Атака

DoS-атаки с использованием пакетов UDP: на порты усиливающей сети отправляется большое количество UDP-пакетов, в которых в качестве адреса отправителя указывается адрес сервера-жертвы, в результате чего он оказывается вынужден сконцентрироваться на обработке большого количества поддельных пакетов.

Один из вариантов UDP-флуда, DoS-атака на серверы, использующие протокол NTP (Network Time Protocol), применяемый для синхронизации внутренних часов компьютеров. Чрезмерная нагрузка на NTP-сервер создается путем отправки множества поддельных NTP-запросов с большого количества разных IP-адресов.

Разновидность атак с усилением, эксплуатирующая особенности системы Memcached, часто используемой для кэширования данных в оперативной памяти, чтобы ускорить работу веб-сайтов. Атаки основаны на создании большого объема поддельных запросов к выбранному в качестве жертвы серверу Memcached, в результате чего чрезмерная нагрузка парализует его работу.

Разновидность атак, основанных на уязвимостях протокола MC-SQLR, используемого при отправке запросов к Microsoft SQL Server. Переполнение имеющейся у атакуемого узла полосы пропускания достигается в результате получения от множества общедоступных SQL-серверов (в том числе размещенных у сервис-провайдеров и поставщиков облаков) списков всех хранимых на них экземпляров баз данных вместе с информацией о том, как к этим экземплярам подключиться. Эти данные отправляются в ответ на поток сфальсифицированных скриптовых запросов к SQL-серверам, содержащих IP-адрес атакуемого узла.

Разновидность DDoS-атак транспортного уровня с усилением, аналогичная NTP-амплификации. Она эксплуатирует уязвимости «древнего» протокола генератора символов CharGEN и выполняется путем отправки небольших пакетов с поддельным IP-адресом жертвы на устройства, поддерживающие CharGEN (принтеры, копиры и пр.). Ответы от этих устройств отправляются в виде UDP-пакетов на порт 19 сервера-жертвы, который тратит чрезмерный объем ресурсов, пытаясь их обработать.

Разновидность DDoS-атак, эксплуатирующая уязвимости протокола управления сетью SNMP и напоминающая атаки DNS-амплификации: используя поддельный IP-адрес жертвы, злоумышленник отправляет большое количество SNMP-запросов GetBulk с установленным на максимум (2250) значением поля «наибольшее число повторений» на многочисленные подключенные устройства, которые отправляют потоки ответов в атакуемую сеть до тех пор, пока она не выйдет из строя. Объем потоков может достигать сотен гигабит в секунду. Атаки этого типа обладают большой разрушительной силой.

Разновидность DoS-атак, эксплуатирующих уязвимости протокола SIP (Session Initiation Protocol), который используется в сервисах VoIP и приложениях IP-телефонии: чрезмерная нагрузка на атакуемый SIP-сервер обеспечивается путем отправки на него потока сообщений с заведомо некорректными данными. Основной результат таких атак — нарушение нормальной работы голосовых сервисов.

Разновидность DoS-атак, реализуемая на уровне TCP-протокола: в ходе атаки на узел-жертву создается чрезмерная нагрузка путем отправки большого числа SYN-сегментов TCP (как правило, узел способен одновременно обрабатывать не больше нескольких тысяч таких сегментов). Такие атаки отличаются высокой эффективностью.

Вид атак, реализуемых с участием действующего в своих интересах посредника: в информационный обмен между двумя сторонами «вклинивается» третий участник, который получает несанкционированный доступ к трафику и может производить с ним практически любые действия, стремясь при этом оставаться незамеченным, чтобы не вызвать подозрений в нарушении конфиденциальности и целостности трафика у основных сторон диалога.

Разновидность DoS-атак, использующая особенности протокола IP: на сервер-жертву отправляется большой поток пакетов с нулевым значением поля «Protocol» (обычно в этом поле содержится код протокола транспортного уровня, исключение составляют пакеты IPv6), в результате сервер вынужден тратить ресурсы на то, чтобы корректно обработать эти пакеты.

Этот вид DoS-атак с усилением использует специфику работы служб DNS: к имеющему уязвимость серверу DNS отправляется поддельный запрос о домене, а его ответ, имеющий значительный размер, высылается серверу-жертве, в результате его канал переполняется ответами. Этот вид атак отличается тем, что распознать, откуда отправляются поддельные запросы, почти невозможно.

DDoS-атака фрагментированными пакетами со смещением, основанная на использовании уязвимости стека протоколов TCP/IP. Воздействие осуществляется путем отправки множества фрагментированных пакетов на сервер жертвы, который безуспешно пытается их обработать, тратя на это чрезмерное количество ресурсов.

Разновидность DoS-атак, один из вариантов UDP-флуда, реализуется путем отправки большого количества поддельных VoIP-пакетов с широкого диапазона IP-адресов на сервер IP-телефонии, как правило, обслуживающий call-центр, в результате сервер вынужден тратить чрезмерный объем ресурсов на обработку поддельных запросов. Выявление VoIP-флуда весьма затруднительно в силу особенностей протокола UDP.