В этой статье мы постарались подробно описать что представляет собой DDoS-атака, какие бывают разновидности DDOS и по каким схемам они проводятся.

Распределенная атака типа «отказ в обслуживании» (DDoS)

Аббревиатура DDoS образована от английского словосочетания Distributed Denial of Service, что буквально переводится как «распределенная атака типа «отказ в обслуживании». DDoS-атака представляет собой злоумышленную попытку вызвать сбой в работе сервера или сетевого ресурса, сделав его недоступным для пользователей. Как правило, это достигается путем прерывания или временного сбоя работы хоста, подключенного к сети Интернет.

В отличие от обычной атаки типа «отказ в обслуживании» (DoS-атака), где для переполнения пакетами целевого ресурса используется один компьютер и одно интернет-соединение, DDoS-атака осуществляется с использованием множества компьютеров и интернет-соединений, которые зачастую глобально распределены в рамках системы под названием «ботнет».

Общая классификация DDoS-атак

Все DDoS-атаки можно условно разделить на три группы:

1. Атаки, использующие насыщение полосы пропускания

Атаки на протоколы UDP и ICMP, а также другие флуд атаки с использованием поддельных пакетов. Атаки данной группы нацелены на переполнение полосы пропускания атакуемого веб-сайта. Единицей измерения является количество бит в секунду (Bps).

2. Атаки, использующие недостаток ресурсов

SYN-флуд, атаки фрагментированными пакетами, атаки типа Ping of Death, Smurf и др. Данная группа нацелена на текущие ресурсы сервера, промежуточное коммуникационное оборудование, например, межсетевые экраны и балансировщики нагрузки. Единицей измерения является количество пакетов в секунду.

3. Атаки уровня приложения

Slowloris, DDoS-атака, эксплуатирующие уязвимости нулевого дня, DDoS-атаки, эксплуатирующие уязвимости веб-сервера Apache, Windows, OpenBSD и др. Состоящие из якобы легитимных и безобидных запросов, данные атаки преследуют цель вывести сервер из строя. Единицей измерения является количество запросов в секунду.

Разновидности DDoS-атак

Ниже мы представили список распространенных видов DDoS-атак с описанием схемы проведения атаки:

UDP-флуд

Направлен против сетевого протокола пользовательских датаграмм (UDP), не имеющего поддержки сеансов. Суть данной DDoS-атаки состоит в наполнении случайных портов удаленного хоста большим количеством UDP-пакетов, заставляя хост постоянно обращаться к приложению, прослушивающему соответствующие порты, и генерировать ответные ICMP-сообщения «назначение недостижимо» в случае, если приложение не обнаружено. Этот процесс приводит к исчерпанию ресурсов хоста и чреват полным отказом в обслуживании.

ICMP флуд (Ping-флуд)

Имеет схожий принцип действия с UDP-флудом. Атака типа ICMP-флуд представляет собой переполнение целевого ресурса ping-запросами (эхо- запросами ICMP), при этом отправка пакетов идет максимально быстро, без ожидания ответов. Поскольку сервера жертвы стремятся отправить эхо-ответы протокола ICMP, происходит исчерпание полосы пропускания входящего и исходящего трафика и, как результат, значительное замедление работы системы.

SYN-флуд

Эксплуатирует слабые места TCP-соединения («трехкратного рукопожатия»). Клиент посылает пакет с флагом SYN для подключения по протоколу TCP, в ответ на него сервер должен ответить комбинацией флагов SYN+ACK. После подтверждения пакетом с флагом ACK соединение считается установленным. Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, либо не отвечает на запрос SYN-ACK, либо отправляет SYN-запросы с поддельного IP-адреса. В обоих случаях хост ожидает подтверждения этих 5 запросов, поддерживая заполненную очередь и не допуская новых подключений, что приводит к отказу в обслуживании.

Zero Day (0-day) DDoS

Это еще неизвестные или новые атаки, использующие уязвимости, патчи к которым еще не были выпущены. Данное понятие широко известно в хакерских кругах, и торговля такого рода уязвимостями уже стала популярной.

Zero Day атаки - это особо опасный вид DDoS-атак, направленный на веб-сервера Apache, dhttpd, Tomcat и GoAhead WebServer. Эта крайне целенаправленная атака позволяет вызвать сбой сервера с помощью другого веб-сервера, при этом не влияя на другие сервисы и порты сети, подвергшиейся атаке. Осуществляется это за счет удержания открытым как можно большего числа подключений к атакуемому веб-серверу на протяжении максимального промежутка времени. Данные подключения создаются путем постоянной отправки заголовков HTTP-запросов, при этом они всегда остаются незавершенными. Атакуемый сервер оставляет все эти ложные подключения открытыми, что приводит к переполнению максимального пула одновременных подключений и отказу в обслуживании разрешенных клиентов.

Ping of Death

Это отправка на компьютер жертвы большого числа поддельных или неправильно сформированных запросов (ping). Максимальная длина пакета составляет 65 535 байт (включая IP-заголовок). Однако, как правило, для уровня канала передачи данных действует ограничение максимального размера фрейма – например, 1500 бит для сети Ethernet. В данном случае происходит фрагментация большого IP- пакета на более мелкие IP-пакеты, а принимающий хост восстанавливает полный пакет из фрагментов. При атаке Ping of Death злоумышленник осуществляет операции с фрагментированным контентом, в результате которых после восстановления IP-пакета его объем составляет более 65 535 байт. Это приводит к переполнению буфера хоста-жертвы, размер которого рассчитан на стандартный пакет, и к отказу в обслуживании разрешенных пакетов.

DNS Amplification

Или DNS усиление. При атаке злоумышленник посылает запрос (обычно короткий) уязвимому DNS-серверу, который отвечает уже значительно большим по размеру пакетом. Подделывая IP-адрес при отправке запроса, злоумышленники используют в качестве исходного IP-адреса адрес сервера жертвы, а уязвимый DNS-сервер отвечает на запрос, отсылая серверу-жертве в большом количестве ненужные пакеты.

NTP Amplification

NTP усиление. Принцип атаки схож с атакой, использующей DNS усиление, однако в данном случае для атаки используется протокол NTP.