DoS и DDoS-атаки — самый популярный вид кибератак, так как они позволяют довести до отказа почти любую систему и нанести ущерб жертве, оставляя инициатора анонимным.
При атаке типа DoS («отказ в обслуживании») хакеры наводняют целевой хост настолько большим объёмом запросов, что он перестаёт быть доступным для обычных пользователей. DDoS-атаки — это частный случай DoS. DDoS-атака («распределённый отказ в обслуживании») отличается тем, что осуществляется из нескольких систем (их количество может достигать тысячи устройств).
Так как трафик при DDoS-атаке происходит из нескольких источников и направляется из них в целевую систему одновременно и в большом объёме, администраторам сетей сложно быстро обнаружить и устранить угрозу. Поэтому DDoS-атаки наносят больший ущерб, чем более простые DoS-атаки: они приводят к чрезмерному расходу ресурсов и способны полностью вывести из строя всю локальную сеть или сервер.
В этом материале мы рассмотрим отличия между простыми DoS-атаками из одного источника и DDoS-атаками и перечислим их самые распространённые типы.
Особенности DoS-атак с одним источником трафика
DoS-атака — это попытка киберпреступников снизить производительность сервера или нарушить его доступность. Во время атаки цель перегружается многочисленными запросами, что сокращает свободные системные ресурсы и в конечном итоге останавливает обслуживание обычных пользователей. Принцип атаки следующий: например, хакер отправляет большой поток поддельных запросов на онлайн-ресурс. Платформа принимает эти запросы, но их количество превышает её возможности. В результате она замедляется и в конечном итоге полностью прекращает принимать новые запросы и отвечать на них. DoS-атаки могут использоваться как инструмент для вымогательства, в нечестной борьбе с конкурентами или для политических заявлений, поэтому важно защитить серверы от этих видов киберугроз. Однако защититься от простых DoS не так уж и сложно — если атака осуществляется из одного источника, достаточно вовремя распознать проблему и заблокировать источник трафика.
Особенности DDoS-атак
DDoS-атака, так же как и DoS, это попытка нарушить нормальную работу сети или сервера. Обычно она осуществляется путём переполнения сервера-жертвы избыточными запросами из нескольких источников, что парализует его способность обрабатывать их и мешает ему отвечать на обычные запросы. Ключевое отличие DDoS от простых DoS-атак это то, что для DDoS используется несколько источников трафика (ботов), то есть атака запускается одновременно из разных мест. Ботами в такой атаке могут выступать обычные компьютеры или сайты, предварительно заражённые вредоносным ПО, а их владельцы могут даже не подозревать о заражении. Такое положение дел помогает скрыть настоящего инициатора атаки и затрудняет организациям предотвращение и смягчение их последствий. На DDoS-атаку сложно отреагировать вовремя, ведь её начало практически невозможно отличить от обычного трафика. Кроме того, некоторые боты могут использовать тысячи компьютеров в одной атаке, что делает реагирование ещё более сложной задачей.
Арендуйте VPS/VDS у хостера AdminVPS и получите защиту от DDoS-атак на уровне L2-L4 бесплатно!
Наиболее распространённые формы DoS и DDoS-атак
Существуют различные типы DoS и DDoS-атак, наиболее распространёнными из них являются SYN-flood, HTTP-flood и UDP-flood.
SYN-flood
SYN-flood — это тип DoS и DDoS-атак, использующий «трехэтапный процесс рукопожатия» TCP, который является базовым протоколом большинства интернет-коммуникаций. Целью SYN-флуда является перегрузка системы-жертвы путём потребления всех её ресурсов. При такой атаке киберпреступники генерируют большой объем поддельных SYN-пакетов и направляют его на целевой сервер с поддельных IP-адресов. После того как сервер подтвердит готовность к обмену данными, атакующий бот не завершает последний этап «трехстороннего рукопожатия». Незавершённое соединение остаётся открытым, сервер резервирует ресурсы для его обработки и ждёт последний пакет от клиента. Незавершённые запросы занимают всю память таблицы соединений, что приводит к игнорированию или отклонению новых запросов.
