Ddos Attack

Основные виды DDoS-атак и принцип действия таких атак

В настоящее время DDoS — один из наиболее доступных и распространенных видов сетевых атак. Несколько недель назад были опубликованы результаты исследований о распространенности DDoS, проведенных компаниями Arbor Networks, Verisign Inc.

Результаты исследований впечатляют:
Каждый день злоумышленники проводят более 2000 DDoS-атак;
Стоимость недельной атаки на средней величины ЦОД составляет всего 150 долларов США;
Более половины участников опроса испытывали проблемы из-за DDoS;
Десятая часть участников опроса ответила, что их компании страдали от DDoS-атак более шести раз за год;
Около половины компаний испытывали проблемы из-за DDoS, время средней атаки — около 5 часов;
Атаки такого типа являются одной из основных причин остановки и простоя серверов.

Основные виды DDoS-атак

В общем-то, разновидностей DDoS довольно много, и ниже мы постарались перечислить большинство типовых атак, с описанием принципа действия кажого типа атаки.

UDP флуд

Один из наиболее действенных, и в то же время, простых видов атак. Используется UDP протокол, где не требуется установление сессии с отправкой любого типа ответа. В случайном порядке злоумышленник атакует порты сервера, отсылая огромное количество пакетов данных. В результате машина начинает проверять, используется ли порт, на который приходит пакет, каким-либо приложением. А поскольку таких пакетов — масса, то машина любой мощности просто не справляется с задачей. Как результат — все ресурсы машины «съедены», и сервер «ложится».

Наиболее простой способ защиты от такого типа атак — это блокирование UDP трафика.

ICMP флуд

Злоумышленник постоянно пингует сервер жертвы, в ходе чего последний постоянно отдает ответы. Пингов огромное количество, и, как результат — съедаются ресурсы сервера, и машина становится недоступной.

В качестве меры защиты можно использовать блокировку ICMP-запросов, на уровне брандмауэра. К сожалению, в таком случае пинговать машину не получится по понятным причинам.

SYN флуд

В этом типе атаки используется отправка SYN-пакета серверу жертвы. Как результат — сервер отвечает пакетом SYN-ACK, а машина злоумышленника должна отправить ACK-ответ, но он не отправляется. Результат — открытие и подвисание огромного количества соединений, которые закрываются только по истечению таймаута.

При превышении граничного количества запросов/ответов сервер жертвы перестает принимать пакеты любого типа, и становится недоступным.

MAC флуд

Необычный тип атаки, в котором объектом становится сетевое оборудование многих типов. Злоумышленник начинает отправлять большое количество Ethernet-пакетов с совершенно различными MAC-адресами. Как результат — свитч начинает резервировать под каждый из пакетов определенное количество ресурсов, и если пакетов много, то свитч выделяет все доступные запросы, и подвисает. Худший вариант — сбой таблицы маршрутизации.

Ping of Death

Сейчас этот тип атак не является сколько-нибудь серьезной проблемой, хотя раньше это был распространенный вариант атаки. Смысл такого типа атаки — переполнение буфера памяти из-за превышения максимально доступного размера IP пакета, и как результат — отказ сервера и сетевого оборудования от обслуживания любого типа пакетов.

Slowloris

Сфокусированная атака такого типа позволяет малыми силами добиться крупных результатов. Другими словами, используя не самый мощный сервер, можно «положить» гораздо более производительное оборудование. При этом не требуется задействовать другие протоколы. При таком типе атак сервер злоумышленника открывает максимальное количество НТТР-соединений, и старается держать их открытыми также как можно дольше.

Само собой, количество подключений на сервере, подверженному атаке, заканчивается, и полезные запросы перестают приниматься и обрабатываться.

Отражённые атаки

Необычный тип атаки, когда сервер злоумышленника отправляет пакеты с фальшивым IP отправителя, причем отправка идет по максимально возможному количеству машин. Все затронутые такими действиями сервера отправляют ответ на укзанный в пакете IP, в результате чего получатель не справляется с нагрузкой и «подвисает». При этом производительность сервера атакующего может быть в 10 раз ниже планируемой мощности атаки. Сервер, рассылающий 100 Мбит/сек ложных запросов, может полностью положить гигабитный канал сервера жертвы.

Деградация

При таком типе атаки сервер злоумышленника симулирует действия реального человека или целой аудитории. Как пример самого простого варианта — можно отсылать запросы для одной и той же страницы ресурса, причем делать это тысячи раз. Наиболее простой способ решения проблемы — временное сообщение об ошибки с блокированием атакуемой страницы.

Более сложный тип атаки — запрос большого количества различных ресурсов сервера, включая медиафайлы, страницы и все прочее, в результате чего сервер жерты перестает работать.

Сложные атаки такого типа довольно сложно отфильтровать, как результат — приходится использовать специализированные программы и сервисы.

Атака нулевого дня

Так называют атаки, где используются неизвестные доселе уязвимости/слабые места сервиса. Для борьбы с проблемой необходимо изучить такой тип атаки, чтобы можно было что-то предпринять.

Вывод: наиболее сложным типом атаки являются комбинированные, где используются различные виды DDoS. Чем сложнее комбинация, тем сложнее от нее защититься. Общей проблемой для DDoS, вернее, для жертв DDoS, является общедоступность такого типа атак. В Сети есть большое количество приложений и сервисов, позволяющих бесплатно или почти бесплатно осуществлять мощнейшие атаки.

comments powered by Disqus