Основоположними концепціями кібер-безпеки є доступність, цілісність і конфіденційність. Атаки «відмова в обслуговуванні» (DoS) впливають на доступність інформаційних ресурсів. Відмова в обслуговуванні вважається успішним, якщо він призвів до недоступності інформаційного ресурсу. Успішність атаки і вплив на цільові ресурси відрізняються тим, що вплив завдає жертві шкоди. Наприклад, якщо атакується інтернет-магазин, то тривала відмова в обслуговуванні може заподіяти фінансові збитки компанії. У кожному конкретному випадку DoS-активність може або безпосередньо заподіяти шкоду, або створити загрозу і потенційний ризик нанесення збитків.
Перша D в DDoS означає distributed. розподілена атака типу «відмова в обслуговуванні». У цьому випадку мова йде про величезну масі зловмисних запитів, що надходять на сервер жертви з безлічі різних місць. Зазвичай такі атаки організовуються за допомогою бот-мереж.
У цій статті ми детально розглянемо, які типи DDoS-трафіку і які види DDoS-атак існують. Для кожного виду атак будуть приведені короткі рекомендації щодо запобігання та відновлення працездатності.
Типи DDoS-трафіку
Найпростіший вид трафіку - HTTP-запити. За допомогою таких запитів, наприклад, будь-який відвідувач спілкується з вашим сайтом за допомогою браузера. В основі запиту лежить HTTP-заголовок.
Запитуюча Сторона може використовувати скільки завгодно заголовків, надаючи їм потрібні властивості. Провідні DDoS-атаку зловмисники можуть змінювати ці та багато інших HTTP-заголовки, роблячи їх труднораспознаваемимі для виявлення атаки. В добавок, HTTP заголовки можуть бути написані таким чином, щоб управляти кешуванням і проксі-сервісами. Наприклад, можна дати команду проксі-сервер не кешувати інформацію.
- HTTP (S) GET-запит - метод, який запитує інформацію на сервері. Цей запит може попросити у сервера передати якийсь файл, зображення, сторінку або скрипт, щоб відобразити їх в браузері.
- HTTP (S) GET-флуд - метод DDoS атаки прикладного рівня (7) моделі OSI, при якому атакуючий посилає потужний потік запитів на сервер з метою переповнення його ресурсів. В результаті сервер не може відповідати не тільки на хакерські запити, але і на запити реальних клієнтів.
- HTTP (S) POST-запит - метод, при якому дані поміщаються в тіло запиту для подальшої обробки на сервері. HTTP POST-запит кодує передану інформацію і поміщає на форму, а потім відправляє цей контент на сервер. Даний метод використовується при необхідності передавати великі обсяги інформації або файли.
- HTTP (S) POST-флуд - це тип DDoS-атаки, при якому кількість POST-запитів переповнюють сервер так, що сервер не в змозі відповісти на всі запити. Це може привести до виключно високому використання системних ресурсів, і, в наслідку, до аварійної зупинки сервера.
Кожен з описаних вище HTTP-запитів може передаватися по захищеному протоколу HTTPS. У цьому випадку все пересилаються між клієнтом (зловмисником) і сервером дані шифруються. Получется, що «захищеність» тут грає на руку зловмисникам: щоб виявити зловмисний запит, сервер повинен спочатку розшифрувати його. Тобто розшифровувати доводиться весь потік запитів, яких під час DDoS-атаки надходить дуже багато. Це створює додаткове навантаження на сервер-жертву.
SYN-флуд (TCP / SYN) встановлює напіввідкриті з'єднання з вузлом. Коли жертва приймає SYN-пакет через відкритий порт, вона повинна послати у відповідь SYN-ACK пакет і встановити з'єднання. Після цього ініціатор надсилає отримувачу відповідь з ACK-пакетом. Даний процес умовно називається рукостисканням. Однак, під час атаки SYN-флуд рукостискання не може бути завершено, тому що зловмисник не відповідає на SYN-ACK сервера-жертви. Такі сполуки залишаються напіввідкритими до закінчення тайм-ауту, черга на підключення переповнюється і нові клієнти не можуть підключитися до сервера.
UDP-флуд найчастіше використовуються для широкосмугових DDoS-атак в силу їх бессеансовості, а також простоти створення повідомлень протоколу 17 (UDP) різними мовами програмування.
ICMP-флуд. Протокол міжмережевих керуючих повідомлень (ICMP) використовується в першу чергу для передачі повідомлень про помилки і не використовується для передачі даних. ICMP-пакети можуть супроводжувати TCP-пакети при з'єднанні з сервером. ICMP-флуд - метод DDoS атаки на 3-му рівні моделі OSI, що використовує ICMP-повідомлення для перевантаження мережевого каналу атакується.
Класифікація і цілі DDoS-атак за рівнями OSI
Інтернет використовує модель OSI. Всього в моделі присутня 7 рівнів, які охоплюють всі середовища комунікації: починаючи з фізичного середовища (1-й рівень) і закінчуючи рівнем додатків (7-й рівень), на якому «спілкуються» між собою програми.
DDoS-атаки можливі на кожному з семи рівнів. Розглянемо їх докладніше.
7-й рівень OSI: Прикладної
Досягнення меж по ширині каналу або за кількістю допустимих підключень, порушення роботи мережевого устаткування
Що робити: Фільтрація DDoS-трафіку, відома як blackholing - метод, часто використовуваний провайдерами для захисту клієнтів (ми і самі використовуємо цей метод). Однак цей підхід робить сайт клієнта недоступним як для трафіку зловмисника, так і для легального трафіку користувачів. Проте, блокування доступу використовується провайдерами в боротьбі з DDoS-атаками для захисту клієнтів від таких загроз, як уповільнення роботи мережевого устаткування і відмова роботи сервісів.
3-й рівень OSI: Мережевий
Маршрутизація і передача інформації між різними мережами
Протоколи IP, ICMP, ARP, RIP і роутери, які їх використовують
Приклади технологій DoS
ICMP-флуд - DDos-атаки на третьому рівні моделі OSI, які використовують ICMP-повідомлення для перевантаження пропускної здатності цільової мережі
Зниження пропускної здатності атакується мережі і можлива перевантаженість брандмауера
Що робити: Обмежити кількість оброблюваних запитів по протоколу ICMP і скоротити можливий вплив цього трафіку на швидкість роботи Firewall і пропускну здатність інтернет-смуги.
2-й рівень OSI: Канальний
Лінійні списки контролю доступу, обмеження швидкості
Деякі дії і обладнання для усунення атак: