DDoS-атака: що це, як працює та види атак

DDoS-атаки, або розподілені атаки на кшталт відмови в обслуговуванні — загроза, яку повинні знати всі власники сайтів.

Щоб ви розуміли, що це таке та як уникнути таких атак, ми переклали цей посібник.

DDoS-атака: що це

Що таке DDoS-атака

DDoS-атака — атака на обчислювальну систему, яка виконується одночасно з великої кількості комп’ютерів.

Мета атаки: зробити так, щоб система перестала працювати, і користувачі не могли отримати доступ до системних ресурсів.

Щоб DDoS-атака була успішною, атакуючому потрібно надсилати більше запитів, ніж може обробити сервер, що атакується.

Види DDoS-атак

DDoS-атаки на рівні каналу зв’язку

Ціль таких атак — перевантажити трафік сайту або створити проблеми використання CPU або IOPS. Той, хто має більше ресурсів, виграє.

Часто атакуючим легко досягти своїх цілей. Більшість власників сайтів розміщують сайти на віртуальних серверах, де кожен має обмежену кількість ресурсів.

Такі DDoS-атаки включають:

  • UDP-флуди: Під час такої атаки сервер-жертва отримує величезну кількість підроблених UDP-пакетів від широкого діапазону IP-адрес. Сервер-жертва або мережеве обладнання перед ним переповнюється підробними UDP пакетами. Через атаку займається вся смуга пропуска перевантажує мережеві інтерфейси.
  • ICMP-флуди: Атакуючі направляють на сервер несправжні ICMP-пакети, які відправляються з широкого діапазону IP-адрес. Внаслідок такої атаки ресурси сервера вичерпуються та не можуть обробляти запити. Через це сервер перезавантажується або працює дуже повільно.
  • Ping-флуди: Атакуючі направляють на сервер несправжні ping-пакети з великого діапазону IP-адрес. Мета атакуючих — зафлудити сервер, щоб він вимкнувся. Найбільший недолік цієї атаки для власників сайтів — те, що її можна переплутати зі звичайним трафіком.
  • Інші флуди з хибними пакетами

DDoS-атаки на рівні протоколу

Цей тип атак споживає ресурси сервера або іншого апаратного обладнання мережі під час обробки інформації. Це призводить до нестабільної роботи системи.

У цих атаках серверу-мішені відправляють або більше пакетів, ніж той може обробити, або більше трафіку, ніж мережеві порти можуть обробити.

DDoS-атаки, що використовують уразливості протоколів, включають:

  • Пінг смерті: Серверу-жертві відправляється занадто великий пакет розміру більше 65535 байт, що призводить до помилок та відключення сервера. Цей вид атаки був дуже популярним у 90-х. Сьогодні такі атаки спрямовані на додатки чи апаратне обладнання. Внаслідок такої атаки сервер перезавантажується або повністю ламається. Тому DDoS-атаку ніколи не варто недооцінювати — один атакуючий може зупинити роботу цілого дата-центру.
  • Синхронна атака: Атакуючі використовують уразливості TCP-протоколу в процесі рукостискання між клієнтом, хостом та сервером. Принцип атаки полягає в тому, що зловмисник, посилаючи запити на підключення, переповнює чергу на сервері. Завдання зловмисника полягає в тому, щоб підтримувати чергу, заповнену таким чином, щоб не допустити нових підключень. Через це клієнти або не можуть встановити зв’язок із сервером, або встановлюють його з великими затримками.

DDoS-атаки на рівні додатків

Такі атаки зазвичай націлені проти програм типу вебсерверів — наприклад, Windows IIS, Apache. Однак атаки на прикладному рівні вже поширюються і на CMS-платформи WordPress, Joomla!, Drupal, Magento.

Цілі такої атаки — вимкнути програму, онлайн-сервіс або сайт. Зазвичай ці атаки невеликі, особливо в порівнянні з атаками на рівні мережі, але вони можуть завдати такої ж шкоди.

Наприклад, невеликий VPS-сервер на Linode, Digital Ocean або Amazon може легко впоратися зі 100,000-200,000 пакетами на секунду. Однак той самий сервер, який працює на WordPress або Joomla, ледве зможе обробити 500 HTTP-запитів без того, щоб не вимкнутись. Тому атаки на рівні програм можуть завдати стільки ж шкоди, скільки й атаки на рівні мережі.

Атаки на рівні додатків включають:

  • Атаки на DNS-сервер: В результаті такої атаки по помилкових IP-адресах ходитиме не окремий клієнт-жертва, а всі користувачі, що звернулися до атакованого DNS. Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі та чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком хибних пакетів у відповідь. Коли сервер отримує помилковий пакет у відповідь з відповідним ID, він починає сприймати хакера як DNS і дає клієнту IP-адресу, надіслану атакуючим комп’ютером. Потім запит занесеться в кеш, і за наступних подібних запитів користувачі переходитимуть на підставний IP.
  • Layer 7 HTTP-флуд: атака, яка перевантажує окремі частини сайту чи сервера. Такі атаки складно ідентифікувати, оскільки запити мають вигляд звичайного трафіку. Запити, надіслані атакуючими, споживають ресурси сервера та призводять до падіння сайту. Такі запити також можуть надсилатися ботами, що робить атаки потужнішими. Цікаво, те, що ці атаки мало залежать від пропускної спроможності каналу. За рахунок цього атакуючі можуть легко вивести сервер з ладу. Залежно від вебсервера та стека додатків навіть невелика кількість запитів на секунду може уповільнити роботу додатків та баз даних серверної частини. У середньому атаки, які надсилають понад 100 запитів на секунду, можуть вимкнути більшість сайтів середнього розміру.

У наступній частині керівництва розповімо, як захищатись від DDoS-атак і як їх попереджати.

Джерело: стаття в блозі Sucuri

Валерия

Керую контент-напрямком, працюю у сфері маркетингу та редактури 4 роки.