Что такое DoS и DDoS-атаки

Что такое DoS-атака

DoS (Denial of Service) означает отказ в обслуживании. Хакер атакует с целью вызвать перегрузку подсистемы, в которой работает атакованный сервис. Воздействие осуществляется с одного сервера и направлено на определенный домен или виртуальную машину.

Особенности DoS-атак:

Одиночный символ – поток трафика запускается из одной подсети.
Высокая видимость – попытки "поставить" сайт заметны по содержимому файла журнала.
Простое подавление – атаки легко блокируются брандмауэром.

Последнее также часто присваивается сетевому оборудованию, такому как маршрутизатор, на котором установлена "облегченная" версия Linux или аналогичного программного обеспечения. Этот тип атаки долгое время не был особенно опасным, но он влияет на стоимость обслуживания (требует установки специализированных программ).

Что такое DDoS-атака

DDoS (Distributed Denial of Service) расшифровывается как распределенный отказ в обслуживании. Атака реализована несколько иначе, чем DoS – принципиальное отличие заключается в использовании сразу нескольких хостов. Сложность защиты от этого типа атак зависит от количества машин, с которых отправляется трафик.

Особенности DDoS-атак:

Многопоточность - такой подход упрощает задачу блокировки сайта, поскольку быстро отсеять все атакующие IP-адреса практически невозможно.
Высокая секретность – грамотное построение атаки позволяет замаскировать ее начало под естественный трафик и постепенно "засорять" веб-ресурс пустыми запросами.
Сложность подавления – проблема заключается в определении момента, когда началась атака.

Ручная проверка лог-файлов здесь ничего не дает, отличить атакующие хосты от "обычных" практически невозможно. Ситуация усугубляется тем фактом, что источником в 9 случаях из 10 являются "обычные сайты", ранее зараженные вирусом или взломанные вручную. Постепенно они образуют единую сеть, называемую ботнетом, и увеличивают мощность атаки.

Основные отличия и цели атак

Самая распространенная причина, по которой кто-то решает "разместить" веб-ресурс, - это вымогательство. Система похожа на заражение локальных компьютеров вирусами-вымогателями, при активации владелец начинает требовать выкуп за возвращение работоспособности Windows. То же самое происходит и с сайтом – хакер отправляет владельцу электронное письмо с требованиями.

Есть и другие причины:

Недобросовестная конкуренция – "коллеги" пытаются занять нишу, устраняя других игроков рынка.
Развлечение – молодые программисты запускают атаки ради того, чтобы похвастаться перед друзьями, знакомыми, коллегами.
Неприязнь личного, политического характера – мотивом становится несогласие с политикой правительства, определенной организации.
Также могут возникнуть проблемы, исходящие от недовольных сотрудников, которые уволились или все еще работают, но уже готовы связываться со своим работодателем.

Типы атак

Определенная сложность в определении типа воздействия и методов защиты вызвана различием в вариантах кибератак. Существует более десятка способов снизить производительность сервера, и каждый из них требует отдельного механизма противодействия. Например, популярны UDP-флуды, а также запросы на доступность сайта и блокировка DNS-хоста.

Переполнение канала

Поток эхо-запросов отправляется на сервер с задачей полностью "засорить" аппаратные ресурсы ПК (физической или виртуальной машины). Все провайдеры выделяют пользователям ограниченные каналы связи, поэтому достаточно заполнить их ложным трафиком, что сделает невозможным открытие сайта с обычным запросом.

Наводнение DNS

Целью атаки является DNS-сервер, который связан с "жертвой". В этом случае владелец сайта не получает никаких сообщений от хостинг-провайдера. Единственный вариант вовремя "увидеть" проблему - подключить сторонние системы, такие как Яндекс.Веб-мастер, который проверяет доступность домена, скорость соединения и т.д. по кругу.

ПИНГ-флуд

Воздействие на хост сопровождается многочисленными запросами без ожидания ответа от сервера. В результате веб-ресурс начинает терять реальные пакеты данных, скорость открытия страниц падает до точки полной недоступности. Пользователи будут видеть попытки открытия, но они не будут ждать результата в виде страницы.

UDP-флуд

По аналогии с предыдущей версией, на сервер жертвы отправляется большой объем пакетов в формате дейтаграммы. Сервер должен ответить на каждый из них, чтобы отправить ответ в виде ICMP-пакета, означающий, что "адресат недоступен". В результате все емкости виртуальной машины будут заняты пустыми задачами.

Переполнение буфера

Популярный метод DoS-атак. Хакер стремится вызвать ошибки в программах, установленных на атакуемом сервере. Например, путем переполнения буфера памяти, выделенного для работы приложения. Такие попытки легко блокируются, но только в том случае, если используются специальные программы или маршрутизаторы с функцией защиты.

Как защитить себя от атак

Существуют и более редкие варианты, например: SYN-flood, Медленный HTTP POST, пинг смерти или медленный HTTP GET. Но все они сводятся к попыткам "засорить" пропускную способность канала так, чтобы сервер перестал отвечать на запросы пользователей, или израсходовать выделенную память и мощность процессора, когда перегруженная система зависает и начинает замедляться.

Способы защиты от DoS и DDoS:

Превентивный мониторинг сетевой активности. Перед запуском основной атаки часто проводится проверка "короткими сериями", поэтому есть возможность заранее узнать, что есть проблемы с доступностью сайта.

Фильтрация на уровне хостинга. Провайдеры обычно предоставляют такую услугу в рамках всех оплаченных тарифов. Но лучше уточнить у службы поддержки, существует ли защита от DoS- и DDoS-атак и как она реализована.

Тестовая атака на сервер. Существуют специальные программы, такие как Hping3, LOIC (Низкоорбитальная ионная пушка) или OWASP Switchblade. Они позволяют эмулировать реальную атаку и надежно определять уровень защиты сервера.

Кроме того, желательно иметь четкий план действий на случай сбоя сайта. Это может включать меры по быстрому подключению другого сервера, перенастройке DNS-узлов и т.д. Главное - обеспечить непрерывную доступность опубликованных сервисов независимо от внешних факторов.