Типы DDoS-атак

За последние два десятилетия многие предприятия и правительства стали все больше беспокоиться о распространении различных типов DDoS-атак. Впервые сообщили в 1996 году., распределенные атаки типа «отказ в обслуживании» (DDoS) представляют собой ряд разрушительных и постоянно развивающихся киберугроз, которые нарушают работу электронных сетей, наводняя их трафиком, с которым они не могут справиться.

DDoS-атаки могут использоваться хактивистами для демонстрации своего протеста против интернет-цензуры и других спорных инициатив. Это также открывает перед хакерами различные возможности для преследования гнусных целей. Последним поворотом в эпидемии DDoS стал «DDoS-выкуп», платформа, которая позволяет хакерам вымогать деньги у организаций в обмен на прекращение крупномасштабного вторжения.

DDoS - это сложное явление, которое может затруднить поражение из-за его неоднородной природы и множества тактик.

Есть три основных cатегии DDoS-атак, составляющих ядро ​​этой экосистемы:

Объемная DDoS-атака

Объемные атаки представляют собой наиболее распространенный тип DDoS-атак. Хотя они производят большой объем трафика, иногда превышающий 100 Гбит / с, хакерам не нужно его генерировать. Это делает объемные атаки одним из самых простых видов DDoS-атак, поскольку вы можете использовать небольшой объем атакующего трафика через поддельный IP-адрес для генерации гигабит.

Для целевых сервисов используются объемные атаки на основе зеркал. Они отправляют законные запросы с использованием поддельных IP-адресов на сервер DNS и NTP. Когда DNS-серверы или NTP-серверы отвечают, они отвечают на законные запросы. Часто это поддельный IP-адрес. В таком случае атака нацелена на поддельный URL-адрес, который затем подвергается бомбардировке в усиленном потоке данных.

DDoS-атака на основе протокола

Атаки протокола предназначены для использования слабых мест на Уровне 3 и Уровне 4 уровней OSI. TCP Syn Flood - наиболее известная атака протокола. Это включает в себя отправку серии TCP SYN-команд цели, которые могут перегрузить ее и сделать ее невосприимчивой. Помимо атаки на приложения, недавний сбой Dyn также включал затопление TCP Syn порта 53 серверов Dyn. В конечном итоге атаки протокола направлены на исчерпание ресурсов сервера или ресурсов брандмауэра.

DDoS-атака на основе приложений

DDoS-атаки на приложения труднее всего обнаружить, а в некоторых случаях даже предотвратить. Атаки на уровне приложений являются наиболее изощренными и скрытыми атаками, поскольку они могут генерировать трафик с низкой скоростью только с одной атакующей машиной. Эти атаки сложно обнаружить с помощью традиционных систем мониторинга на основе потоков.

Хакеры, использующие атаки на уровне приложений, обладают глубокими знаниями об используемых протоколах и приложениях. Атакующий трафик, нацеленный на уровни приложений, часто является законным. Он включает в себя активацию внутреннего процесса, который поглощает ресурсы и делает их недоступными, что затрудняет предотвращение таких атак.

Недавно NS1, поставщик облачных услуг DNS, подвергся DDoS-атаке на их инфраструктуру Anycast DNS. Атаке подверглись некоторые из самых известных веб-сайтов, такие как Yelp. NS1 подтвердил атаку и сказал, что это была комбинация объемных атак и атак на уровне приложений, которые включали атаки с искаженными пакетами и злонамеренные прямые DNS-запросы. Злоумышленники атаковали инфраструктуру NS1 и их хостинг-провайдера, в результате чего их веб-сайт был недоступен.

Помимо этих трех категорий, упомянутых выше, DDoS-атаки подразделяются на десятки подкатегорий, которые подпадают под любую из трех основных категорий и обладают некоторыми уникальными характеристиками.


Вот еще несколько примеров современных типов DDoS-атак:

SYN Flood DDoS-атака

Эта атака использует трехстороннее рукопожатие TCP и используется для установления любого соединения между клиентами, хостами и серверами с использованием протокола TCP. Обычно клиент отправляет хосту сообщение SYN (синхронизация), чтобы запросить соединение.

Атака SYN-флуд включает отправку множества сообщений с поддельного адреса. В результате получающий сервер не может обработать или сохранить столько файлов SYN и отказывает в обслуживании клиентам.

ЗЕМЕЛЬНАЯ DDoS-атака

Чтобы выполнить атаку отказа в локальной сети (LAND), злоумышленник отправляет сфабрикованное сообщение SYN, в котором IP-адреса назначения и источника совпадают. Когда целевой сервер пытается ответить на это сообщение, он создает повторяющиеся ответы самому себе. Это вызывает сценарий ошибки, который в конечном итоге может привести к тому, что целевой хост не сможет ответить.

