Классификация Ddos атак и методы защиты от них

Статья на тему: Классификация Ddos атак и методы защиты от них

Аннотация: В статье приведены типовые виды DDoS атак, их статистика, а также методы защиты и профилактики

Ключевые слова: DDoS атака, флуд, классификация DDoS атак, методика защиты от DDoS атак.

Введение

DDoS-атака (от англ. Distributed Denial of Service - Распределённый

отказ от обслуживания) — множественная DoS-атака, осуществляемая из нескольких источников, в следствие которой атакуемый сервер перестает отвечать на легитимные запросы от пользователей.

Первая официально зарегистрированная DDoS атака произошла в 1996, когда спаммерами был атакован крупнейший интернет провайдер Нью-Йорка Panix Networks, а уже через 3 года атакам подверглись крупнейшие интернет сервисы, такие как Amazon, Yahoo, CNN, eBay и E-Trade. В 2003 году уже в России был атакован крупнейший хостинг – MasterHost.

Согласно исследованиям лаборатории Касперского в первом квартале 2022 года количество DDoS атак увеличилось в восемь раз по сравнению на тот же период 2021 года, а в марте 2022 года средняя продолжительность атак составила 29,5 часов, что в сравнении с мартом 2021 года, когда средняя длительность составляла не более 12 минут, больше в 147 раз.

1. Типы DDoS атак и их направленность.

1.1 Типы DDoS атак

SYN flood.  Данная атака является возможной из-за отличительной черты стека протоколов TCP\IP, то есть на необходимости установки TCP соединения и основывается на попытке одновременного запуска большого количества таких соединения. Принцип работы выглядит так: клиентом отправляется пакет SYN. Сервер отвечает пакетом SYN-ACK. Клиент подтверждает принятие пакета SYN-ACK пакетом ACK. Злоумышленник одновременно направляет на сервер множество SYN пакетов с несуществующим обратным адресом. В результате множественных попыток сервера отправить ACK-пакет на недоступный адрес он ставит неустановленное соединение в очередь. Поскольку поток таких пакетов большой – очередь оказывается заполненной, и ядро отказывает в попытках открыть новое соединение и ядро отказывает в попытках открыть новое соединение.

ICMP flood. Вид атаки, которая основывается на отправлении злоумышленником по широковещательному адресу поддельного ICMP пакета, в котором IP адрес атакующего заменяется адресом жертвы.

UDP flood. Особенностью данного вида атаки является отсутствие необходимости в установлении сессии и отправки какого-либо ответа. На порты сервера приходит огромное количество пакетов, принуждая постоянно проверять, слушает ли данный порт какое-то приложение, и в случае ошибки возвращать пакет «ICMP Destination Unreachable» в результате чего поглощаются все ресурсы сервера, что приводит к его недоступности. HTTP flood. Атакующий посылает незначительные по размеру HTTP-пакеты, чем заставляет сервер отвечать пакетами, размер которых значительно больше. Помимо этого атакующим могут подменяться адреса источника, вследствие чего, ответные пакеты не будут вызывать отказ в обслуживании атакующего узла. Тем самым злоумышленник имеет большой шанс насытить полосу пропускания жертвы и вызвать отказ в работе сервисов.

Атаки, основанные на отражении и усилении трафика. Эти атаки основываются на протоколе UDP, который активно используется многими  интернет-сервисами, в частности DNS (Domain Name Service) и NTP

(Network Time Protocol).

Отражение трафика достигается отправкой на серверы, в качестве которых могут выступать DNS и NTP – серверы либо пользовательские устройства, запроса, где IP адреса источника подменяются на IP адрес жертвы. Эффект усиления достигается за счет того, что генерируются запросы малых размеров, ответы на которые по объему значительно больше, что позволяет злоумышленникам совершать массированные атаки, не имея в своем распоряжении большого количества ресурсов.

Slow HTTP Post. Атака заключается в отправке серверу большого HTTP POST-запроса частями по одному байту. По стандарту HTTP-сервер должен дождаться полной передачи данных (получив содержимое размером 1 байт) и может закрывать соединение только по таймауту, что приводит к большому количеству открытых соединений и как следствие — к перегрузке сервера. Slow HTTP headers. Эта атака аналогична методу Slow HTTP Post,

только вместо пост-запроса используется медленная отправка заголовка HTTP.

Фальшивые Googlebots. Особенностью данной атаки является использование ботов, маскирующихся под Googlebots — роботов поисковой системы Google, которые отслеживают появление и обновление web-страниц для индексации сайтов в поисковых системах.