Что такое DDoS-атака
DDoS (Distributed Denial of Service или «Распределенный отказ в обслуживании») — это тип кибератаки, при которой используется большое количество компьютеров для отправки ложного трафика на целевой веб-сайт или сервер. Цель организаторов DDoS — исчерпать ресурсы, доступные сети, приложению или службе, чтобы настоящие пользователи не могли получить к ним доступ.
Атака чрезмерно нагружает ЦП и память сервера, а также пропускную способность сети, что, в свою очередь, влияет на передачу данных по легитимным (законным) соединениям. В результате компьютерам пользователей будет отказано в обслуживании, так как сервер перегружен DDoS-атакой.
DDoS следует отличать от других атак типа «отказ в обслуживании» (Denial of Service или DoS). При схожести механизмов работы, для DoS-атаки используется только одно подключенное к Сети устройство или одно сетевое подключение.
Кстати. В рунете бытует «руссифицированная» версия обозначения DDoS — ддос-атака (или даже дудос атака), которое является неправильной адаптацией англоязычной аббревиатуры.
Причины DDoS-атак
- Идеология. Так называемые «хактивисты» (от англ. hack и activist) используют DDoS-атаки как средство нападения на веб-сайты, с которыми они идеологически несогласны.
- Недобросовестная конкуренция. Компании могут использовать DDoS-атаки для стратегического отключения сайтов конкурентов. Например, чтобы сорвать их участие в важных мероприятиях или коммерческих акциях, таких как «Черная пятница» и «Киберпонедельник».
- Скука. Низкоквалифицированные кибервандалы, также известные как «скрипт-кидди» (англ. script kiddie), используют для запуска DDoS-атак заранее написанные скрипты. Мотивация потенциальных хакеров примитивна — отсутствие ответственности и поиск легкого адреналина.
- Вымогательство. Злоумышленники используют DDoS-атаки или угрозы DDoS как средство вымогательства денег у своих целей.
- Кибервойна. Санкционированные правительством DDoS-атаки могут стать эффективным средством нанесения вреда информационным и инфраструктурным веб-ресурсам, принадлежащим противоборствующей стороне.
Как организуются DDoS-атаки
DDoS-атака запускается с сети ботнет (от англ. robot и network), состоящей из многочисленных зараженных устройств, часто распределенных по всему миру. Владельцы компьютеров обычно не подозревают о проникновении вредоносного программного обеспечения, что позволяет злоумышленникам удаленно управлять армией «зомби-машин» и проводить DDoS-атаки.
Кроме персональных компьютеров, ботнеты могут включать в себя захваченные среды хостинга и различные устройства, подключенные к Интернету (например, камеры видеонаблюдения или IoT-устройства), на которых часто установлены легко угадываемые пароли по умолчанию.
Ботнеты используются хакерами (бот-мастерами) в личных целях или сдаются в аренду сторонним заказчикам для нанесения ударов по разным сайтам или серверам. Коммерческие «зомби-сети» легкодоступны на просторах Интернета и могут быть запущены даже пользователями без технической подготовки. Это делает DDoS-атаки одними из самых частых и опасных киберугроз для веб-ресурсов любого масштаба.
Классификация DDoS-атак
Атаки типа «распределенный отказ в обслуживании» разделяют на различные типы, в зависимости от способа их проведения. Например, атаки на переполнение канала (флуд) или атаки на уязвимости в отдельных протоколах передачи данных (TCP/IP, UDP, ICMP). Наиболее популярная классификация DDoS основана на уровнях сетевой модели OSI, которые используются для атаки.
Как DDoS-атаки действуют на разные уровни модели OSI
| Уровни модели OSI | PDU (Protocol Data Unit) | Протоколы | Примеры атак | Чем грозит | Как бороться |
| L1 Физический (Physical) | Бит | Ethernet, Bluetooth, Wi-Fi, IRDA | Физическое повреждение сети | Вывод из строя физических активов или уменьшение их пропускной способности | Элементы управления доступом, глубокая защита от DDoS-атак активов |
| L2 Канальный (Data Link) | Кадр | PPP, FDDI, CDP | MAC-флуд, DHCP-спуфинг, IP host спуфинг | Нарушение потока данных от отправителя к получателю — по всем портам | Ограничение количества доступных MAC-адресов, контроль за доступом через механизм аутентификации, авторизации и учета (AAA) |
| L3 Сетевой (Network) | Пакет | IP, ICMP, RIP IPsec, ARP | ICMP—флуд, Ping-флуд, CMP-флуд, DNS амплификация | Снижение пропускной способности сети, дополнительная нагрузка на брандмауэр. | Фильтрация и ограничение скорости ICMP трафика |
| L4 Транспортный (Transport) | Сегмент | TCP, UDP | SYN-флуд, TearDrop, Smurf-атака, «Пинг смерти» | Исчерпание лимита пропускной способности, соединений хостов или сетевого оборудования | Метод «черной дыры»: блокировка всего трафика на атакованном ресурсе — и вредоносного, и легитимного |
| L5 Сеансовый (Session) | Данные | SMPP, PAP | Telnet DoS, Cisco DoS | Администратор теряет возможность управлять коммутатором | Запрос обновления или патча у поставщика оборудования |
| L6 Представлений (Presentation) | Данные | ASCII, EBCDIC | Атака поддельными SSL запросами | Системы перестают принимать SSL-соединения или автоматически перезапускаются | Выгрузка SSL из исходной инфраструктуры и проверка трафика приложений на наличие подозрительных факторов |
| L7 Приложений (Application) | Данные | FTP, HTTP, POP3, SMTP | Slowloris, HTTP POST/GET, взлом BGP, Low & slow, Cache Bypass | Достижение ресурсного лимита сервисов, нехватка ресурсов | Мониторинг программных приложений с использованием специальных алгоритмов, технологий и подходов |
Какие уровни OSI чаще всего подвергаются DDoS
- L3 (Сетевой). Пример: атакующий ботнет отправляет множественные запросы с поддельными исходными адресами UDP-серверу. В ответ сервер должны отправлять обратные UDP-пакеты на несуществующий IP-адрес. UDP-сервер завален запросами, которые он не может правильно обработать. Сеть также будет перегружена запросами.
