Виды DDoS-атак: краткий гайд от StormWall 

Выстраивать защиту от DDoS-атак без понимания их сути — всё равно что лечить болезнь по симптомам, не зная диагноза. Эксперты уверены: «здоровая» инфраструктура начинается с точного определения типа, цели и механизма угрозы. 

В этой статье мы разберём: какие виды DDoS-атак актуальны сегодня, как их отличить друг от друга и зачем нужно разбираться в разных подходах к классификации атак.

Виды DDoS, классификации и подходы

Чаще всего, описывая разные типы DDoS-атак, специалисты выделяют три основных критерия: 

  • на какой уровень сетевой инфраструктуры нацелены злоумышленники, 
  • какие протоколы используются, 
  • каким образом достигается результат. 

На основе этих параметров строятся основные классификации DDoS-атак. Давайте разберём их подробнее: 

1. Классификация DDoS-атак по уровням OSI

В большинстве случаев DDoS-атаки разделяют по уровням эталонной сетевой модели OSI (Open Systems Interconnection, взаимодействие открытых систем). Это одна из базовых и наиболее понятных для ИТ- и ИБ-специалистов классификаций.

Модель OSI делит все сетевые устройства и процессы, которые происходят при обмене данными между разными сетевыми протоколами, на 7 уровней — L1-L7. Уровни описаны очень детально, и их сложно перепутать. Благодаря этому специалисты могут всегда быстро определить, к какой части взаимодействия относится тот или иной объект, процесс или проблема в сети.

Какие уровни OSI затрагивают DDoS-атаки?

1. Сетевой уровень (L3)

На этом уровне злоумышленники стремятся перегрузить каналы связи и сетевое оборудование. Как правило, это мощные DDoS-атаки, которые могут достигать нескольких миллионов и даже миллиардов пакетов в секунду.

Часто киберпреступники используют сетевые атаки в качестве инструмента «грубой силы» — для быстрых и эффективных ударов, способных надолго вывести ресурсы жертвы из строя. Также L3-атаки могут применяться для отвлечения внимания — в качестве «дымовой завесы», прикрытия для других киберпреступлений.

Наиболее актуальные виды DDoS-атак на этом уровне: 

  • ICMP-флуд — массовая отправка ICMP-запросов к целевому ресурсу,
  • Smurf-атака — тот же сценарий, но с усилением и подменой адреса отправителя,
  • IP Fragmentation Flood — отправка огромного количества IP-фрагментированных пакетов.

Читайте также: Как защитить сеть от DDoS-атак

2. Транспортный уровень (L4)

На транспортном уровне целью атаки становится уже не канал связи, а конкретный сервис. Злоумышленники перегружают TCP/UDP-стек, создавая тысячи «полуоткрытых» соединений или поток UDP-пакетов. 

Такие DDoS-атаки часто применяют против VPN и VoIP. Стабильность их работы зависит именно от количества активных сессий.

Примеры DDoS-атак L4: 

  • SYN-флуд — массовая отправка большого числа SYN-пакетов, при которой TCP-сессия остаётся открытой,
  • ACK-флуд — подобная атака, но с использованием ACK-пакетов,
  • RST-флуд — с потоком RST-запросов,
  • Атака на TCP исчерпанием сессий,
  • UDP-флуд — отправка UDP-пакетов на порты жертвы.

3. Сессионный уровень (L5)

Хотя многие DDoS-атаки на управление сессиями зачастую относят к L4 или L7, в модели OSI за установление, поддержание и разрыв соединений отвечает сеансовый уровень (L5). Целью злоумышленников здесь становится не просто перегрузка портов (L4), а нарушение логики сеансов связи, благодаря чему эффект от атаки достигается даже небольшим количеством трафика.

Примеры DDoS-атак, затрагивающих L5:

  • атака на TLS/SSL-рукопожатие — исчерпание вычислительных ресурсов сервера за счёт затратного процесса установления безопасного соединения,
  • атака на PPPoE-сессии — перегрузка оборудования широкополосного доступа (BRAS) путём создания огромного количества фейковых сессий,
  • атаки на протоколы управления сеансами (например, в VoIP-инфраструктурах) — нарушение работы сервисов телефонии путём сброса или подмены легитимных сессий.

4. Прикладной уровень (L7)

В этом случае злоумышленники атакуют ресурсы на уровне приложений. Это самые сложные для обнаружения атаки, поскольку они имитируют поведение реальных пользователей. Максимальный ущерб получают компании, для которых сайт или приложение — основной канал продаж или коммуникации с клиентами. Часто такие атаки комбинируют с L3/L4-флудом.

