содержимое защищено даже в чужой сети. Дополнительный слой — VPN, который шифрует весь трафик устройства до доверенной точки. Главный вывод для пользователя: видишь HTTPS — соединение с конкретным сайтом защищено; нет — считай данные открытыми.

Роль разработчика

Разработчик не остановит DDoS в одиночку, но может: включить HTTPS везде, не передавать секреты по открытым каналам, поставить разумные лимиты запросов на API (об этом — в следующем уроке) и не доверять сети как таковой. Принцип zero trust гласит: не считай сеть безопасной только потому, что она «внутренняя».

Итог

  • Перехват — пассивное чтение открытого трафика; защита — шифрование.
  • MITM — активная подмена; защита — проверка подлинности через сертификаты TLS.
  • DDoS бьёт по доступности; защита — фильтрация, rate limiting, CDN, масштабирование.
  • Не доверяйте сети по умолчанию: HTTPS и лимиты — базовая гигиена.
Проверьте себя
1. Какая защита основная против перехвата открытого трафика?
AДлинные пароли
BШифрование канала, например HTTPS или VPN
CАнтивирус
DКапча на форме
2. Что мешает атаке посредника (MITM) в TLS?
AСкорость соединения
BПроверка сертификата сервера: подставной не предъявит валидный для домена
CДлина URL
DКэширование страниц
3. По какому свойству триады CIA бьёт DDoS-атака?
AКонфиденциальность
BЦелостность
CДоступность
DАутентичность
4. Что означает принцип zero trust?
AДоверять всем внутри сети
BНе считать сеть безопасной по умолчанию, даже внутреннюю
CЗапретить весь сетевой трафик
DДоверять только администраторам
Поддержать проект