Перейти к основному разделу

Что такое DDoS-атака?

Пример мужчины, запускающего DDoS-атаку.

DDoS-атака - это отправка большого количества запросов на веб-ресурс, в результате чего может произойти прекращение работы ресурса – «отказ в обслуживании» или DoS (Denial-of-service).

Существует множество киберугроз, которых следует опасаться интернет-пользователям и сетевым администраторам, но для организаций, чьи сервисы в основном работают в режиме онлайн, одной из самых важных атак, о которой следует знать, ввиду ее растущей распространенности, являются атаки типа «распределенный отказ в обслуживании» (DDoS). Как они работают и есть ли способы их предотвратить.

DDoS-атаки (распределенный отказ в обслуживании)

Этот тип кибератак, который иногда называют распределенными сетевыми атаками, использует определенные ограничения пропускной способности, которые применяются к любым сетевым ресурсам, например, к инфраструктуре, обеспечивающей работу веб-сайта компании. DDoS-атака будет отправлять множественные запросы на атакуемый веб-ресурс с целью превышения возможностей веб-сайта по обработке множественных запросов и воспрепятствования его корректной работе. Типичными целями DDoS-атак являются сайты электронной коммерции и любые организации, предлагающие онлайн-услуги.

Как это работает?

Сетевые ресурсы, такие как веб-серверы, имеют конечное ограничение на количество запросов, которые они могут обслуживать одновременно. Помимо ограничения емкости сервера, канал, соединяющий сервер с Интернетом, также будет иметь конечную пропускную способность или емкость. Всякий раз, когда количество запросов превышает пределы пропускной способности любого компонента инфраструктуры, уровень обслуживания, скорее всего, пострадает.

Обычно целью злоумышленника в любом примере DDoS-атаки является перегрузка сервера веб-ресурса, что приведет к невозможности его нормальной работы и полному отказу в обслуживании. Злоумышленник также может потребовать плату за прекращение атаки. В некоторых случаях ддос-атака может даже представлять собой попытку дискредитировать или нанести ущерб бизнесу конкурента.

Для осуществления атаки злоумышленник захватывает контроль над сетью или устройством, заражая его вредоносным ПО , создавая ботнет . Затем они инициируют атаку, отправляя ботам определенные инструкции. В свою очередь, ботнет начинает отправлять запросы на целевой сервер через его IP-адрес , перегружая его и вызывая отказ в обслуживании его обычного трафика.

Примеры DDoS-атак: какие существуют типы атак?

Изучение значения DDoS-атак и принципов их работы — это один из шагов к их предотвращению, но также важно понимать, что существуют различные типы DDoS-атак. Для этого необходимо сначала описать, как формируются сетевые соединения.

Модель взаимодействия открытых систем (OSI), разработанная Международной организацией по стандартизации, определяет семь отдельных уровней, из которых состоят сетевые соединения в Интернете. К ним относятся физический уровень, уровень канала передачи данных, сетевой уровень, транспортный уровень, сеансовый уровень, уровень представления и прикладной уровень.

Многочисленные примеры DDoS-атак различаются в зависимости от того, на какой уровень соединения они нацелены. Ниже приведены некоторые наиболее распространенные примеры.

Атаки на уровне приложений

Иногда их называют атакой уровня 7 (потому что они нацелены на 7 (прикладной) уровень модели OSI). Такие атаки истощают ресурсы целевого сервера с помощью DDoS-сайтов. На 7 уровне сервер генерирует веб-страницы в ответ на HTTP-запрос. Злоумышленники выполняют многочисленные HTTP-запросы, перегружая целевой сервер, поскольку он отвечает за загрузку многочисленных файлов и выполнение запросов к базе данных, необходимых для создания веб-страницы.

HTTP-флуд

Представьте себе эти DDoS-атаки как многократное обновление веб-браузера на многих компьютерах. Это создает «поток» HTTP-запросов, вызывающий отказ в обслуживании. Реализация этих атак может быть простой — с использованием одного URL-адреса с узким диапазоном IP-адресов — или сложной, с использованием массива IP-адресов и случайных URL-адресов.

