DDoS-атака: что это, как работает и виды атак

DDoS-атаки, или распределенные атаки типа отказа в обслуживании — угроза, которую должны знать все владельцы сайтов.

Чтобы вы понимали, что это такое и как избежать таких атак, мы перевели это руководство.

DDoS-атака: что это

Что такое DDoS-атака

DDoS-атака — атака на вычислительную систему, которая выполняется одновременно с большого числа компьютеров.

Цель атаки: сделать так, чтобы система перестала работать, и пользователи не могли получить доступ к системным ресурсам.

Чтобы DDoS-атака была успешной, атакующему нужно посылать больше запросов, чем может обработать атакуемый сервер.

Виды DDoS-атак

DDoS-атаки на уровне канала связи

Цель таких атак — перегрузить трафик сайта или создать проблемы использования CPU или IOPS. Тот, у кого больше ресурсов, выигрывает.

Часто атакующим легко достичь своих целей. Большинство владельцев сайтов размещает сайты на виртуальных серверах, где у каждого ограниченное количество ресурсов.

Такие DDoS-атаки включают в себя:

  • UDP-флуды: Во время такой атаки сервер-жертва получает огромное количество поддельных UDP-пакетов от широкого диапазона IP-адресов. Сервер-жертва или сетевое оборудование перед ним переполняет поддельными-UDP пакетами. Из-за атаки занимается вся полоса пропуска перегружает сетевые интерфейсы.
  • ICMP-флуды: Атакующие направляют на сервер ложные ICMP-пакеты, которые отправляются с широкого диапазона IP-адресов.
    В результате такой атаки ресурсы сервера иссякают и не могут обрабатывать запросы. Из-за этого сервер перезагружается или очень медленно работает.
  • Ping-флуды: Атакующие направляют на сервер ложные ping-пакеты с большого диапазона IP-адресов. Цель атакующих — зафлудить сервер, чтобы он выключился. Самый большой недостаток этой атаки для владельцев сайтов — то, что ее можно перепутать с обычным трафиком.
  • Другие флуды с ложными пакетами

DDoS-атаки на уровне протокола

Этот тип атаки потребляет ресурсы сервера или другого аппаратного оборудования сети во время обработки информации. Это приводит
к нестабильной работе системы.

В этих атаках серверу-мишени отправляют или больше пакетов, чем он может обработать, или больше трафика, чем сетевые порты могут обработать.

DDoS-атаки, использующие уязвимости протоколов, включают:

  • Пинг смерти: Серверу-жертве отправляется слишком большой пакет размера более 65535 байт, что приводит к ошибкам и отключению сервера. Этот вид атаки был очень популярен в 90-х. Сегодня такие атаки направлены на приложения или аппаратное оборудование. В результате такой атаки сервер перезагружается или полностью ломается. Поэтому DDoS-атаку никогда не стоит недооценивать — один атакующий может остановить работу целого дата-центра.
  • Синхронная атака: Атакующие используют уязвимости TCP-протокола в процессе рукопожатия между клиентом, хостом и сервером. Принцип атаки заключается в том, что злоумышленник, посылая запросы на подключение, переполняет очередь на сервере.Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого клиенты или не могут установить связь с сервером, или устанавливают её с большими задержками.

DDoS-атаки на уровне приложений

Такие атаки обычно нацелены против приложений типа веб-серверов — например, Windows IIS, Apache. Однако атаки на прикладном уровне уже распространяются и на CMS-платформы — WordPress, Joomla!, Drupal, Magento.

Цели такой атаки — выключить приложение, онлайн-сервис или сайт. Обычно эти атаки небольшие, особенно по сравнению с атаками на уровне сети, но они могут нанести такой же урон.

Например, небольшой VPS-сервер на Linode, Digital Ocean или Amazon может легко справиться со 100,000-200,000 пакетами в секунду . Однако тот же сервер, работающий на WordPress или Joomla, едва сможет обработать 500 HTTP-запросов без того, чтобы не отключиться. Поэтому атаки на уровне приложений могут принести столько же вреда, сколько и атаки на уровне сети.

Атаки на уровне приложений включают:

  • Атаки на DNS-сервер: В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS.
    Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Когда сервер получает ложный ответный пакет с подходящим ID, он начинает воспринимать хакера как DNS и дает клиенту IP–адрес, посланный атакующим компьютером. Затем запрос занесется в кэш, и при следующих подобных запросах пользователи будут переходить на подставной IP.
  • Layer 7 HTTP-флуд: атака, которая перегружает отдельные части сайта или сервера. Такие атаки сложно идентифицировать, так как запросы выглядят как обычный трафик. Запросы, посланные атакующими, потребляют ресурсы сервера и приводят к падению сайта. Такие запросы также могут отправляться ботами, что делает атаки более мощными.Интересно, то, что эти атаки мало зависят от пропускной способности канала. За счет этого атакующие могут легко вывести сервер из строя.В зависимости от веб-сервера и стека приложений даже небольшое количество запросов в секунду может замедлить работу приложений и баз данных серверной части. В среднем атаки, которые посылают более 100 запросов в секунду, могут выключить большинство сайтов среднего размера.

В следующей части руководства расскажем, как защищаться от DDoS-атак и как их предупреждать.

Источник: статья в блоге Sucuri

Валерия

Руковожу контент-направлением, работаю в сфере маркетинга и редактуры 4 года.