DDoS-атака
Distributed Denial of Service (DDoS) переводится как «распределенный отказ в обслуживании». Атака основана на ограничениях какой-нибудь службы — например, веб-сервера, когда количество запросов превышает возможности их обработки. Атакованный ресурс при этом становится недоступным, «подвисает» и т. п. Объекты DDoS-атак: интернет-магазины, крупные порталы, казино и другие организации, которые предоставляют услуги через интернет. Для таких компаний даже один час простоя грозит существенными убытками. Инициатора атаки определить трудно, так как запросы поступают с разных IP-адресов (например, из ботнета). Это могут быть хакерские группировки, которых наняли конкуренты, или злоумышленники, которые занимаются шантажом.
Существуют специализированные сайты, на которых можно заказать DDoS-атаку. Заказчик указывает объект, выбирает тарифный пакет и оплачивает услугу. Отследить клиента практически невозможно, поскольку информация о сделке шифруется, либо не сохраняется.
[text_with_btn btn=”Узнать больше” link=”https://itglobal.com/ru-ru/services/info-security/security-audit/”]Аудит информационной безопасности[/text_with_btn]Классификация
DDoS-атаки делятся на три типа в зависимости от уровня и типа воздействия на объект:
-
Исчерпание ресурсов
Клиента «засыпают» пакетами по выбранному протоколу (например, UDP или ICMP) на случайные порты. Сервер проверяет входящие данные и отправляет ответ на указанный номера порта. Если узел недоступен, то хост высылает ответное сообщение с пометкой «Узел недоступен». В итоге канал переполняется пакетами со случайно указанными номерами портов.
-
Использование особенностей протокола HTTP
Злоумышленник проводит предварительный анализ атакуемого объекта, просматривает запросы, которые направлены на базу данных, и выбирает наиболее «тяжелые» POST-запросы. Далее он отправляет пакет на целевой узел при помощи зараженных компьютеров (ботов). В итоге, хост «захлебывается» от одновременного количества пакетов, которые приходит к нему, и перестает отвечать.
-
Использование особенностей некоторых протоколов для создания очереди
Киберпреступник отправляет пакет SYN на конечную точку как проверочный тест на доступность. Сервер подтверждает получение и в ответ посылает запрос на синхронизацию. В этот момент злоумышленник не отправляет сообщение, поэтому сервер ставит полученный пакет в очередь, чтобы дождаться подтверждения. Одновременная отправка с множества IP-адресов приводит к переполнению буфера.