Что такое DDoS атака? Виды и особенности

Что такое DDoS атака?

Распределенная атака типа “отказ в обслуживании” (DDoS) представляет собой злонамеренную попытку нарушить нормальный трафик целевого сервера, службы или сети, подавив цель или окружающую ее инфраструктуру потоком интернет-трафика. DDoS-атаки достигают эффективности за счет использования нескольких скомпрометированных компьютерных систем в качестве источников атакующего трафика. Эксплуатируемые компьютеры могут включать компьютеры и другие сетевые ресурсы. С высокого уровня, DDoS-атака, как пробка на дороге, прекращает постоянное движение от прибытия в нужное место назначения.

Как работает DDoS-атака?

DDoS-атака требует, чтобы злоумышленник получил контроль над сетью онлайн-машин для выполнения атаки. Компьютеры и другие машины заражаются вредоносными программами, превращающими каждую из машин в бота. Затем злоумышленник получает удаленный контроль над группой ботов, которая называется ботнет.

После того, как ботнет был установлен, злоумышленник может направить машины, отправив обновленные инструкции каждому боту с помощью метода дистанционного управления. Когда IP-адрес жертвы является объектом ботнет, каждый бот будет отправлять запросы цели, что может привести к переполнению целевого сервера или сети, что приведет к отказу в обслуживании. Поскольку каждый бот является законным интернет-устройством, отделить трафик атаки от нормального трафика может быть трудно.

На видео: Как происходит ddos атака

Каковы распространенные типы DDoS-атак?

Различные типы DDoS-атак нацелены на различные компоненты сетевого подключения. Чтобы понять, как работают различные DDoS-атаки, необходимо знать, как осуществляется сетевое подключение. Сетевое подключение к интернету состоит из множества различных компонентов или “слоев”. Как и строительство дома с нуля, каждый шаг в модели имеет свое назначение. Модель OSI является концептуальной основой, используемой для описания сетевого подключения в 7 различных уровнях.
В то время как почти все DDoS-атаки включают в себя целевое устройство или сеть с трафиком, атаки можно разделить на три категории. Злоумышленник может использовать один или несколько различных типов атаки или циклические атаки, основанные на мерах противодействия, принимаемых целью.

Атаки на уровне приложений

Цель атаки:

Иногда упоминается как уровень 7 DDoS-атак (в отношении 7-го уровня модели OSI), цель этих атак состоит в том, чтобы исчерпать ресурсы цели. Атаки нацелены на уровень, на котором веб-страницы создаются на сервере и доставляются в ответ на HTTP-запросы. Один HTTP-запрос дешев для выполнения на стороне клиента, и может быть дорогим для целевого сервера, чтобы ответить, поскольку сервер часто должен загрузить несколько файлов и выполнить запросы базы данных для создания веб-страницы. Атаки уровня 7 трудно защитить, поскольку трафик нелегко распознать как вредоносный.

Поток HTTP

Эта атака похожа на нажатие обновить в веб-браузере снова и снова на многих разных компьютерах одновременно – большое количество запросов HTTP наводняет сервер, что приводит к отказу в обслуживании.
Этот тип атаки варьируется от простого к сложному. Более простые реализации могут обращаться к одному URL-адресу с одинаковым диапазоном атакующих IP-адресов, источников ссылок и агентов пользователей. Сложные версии могут использовать большое количество атакующих IP-адресов и целевых случайных URL-адресов с помощью случайных источников ссылок и агентов пользователей.

ddos в России

Атаки по протоколу

Цель атаки:

Атаки по протоколу, также известные как атаки с исчерпанием состояния, вызывают нарушение работы службы, потребляя всю доступную емкость таблицы состояний серверов веб-приложений или промежуточных ресурсов, таких как брандмауэры и подсистемы балансировки нагрузки. Атаки протокола используют слабые места в уровне 3 и уровне 4 стека протокола, чтобы сделать цель недоступной.

SYN Flood

Поток SYN аналогичен работнику на складе, получающему запросы от передней части магазина. Работник получает запрос, идет и получает пакет, и ждет подтверждения, прежде чем вынести пакет в магазин. Затем работник получает еще много запросов пакетов без подтверждения до тех пор, пока они не сможет нести больше пакетов, перегружается, и запросы начинают идти без ответа.
Эта атака использует квитирование TCP, отправляя цели большое количество пакетов SYN «запрос начального соединения» TCP с поддельными IP-адресами источника. Целевой компьютер отвечает на каждый запрос на подключение, а затем ожидает последнего шага в квитировании, которое никогда не происходит, исчерпывая ресурсы целевого объекта в процессе.

