Что такое DDoS-атака? – Distributed Denial of Service
Распределенная атака типа «отказ в обслуживании» – или DDoS (Distributed Denial of Service) – представляет из себя одновременную и массированную отправку информационных запросов на центральный сервер. Злоумышленник формирует такие запросы с помощью большого количества скомпрометированных систем.
Действуя подобным образом, злоумышленник стремится израсходовать на атакуемой системе ресурсы интернет-соединения и оперативную память. Конечной целью является вывод из строя целевой системы и причинение ущерба компании.
С какой целью проводятся DDoS-атаки?
Атакующая сторона может использовать DDoS-атаку для вымогательства у компании денег. DDoS-атаки также могут приносить выгоду конкурентам компании, либо политические дивиденды правительствам или «хакерам-активистам». Сбой в работе сетевой инфраструктуры может быть выгоден многим людям.
Какая может быть продолжительность у DDoS-атак?
Продолжительность DDoS-атак может быть разной. Атака «смертельный эхо-запрос» (Ping of Death) может быть кратковременной. Для реализации атаки Slowloris необходим более продолжительный период времени. Согласно отчету компании Radware, 33 процента DDoS-атак продолжаются менее одного часа, 60 процентов атак длятся менее суток и 15 процентов атак – порядка одного месяца.
Какие меры предпринимаются для защиты от DDoS-атак?
Защита компаний от DDoS-атак является важнейшим элементом сетевой безопасности. Для защиты сетевой инфраструктуры от широкого спектра атак необходимо руководствоваться комплексным и целостным подходом в сфере ИТ, при котором используются компоненты, эффективно работающие вместе.
3 наиболее распространенных типа DDoS-атак
Атаки с исчерпанием ресурсов
Атака с насыщением пакетами UDP: атака с насыщением пакетами по протоколу UDP проводится на случайно выбираемые порты удаленного сервера с помощью запросов, называемых UDP-пакетами. Хост проверяет порты на наличие соответствующих приложений. Если приложение найти не удается, система отправляет в ответ на каждый запрос пакет «получатель недоступен». Формируемый в результате этого трафик может превысить ресурсы сети.
Атака с насыщением пакетами ICMP (эхо-запросы): при атаке с насыщением пакетами по протоколу ICMP на хост отправляются пакеты эхо-запросов по этому протоколу («пинги»). Эхо-запросы обычно используются для проверки связи между двумя серверами. После отправки эхо-запроса сервер сразу же на него отвечает. При атаке с насыщением эхо-запросами злоумышленник использует избыточное количество эхо-запросов, чтобы исчерпать пропускную возможность во входящем и исходящем направлениях на целевом сервере.
Атаки на уровне приложений
Атака с насыщением пакетами HTTP: атаки с насыщением пакетами HTTP проводятся на Уровне 7, соответствующем приложениям, при этом используются ботнеты, которые часто называют «армией зомби». При данном типе атаки выполняется насыщение ресурсов веб-сервера или приложения с помощью стандартных запросов GET и POST. Сервер переполняется запросами и может прекратить работу. Эти атаки особенно трудно выявить, так как они выглядят как абсолютно нормальный трафик.
Атака типа Slowloris: обозначается названием примата «толстый лори» (Slowloris), который водится в Азии и очень медленно передвигается. При данной атаке на сервер отправляются небольшие части HTTP-запросов. Эти части отправляются через определенные интервалы времени, чтобы не истекал соответствующий период ожидания запроса, и сервер ожидал его полного получения. Такие незавершенные запросы расходуют пропускную способность и влияют на способность сервера обрабатывать легитимные запросы.
Атаки на уровне протоколов
Атака с переполнением пакетами SYN: при атаке с переполнением пакетами SYN злоумышленник отправляет внешне нормальные SYN-запросы на сервер, который отвечает отправкой запроса SYN-ACK (подтверждение синхронизации). В обычных условиях клиент после этого отправляет запрос ACK, и устанавливается сетевое соединение. Но при атаке с переполнением SYN злоумышленник не отправляет последний запрос ACK. Сервер оказывается в ситуации с большим количеством незавершенных запросов SYN-ACK, которые создают большую нагрузку на систему.
Атака «смертельный эхо-запрос» (Ping of Death): при атаке «смертельный эхо-запрос» (Ping of Death) злоумышленник пытается вывести из строя или остановить функционирование сервера с помощью отправки эхо-запросов, которые либо являются фрагментированными, либо имеют излишне большой размер. Стандартный размер заголовка IPv4 равен 65 535 байтам. При отправке эхо-запроса большего размера целевой сервер вынужден разделить файл на фрагменты. Затем при формировании сервером ответа и сборке этого крупного файла может произойти переполнение буфера и выход системы из строя.