HTTP-flood
HTTP-flood — эти DoS и DDoS-атаки, как ясно из названия, перегружает целевые серверы огромным количеством HTTP-запросов и нацелены на веб-ресурсы. Для организации атаки злоумышленники часто используют ботнеты — сети, состоящие из множества компьютеров с запущенными ботами. Ботнет отправляет непрерывный поток HTTP-запросов, цель атаки — максимальное потребление вычислительной мощности сервера, его оперативной памяти и пропускной способности сети. В результате сервер перегружается, перестаёт отвечать на уже принятые запросы и отказывает в обслуживании новых — от обычных пользователей, пытающихся получить доступ к веб-серверу.
UDP-flood
UDP-flood — тип DoS и DDoS-атак, нацеленных на сетевую инфраструктуру путём переполнения её потоком UDP-пакетов. В отличие от TCP, UDP не требует подтверждения двустороннего сеанса, что позволяет хакерам генерировать большие объёмы трафика. При этом типе DoS/DDoS-атак целевой сервер получает огромное количество UDP-пакетов с поддельных адресов, что затрудняет отслеживание, а атака приводит к перегрузке сетевых интерфейсов. Так как в протоколе UDP нет встроенного механизма для обеспечения доставки пакетов или проверки получателя, целевой сервер вынужден обрабатывать и отвечать на каждый входящий пакет. В результате UDP-пакеты занимают всю доступную полосу пропускания, а также вычислительную мощность и другие ресурсы, что вызывает перегрузку, замедление работы и может привести к сбоям в обслуживании.
ICMP/Ping-flood
ICMP-flood, или Ping-flood, — это тип DoS-атаки, нацеленной на сетевые устройства и перегружающей их чрезмерным количеством пакетов Internet Control Message Protocol (ICMP) Echo Request (Ping). Протокол ICMP обычно используется для передачи сообщений об ошибках, устранения неполадок и диагностики сети (например, известная всем команда ping для проверки доступности отправляет пакет ICMP). При атаке на целевой хост отправляется огромный объем пакетов ICMP Echo Request; часто к атаке подключены ботнеты или несколько скомпрометированных компьютеров. Каждый пакет Echo Request побуждает целевой хост ответить пакетом Echo Reply, но из-за большого количества запросов пропускной способности сервера и возможностей обработки информации начинает не хватать. Непрерывный поток ICMP-запросов вызывает перегрузку сети, увеличение времени отклика и полную невосприимчивость целевого устройства.
Ключевые отличия между одиночной DoS и массовой DDoS-атакой
| Критерии | DoS-атака | DDoS-атака |
| Определение | DoS-атака — это попытка сделать онлайн-сервис недоступным, перегружая его трафиком из одного или нескольких источников. Однако DoS-атакой чаще называют атаку из одного источника, чтобы отличать её от DDoS. | DDoS-атака — это частный случай DoS-атаки, попытка сделать онлайн-сервис недоступным путём перегрузки его трафиком из нескольких источников. |
| Источник атаки | Один источник, обычно один компьютер, одна виртуальная машина или IP-адрес. | Множественные источники, скоординированные ботнеты или скомпрометированные IP-адреса. |
| Сложность | Относительно проста, лёгкая в исполнении. | Более сложная, требует координации и больших ресурсов. |
| Объём трафика | Меньшее количество запросов. | Значительно более высокий объём трафика. |
| Сложность обнаружения и предотвращения последствий | Легче обнаружить и нейтрализовать, так как трафик поступает из одного источника. | Сложно вовремя обнаружить и нейтрализовать из-за трафика, поступающего из множества разных источников. |
| Влияние | Ограниченное воздействие на цель. | Сильное воздействие, способное полностью парализовать цель. |
Теперь вы знаете, чем DDoS-атаки вредны веб-проектам.
Читайте полезное в блоге:
- Как проверить работу DNS-сервера и исправить неполадки
- Что такое Cloudflare, как он работает и для чего нужен
- Все коды ошибок сервера и причины их возникновения
