Добавить в корзинуПозвонить
Найти в Дзене
IT технологии

Типы DDoS-атак

3 мин
DDoS-атаки (Distributed Denial of Service — распределённая атака отказа в обслуживании) — это тип кибератак, в ходе которых злоумышленники стремятся сделать приложение, службу или сетевой ресурс недоступными для законных пользователей, переполняя систему вводом трафика, запросов или состояний соединений. В DDoS-атаках вредоносный трафик исходит одновременно от множества источников — чаще всего от сетей заражённых устройств (ботнетов), что усложняет блокировку атакующего трафика. (источник https://stormwall.pro/resources/blog/ddos-ataka-kak-zashchititsya) Атаки DoS/DDoS чаще всего направлены на угрозу доступности сервисов, а не на нарушение конфиденциальности, и могут использоваться в сочетании с другими вредоносными действиями (например, как отвлекающий манёвр). Современные атаки DDoS обычно нацелены на разные уровни сетевой и прикладной модели, и для каждого типа требуются специфические меры защиты: Целью этих атак является перегрузка пропускной способности сети или инфраструктуры пут
Оглавление

DDoS-атаки (Distributed Denial of Service — распределённая атака отказа в обслуживании) — это тип кибератак, в ходе которых злоумышленники стремятся сделать приложение, службу или сетевой ресурс недоступными для законных пользователей, переполняя систему вводом трафика, запросов или состояний соединений. В DDoS-атаках вредоносный трафик исходит одновременно от множества источников — чаще всего от сетей заражённых устройств (ботнетов), что усложняет блокировку атакующего трафика. (источник https://stormwall.pro/resources/blog/ddos-ataka-kak-zashchititsya)

Атаки DoS/DDoS чаще всего направлены на угрозу доступности сервисов, а не на нарушение конфиденциальности, и могут использоваться в сочетании с другими вредоносными действиями (например, как отвлекающий манёвр).

Основные категории DDoS-атак

Современные атаки DDoS обычно нацелены на разные уровни сетевой и прикладной модели, и для каждого типа требуются специфические меры защиты:

1. Объёмные атаки (Volumetric Attacks)

Целью этих атак является перегрузка пропускной способности сети или инфраструктуры путём отправки большого объёма трафика, который превышает способность сети обрабатывать легитимные запросы. Частые примеры:

  • UDP-флуды — отправка большого количества UDP-пакетов на случайные или конкретные порты, заставляющая систему обрабатывать каждый пакет, что перегружает ресурсы.
  • ICMP-флуды — массовая отправка эхо-запросов (ping), истощающая сетевую пропускную способность.
  • HTTP-флуды — многочисленные запросы к веб-серверам, заставляющие их тратить ресурсы на обработку, что делает их недоступными для нормальных пользователей.

2. Протокольные атаки (Protocol Attacks)

Эти методы атакуют уязвимости в сетевых протоколах или механизмах управления соединениями, стремясь исчерпать доступные ресурсы, такие как таблицы соединений или ресурсы обработки:

  • SYN-флуды — злоумышленник отправляет множество TCP SYN-пакетов для установки соединения, но не завершает рукопожатие, что приводит к заполнению таблиц полузакрытых соединений на сервере.
  • Атаки на истощение состояний TLS/SSL — создание большого числа запросов на установление защищённых соединений, что истощает CPU или память на стороне сервера.

3. Атаки на уровне приложений (L7 / Application Layer Attacks)

Этот тип атак направлен на конкретные прикладные сервисы (например, веб-приложения или API) путём имитации легитимных, но ресурсоёмких запросов:

  • HTTP-атаки — отправка большого числа сложных HTTP-запросов, исчерпывающих ресурсы веб-серверов и баз данных.
  • API-злоупотребления — частые или массовые запросы к API-эндпоинтам с целью исчерпания сессий или ресурсов приложения.
  • Такие атаки особенно сложны для обнаружения, поскольку трафик может выглядеть как легитимный HTTP-трафик.

Как злоумышленники осуществляют DDoS-атаки

Современные DDoS-кампании часто используют сетевые ботнеты, заражённые IoT-устройства, компьютеры и прокси-сервера, чтобы распространить источник трафика по множеству IP-адресов.

Усиление (Amplification)

Некоторые объёмные атаки достигают особенно большого воздействия за счёт механизма усиления: злоумышленник отправляет небольшие запросы на публичные серверы (например, DNS-серверы), подставив IP-адрес жертвы как исходный. В ответ мощные серверы отправляют более крупные пакеты жертве, что создаёт огромный поток трафика за небольшую затрату ресурсов атакующего.

Классификация по уровням атаки

DDoS-атаки можно разбить по уровням OSI:

  • Сетевой/транспортный уровень (L3/L4): объёмные и протокольные атаки, которые перегружают пропускную способность или истощают сетевые состояния.
  • Сессионный уровень (L4): атаки, направленные на истощение таблиц подключений или ресурсов управления соединениями.
  • Прикладной уровень (L7): высокоуровневые запросы, имитирующие легитимное поведение, но истощающие ресурсы приложений.

Основные признаки и механизмы DDoS-атак

Атаки DDoS обычно включают:

  • Массовый трафик или запросы от множества узлов сети.
  • Искажение/подмену источника IP, чтобы затруднить блокировку.
  • Использование множества техник одновременно, например, объёмных UDP-флудов + HTTP-флудов, чтобы затруднить фильтрацию.

Различие между DoS и DDoS

  • DoS (Denial of Service) атакует систему с одного или нескольких источников, что делает атаку относительно проще обнаружить и заблокировать.
  • DDoS использует множество источников трафика, часто распределённых по географии и сетям, что делает блокировку гораздо сложнее.

Эксперты в области защиты от DDoS в России https://stormwall.pro/