Атаки с целью вызвать распределенный отказ в обслуживании (DDoS) могут быть направлены на разные уровни информационно-вычислительной системы. Чаще всего многопоточным нападениям подвергается сетевой уровень: хакеры пользуются уязвимостями протоколов, чтобы перегрузить канал и вывести устройство-жертву из строя.
В статье мы кратко расскажем о самых распространенных видах DDoS-атак, нацеленных на переполнение полосы пропускания за счет уязвимых мест в таких протоколах, как UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) и TCP (Transmission Control Protocol).
UDP-амплификация
Этот вид атаки строится на подмене IP-адреса источника, пославшего запрос к DNS-серверу. Для этого хакер использует слабость UDP-протокола: отсутствие установки соединения как такового и проверки IP-адресов, в частности. Это позволяет хакеру указывать в качестве источника фальшивый адрес — в данном случае, IP-адрес ресурса-жертвы. В результате, получив запрос, DNS-сервер посылает ответ на тот айпи, который был указан в заголовке. Амплификация означает, что этот ответ будет в разы превышать объемом изначальный UDP-запрос, будет «усиленным». Например, содержать в себе данные обо всех DNS-записях в конкретной зоне. Таким образом, жертва начнет получать от множества DNS-серверов пакеты данных, которые не запрашивала, и ее канал будет перегружен.
Проще говоря, хакер «провоцирует» доменные серверы, отправляя большое количество UDP-запросов с измененным IP-адресом, а те, ничего не подозревая, отвечают на них, тем самым вызывая DDoS там, куда отправляют ответ.
ICMP-flood
Суть объемных атак (флуда) заключается в отправке огромного числа запросов к одному серверу, в результате чего полоса пропускания заполняется, и он перестает отвечать. ICMP-флуд основан на уязвимости интернет-протокола ICMP, по которому обычно сетевые устройства отправляют сообщения об ошибках. Злоумышленник формирует поддельные ICMP-пакеты и посылает их жертве с различных IP-адресов, используя ботнет (сеть зараженных устройств). Проблема в том, что работа этого протокола ведется в одном направлении и не предусматривает аутентификации, не требует подтверждения о получении. Из-за этого ICMP-флуд очень сложно отделить от легитимного ICMP-трафика.
Зачастую такие DDoS-атаки проводятся для сбора информации о сервере-жертве (например, об открытых портах). В дальнейшем она используется для точечного нападения по скомпрометированному компоненту системы.
SYN-flood
Атака методом SYN-флуда осуществляется за счет уязвимости в процессе установки TCP-соединения. По стандарту должен выполниться алгоритм «трехшагового рукопожатия»: клиент посылает SYN-запрос, сервер отвечает пакетом SYN+ACK, на что источник отправляет в ответ ACK-пакет. После этого устанавливается подключение. Но при атаке последнего шага не происходит.
Злоумышленник формирует SYN-запрос на открытие новой сессии и отправляет его серверу-жертве. Тот реагирует и ожидает ответного пакета данных для подтверждения соединения, но он не поступает. И этот процесс повторяется множество раз на большой скорости. В результате открытые соединения на сервере выстраиваются в очередь, забивая табличную память и критически снижая производительность.
Защита от DDoS на хостинге
Защититься от DDoS-атак полностью нельзя, но нужно к этому стремиться и использовать все доступные инструменты. Особенно это касается хостинга. Оборудование вашего провайдера должно быть защищено хотя бы от самых распространенных видов сетевого флуда. Например, в ИХЦ DDoS-защита от всех перечисленных выше атак предоставляется бесплатно на всех тарифах, включая виртуальный хостинг.
Заключение
DDoS-атаки являются огромной проблемой для онлайн-бизнеса любой направленности и любого масштаба. Подвергнуться им может кто угодно. Они проводятся не только с целью финансовой выгоды, но и ради выражения протеста социального или политического характера, личной мести, развлечения. Мы рекомендуем озаботиться вопросом безопасности прямо сейчас, если вы до сих пор этого не сделали.
Интернет Хостинг Центр — платный хостинг для проектов любой сложности. Защита от DDoS-атак на каждом тарифе! 🔒
#хостингдлясайта #sslсертификат #https #сайтостроение #сайтподключ #разработкавеб-сайтов #хостинг #vpsсервер #vdsсервер #серверноеадминистрирование