Самые распространённые DDoS-атаки седьмого уровня:

  • HTTP-флуд — множественные HTTP-запросы к веб-страницам,
  • Slowloris — отправка неполных HTTP-запросов с целью перегрузки потоковых веб-серверов,
  • DNS-флуд — массовые запросы к DNS-серверам,
  • DNS-амплификация и другие атаки с усилением, использующие специфику работы разных служб прикладного уровня.

Почему важно понимать, на каком уровне проходит DDoS-атака? Если вы знаете, на какую часть инфраструктуры нацелены злоумышленники, то сможете быстрее отреагировать на угрозу и подключить нужных специалистов из своей команды.

Например, при атаках на L3-L4 лучше привлечь сетевого инженера — он поможет, если провайдеру защиты потребуются данные о нагрузке на маршрутизаторы и межсетевые экраны.

Если атакующие нацелены на уровень приложений (L7), то можно сразу обратиться к DevOps-инженерам и администраторам, которые обычно настраивают WAF (Web Application Firewall) на своей стороне и анализируют логи своего приложения.

Читайте также: Как защититься от DDoS-атак на уровне L7

2. Классификация DDoS-атак по протоколам

От используемого в атаке протокола напрямую зависит выбор правильной стратегии защиты. Классификация DDoS по этому критерию позволяет точно настроить механизмы фильтрации и применить соответствующие правила безопасности.

Актуальные виды DDoS-атак, основанные на нюансах работы отдельных протоколов:

  • ICMP: ICMP-флуд, Smurf-атака.
  • UDP: UDP-флуд, DNS-амплификация.
  • TCP: SYN-флуд, RST-флуд.
  • HTTP/HTTPS: HTTP GET/POST Flood, SSL Renegotiation.
  • NTP-, SSDP-, CLDAP-, Memcached- амплификации.

3. Классификация DDoS по механизму воздействия

В этой методологии уже не так важны конкретный протокол и уровень атаки. Основной критерий классификации DDoS здесь — каким образом достигается эффект. Чаще всего такой подход используют аналитики SOC, в том числе для того, чтобы смоделировать сценарий атаки и предложить наиболее эффективный метод защиты.

Например, объёмные виды DDoS злоумышленники выбирают тогда, когда у них есть ресурсы для генерации мощного трафика, который с большей вероятностью приведёт к переполнению каналов жертвы. Протокольные атаки нацелены на уязвимости сетевых протоколов и опасны даже при сравнительно небольших объёмах. Прикладные атаки используют чаще всего с привлечением ботнетов и для того, чтобы парализовать бизнес-логику и ресурсы приложения.

Примеры DDoS-атак по механизму воздействия:

  • объёмные: UDP-флуд, ICMP-флуд,
  • протокольные: SYN-флуд, смурф-атаки.
  • прикладные: HTTP-флуд, Slowloris, DNS Query Flood.

На практике злоумышленники всё чаще объединяют разные методы. Именно поэтому появляются DDoS-атаки, которые сложно уложить в классические схемы классификации. В их числе:

  • «зондирующие» DDoS-атаки. Они представляют собой «разведку боем» — небольшие всплески трафика помогают злоумышленнику обнаружить слабые места в защите жертвы. Часто их применяют перед масштабными ударами, чтобы выбрать оптимальный сценарий с максимальным ущербом для цели;
  • «ковровые бомбардировки». Вместо одного мощного удара нагрузка распределяется по множеству IP-адресов цели. В итоге на стороне жертвы возникают десятки мелких сбоев, которые сложно локализовать, а суммарный эффект зачастую оказывается разрушительнее, чем при других типах DDoS-атак;
  • многовекторные атаки. В этом случае злоумышленники применяют разные техники, атакуя по всем фронтам одновременно: от параллельных L3/L4-флудов до массированных L7-атак. Такой подход усложняет работу ИБ-команд и защитных систем: один вектор отвлекает внимание, пока на другой наносится основной удар.

В последние годы сложных DDoS-атак становится всё больше. На это указывают данные наших аналитиков и статистика по всему миру.

Резюмируем 

Каждая DDoS-атака, как и болезнь, имеет свою причину и механизм развития. Умение поставить точный и комплексный диагноз, учитывая все факторы, — это залог успешной защиты инфраструктуры от любых угроз. Понимание нюансов и пересечений между разными классификациями (уровень OSI, протокол, механизм воздействия) позволяет точнее настроить защиту. Именно поэтому важно, чтобы «лечение» ресурсов проходило не только своевременно, но и эффективно — с привлечением высококвалифицированных специалистов и самых надёжных решений anti-DDoS.

StormWall для сайта:
DDoS-защита для веб-приложений

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить