Содержание:
- Что такое DDoS-атака?
- Принцип работы DDoS-атаки
- Типы DDoS-атак
- Уровни воздействия DDoS-атак
- Причины DDoS-атак
- Как защититься от DDoS-атак
- Заключение
Что такое DDoS-атака?
Аббривеатура расшифровывается как «Distributed Denial of Service», т.е. «распределенная атака отказа в обслуживании». Это вид вредоносного воздействия на интернет-ресурс с целью ограничить его возможности в обработке запросов пользователей. В процессе на сайт передается огромное по сравнению с обычной нагрузкой количество трафика, что нарушает его работу и ограничивает доступ рядовому пользователю из-за задержек в отклике.
Чаще всего подвергаются DDoS-атакам следующие ресурсы:
- СМИ;
- площадки для онлайн-обучения;
- площадки для предоставления любых онлайн-услуг;
- сервисы доставки;
- видеохостинги;
- интернет-магазины.
Впервые про DDoS-атаки заговорили в 1999 году, когда многие западные компании на время теряли контроль над своими сайтами – они подвергались массовым перегрузкам. На сегодняшний день самой масштабной и известной DDoS-атакой можно назвать нападение на Amazon Web Services в 2020 году. Пиковый уровень трафика достигал 2.3 Тбит/с, и это при том, что проблемы в значительной мере нивелировались защитной системой AWS Shield, которая была специально разработана для обороны приложений платформы AWS от повышенной нагрузки. В том же году Россия пережила крупнейшую в истории рунета DDoS-атаку, направленную на Яндекс. Среднее количество запросов в секунду составляло около 20 миллионов.
Принцип работы DDoS-атаки
Хакер устанавливает вредоносное материнское ПО на свою машину, подключенную к интернету. После этого он заражает дочерними элементами этого ПО другие компьютеры и получает возможность удаленно управлять некоторыми функциями зараженных компьютеров. С точки зрения DDoS-атаки ключевой функцией является возможность обращаться с запросами на определенный ресурс.
Как правило, для заметной атаки даже слабозащищенных сайтов, расположенных на маломощных серверах, недостаточно нескольких машин, необходимо гораздо больше. Зараженные компьютеры называют ботами или зомби, а их группу – ботнетом. После создания ботнета каждой машине направляется инструкция, и начинается ДДоС-атака на сайт. Все боты направляют постоянные запросы на сервер, что приводит к его перегрузке. Из-за катастрофичного роста трафика пользовательские запросы «теряются» в лавине запросов от ботов, в результате чего страницы не открываются или же открываются через долгое время, т.е. фактически работа ресурса будет парализована. Если вы отслеживаете трафик на своем сайте, то сможете узнать про атаку еще на ранних этапах. Его рост приводит к росту объема логов, все функции начнут работать более медленно.
Общие признаки идущей DDoS-атаки:
- большой трафик от машин с идентичным профилем пользователя (тип устройства, геолокация);
- однотипная модель трафика (подключение устройств через определенные промежутки времени раз за разом);
- большое количество единовременных запросов к одной странице.
Типы DDoS-атак
Основных типа три: Protocol attacks (протокольные), Application layer attacks (прикладной уровень) и Volumetric attacks (объемные атаки).
Протокольные атаки можно разделить на подвиды:
- SYN-флуд. Работает по принципу полуоткрытого соединения с узлом. Сервер, на который производится атака, принимает SYN-пакет для синхронизации через открытый порт. В ответ он должен получить подтверждение ACK. Во время атаки по SYN-методу подтверждения не происходит, и соединение остается полуоткрытым. Однотипные запросы порождают массу полуоткрытых соединений, они переполняют очередь сервера, и установление соединения с пользователем затрудняется.
- UDP-флуд. Целевой сайт получает множество пакетов UDP с широкой группы IP-адресов. Они занимают все доступные полосы пропускания, что приводит к перегрузке интерфейсов сети.
- ICMP-флуд. Загрузка каналов сети аналогично UDP-флуду, но на сервер поступают запросы ICMP (они не требуют подтверждения при получении, что затрудняет раннее распознание атаки).
- MAC-флуд. Отправка пустых фреймов Ethernet с различных MAC-адресов, которые забивают память свича. При переполнении он отключается или перестает отвечать.
Подвиды атак прикладного уровня:
- HTTP POST-флуд. Передача на сервер большого количества POST-запросов. Сервер не успевает их обработать и отключается.
- HTTP GET-флуд. Передача огромного числа запросов на выдачу информации. Сервер не успевает обработать все входящие запросы и становится недоступен.
Объемные атаки в основном состоят из DNS-амплификаций. Это использование уязвимости в DNS-протоколе, позволяющей отправлять ложные запросы о домене. Канал переполняется ответами и не может корректно работать. Распознать действия такого рода и включить защиту сайта от DDoS-атаки практически невозможно.
Уровни воздействия DDoS-атак
Все вышеперечисленные виды вредоносных действий работают на разных уровнях модели OSI.
- Прикладной уровень (7). Здесь функционируют протоколы RDP, HTTP, POP, SMTP и т.д., осуществляется реализация конкретных действий. При атаке на седьмой уровень вызывает перегрузку сервера и нехватку серверных ресурсов, из-за чего он перестает отвечать.
- Уровень представления (6). Здесь происходит передача данных от источника к пользователю, с шифрованием данных (EBCDIC, MPEG, JPEG, ASCII). При атаке на шестой уровень система перестает принимать на вход SSL.
- Сеансовый уровень (5). Здесь идет управление сеансами связи, их стартом, завершением и установкой (через PPTP и L2TP). При атаке на пятый уровень свитч становится недоступным даже для администратора.
- Транспортный уровень (4). Здесь идет связь между приложениями по протоколам UDP и TCP. При атаке на четвертый уровень резко снижается количество доступных подключений, что приводит к сбоям в работе оборудования.
- Сетевой уровень (3). Здесь идет маршрутизация данных через протокол IP. При атаке на третий уровень пропускная способность брандмауэра снижается вплоть до полной перегрузки.
- Канальный уровень (2). Здесь доставляются фреймы с использованием MAC-адресов в рамках одного сегмента сети. При атаке на второй уровень данные, доставляемые пользователю, блокируются.
- Физический уровень (1). Здесь передаются двоичные данные. При атаке на первый уровень происходят сбои в работе сетевого оборудования.
Причины DDoS-атак
- Мошенничество. После атаки машина может быть серьезно ограничена в работоспособности. Для восстановления функций хакеры требуют перевести на их счет деньги.
- Конкуренция. Если сайт одного производителя день за днем простаивает, то он теряет прибыль, в то время как конкурент получает дополнительные прибыли.
- Развлечение. Хакеры могут тренироваться в DDoS-атаках ради забавы.
Как защититься от DDoS-атак
Существует три зоны для обеспечения защиты сайта.
- Устранение уязвимостей. Это исправление технических ошибок в ПО, обновление операционных и сетевых систем и т.д. Также сюда обычно включают установку сложных паролей и капчу от спам-ботов.
- Профилактика. Доступ к администраторским функциям должен проходить через VPN-соединение или внутреннюю сеть, а на случай атаки необходимо иметь возможность распределять нагрузку между несколькими серверами.
- Сервисы защиты. Как и антивирусы, защитное ПО от хакерских атак нужно для обеспечения максимального уровня безопасности. Самый популярный и известный сервис такого рода – DDoS Cloudflare. Он имеет бесплатную версию с базовой защитой, а платные версии могут отражать атаки на третьем, четвертом и седьмом уровнях и успешно противостоять ддосу объемного типа. Также популярны Qrator (российский ресурс с автонастройкой параметров в зависимости от типа DDoS-атаки) и Alibaba Anti-DDoS (сервис от Alibaba, который полностью останавливает любые атаки вплоть до 2 Тбит/с и поддерживает протоколы 4-7 уровней).
В идеальном случае следует использовать все три зоны. Последовательное устранение уязвимостей должно соседствовать с постоянными профилактическими работами, а на случай, если DDoS-атака все-таки достигнет цели, последним бастионом должен стать качественный сервис защиты.
Заключение
В этой статье мы рассмотрели определение DDoS-атаки, принципы ее работы и некоторые конкретные виды. Также мы постарались дать точное разъяснение по уровням, на которые могут быть направлены действия хакеров, и по причинам и методам защиты своего ресурса. Надо помнить, что большинство типов DDoS-атак не требует ни высокого мастерства от злоумышленника, ни значительных затрат, поэтому нельзя преуменьшать их опасность.