CC BY
72КЛАССИФИКАЦИЯ DDOS-АТАК И ИХ РЕАЛИЗАЦИЯ
Богомолова Л.В.
Богомолова Людмила Валерьевна - студент, кафедра вычислительных систем, сетей и информационной безопасности, Российский университет транспорта, г. Москва
Аннотация: в статье анализируются DDoS-атаки, их виды и реализация. Ключевые слова: DDoS-атака, SYN-флуд, UDP-флуд.
DDoS-атаки (от английского «distributed denial-of-service (DDoS)») — это попытка нарушить нормальный трафик сервера. Они направлены на то, чтобы перегрузить устройства, службы или сеть предполагаемой цели фальшивым интернет-трафиком, сделав их недоступными для пользователей.
DDoS-атака подобна неожиданной пробке на шоссе, не позволяющей обычному трафику добраться до места назначения.
С помощью сетей компьютеров, подключенных к сети Интернет, осуществляются DDoS-атаки.
Данные сети, состоящие из разных сетевых устройств, заражены вредоносным ПО, что дает возможность злоумышленнику управлять ими дистанционно. Эти разные устройства называют ботами, а группу таких ботов - ботнетом.
Уже после образования ботнета злоумышленник в силах направить атаку, отправив удаленные указания каждому боту.
В момент, когда сеть или какой-либо сервер делаются целью ботнета, каждый бот посылает запросы на IP-адрес жертвы. Это может способствовать перегрузке сервера или сети, что повергнет к отказу в обслуживании обычного трафика.
Разделять атакующий трафик от обычного бывает довольного трудно, так как любой бот считается законным интернет-устройством.
Так как же определить DDoS-атаку? Есть несколько пунктов, которые помогут отличить такую атаку.
- Сомнительные объемы трафика, отправляющиеся с одного IP-адреса или же спектра IP-адресов;
- Поток трафика с пользователей с одним и тем же типом устройства, геолокации или же версией веб-браузера;
-Необъяснимая вспышка запросов к одной странице;
-Неестественные модификации трафика (например, вспышки каждые 5 минут).
Атаки можно разделить на несколько категорий:
• Объемные атаки. Когда отправляется огромное количество трафика, чтобы перегружать пропускную способность сети.
• Протокольные атаки. Это такие, которые более сфокусированы и используют уязвимости в ресурсах сервера.
• Атаки на приложения. Такие атаки являются наиболее изощренной формой DDoS-атак, направленных на определенные веб-приложения.
• SYN-флуд.
• UDP-флуд.
Категория объемных атак пытается организовать перегрузку, потребляя целиком полосу пропускания между целью и большой частью сети Интернет. Огромные объемы данных посылаются цели с применением формы усиления или других средств формирования массового трафика, таких как запросы от ботнета.
Протокольные атаки, которые также прославлены как атаки с истощением состояния, стимулируют сбои в обслуживании из-за непомерного потребления ресурсов сервера или ресурсов сетевого оборудования.
Целью же атак на прикладном уровне является уровень, на котором веб-страницы генерируются на сервере и посылаются в ответ на HTTP-запрос. Осуществление одного такого запроса на стороне клиента считается простым для выполнения, однако для целевого сервера ответ на HTTP-запрос может быть более затратным, поскольку сервер часто загружает несколько файлов и выполняет запросы к базе данных для создания веб-страницы.
Иногда такие атаки называют DDoS-атакой седьмого уровня (со ссылкой на седьмой уровень модели OSI). От таких атак достаточно сложно защититься вследствие того, что отличить вредоносный трафик от законного бывает сложно.
Что такое SYN-флуд атака? SYN-флуд (полуоткрытая атака) — это один из видов DDoS-атак. Посредством использования абсолютно всех доступных ресурсов сервера, SYN-флуд атака пытается сделать сервер недоступным для легитимного трафика.
При повторной пересылке пакетов начального запроса на подключение злоумышленник способен перезагрузить все доступные порты на целевом сервере вследствие чего целевое устройство станет медленно реагировать на легитимный трафик или перестанет реагировать совсем.
Как работает атака SYN-флуд?
Атаки SYN-флуд работают, используя процедуру рукопожатия TCP-соединения. В стандартных условиях TCP-соединение применяет три различных процесса для установления соединения.
1. Сначала клиент посылает пакет SYN на сервер, с целью инициировать соединение.
2. Затем сервер отвечает на этот исходный пакет пакетом SYN/ACK, дабы удостоверить связь.
3. Напоследок, клиент возвращает пакет ACK с намерением подтвердить получение пакета от сервера. Уже после окончании этой очередности отправки и получения пакетов TCP-соединение открывается и может отправлять и получать данные.
UDP-флуд — это один из видов DDoS-атаки, при которой огромное количество UDP-запросов отправляется на целевой сервер в целях подавить способность этого устройства обрабатывать и отвечать. Брандмауэр, который защищает целевой сервер, в свою очередь может выйти из строя ввиду переполнения UDP, что приведет к отказу в обслуживании законного трафика.
UDP-флуд работает в основном за счет использования шагов, которые сервер предпринимает, когда он отвечает на пакет UDP, отправленный на один из его портов. В обычных условиях, когда сервер получает UDP-пакет на определенном порту, в ответ он проходит два этапа:
1. Сначала сервер проверяет, запущены ли какие-либо программы, которые в настоящее время прослушивают запросы на указанном порту.
2. Если никакие программы не получают пакеты на этом порту, сервер отвечает пакетом ICMP(ping), чтобы сообщить отправителю, что пункт назначения недоступен.
UDP-флуд можно рассматривать в контексте маршрутизации вызовов администратора отеля. Сначала секретарю поступает телефонный звонок, в котором звонящий просит соединиться с определенной комнатой. Затем секретарю необходимо просмотреть список всех комнат, чтобы убедиться, что гость свободен в комнате и готов ответить на звонок. Как только секретарь понимает, что гость не отвечает на звонки, он должен снова поднять трубку и сказать звонящему, что гость не будет отвечать на звонок. Если вдруг все телефонные линии одновременно загорятся одинаковыми просьбами, то они быстро переполнятся.
Когда сервер получает каждый новый UDP-пакет, он проходит этапы обработки запроса, используя в процессе ресурсы сервера. При передаче пакетов UDP каждый пакет будет включать IP-адрес исходного устройства. Во время этого типа DDoS-атаки злоумышленник, как правило, не использует свой собственный реальный IP-адрес, а вместо этого подделывает исходный IP-адрес UDP-пакетов, препятствуя раскрытию истинного местоположения злоумышленника и потенциальному насыщению ответными пакетами от целевого объекта.
В результате того, что целевой сервер использует ресурсы для проверки и последующего ответа на каждый полученный пакет UDP, ресурсы цели могут быть быстро исчерпаны при получении большого потока пакетов UDP, что приводит к отказу в обслуживании для обычного трафика.
Список литературы
1. DDoS-атаки. Причины возникновения, классификация и защита от DDoS-атак. [Электронный ресурс].
Режим доступа: http://efsol.ru/articles/ddos-attacks.html/ (дата обращения: 18.08.2022).
