База знаний

А Р C D H I M N P S T U V

UDP-флуд

Сетевая DoS-атака путем отправки множества UDP-пакетов на порты удаленного хоста, в результате чего трафик забивается мусорными сообщениями.

Smurf атака

Разновидность DoS-атак с усилением, реализуемые с использованием широковещательных сетевых рассылок (эти возможности предоставляют многие сетевые протоколы): по адресам таких рассылок отправляются запросы IСМР Echo, в которых в качестве источника указан адрес узла-жертвы. Чрезмерная нагрузка на него становится результатом массовой отправки ответов от узлов сети, предоставляющей сервис широковещательной рассылки.

Teardrop Attack

DDoS-атака фрагментированными пакетами со смещением, основанная на использовании уязвимости стека протоколов TCP/IP. Воздействие осуществляется путем отправки множества фрагментированных пакетов на сервер жертвы, который безуспешно пытается их обработать, тратя на это чрезмерное количество ресурсов.

ICMP-флуд

DoS-атака на сервер-жертву путем отправки мощного потока поддельных ICMP-пакетов с множества IP-адресов, в результате чего сервер тратит чрезмерное количество ресурсов на их обработку.

ping-флуд

Тип DoS-атак на сетевое оборудование, разновидность ICMP-флуда, осуществляемая с использованием программ и утилит (таких, как диагностическая утилита ping), которые входят в состав настольных версий операционных систем: сервер-жертва перегружается ping-запросами (ICMP Echo Request), что приводит к его отказу в обслуживании.

Атаки фрагментированными IP-пакетами

DoS-атаки, основанные на фрагментации IP-адресов. Типичная атака этого рода реализуется путем отправки таких датаграмм, которые узел-жертва заведомо не сможет собрать, но потратит чрезмерно много ресурсов, что резко снизит его производительность.

Флуд SYN/ACK

Разновидность DoS-атак на серверы TCP путем отправки жертве мощного потока поддельных пакетов с одновременно установленными флагами SYN и ACK, что приводит к чрезмерной нагрузке на сервер.

Флуд RST/FIN

DoS-атаки на TCP-серверы, эксплуатирующие уязвимости при закрытии сессии TCP-SYN: чрезмерная нагрузка на атакуемый сервер создается путем отправки потока поддельных пакетов RST или FIN.

Slowloris, или сессионные атаки

Разновидность DoS-атак на потоковые веб-серверы: злоумышленник пытается открыть много HTTP-соединений с атакуемым веб-сервером и держать их как можно дольше, отправляя частичные запросы и заголовки HTTP, при этом запросы никогда полностью не завершаются. Сервер держит соединения открытыми, в результате его пул параллельных соединений исчерпывается, и сервер отказывает клиентам в подключении.

HTTP-флуд

Разновидность DoS-атак на веб-серверы с использованием ботов, отправляющих множество HTTP-запросов GET на получение максимально больших элементов сайта, что приводит сильной загруженности сервера и его неспособности обрабатывать другие запросы. Кроме GET-запросов сходные результаты могут дать также POST-запросы или некоторые другие HTTP-действия. Такие атаки нередко бывают эффективными, поскольку не требуют использования большого количества ботов.

Рекурсивный флуд HTTP GET (Recursive HTTP GET Flood)

Разновидность DoS-атак, один из вариантов HTTP-флуда, основанный на запросе злоумышленником нескольких страниц с сайта, анализе полученных ответов и следующим за этим рекурсивном запросе каждого объекта сайта. Поскольку созданные таким образом рекурсивные запросы похожи на легитимные, применение этого метода делает атаку гораздо менее заметной.

VoIP-флуд

Разновидность DoS-атак, один из вариантов UDP-флуда, реализуется путем отправки большого количества поддельных VoIP-пакетов с широкого диапазона IP-адресов на сервер IP-телефонии, как правило, обслуживающий call-центр, в результате сервер вынужден тратить чрезмерный объем ресурсов на обработку поддельных запросов. Выявление VoIP-флуда весьма затруднительно в силу особенностей протокола UDP.

NTP-флуд

Один из вариантов UDP-флуда, DoS-атака на серверы, использующие протокол NTP (Network Time Protocol), применяемый для синхронизации внутренних часов компьютеров. Чрезмерная нагрузка на NTP-сервер создается путем отправки множества поддельных NTP-запросов с большого количества разных IP-адресов.