SYN-ACK Flood DDoS-атака

Этот вектор атаки использует этап связи TCP, когда сервер генерирует пакет SYN-ACK для подтверждения запроса клиента. Мошенники наводняют ОЗУ и ЦП целевого сервера множеством мошеннических пакетов SYNACK для выполнения этих DDoS-атак.

ACK & PUSH ACK Flood DDoS-атака

Как только трехэтапное рукопожатие TCP установило соединение, пакеты ACK и PUSH ACK могут быть отправлены друг за другом до завершения сеанса. Целевой сервер, который подвергается этим DDoS-атакам, не может определить, откуда пришли фальсифицированные пакеты, и, таким образом, тратит свои ресурсы обработки, пытаясь определить, как он должен их обрабатывать.

Фрагментированная атака ACK Flood

Этот тип DDoS-атаки является подделкой техники ACK & PUSH ACK Flood. Это простые DDoS-атаки, которые наводняют целевую компьютерную сеть ограниченным количеством фрагментированных пакетов ACK. Каждый пакет ACK имеет максимальный размер 1500 байтов. Попытки собрать эти фрагментированные пакеты - обычная проблема для маршрутизаторов и другого сетевого оборудования. Системы предотвращения вторжений (IPS) могут обнаруживать фрагментированные пакеты и блокировать их попадание на свои брандмауэры.

Поддельный сессионный флуд (фальшивая сессионная атака)

Киберпреступники могут использовать поддельные SYN-пакеты для обхода средств защиты сети. Они также отправляют несколько пакетов ACK и по крайней мере один пакет RST или FIN. Это позволяет злоумышленникам обойти защиту, которая сосредоточена на входящем трафике, а не на анализе обратного трафика.

Атака UDP Flood

Эти DDoS-атаки используют несколько пакетов протокола пользовательских дейтаграмм (UDP). Соединения UDP не имеют механизма подтверждения связи, такого как TCP, поэтому возможности проверки IP-адреса ограничены. Объем фиктивного трафика, создаваемого этой эксплуатацией, превышает максимальную мощность сервера для обработки и ответа на запросы.

Атака DNS Flood

Это вариант UDP Flood, который специально нацелен на DNS-серверы. Этот злоумышленник создает поддельные пакеты DNS-запросов, которые выглядят законными и поступают с разных IP-адресов. DNS Flood - это один из самых сложных DDoS-рейдов типа «отказ в обслуживании», который можно обнаружить и от которого необходимо устранить.

Атака VoIP Flood

Эта DDoS-атака является одним из наиболее распространенных типов DDoS-атак и нацелена на сервер передачи голоса по Интернет-протоколу (VoIP). Множество мошеннических запросов VoIP отправляется со многих IP-адресов, чтобы истощить ресурсы целевого сервера и вывести его из строя.

Атака наводнения NTP

Сетевой протокол времени (NTP), сетевой протокол, который существует с самого начала и отвечает за синхронизацию часов между электронными устройствами, является ключом к другому вектору DDoS-атак. Цель состоит в том, чтобы перегрузить целевую сеть пакетами UDP с помощью общедоступных серверов NTP.

ЗАРЯДКА Flood Attack

Подобно NTP, протокол генератора символов или CHARGEN является более старой версией NTP. Он был разработан в 1980-х годах. Несмотря на это, он все еще используется на некоторых подключенных устройствах, таких как принтеры и копировальные аппараты. Он включает отправку небольших пакетов, содержащих сфабрикованный IP-адрес сервера-жертвы, на устройства с включенным протоколом CHARGEN. Устройства с выходом в Интернет отправляют пакеты UDP-потока на сервер жертвы в ответ. Это наводняет сервер избыточными данными.

SSDP-флуд-атака

Выполняя DDoS-атаки на основе простого протокола обнаружения служб (SSDP) на основе отражения на сетевых устройствах, на которых запущены службы Universal Plug and Play (UPnP), злоумышленники могут использовать эти устройства. Небольшие пакеты UDP, содержащие поддельные IP-адреса, злоумышленник отправляет на несколько устройств с поддержкой UPnP. Эти запросы перегружают сервер до тех пор, пока он не будет принудительно выключен.

Атака HTTP Flood

В этих типах DDoS-атак злоумышленник отправляет якобы законные запросы GET / POST на сервер или веб-приложение, перекачивая большую часть или все ресурсы. В этом методе используются бот-сети, состоящие из «компьютеров-зомби», которые ранее были заражены вредоносным ПО.

Готовы ли вы к таким типам DDoS-атак? Получать расширенная защита от DDoS-атак для вашего сайта без переключения хостов.