Главная цель DDoS-атаки — отказ в обслуживании. Злоумышленники разными способами перегружают ресурс, из-за чего он становится недоступным для обычных пользователей. Бизнес несет потери, крупнейшие сайты перестают работать. 

В статье разберемся, как злоумышленники наносят вред сайтам и какие есть методы защиты от DDoS-атак.

Виды DDoS-атак

Виды DDoS-атак привязаны к сетевой модели OSI. Она состоит из семи уровней. Каждый из них может стать целью злоумышленников. 

Рассмотрим все уровни, на которые может быть направлена DDoS-атака.

• L7 — приложение. Здесь атаке подвергаются механизмы, которые обеспечивают взаимодействие приложений с сетью. Например, DDoS L7 часто проводят через HTTP-запросы.
• L6 — представление. Под удар попадают протоколы сжатия и кодирования данных. Например, злоумышленники отправляют поддельные SSL, проверка которых отнимает много ресурсов.
• L5 — сеанс. Дискредитируются протоколы входа/выхода, из-за чего сервер может стать недоступным для пользователей.
• L4 — передача данных. Направление DDoS L4 — протоколы TCP, UDP. Злоумышленники начинают обмен данными, но не завершают его, из-за чего сервер застревает в режиме ожидания и перестает принимать корректные запросы.
• L3 — сеть. Атакуют протоколы IP, ICMP, ARP, RIP. Результатом может стать то, что пропускная способность сети Л3 становится меньше. 
• L2 — канал. Переполнение данными сетевых коммутаторов.
• L1 — физический уровень. Здесь злоумышленники воздействуют на сеть физически: разрушают сетевое оборудование, препятствуют его работе.

Чаще всего под атаки попадают уровни 3, 4 и 7. 

Атаки на третий и четвертый уровни называют инфраструктурными. Они основаны на передаче большого объема данных. Цель этого флуда — забить канал, чтобы веб-сервер начал работать медленнее. Из-за этого другие пользователи не могут получить доступ к ресурсу, который находится под давлением ботов.

На седьмом уровне атакующие используют отдельные элементы серверной инфраструктуры приложений. Зловредный трафик очень сложно отличить от полезного. Даже самые простые атаки вроде многочисленных попыток авторизации под разными выдуманными именами пользователей способны довести нагрузку до критической. 

Главная проблема — отличить тех пользователей, которые действительно не могут вспомнить логин или пароль, от тех, кто намеренно отправляет миллионы однотипных запросов. Естественно, злоумышленники стараются усложнить задачу по распознаванию, изменяя сигнатуры атак седьмого уровня. Сначала они могут посылать запросы на авторизацию, затем — на смену пароля, затем — на получение данных с сервера. Вариантов масса, со временем борьба с DDoS-атаками становится только сложнее.

Как атакуют

Методы DDoS-атак различают в зависимости от уровня сетевой модели и фантазии злоумышленников. Ниже — несколько распространенных примеров.

DDoS-атаки на уровне приложений

Выше мы разобрали, в чем их главная сложность. Злоумышленники делают то же, что и обычные пользователи, но в гигантских масштабах. Например, открывают большое количество соединений и держат их до таймаута. Запросы реальных пользователей в это время сервер игнорирует.

Распространено использование POST-запросов для создания чрезмерной нагрузки. Один из вариантов — очень медленная передача тела запроса. Когда связь обрывается, открывается новое соединение. Сами заголовки правильные, поэтому сервер вынужден отвечать. Но ресурсы расходуются на неэффективные соединения. Возможен и обратный вариант, когда клиенты очень медленно читают HTTP-запросы, которые им отправляет сервер.

Другой метод — отправка данных в кодировке XML. Когда они попадают на сервер, то занимают в разы больше места. Из-за этого память переполняется.

Атаки на уровне протокола

Основная цель таких действий — забить канал вредоносными пакетами, которые мешают принимать пакеты от реальных пользователей. 

Типичный пример — SYN-флуд. Сервер получает пакет, отправляет ответ и ожидает еще один пакет. Но он не приходит. Большое количество таких незавершенных запросов также приводит к сбоям.

Другой вариант — фрагментирование. Злоумышленники отправляют пакеты по фрагментам. При передаче они перемешиваются, сборка приводит к перекрытию. Из-за этого начинаются сбои на сервере, работа системы завершается аварийно.

Объемные атаки

Отдельная категория — объемные атаки. Они могут быть как на уровне приложения, так и на уровне инфраструктуры. Нацелены такие действия на то, чтобы пропускной способности сети не хватило на обработку полезных запросов.

Например, атакующие могут забить сервер огромным потоком HTTP-запросов. Они запрашивают разные тяжелые элементы сайта. Запрос подбирается так, чтобы ответ был максимально объемным. Из-за этого перегружается обратный канал.

Другой вариант — отправка пакетов ICMP с разных адресов. Каждый такой пакет заставляет сервер проверять состояние. Но эти запросы поддельные, их цель — перегрузить входящий канал. 

Аналогичным образом работает UDP-флуд и атака с усилением. Множество бесполезных запросов, которые требуют объемных ответов или дополнительной проверки, засоряют соединение. Итог всегда один — целевой ресурс становится недоступным для пользователей, а иногда и для администраторов.

Как защититься

Главный вопрос — как бороться с DDoS. Количество атак увеличивается каждый год. Есть простые инструменты против DDoS в Linux, изучение которых не занимает много времени. Проблема в том, что больше становится масштабных операций, а не развлечений школьников и студентов. Самостоятельно справиться с ними не могут даже крупные компании.

Выход в такой ситуации — усиливать защиту всеми доступными способами. Эффективным решением станет комплексная защита от DDoS-атак. Она помогает отражать атаки на уровнях L3, L4 и L7, а также предоставляет доступ к CDN для быстрой доставки контента пользователям. 

Подключить услугу можно даже тогда, когда сайт находится под ДДоС-атакой. Основные возможности:

• Бесперебойная работа сайта даже под мощными атаками.
• Фильтрация всего входящего трафика.
• Узлы фильтрации распределены по разным регионам мира.
• Установка в течение часа.

Еще одна возможность на timeweb.cloud — защита от DDoS проксированием. Даже при увеличении нагрузки пользователи могут получать контент с сайта благодаря быстрой доставке с ближайшего проксирующего сервера. В это время специалисты будут спокойно заниматься отражением атаки и восстановлением работоспособности инфраструктуры.