Виды DDoS-атак

Чем различаются DDoS-атаки

Сложность и вид DDoS-атак зависит от того, на какой уровень сети злоумышленник нападает и какие цели преследует. Классифицировать атаки можно разными способами, в том числе, с помощью сетевой модели OSI, которая состоит из 7 уровней.

Чаще всего злоумышленники атакуют L7 (уровень приложений), L4 (транспортный уровень) и L3 (сетевой уровень).

Какие есть виды DDoS-атак

DDoS-атаки бывают прикладными, протокольными и волюметрическими. Каждый вид нацелен на разные уровни модели OSI.

Прикладные атаки — на уровне приложений (L7)

Цель — перегрузить веб-сервер и вывести веб-приложение из строя. Атаки на уровне L7 выявить сложно, так как они чаще всего имитируют легитимный трафик.

➡️ HTTP Flood — злоумышленник забивает канал «сервер-клиент» множеством HTTP-запросов и возвращающихся обратно HTTP-ответов. Запросы при этом выбирает такие, чтобы ответ имел наибольший размер. Также большим количеством тяжелых POST-запросов злоумышленник может перегружать сервер, чтобы веб-приложение стало недоступным.

➡️ Slowloris (сессионная атака) — злоумышленник одновременно открывает большое количество HTTP-сессий и держит каждую из них в таком состоянии максимально долго. Это замедляет работу серверов или выводит их из строя — при этом легитимные запросы пользователей остаются без ответа.

➡️ SSL/TLS Flood — злоумышленник посылает на целевой сервер, защищенный с помощью SSL/TLS, большое количество нелегитимных запросов. В ответ веб-сервер тратит ресурсы на установление TLS-сессии, все это исчерпывает ресурсы сервера и он отказывает в обслуживании легитимным пользователям. Проверка шифрованных SSL/TLS-пакетов занимает много времени, что дополнительно перегружает сервер.

Протокольные атаки — на уровне сети (L3/L4)

Цель — израсходовать ресурсы сетевого оборудования, участвующего в обработке пакетов данных. Хакер отправляет на сервер вредоносные пакеты и не дает обрабатывать пакеты легитимных пользователей.

➡️ TCP SYN Flood — злоумышленник отправляет множество фальшивых SYN-пакетов (начальный шаг для установления TCP-соединения) на целевой сервер. Происходит перегрузка сервера — все его ресурсы обрабатывают полуоткрытые нелегитимные соединения, а легитимные пользователи не могут установить соединение с сервером.

➡️ TearDrop Attack (атака фрагментированными пакетами) — злоумышленник посылает на сервер жертвы фрагментированные пакеты с данными, в которых передаются по частям большие файлы. Серверу при получении нужно собрать несколько пакетов в один файл. Однако злоумышленник делает так, чтобы пакеты некорректно сместились и сервер не мог разобраться, в какой последовательности их нужно соединить. Сервер тратит много ресурсов, пытаясь пересобрать файл, и теряет возможность обслуживать легитимную нагрузку.

➡️ Smurf Attack — злоумышленник, меняя IP-адрес отправителя на адрес жертвы, посылает запросы множеству устройств сети. Получая такой запрос, устройства отвечают поддельному отправителю и создают большой входящий трафик на IP-адрес жертвы.

Волюметрические (объемные) атаки — на уровне сети (L3/L4)

Цель — истощить пропускную способность канала связи нелегитимными запросами.

➡️ UDP Flood — злоумышленник с разных IP-адресов перегружает канал передачи данных вредоносными UDP-пакетами. Сервер не успевает обрабатывать легитимные запросы из-за большого количества атакующих пакетов и становится недоступным для пользователей.

➡️ ICMP Flood — злоумышленник перегружает сервер поддельными ICMP-пакетами, которые чаще всего, используются не для передачи данных, а для передачи сообщений об ошибках. Когда сервер получает запрос в виде ICMP-пакета, он обязан дать эхо-ответ на запрос, показав, что с ним всё в порядке — это забивает канал связи.

➡️ DNS Amplification — злоумышленник отправляет на DNS-сервер жертвы большое количество DNS-запросов, используя публичные DNS-резолверы с некорректной настройкой. Такие запросы требуют объемных ответов, которые направляются на IP-адрес жертвы — это перегружает сервер жертвы и делает его недоступным.

Зачем нужен NGENIX DDoS Protection

Сервис DDoS Protection анализирует запросы пользователей на уровне приложения (L7) модели OSI и блокирует нежелательный трафик. Он нужен для обеспечения непрерывной работы веб-ресурса при DDoS-атаках.

Подробнее о сервисе читайте в документации.

DDoS Protection можно использовать вместе с сервисом управления правилами обработки запросов Edge Logic Rules.

Как NGENIX Edge Logic Rules помогает защититься от ботов и DDoS-атак 

NGENIX Edge Logic Rules (ELR) — сервис управления правилами обработки запросов. Он предназначен для клиентов, которые хотят защищаться от ботов, блокировать запросы по конкретным признакам и их комбинациям.

Сервис NGENIX Edge Logic Rules помогает:

• бороться с ботами без использования CAPTCHA;
• блокировать нелегитимные запросы по заданному критерию: например, по местоположению, типу устройства, IP-адресу;
• блокировать запросы, которые используют VPN, PROXY, TOR для сокрытия IP-адреса.

Подробнее о сервисе читайте в документации.