14 октября 2021
Различные типы DDoS-атак
Каждая компания в процессе развития сталкивается с новыми для себя угрозами. Сегодня существует множество типов DDoS-атак. Они различаются по способу проведения и характеристикам паразитного трафика, который генерируется ботнетами. Любой, даже самый небольшой бизнес может стать жертвой злоумышленников. Причин для DDoS-атак много: от охоты за ценной информацией до преднамеренного финансового ущерба или простой проверки надежности.
Самые актуальные угрозы
За последние несколько лет популярность облачной инфраструктуры подросла в несколько раз. Тысячи компаний по всему миру, от малого бизнеса до известных корпораций, полагаются на облачные сервисы. Они являются основной мишенью для хакеров, которые организуют атаки разного типа. Эти нападения выводят из строя серверы, посылая на них чрезмерный поток запросов. Ресурсы, не рассчитанные на высокую нагрузку, просто перестают работать. В результате пользователи теряют доступ к необходимым услугам. Помимо этого, DDoS-атаки используют уязвимости на уровне сетевых протоколов и приложений.
Киберпреступники в качестве источника атак, скрытно используют целые сети зараженных устройств. Часто их владельцы даже не подозревают, что их устройства и IP-адреса задействованы в атаке. IoT-устройства особенно хорошо подходят для таких целей. Их количество постоянно растет, но уровень безопасности остается на низком уровне. Почти половина всех DDoS-атак носит смешанный характер, но можно выделить три основные категории:
- Объемные атаки (flood), которые делают большое количество запросов к серверу. После чего, возникающий трафик до нескольких терабит в секунду переполняет всю пропускную способность сети, и вскоре система перестает отвечать на запросы.
- Протокольные атаки - это тип атаки, использующий уязвимости в сетевых протоколах, таких как TCP, UDP или ICMP. Они перегружают сеть точечными действиями.
- Атаки прикладного уровня. Они выводят из строя веб-серверы и приложения. Внешние запросы провоцируют большое количество внутренних запросов, что приводит к недоступности сервера.
Существует упрощенная классификация атак. Она основана на основных протоколах, используемых для передачи данных в Интернете. Чаще всего хакеры используют уязвимости протоколов Transmission Control Protocol (TCP) и User Datagram Protocol (UDP). Такая классификация помогает выявить тенденции. Специалисты по кибербезопасности могут увидеть, какие протоколы получают больше ложного трафика, а какие - меньше. Это позволяет корректировать стратегии защиты и облегчает работу над новыми алгоритмами фильтрации.
Фрагментированный UDP-флуд
Из-за высокой эффективности, некоторые методы представляют особый интерес для злоумышленников. К ним относятся различные типы флуда. Например, Fragmented UDP Flood с пакетами максимально допустимого размера. При использовании этого типа канал заполняется минимальным количеством фальсифицированных пакетов, которые не имеют ничего общего с реальными данными. Атакуемый сервер начинает резервировать ресурсы для восстановления несуществующих пакетов из фальшивых фрагментов.
В какой-то момент это приводит к исчерпанию системных ресурсов и, как следствие, падению сервера. Фрагментированную атаку UDP Flood сложно фильтровать.
Существует большой риск перегрузки канала. В свое время подобная атака была направлена на сервер MMORPG Albion Online, тогда хакеры правильно подобрали параметры пакетов и интенсивность их отправки. Это позволило им имитировать легитимный трафик.
TCP SYN Flood
Типичный пример из категории объемных атак. TCP SYN Flood эффективно использует уязвимости в стеке сетевых протоколов. Клиент генерирует SYN-пакет и запрашивает у сервера новую сессию. После чего, выполняется стандартный алгоритм "трехшагового рукопожатия" (TCP). Хост начинает отслеживать и обрабатывать каждую пользовательскую сессию до ее закрытия. Атакованный сервер получает SYN-запросы, содержащие поддельный IP-адрес источника, на высокой скорости. В результате TCP SYN Flood занимает всю табличную память Transmission Control Block (TCB). Она используется для хранения и обработки входящих пакетов. Это приводит к критическому снижению производительности и выходу из строя оборудования.
Подобным атакам подверглась крупнейшая платформа Amazon, итальянский сайт спортивных ставок Eurobet, а также несколько известных компаний в Южной Корее и Турции.
ICMP Flood
ICMP-пакеты не требуют подтверждения получения, поэтому их трудно отделить от вредоносного трафика. Хакеры пытаются наводнить канал поддельными ICMP-пакетами с большого количества IP-адресов. Они направляют на определенный сервер огромный поток запросов. ICMP Flood часто применяется для сбора предварительной информации о конкретном сервере. Открытые порты и адреса назначения используются для последующей целенаправленной атаки. В качестве защиты от ICMP Flood, может служить запрет ICMP на пограничных маршрутизаторах или специальные алгоритмы анализа трафика.