Руководство по классификации DDoS атак
Чтобы эффективно противостоять киберугрозам, необходимо хорошо понимать методы, которыми пользуются злоумышленники. В этом руководстве мы рассмотрим наиболее распространенные типы DDoS-атак, их особенности и принципы работы.
С момента первой DDoS-атаки прошло уже 27 лет. За это время угрозы не только не исчезли, но и стали более сложными и разрушительными. Современные распределенные атаки отказа в обслуживании способны длиться часами и даже днями, становясь все более агрессивными и эффективными. Для надежной защиты необходимо разобраться в их разновидностях и механизмах воздействия.
Основные категории DDoS-атак
Большинство подобных атак комбинируют несколько техник. Однако их можно классифицировать по следующим критериям:
- в зависимости от уровней модели OSI;
- по типам используемых сетевых протоколов;
- по механизму воздействия.
Рассмотрим каждую из категорий подробнее.
DDoS-атаки, основанные на протоколах
Злоумышленники чаще всего атакуют сетевые протоколы, такие как UDP, TCP и другие.
К последним относятся ICMP, GRE, IPIP, ESP, AH, SCTP, OSPF и ряд других. Рассмотрим несколько наиболее распространенных атак по протоколам.
- IP Null атака – изменение заголовка IP-пакета так, чтобы поле «Protocol» содержало нулевое значение, что позволяет обходить межсетевые экраны и перегружать сервер анализом входящего трафика.
- SYN-флуд – перегрузка таблицы соединений сервера с помощью большого количества поддельных запросов на установку соединения.
- UDP-флуд – массовая отправка UDP-пакетов, что приводит к перегрузке каналов и сетевого оборудования.
- Ping of Death – отправка чрезмерно больших или некорректных пакетов, вызывающая сбои в системе.
- Атака медленными сессиями – удержание активных TCP-сессий, из-за чего сервер тратит все ресурсы на их обработку.
DDoS-атаки в контексте модели OSI
Сетевые атаки можно распределить по уровням модели OSI, которая состоит из 7 уровней:
Низкоуровневые атаки
- Физический уровень ( L1 ) – атаки на этом уровне невозможны, однако оборудование может быть выведено из строя путем физического воздействия.
- Канальный уровень ( L2 ) – здесь используется MAC-флуд, который перегружает коммутаторы и нарушает работу сети.
- Сетевой уровень ( L3 ) – наиболее распространенная атака – ICMP-флуд, перегружающий сеть фальшивыми запросами.
Высокоуровневые атаки
- Транспортный уровень ( L4 ) – атаки направлены на перегрузку соединений, например, SYN-флуд и Smurf.
- Сеансовый уровень ( L5 ) – эксплуатация уязвимостей Telnet, что может привести к потере контроля над сервером.
- Представительский уровень ( L6 ) – атаки на SSL-протокол, создающие нагрузку на сервер за счет обработки фальшивых зашифрованных пакетов.
- Прикладной уровень ( L7 ) – DDoS-атаки с HTTP-флудом, перегружающие веб-сервер огромным количеством запросов.
DDoS-атаки по механизму воздействия
Можно выделить три основные группы атак по механизму их действия:
- Атаки, основанные на флуде – перегрузка канала связи огромным количеством трафика.
- Эксплуатация уязвимостей сетевых протоколов – использование слабых мест в стеке протоколов.
- Атаки на прикладной уровень – направлены на конкретные веб-приложения и сервисы.
Примеры атак:
- DNS-амплификация – злоумышленники запрашивают большие объемы данных у DNS-серверов и направляют их на жертву.
- NTP-амплификация – аналогичная техника с использованием NTP-серверов.
- VoIP-флуд – перегрузка серверов голосовой связи фальшивыми звонками.
- HTTP-флуд – массовая отправка HTTP-запросов для перегрузки сервера.
- Атака нулевого дня – эксплуатация недавно обнаруженных уязвимостей, для которых еще нет защиты.
- IP-спуфинг – подмена IP-адресов с целью сокрытия источника атаки.
- MITM-атака – перехват и подмена передаваемых данных.
Заключение
DDoS-атаки представляют серьезную угрозу для любого онлайн-ресурса. Чтобы минимизировать риски, необходимо регулярно обновлять систему безопасности, применять эффективные фильтры трафика и разрабатывать стратегии защиты. Чем лучше вы понимаете механизмы атак, тем эффективнее сможете их предотвращать.