Объемные атаки

Цель атаки:

Эта категория атак пытается создать перегрузку, потребляя всю доступную пропускную способность между целью и интернетом. Большие объемы данных отправляются цели с помощью усиления или другого средства создания массового трафика, например, запросов от ботнета.

Усиление DNS

Усиление DNS – это, как если бы кто-то позвонил в ресторан и сказал: «Мне все, пожалуйста, перезвоните мне и продиктуйте мне весь мой заказ», где номер телефона обратного вызова, который он дает, является номером цели. С очень небольшим усилием, выполняется длинный ответ.

Отправив запрос на открытый DNS-сервер с поддельным IP-адресом (реальным IP-адресом цели), целевой IP-адрес получает ответ от сервера. Злоумышленник структурирует запрос таким образом, что DNS-сервер отвечает цели с большим объемом данных. В результате целевой объект получает усиление исходного запроса злоумышленника.

Каков процесс смягчения DDoS-атаки?

Ключевой проблемой в смягчении DDoS-атаки является различие между атакой и обычным трафиком. Например, если при выпуске нового продукта веб-сайт компании завален нетерпеливыми клиентами, то отключение всего трафика является ошибкой. Если у этой компании внезапно возникает всплеск трафика, вероятно, необходимы усилия по смягчению атаки. Трудность заключается в том, что нельзя различить реального клиента и трафик атаки.

В современном интернете DDoS-трафик поступает во многих формах. Трафик может варьироваться от незамеченных атак с одним источником до сложных и адаптивных многовекторных атак. Многовекторная DDoS-атака использует несколько путей атаки, чтобы подавить цель по-разному, потенциально отвлекая усилия по смягчению на любой одной траектории. Примером многовекторных DDoS-атак является атака, нацеленная на несколько уровней стека протоколов одновременно, например, усиление DNS (целевые уровни 3/4) в сочетании с потоком HTTP (целевой уровень 7).

Смягчение многовекторной DDoS-атаки требует различных стратегий для противодействия различным траекториям. Вообщем говоря, чем сложнее атака, тем более вероятно, что трафик атаки будет трудно отделить от обычного трафика – цель атакующего – максимально смешаться с «толпой», сделав смягчение настолько неэффективным, насколько это возможно. Попытки смягчения, которые включают ограничение общего трафика, могут выбросить хороший трафик вместе с плохим, и атака может также измениться и адаптироваться к обходным контрмерам. Для того чтобы совершить попытку остановки ддос атаки, многоуровневое решение даст наибольшую пользу.

Black Hole запись в маршрутизации

Одним из решений, доступных практически всем администраторам сети, является создание маршрута «черной дыры» и направление трафика в этот маршрут. В своей простейшей форме, когда фильтрация «черных дыр» реализуется без определенных критериев ограничения, и хороший и вредоносный сетевой трафик маршрутизируется к нулевому маршруту (или черной дыре) и отбрасывается из сети. Если ресурс интернета испытывает DDoS-атаку, интернет-провайдер (ISP) ресурса может отправить весь трафик сайта в черную дыру в качестве защиты.

Ограничение скорости

Ограничение количества запросов, принимаемых сервером в течение определенного периода времени, также является способом смягчения атак типа «отказ в обслуживании». Хотя ограничение скорости полезно для замедления веб-скребков от кражи контента и для смягчения попыток входа в систему, одного этого, вероятно, будет недостаточно для эффективной остановки сложной DDoS-атаки. Тем не менее ограничение скорости является полезным компонентом эффективной стратегии смягчения последствий DDoS.

Брандмауэр приложений

Брандмауэр веб-приложений (WAF) – это инструмент, который может помочь в смягчении DDoS-атаки уровня 7. Размещая WAF между интернетом и исходным сервером, WAF может выступать в качестве обратного прокси-сервера, защищая целевой сервер от определенных типов вредоносного трафика. Фильтрация запросов на основе ряда правил, используемых для идентификации средств DDoS, может препятствовать атакам уровня 7. Одним из ключевых значений эффективного WAF является возможность быстрого внедрения пользовательских правил в ответ на атаку.

Брандмауэр веб-приложений (WAF)

Anycast

Этот подход использует Anycast для рассеивания трафика атаки через сеть распределенных серверов до точки, где трафик поглощается сетью. Подобно направлению несущейся реки вниз по отдельным более мелким каналам, этот подход распространяет влияние распределенного трафика атаки до такой степени, что он становится управляемым, рассеивая любые разрушительные возможности.
Надежность сети Anycast для смягчения DDoS-атаки зависит от размера атаки и эффективности сети. Важной частью смягчения DDoS атак является использование распределенной сети Anycast, реализованной Cloudflare. Cloudflare имеет сеть 25 Тбит/с, что на порядок больше, чем самая большая DDoS-атака.

Роман
Оцените автора
Безопасник
Добавить комментарий