Распределенная атака типа "отказ в обслуживании" (DDoS) - это злонамеренная попытка сделать онлайн-сервис недоступным для пользователей, обычно путем временного прерывания или приостановки работы хостинг-сервера.
DDoS-атака осуществляется с многочисленных взломанных устройств, часто распределенных по всему миру в так называемую бот-сеть. Она отличается от других атак типа "отказ в обслуживании" (DoS) тем, что использует одно устройство, подключенное к Интернету (одно сетевое соединение), чтобы залить цель вредоносным трафиком. Этот нюанс является основной причиной существования этих двух, несколько отличающихся друг от друга, определений.
В широком смысле DoS- и DDoS-атаки можно разделить на три типа:
Атаки на основе объема
Включает в себя потоки UDP, потоки ICMP и другие потоки поддельных пакетов. Цель атаки - насытить пропускную способность атакуемого сайта, а величина измеряется в битах в секунду (Bps).
Протокольные атаки
Включают SYN-флуд, атаки фрагментированных пакетов, Ping of Death, Smurf DDoS и другие. Этот тип атак потребляет реальные ресурсы сервера или промежуточного коммуникационного оборудования, такого как брандмауэры и балансировщики нагрузки, и измеряется в пакетах в секунду (Pps).
Атаки прикладного уровня
Включают атаки с низкой и низкой скоростью, GET/POST флуд, атаки, направленные на уязвимости Apache, Windows или OpenBSD, и многое другое. Состоящие из, казалось бы, законных и невинных запросов, эти атаки направлены на разрушение веб-сервера, а их величина измеряется в запросах в секунду (Rps).
Распространенные типы DDoS-атак
Некоторые из наиболее часто используемых типов DDoS-атак включают:
UDP-флуд
По определению, UDP-флуд - это любая DDoS-атака, которая забрасывает цель пакетами протокола User Datagram Protocol (UDP). Целью атаки является переполнение случайных портов удаленного узла. Это заставляет хост многократно проверять наличие приложения, прослушивающего данный порт, и (если приложение не найдено) отвечать пакетом ICMP 'Destination Unreachable'. Этот процесс истощает ресурсы хоста, что в конечном итоге может привести к недоступности.
ICMP (Ping) Flood
Аналогично атаке UDP flood, ICMP flood переполняет целевой ресурс пакетами ICMP Echo Request (ping), обычно отправляя пакеты как можно быстрее, не дожидаясь ответа. Этот тип атаки может потреблять как исходящую, так и входящую пропускную способность, поскольку серверы жертвы часто пытаются ответить пакетами ICMP Echo Reply, что приводит к значительному замедлению работы системы в целом.
SYN Flood
DDoS-атака SYN flood использует известную слабость в последовательности TCP-соединений ("трехстороннее рукопожатие"), когда на SYN-запрос для установления TCP-соединения с узлом должен быть получен ответ SYN-ACK от этого узла, а затем подтвержден ACK-ответом от запрашивающего узла. В сценарии SYN flood запросчик посылает несколько SYN-запросов, но либо не отвечает на SYN-ACK ответ хоста, либо посылает SYN-запросы с поддельного IP-адреса. В любом случае, хост-система продолжает ждать подтверждения каждого из запросов, связывая ресурсы до тех пор, пока новые соединения не могут быть установлены, что в конечном итоге приводит к отказу в обслуживании.
Смертельный пинг
Атака ping of death ("POD") заключается в том, что злоумышленник посылает на компьютер несколько неправильных или вредоносных пингов. Максимальная длина IP-пакета (включая заголовок) составляет 65 535 байт. Однако уровень передачи данных обычно устанавливает ограничения на максимальный размер кадра - например, 1500 байт в сети Ethernet. В этом случае большой IP-пакет разбивается на несколько IP-пакетов (известных как фрагменты), а принимающий узел собирает IP-фрагменты в полный пакет. В сценарии Ping of Death после злонамеренного манипулирования содержимым фрагментов получатель получает IP-пакет, размер которого при повторной сборке превышает 65 535 байт. Это может привести к переполнению буферов памяти, выделенных для пакета, и вызвать отказ в обслуживании легитимных пакетов.
Slowloris
Slowloris - это высокоцелевая атака, позволяющая одному веб-серверу вывести из строя другой сервер, не затрагивая другие службы или порты в целевой сети. Slowloris делает это, удерживая как можно больше соединений с целевым веб-сервером открытыми как можно дольше. Для этого он создает соединения с целевым сервером, но отправляет только частичный запрос. Slowloris постоянно отправляет все новые HTTP-заголовки, но никогда не завершает запрос. Целевой сервер держит каждое из этих ложных соединений открытым. В конечном итоге это приводит к переполнению максимального пула одновременных соединений и отказу в дополнительных соединениях от легитимных клиентов.
Усиление NTP
В атаках с усилением NTP преступник использует общедоступные серверы протокола сетевого времени (NTP), чтобы перегрузить целевой сервер UDP-трафиком. Атака определяется как атака с усилением, поскольку соотношение запросов к ответам в таких сценариях составляет от 1:20 до 1:200 и более. Это означает, что любой злоумышленник, получивший список открытых NTP-серверов (например, с помощью инструмента типа Metasploit или данных Open NTP Project), может легко создать разрушительную DDoS-атаку с высокой пропускной способностью и большим объемом трафика.
HTTP-флуд
При DDoS-атаке HTTP flood злоумышленник использует кажущиеся легитимными HTTP GET или POST запросы для атаки на веб-сервер или приложение. В HTTP-флуде не используются искаженные пакеты, подмена или методы отражения, и для вывода из строя целевого сайта или сервера требуется меньшая пропускная способность, чем при других атаках. Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимум ресурсов в ответ на каждый запрос.
DDoS-атаки нулевого дня
Определение "Zero-day" включает в себя все неизвестные или новые атаки, использующие уязвимости, для которых еще не выпущено исправление. Этот термин хорошо известен среди членов хакерского сообщества, где практика торговли уязвимостями нулевого дня стала популярным занятием.
Мотивация DDoS-атак
DDoS-атаки быстро становятся самым распространенным видом киберугроз, их количество и объем за последний год стремительно выросли, согласно последним исследованиям рынка. Наблюдается тенденция к сокращению продолжительности атак, но увеличению объема пакетов в секунду.
- Идеология - так называемые "хактивисты" используют DDoS-атаки как средство нападения на сайты, с которыми они идеологически не согласны.
- Деловая вражда - Предприятия могут использовать DDoS-атаки для стратегического уничтожения сайтов конкурентов, например, чтобы помешать им принять участие в значимом событии, таком как Киберпонедельник.
- Скука - кибер-вандалы, они же "скрипт-дети", используют заранее написанные сценарии для проведения DDoS-атак. Исполнителями этих атак обычно являются скучающие потенциальные хакеры, ищущие адреналина.
- Вымогательство - злоумышленники используют DDoS-атаки или угрозу DDoS-атак как средство вымогательства денег у своих целей.
- Кибервойна - могут использоваться как для разрушения сайтов оппозиции, так и инфраструктуры вражеской страны.