Атаки на протоколы

Эти DDoS-атаки, часто называемые атаками истощения состояния, используют уязвимости на 3 и 4 уровнях модели OSI (сетевой и транспортный уровни). Эти атаки приводят к отказу в обслуживании за счет перегрузки ресурсов сервера или сетевого оборудования, например брандмауэров . Существует несколько типов атак на протоколы, включая SYN-флуд. Они используют протокол TCP (протокол управления передачей), который позволяет двум устройствам установить сетевое соединение, отправляя неуправляемое количество «начальных запросов на подключение» TCP с поддельных IP-адресов.

Объемные атаки

Эти примеры DDoS-атак создают отказ в обслуживании, используя всю доступную полосу пропускания на целевом сервере путем отправки огромных объемов данных для создания всплеска трафика на сервере.

DNS-амплификация

Это атака на основе отражения, при которой запрос отправляется на DNS-сервер с поддельного IP-адреса (целевого сервера), побуждая DNS-сервер «перезвонить» цели для проверки запроса. Это действие усиливается за счет использования ботнета, который быстро перегружает ресурсы целевого сервера.

Обнраужение DDoS-атаки

DDoS-атаки бывает сложно обнаружить, поскольку они могут имитировать обычные проблемы с обслуживанием и становятся все более изощренными. Однако существуют определенные признаки, которые могут указывать на то, что система или сеть стала жертвой DDoS-атаки. Перечислим некоторые из этих приложений и продуктов.

  • Внезапный всплеск трафика, исходящего с неизвестного IP-адреса
  • Поток трафика от многочисленных пользователей, имеющих определенные сходства, например, геолокацию или версию веб-браузера.
  • Необъяснимый рост запросов на одну страницу
  • Необычные схемы движения
  • Нетипично замедленная работа в сети.
  • Служба или веб-сайт, который внезапно и без причины отключается

Предотвращение и смягчение последствий DDoS-атак

Хотя DDoS-атаки сложно обнаружить, можно реализовать ряд мер, чтобы попытаться предотвратить подобные типы кибератак и смягчить любой ущерб в случае атаки. Для пользователей, интересующихся тем, как предотвратить DDoS-атаки, главное — создать план действий по защите систем и минимизации ущерба в случае атаки. В целом, для предприятий полезно внедрить такое решение, как защита от DDoS-атак Kaspersky , которое постоянно анализирует и перенаправляет вредоносный трафик. Кроме того, следующие общие советы могут помочь еще больше усилить вашу защиту:

  • Оцените текущую настройку системы, включая программное обеспечение, устройства, серверы и сети, чтобы выявить риски безопасности и потенциальные угрозы, а затем примите меры по их снижению; проводите регулярные оценки рисков.
  • Поддерживайте все программное обеспечение и технологии в актуальном состоянии, чтобы быть уверенными в наличии последних исправлений безопасности.
  • Разработать эффективную стратегию предотвращения, обнаружения и смягчения последствий ддос-атак.
  • Убедитесь, что все участники плана по предотвращению атак понимают значение DDoS-атаки и свои назначенные роли.

В случае атаки эти действия могут обеспечить некоторое смягчение последствий:

  • Сети Anycast: использование сети Anycast для перераспределения трафика может помочь сохранить работоспособность сервера во время устранения проблемы, гарантируя, что сервер не придется полностью отключать.
  • Маршрутизация по принципу «черной дыры». В этом сценарии сетевой администратор интернет-провайдера перенаправляет весь трафик с целевого сервера на маршрут «черной дыры» (целевой IP-адрес), исключая его из сети и сохраняя его целостность. Однако это может оказаться слишком радикальным шагом, поскольку он также блокирует легитимный трафик.
  • Ограничение скорости: ограничивает количество запросов, которые сервер может принять в любой момент времени. Хотя само по себе это не будет очень эффективным, оно может быть полезным как часть более крупной стратегии.
  • Межсетевые экраны: организации могут использовать межсетевые экраны веб-приложений (WAF) в качестве обратного прокси-сервера для защиты своих серверов. WAF можно настроить с помощью правил фильтрации трафика, и администраторы могут изменять их в режиме реального времени, если подозревают DDoS-атаку.

Статьи и ссылки по теме:

Продукты и решения:

Что такое DDoS-атака?

Узнайте, что такое DDoS-атаки, как они работают, какую тактику используют злоумышленники, а также стратегии предотвращения и нейтрализации таких угроз.
Kaspersky logo

Статьи на эту тему