Реклама на сайте Вход
in Фраза дня

Фраза дня: distributed denial-of-service (DDoS) attack

апреля 21, 2026

Что такое DDoS-атака?
При распределенной атаке типа отказ в обслуживании (DDoS) несколько скомпрометированных компьютерных систем атакуют цель и вызывают отказ в обслуживании для пользователей целевого ресурса. Целью может быть сервер, веб-сайт или другой сетевой ресурс. Поток входящих сообщений, запросов на соединение или искаженных пакетов в целевую систему заставляет ее замедляться или даже аварийно завершаться, тем самым отказывая в обслуживании законным пользователям или системам.

DDoS-атаки проводят многие типы злоумышленников, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений. В определенных ситуациях - часто связанных с плохим кодированием, отсутствующими исправлениями или нестабильными системами - даже законные, несогласованные запросы к целевым системам могут выглядеть как DDoS-атака, когда это просто случайные потери производительности системы.

Как работают DDoS-атаки?
В типичной DDoS-атаке злоумышленник использует уязвимость в одной компьютерной системе, делая ее мастером DDoS-атак. Мастер-система атаки идентифицирует другие уязвимые системы и получает контроль над ними, заражая их вредоносным ПО или обходя средства аутентификации с помощью таких методов, как угадывание пароля по умолчанию в широко используемой системе или устройстве.

Компьютер или сетевое устройство, находящиеся под контролем злоумышленника, называют зомби или ботом. Злоумышленник создает так называемый командный сервер для управления сетью ботов, также называемой ботнетом. Лицо, контролирующее ботнет, называется ботмастером. Этот термин также использовался для обозначения первой системы, задействованной в ботнете, поскольку она используется для контроля распространения и активности других систем в ботнете.

Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными. Их размер может не иметь верхнего предела. После сборки ботнета злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, для наводнения целевого домена и отключения его.

Целью DDoS-атаки не всегда является единственная жертва, поскольку DDoS-атаки затрагивают многие устройства. Устройства, используемые для маршрутизации вредоносного трафика к цели, также могут страдать от снижения качества обслуживания, даже если они не являются основной целью.

Типы DDoS-атак
Существует три основных типа DDoS-атак:

  1. Сетецентрические или объемные атаки. Они перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Примером этого типа атаки является атака с усилением системы доменных имен, которая делает запросы к DNS-серверу, используя адрес Интернет-протокола (IP) цели. Затем сервер заваливает цель ответами.
  2. Протокольные атаки. Эти протоколы целевого сетевого или транспортного уровня используют недостатки в протоколах для перегрузки целевых ресурсов. Например, атака SYN-лавинной рассылки отправляет на целевые IP-адреса большой объем пакетов «запроса начального соединения» с использованием поддельных исходных IP-адресов. Это затягивает организацию протокола управления передачей, которое никогда не может завершиться из-за постоянного притока запросов.
  3. Уровень приложения. Здесь службы приложений или базы данных перегружаются из-за большого количества вызовов приложений. Избыток пакетов вызывает отказ в обслуживании. Одним из примеров этого является флуд-атака по протоколу передачи гипертекста (HTTP), которая эквивалентна многократному одновременному обновлению множества веб-страниц.

Интернет вещей и DDoS-атаки
Устройства, составляющие "Интернет вещей" (IoT), могут быть полезны законным пользователям, но в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства со встроенными вычислительными и сетевыми возможностями, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.

Устройства, подключенные к IoT, открывают большие поверхности для атак и часто уделяют минимальное внимание передовым методам безопасности. Например, устройства часто поставляются с жестко запрограммированными учетными данными для аутентификации для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения, что еще больше подвергает их атакам с использованием хорошо известных уязвимостей.

Ботнеты Iot все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn; объем атак составил более 600 гигабит в секунду. Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика со скоростью более 1 терабит в секунду. Многие ботнеты Iot, начиная с Mirai, используют элементы своего кода. Ботнет dark_nexus IoT - один из примеров.

Выявление DDoS-атак
Трафик DDoS-атак по существу вызывает проблему с доступностью. Проблемы с доступностью и обслуживанием - нормальное явление в сети. Важно уметь различать эти стандартные операционные проблемы и DDoS-атаки.

Иногда DDoS-атака может выглядеть банальной, поэтому важно знать, на что обращать внимание. Подробный анализ трафика необходим, чтобы сначала определить, имеет ли место атака, а затем определить метод атаки.

Примеры поведения сети и сервера, которые могут указывать на DDoS-атаку, перечислены ниже. Одно из этих поведений или их сочетание должно вызывать беспокойство:

  • Один или несколько определенных IP-адресов отправляют много последовательных запросов в течение короткого периода.
  • Рост трафика исходит от пользователей со схожими поведенческими характеристиками. Например, если большой объем трафика исходит от пользователей схожих устройств, одного географического местоположения или одного и того же браузера.
  • Время ожидания сервера истекает при попытке протестировать его с помощью службы проверки связи.
  • Сервер отвечает сообщением об ошибке HTTP 503, что означает, что сервер либо перегружен, либо отключен для обслуживания.
  • Журналы показывают сильный и постоянный скачок пропускной способности. Пропускная способность должна оставаться даже для нормально работающего сервера.
  • Журналы показывают скачки трафика в необычное время или в обычной последовательности.
  • Журналы показывают необычно большие всплески трафика на одну конечную точку или веб-страницу.

Такое поведение также может помочь определить тип атаки. Если они находятся на уровне протокола или сети - например, ошибка 503 - это, скорее всего, атака на основе протокола или сетевая атака. Если поведение проявляется как трафик к приложению или веб-странице, это может быть более признаком атаки на уровне приложения.

В большинстве случаев человек не может отследить все переменные, необходимые для определения типа атаки, поэтому для автоматизации процесса необходимо использовать инструменты анализа сети и приложений.

Защита и предотвращение DDoS-атак
DDoS-атаки могут создавать серьезные бизнес-риски с долгосрочными последствиями. Поэтому важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.

Когда они начнутся, остановить эти атаки практически невозможно. Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации. Сюда входит выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с DoS, и использование средств контроля сетевой безопасности, включая услуги от поставщиков облачных услуг, специализирующихся на реагировании на DDoS-атаки.

Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки в Интернете.

Примеры DDoS-атак
Помимо упомянутых ранее DDoS-атак на основе Iot, к другим недавним DDoS-атакам относятся следующие:

  • Атака на GitHub в 2018 году считается самой крупной DDoS-атакой на сегодняшний день. Атака отправила огромное количество трафика на платформу, которую миллионы разработчиков используют для публикации и обмена кодом.
  • Объемная DDoS-атака была нацелена на новозеландскую биржу в 2020 году, вынудив ее отключиться на несколько дней.
  • В 2019 году китайская DDoS-операция Great Cannon была нацелена на веб-сайт, используемый для организации демократических протестов в Гонконге, что вызвало скопление трафика на сайте. DDoS-атаки часто используются в социальных движениях не только хакерами, но и хактивистами и организациями, связанными с государством. DDoS-атаки - хороший способ привлечь внимание общественности к определенной группе или делу.
  • Также в 2020 году группы злоумышленников Fancy Bear и Armada Collective угрожали нескольким организациям DDoS-атаками, если не будет выплачен выкуп в биткойнах. Это пример того, как DDoS-атаки и программы-вымогатели используются в тандеме.

 

 

Фраза дня
Популярные посты
1
Фраза дня: CIA triad
2
Фраза дня: матрица Эйзенхауэра
3
Фраза дня: supply chain
4
Фраза дня: procure to pay (P2P)
5
Фраза дня: видеоконференции
Sign In Register