DNS-амплификация (DNS Amplification)

Этот вид DoS-атак с усилением использует специфику работы служб DNS: к имеющему уязвимость серверу DNS отправляется поддельный запрос о домене, а его ответ, имеющий значительный размер, высылается серверу-жертве, в результате его канал переполняется ответами. Этот вид атак отличается тем, что распознать, откуда отправляются поддельные запросы, почти невозможно.

Атака IP Null

Разновидность DoS-атак, использующая особенности протокола IP: на сервер-жертву отправляется большой поток пакетов с нулевым значением поля «Protocol» (обычно в этом поле содержится код протокола транспортного уровня, исключение составляют пакеты IPv6), в результате сервер вынужден тратить ресурсы на то, чтобы корректно обработать эти пакеты.

UDP-флуд

DoS-атаки с использованием пакетов UDP: на порты усиливающей сети отправляется большое количество UDP-пакетов, в которых в качестве адреса отправителя указывается адрес сервера-жертвы, в результате чего он оказывается вынужден сконцентрироваться на обработке большого количества поддельных пакетов.

Атака MITM (Man in the middle), или «человек посередине», или атака посредника

Вид атак, реализуемых с участием действующего в своих интересах посредника: в информационный обмен между двумя сторонами «вклинивается» третий участник, который получает несанкционированный доступ к трафику и может производить с ним практически любые действия, стремясь при этом оставаться незамеченным, чтобы не вызвать подозрений в нарушении конфиденциальности и целостности трафика у основных сторон диалога.

SYN-флуд, или SYN-атака

Разновидность DoS-атак, реализуемая на уровне TCP-протокола: в ходе атаки на узел-жертву создается чрезмерная нагрузка путем отправки большого числа SYN-сегментов TCP (как правило, узел способен одновременно обрабатывать не больше нескольких тысяч таких сегментов). Такие атаки отличаются высокой эффективностью.

Атака SIP Malformed

Разновидность DoS-атак, эксплуатирующих уязвимости протокола SIP (Session Initiation Protocol), который используется в сервисах VoIP и приложениях IP-телефонии: чрезмерная нагрузка на атакуемый SIP-сервер обеспечивается путем отправки на него потока сообщений с заведомо некорректными данными. Основной результат таких атак — нарушение нормальной работы голосовых сервисов.

Атака SNMP Reflection

Разновидность DDoS-атак, эксплуатирующая уязвимости протокола управления сетью SNMP и напоминающая атаки DNS-амплификации: используя поддельный IP-адрес жертвы, злоумышленник отправляет большое количество SNMP-запросов GetBulk с установленным на максимум (2250) значением поля «наибольшее число повторений» на многочисленные подключенные устройства, которые отправляют потоки ответов в атакуемую сеть до тех пор, пока она не выйдет из строя. Объем потоков может достигать сотен гигабит в секунду. Атаки этого типа обладают большой разрушительной силой.

CharGEN-флуд

Разновидность DDoS-атак транспортного уровня с усилением, аналогичная NTP-амплификации. Она эксплуатирует уязвимости «древнего» протокола генератора символов CharGEN и выполняется путем отправки небольших пакетов с поддельным IP-адресом жертвы на устройства, поддерживающие CharGEN (принтеры, копиры и пр.). Ответы от этих устройств отправляются в виде UDP-пакетов на порт 19 сервера-жертвы, который тратит чрезмерный объем ресурсов, пытаясь их обработать.

MS SQL DDoS-атака с отражением

Разновидность атак, основанных на уязвимостях протокола MC-SQLR, используемого при отправке запросов к Microsoft SQL Server. Переполнение имеющейся у атакуемого узла полосы пропускания достигается в результате получения от множества общедоступных SQL-серверов (в том числе размещенных у сервис-провайдеров и поставщиков облаков) списков всех хранимых на них экземпляров баз данных вместе с информацией о том, как к этим экземплярам подключиться. Эти данные отправляются в ответ на поток сфальсифицированных скриптовых запросов к SQL-серверам, содержащих IP-адрес атакуемого узла.

Memcached DDoS-атака

Разновидность атак с усилением, эксплуатирующая особенности системы Memcached, часто используемой для кэширования данных в оперативной памяти, чтобы ускорить работу веб-сайтов. Атаки основаны на создании большого объема поддельных запросов к выбранному в качестве жертвы серверу Memcached, в результате чего чрезмерная нагрузка парализует его работу.