- L4 (Транспортный). Пример: в стандартной ситуации для соединения по протоколу TCP пользователь отправляет запрос SYN на сервер, тот возвращает ответный SYN+ACK пакет пользователю, а затем пользователь отправляет подтверждение в виде пакета ACK обратно на сервер. При SYN-флуд атаке злоумышленник выполняет первые 2 запроса, но не завершает подтверждение, оставляя соединение остается открытым. Сервер тратит ресурсы в режиме ожидания, а в результате теряет возможность реагировать на запросы легитимных пользователей.
- L6 (Представительский). Пример: пользователи пытаются установить легитимное SSL-соединение. Ботнет злоумышленника попытается подключиться к порту SSL (443), открыть эти соединения и оставить их незакрытыми. Как только порт будет перегружен, ресурсы перестанут работать, а соединение с законными пользователями либо замедлится, либо полностью прекратится.
- L7 (Приложений/Прикладной). Пример: миллионы ботов генерируют поддельные HTTP-запросы (GET или POST), которые попадают на сервер. Легитимные пользователи не смогут получить доступ к серверу (веб- или DNS-серверу), поскольку он перегружен запросами.
Последствия DDoS-атак
- Медленная загрузка страниц. Время загрузки страниц сайта во многом зависит от количества доступных серверных ресурсов. Если DDoS-атака перегружает сервер, у него просто не остается возможности должным образом обрабатывать все пакеты данных и скорость загрузки падает.
- Даунтайм. DDoS-атака может полностью отключить сайт или сервер. При полном исчерпании серверных ресурсов, веб-сайт будет просто игнорировать запросы посетителей, вместо этого возвращая сообщение об ошибке.
- Потеря позиций в поиске. Сама по себе DDoS сайта не является причиной для поисковиков понизить место в выдаче. Однако, низкая скорость загрузки или временная недоступность может быть воспринята поисковыми роботами как признак ухудшения качества веб-ресурса, что может понизить его место в результатах поиска.
- Ущерб репутации. Опрос, проведенный «Лабораторией Касперского» среди примерно 5000 компаний, подвергшихся DDoS-атаке, показал, что 39% заявили о негативных последствиях для их бизнес-репутации. Если сайт дает сбой, медленно загружается или отображает сообщения об ошибках, посетители могут усомниться в его достоверности. Причем последствия могут сказываться еще долго после окончания DDoS. После неудачного опыта многие посетители не вернутся на сайт, а некоторые захотят поделиться своим негативным мнением в социальных сетях или на форумах.
Как распознать DDoS-атаку
Наиболее очевидный признак DDoS-атаки — сайт или служба внезапно начинают работать медленно или становятся недоступными. Но аналогичные проблемы может создавать и ряд других причин, таких как резкий всплеск посещаемости реальных пользователей. Чтобы гарантированно выявить атаку типа «распределенный отказ в обслуживании» обычно требуется более профессиональный подход, например, применение инструментов анализа трафика или тестирование на проникновение.
Характерные черты DDoS
- Крупные объемы трафика, получаемые с конкретного IP-адреса или одного промежутка адресов за относительно короткое время.
- Поток трафика от источников с похожими поведенческими признаками (устройство, географические положение, браузер).
- Подозрительный всплеск запросов к одной странице или конечной точке.
- Странные модели трафика, такие как всплески в нечетные часы дня или модели, которые кажутся неестественными (например, всплески каждые 10 минут).
- Сервер отвечает кодом ошибки HTTP 503, значит он отключен или перегружен.
Существуют и другие, более специфические признаки DDoS, которые могут различаться в зависимости от типа атаки.
Как бороться с DDoS
Из-за распределенного характера и технической сложности обнаружения полноценная защита сайта от DDoS — прерогатива провайдера услуг хостинга или компаний, специализирующихся на киберзащите. Это конечно не отменяет стандартные меры по предотвращению взлома и других киберпреступлений, которые администратор или владелец веб ресурса может осуществлять самостоятельно.
Меры борьбы с DDoS-атаками включают в себя множество различных методик и технологий. Среди них — анализ и фильтрация трафика по алгоритмам, настройка блокировки подозрительных запросов и экстренное изменение маршрутизации данных. Более подробно основные способы противодействия DDoS разобраны в отдельной статье «Защита от DDoS-атак на хостинге».
Выбирая хостинг, нужно обязательно обращать внимание на уровень предлагаемого анти-DDoS сервиса. У провайдера, который может эффективно бороться с подобными киберугрозами, существует не только базовый уровень защиты от DDoS, но и продвинутый вариант в виде отдельной услуги. Подключая подобную DDoS-защиту, владелец сайта или сервера получает возможность противостоять даже с самым мощным и продолжительным атакам.
Выбирайте интеллектуальную DDoS-защиту CyberFlow! Индивидуальная настройка с помощью самообучающегося AI гарантирует адаптивную защиту и предотвращение атак на всех уровнях OSI. Проверено временем, рекомендовано Роскомнадзором!