Что такое DDoS-атака

DDoS (Distributed Denial of Service или «Распределенный отказ в обслуживании») — это тип кибератаки, при которой используется большое количество компьютеров для отправки ложного трафика на целевой веб-сайт или сервер. Цель организаторов DDoS — исчерпать ресурсы, доступные сети, приложению или службе, чтобы настоящие пользователи не могли получить к ним доступ.

Атака чрезмерно нагружает ЦП и память сервера, а также пропускную способность сети, что, в свою очередь, влияет на передачу данных по легитимным (законным) соединениям. В результате компьютерам пользователей будет отказано в обслуживании, так как сервер перегружен DDoS-атакой.

DDoS следует отличать от других атак типа «отказ в обслуживании» (Denial of Service или DoS). При схожести механизмов работы, для DoS-атаки используется только одно подключенное к Сети устройство или одно сетевое подключение. 

Кстати. В рунете бытует «руссифицированная» версия обозначения DDoS — ддос-атака (или даже дудос атака), которое является неправильной адаптацией англоязычной аббревиатуры.

Причины DDoS-атак

Как организуются DDoS-атаки

DDoS-атака запускается с сети ботнет (от англ. robot и network), состоящей из многочисленных зараженных устройств, часто распределенных по всему миру. Владельцы компьютеров обычно не подозревают о проникновении вредоносного программного обеспечения, что позволяет злоумышленникам удаленно управлять армией «зомби-машин» и проводить DDoS-атаки. 

Кроме персональных компьютеров, ботнеты могут включать в себя захваченные среды хостинга и различные устройства, подключенные к Интернету (например, камеры видеонаблюдения или IoT-устройства), на которых часто установлены легко угадываемые пароли по умолчанию.

Ботнеты используются хакерами (бот-мастерами) в личных целях или сдаются в аренду сторонним заказчикам для нанесения ударов по разным сайтам или серверам. Коммерческие  «зомби-сети» легкодоступны на просторах Интернета и могут быть запущены даже пользователями без технической подготовки. Это делает DDoS-атаки одними из самых частых и опасных киберугроз для веб-ресурсов любого масштаба.

Классификация DDoS-атак

Атаки типа «распределенный отказ в обслуживании» разделяют на различные типы, в зависимости от способа их проведения. Например, атаки на переполнение канала (флуд) или атаки на уязвимости в отдельных протоколах передачи данных (TCP/IP, UDP, ICMP). Наиболее популярная классификация DDoS основана на уровнях сетевой модели OSI, которые используются для атаки. 

Как DDoS-атаки действуют на разные уровни модели OSI

Уровни модели OSIPDU (Protocol Data Unit)ПротоколыПримеры атакЧем грозит Как бороться 
L1 Физический (Physical)БитEthernet, Bluetooth, Wi-Fi, IRDAФизическое повреждение сетиВывод из строя физических активов или уменьшение их пропускной способностиЭлементы управления доступом, глубокая защита от DDoS-атак активов
L2 Канальный (Data Link)КадрPPP, FDDI, CDPMAC-флуд, DHCP-спуфинг, IP host спуфингНарушение потока данных от отправителя к получателю — по всем портамОграничение количества доступных MAC-адресов, контроль за доступом через механизм аутентификации, авторизации и учета (AAA)
L3 Сетевой (Network)ПакетIP, ICMP, RIP IPsec, ARPICMPфлуд, Ping-флуд, CMP-флуд, DNS амплификацияСнижение пропускной способности сети, дополнительная нагрузка на брандмауэр.Фильтрация и ограничение скорости ICMP трафика 
L4 Транспортный (Transport)СегментTCP, UDPSYN-флуд, TearDrop, Smurf-атака, «Пинг смерти»Исчерпание лимита пропускной способности, соединений хостов или сетевого оборудованияМетод «черной дыры»: блокировка всего трафика на атакованном ресурсе  —  и вредоносного, и легитимного
L5 Сеансовый (Session)ДанныеSMPP, PAPTelnet DoS, Cisco DoSАдминистратор теряет возможность управлять коммутаторомЗапрос обновления или патча у поставщика оборудования
L6 Представлений (Presentation)ДанныеASCII, EBCDICАтака поддельными SSL запросамиСистемы перестают принимать SSL-соединения  или автоматически перезапускаютсяВыгрузка SSL из исходной инфраструктуры и проверка трафика приложений на наличие подозрительных факторов
L7 Приложений (Application)ДанныеFTP, HTTP, POP3, SMTP Slowloris, HTTP POST/GET, взлом BGP, Low & slow, Cache BypassДостижение ресурсного лимита сервисов, нехватка ресурсовМониторинг программных приложений с использованием специальных алгоритмов, технологий и подходов 

Какие уровни OSI чаще всего подвергаются DDoS

Последствия DDoS-атак

Как распознать DDoS-атаку

Наиболее очевидный признак DDoS-атаки — сайт или служба внезапно начинают работать медленно или становятся недоступными. Но  аналогичные проблемы может создавать и ряд других причин, таких как резкий всплеск посещаемости реальных пользователей. Чтобы гарантированно выявить атаку типа «распределенный отказ в обслуживании» обычно требуется более профессиональный подход, например, применение инструментов анализа трафика или тестирование на проникновение.

Характерные черты DDoS

  1. Крупные объемы трафика, получаемые с конкретного IP-адреса или одного промежутка адресов за относительно короткое время.
  2. Поток трафика от источников с похожими поведенческими признаками (устройство, географические положение, браузер).
  3. Подозрительный всплеск запросов к одной странице или конечной точке.
  4. Странные модели трафика, такие как всплески в нечетные часы дня или модели, которые кажутся неестественными (например, всплески каждые 10 минут).
  5. Сервер отвечает кодом ошибки HTTP 503, значит он отключен или перегружен.

Существуют и другие, более специфические признаки DDoS, которые могут различаться в зависимости от типа атаки.

Как бороться с DDoS

Из-за распределенного характера и технической сложности обнаружения полноценная защита сайта от DDoS — прерогатива провайдера услуг хостинга или компаний, специализирующихся на киберзащите. Это конечно не отменяет стандартные меры по предотвращению взлома и других киберпреступлений, которые администратор или владелец веб ресурса может осуществлять самостоятельно. 

Меры борьбы с DDoS-атаками включают в себя множество различных методик и технологий. Среди них — анализ и фильтрация трафика по алгоритмам, настройка блокировки подозрительных запросов и экстренное изменение маршрутизации данных. Более подробно основные способы противодействия DDoS разобраны в отдельной статье «Защита от DDoS-атак на хостинге». 

Выбирая хостинг, нужно обязательно обращать внимание на уровень предлагаемого анти-DDoS сервиса. У провайдера, который может эффективно бороться с подобными киберугрозами, существует не только базовый уровень защиты от DDoS, но и продвинутый вариант в виде отдельной услуги. Подключая подобную DDoS-защиту, владелец сайта или сервера получает возможность противостоять даже с самым мощным и продолжительным атакам.

Выбирайте интеллектуальную DDoS-защиту CyberFlow! Индивидуальная настройка с помощью самообучающегося AI гарантирует адаптивную защиту и предотвращение атак на всех уровнях OSI. Проверено временем, рекомендовано Роскомнадзором!