DDoS (Distributed Denial of Service) – распределенная кибератака, попытка вывести из строя сайт или сервис, перегружая его трафиком из множества источников, чтобы сделать его недоступным для «законных» пользователей, вызвав перегрузку системы. Злоумышленники используют сеть зараженных устройств, называемую ботнетом, для отправки огромного количества запросов на целевой ресурс.

Механизм происхождения DDoS-атак

Виды DDoS-атак

Влияние DDoS-атаки на работу сети

Кто производит DDoS-атаки и зачем

Как защититься от DDoS-атаки

Механизм происхождения DDoS-атак

Опишем процесс DDoS-атаки.

  1. Злоумышленник получает контроль над ботнетом. 
  2. Устройства, называемые ботами, заражаются вредоносным ПО, которое позволяет удаленно управлять ими.
  3. Когда злоумышленник хочет начать DDoS-атаку, он отдает ботам команду отправить запросы на целевой ресурс.
  4. Поток вредоносного трафика от ботов перегружает ресурс, делая его недоступным для легитимных пользователей.

Распределенный характер атаки с использованием большого числа источников и имитация легитимного трафика затрудняют ее своевременное выявление и блокировку.

Виды DDoS-атак

В зависимости от целевого уровня сетевой модели OSI DDoS-атаки бывают:

  • на транспортный уровень (L4). Нацелены на перегрузку серверов такими протоколами, как TCP и UDP, например SYN-, UDP- и ICMP-флуд;
  • на сетевой уровень (L3). Перегружают сетевые устройства, такие как маршрутизаторы и коммутаторы. К ним относятся Ping-флуд и Smurf-атака;
  • на прикладной уровень (L7). Нацелены на конкретные ресурсы, такие как веб-серверы или базы данных. К примеру, HTTP-флуд, атака Slowloris, атака на основе DNS.

В зависимости от используемого вектора DDoS могут быть:

  • объемными. Перегружают цель большим количеством трафика, чтобы исчерпать пропускную способность или ресурсы системы. Например, HTTP-, UDP- и ICMP-флуд;
  • атаками на состояние. Используют уязвимости в сетевых протоколах для потребления большого количества ресурсов сервера, не отправляя много трафика. К примеру, SYN-флуд, атака Slowloris;
  • атаками на информационный канал. Используют легитимные запросы для перегрузки сервера или сети ложной информацией. К ним относятся HTTP-, Ping-флуд и Smurf-атака.

По географическому распределению ботнета они бывают:

  • однолокальными. Ботнет расположен в том же регионе, что и цель;
  • многолокальными. Ботнет распределен по нескольким регионам по всему миру.

Влияние DDoS-атаки на работу сети

DDoS-атаки могут привести к следующим последствиям:

  • перегрузка сетевых каналов. Огромный объем трафика, генерируемого при DDoS-атаке, может полностью исчерпать пропускную способность интернет-канала. Это приводит к существенному замедлению или полной недоступности ресурса;
  • исчерпание ресурсов сетевого оборудования. Атака нацелена на переполнение таблиц маршрутизации, исчерпание ресурсов межсетевых экранов, балансировщиков нагрузки и другого сетевого оборудования, вызывая их перезагрузку;
  • снижение производительности. Даже если DDoS не приводит к полному отказу, она может значительно снизить производительность интернет-ресурсов, сделав их работу крайне медленной;
  • нарушение работы из-за ложного трафика. Специфический трафик атак может использовать уязвимости в протоколах и вызывать сбои в работе сетевых служб и приложений;
  • потеря данных. DDoS могут быть использованы как прикрытие для других кибератак, направленных на кражу или уничтожение данных;
  • финансовые потери. Для предприятий, полагающихся на онлайн-операции, такая атака может привести к значительным финансовым потерям из-за уменьшения продаж и снижения производительности, а также увеличить расходы на укрепление сетевой инфраструктуры;
  • потеря репутации. DDoS может нанести ущерб репутации компании и привести к потере доверия клиентов, поскольку она демонстрирует уязвимость ее систем безопасности.

Кто производит DDoS-атаки и зачем

DDoS-атаки могут производиться:

  • хакерами-вымогателями. Они атакуют сайты и сети, требуя у владельцев выкуп за прекращение атаки;
  • конкурентами. Нанимают хакеров, чтобы вывести из строя ресурсы своих соперников и получить преимущество, нанеся ущерб их бизнесу;
  • скрипткидди. Новички в области кибербезопасности, запускающие DDoS из хвастовства, любопытства или для самоутверждения;
  • активистами. Применяют их, чтобы привлечь внимание к социальной или политической проблеме.

Однако не все DDoS-атаки мотивированы злонамеренными целями. Иногда их используют для тестирования безопасности сетей и систем или для обучения специалистов по кибербезопасности.

Как защититься от DDoS-атаки

Защита от DDoS-атак требует комплексного подхода, включающего как организационные, так и технические меры безопасности. Вот некоторые рекомендации:

  • используйте службу защиты от DDoS. Надежные сервисы защиты от DDoS могут фильтровать вредоносный трафик. Изучите различные варианты и выберите сервис, соответствующий вашим потребностям и бюджету;
  • увеличьте пропускную способность. Увеличение пропускной способности сети может сделать ее более устойчивой к DDoS-атакам. Это может включать смену интернет-провайдера или использование выделенного сервера;
  • используйте кэширование. Кэширование контента поможет уменьшить нагрузку на сервер во время атаки;
  • блокируйте вредоносные IP-адреса. Вы можете заблокировать IP-адреса, известные как источники DDoS-атак, чтобы они не могли получать доступ к сайту. Для этого можно использовать брандмауэр или службу защиты от DDoS;
  • используйте CDN (Content Delivery Network). Это сеть серверов, распределенных по всему миру. Она поможет уменьшить нагрузку на основной сервер и сделает сайт более устойчивым к DDoS-атакам;
  • повышайте осведомленность сотрудников о кибербезопасности. Обучите их основам кибербезопасности и научите распознавать другие вредоносные действия. Это позволит предотвратить попадание вредоносного ПО в вашу сеть;
  • регулярно резервируйте копии данных. Регулярное резервное копирование данных обеспечит их сохранность в случае DDoS или другой кибератаки. Убедитесь, что резервные копии хранятся в безопасном месте вне вашей сети;
  • имейте план восстановления после сбоя. Это шаги, которые необходимо предпринять для восстановления систем после атаки.

Также рекомендуется регулярно обновлять ПО, сетевое оборудование и проводить симуляции DDoS-атак для проверки защитных механизмов.

Вопросы-ответы

Чем DDoS отличается от DoS атаки?

DoS (отказ в обслуживании) – это атака с одного источника, а DDoS – распределенная атака одновременно с множества источников, что усиливает ее масштаб и опасность.

Являются ли DDoS-атаки незаконными?

Да, инициирование DDoS-атаки считается киберпреступлением в большинстве стран и может повлечь уголовную ответственность.

Какие сервисы можно использовать для защиты от DDoS-атак?

Cloudflare, Incapsula, Akamai, Qrator, King Servers Anti DDoS и другие.

Эта статья и другие полезные ресурсы click.ru — после бесплатной регистрации

Вы получите доступ к функционалу экосистемы:

  • Все рекламные площадки в одном окне
  • Мастер маркировки любой рекламы
  • Профессиональные инструменты для решения рутинных задач (дашборды, защита от скликивания и многое другое)
  • Возврат до 18% на контекстную и таргетированную рекламу
  • Бесплатный доступ в платные маркетинговые сервисы
Эта статья и другие полезные ресурсы click.ru – после бесплатной регистрации