Skip to content Skip to navigation Skip to footer

DoS-атака и DDoS-атака

Атака типа «отказ в обслуживании» (DoS) заполняет сервер трафиком, делая веб-сайт или ресурс недоступным. Распределенная атака типа «отказ в обслуживании» (DDoS) — это DoS-атака, которая использует несколько компьютеров или машин для переполнения целевого ресурса. Оба типа атак перегружают сервер или веб-приложение с целью прерывания работы сервисов. 

Поскольку на сервер поступает больше пакетов протокола управления передачей/протокола пользовательских датаграмм (TCP/UDP), чем он может обработать, он может выйти из строя, данные могут быть повреждены, а ресурсы могут быть неправильно ориентированы или даже исчерпаны настолько, что парализуют систему.

В чем разница между DoS и DDoS атаками?

Основное различие между DoS и DDoS состоит в том, что первая является атакой системы на систему, а вторая включает несколько систем, атакующих одну систему. Однако существуют и другие различия, связанные либо с их природой, либо с их обнаружением, в том числе:

  1. Простота обнаружения/устранения последствий. Поскольку DoS-атака исходит из одного места, то легче обнаружить ее происхождение и разорвать подключение. На самом деле, это может сделать квалифицированный брандмауэр. С другой стороны, DDoS-атака происходит из нескольких удаленных мест, скрывая ее происхождение.
  2. Скорость атаки. Поскольку DDoS-атака происходит из нескольких местоположений, она может быть развернута гораздо быстрее, чем DoS-атака, которая возникает из одного местоположения. Повышенная скорость атаки затрудняет ее обнаружение, что означает увеличение урона или даже катастрофический результат. 
  3. Объем трафика. DDoS-атака использует несколько удаленных машин (зомби или ботов), что означает, что она может одновременно отправлять гораздо больше трафика из различных мест, быстро перегружая сервер таким образом, чтобы исключить обнаружение.
  4. Способ выполнения. DDoS-атака координирует несколько хостов, зараженных вредоносным ПО (ботами), создавая ботнет, управляемый командно-контрольным сервером (C&C). В отличие от этого, DoS-атака обычно использует скрипт или инструмент для выполнения атаки с одного компьютера.
  5. Отслеживание источника(ов). Использование ботнета в DDoS-атаке означает, что отслеживание фактического происхождения гораздо сложнее, чем отслеживание DoS-атак.

Типы DoS и DDoS-атак

DoS и DDoS-атаки могут принимать различные формы и использоваться для различных целей. Это может быть желание заставить компанию потерять бизнес, нанести ущерб конкуренту, отвлечь внимание от других атак или просто создать проблемы или заявить о себе. Ниже перечислены некоторые распространенные формы таких атак.

Каплевидная атака

Каплевидная атака — это DoS-атака, которая посылает в сеть бесчисленные фрагменты данных интернет-протокола (IP). Когда сеть пытается перекомпилировать фрагменты в исходные пакеты, она не может это сделать. 

Например, злоумышленник может брать очень большие пакеты данных и разбивать их на несколько фрагментов, которые атакуемая система должна собрать заново. Однако злоумышленник изменяет способ разборки пакета, чтобы запутать атакуемую систему, которая затем не может повторно собрать фрагменты в исходные пакеты.

Лавинная адресация

Атака с лавинной адресацией — это DoS-атака, которая посылает несколько запросов на соединение с сервером, но затем не отвечает, чтобы завершить процедуру подтверждения подключения.

Например, злоумышленник может отправлять различные запросы на подключение в качестве клиента, но когда сервер пытается установить связь для проверки подключения, злоумышленник отказывается отвечать. Повторяя этот процесс бесчисленное количество раз, сервер становится настолько переполнен ожидающими запросами, что реальные клиенты не могут подключиться, и сервер становится «занят» или даже выходит из строя.

Атака фрагментации IP-адреса

Фрагментация IP-адреса — это тип DoS-атаки, который доставляет измененные сетевые пакеты, которые принимающая сеть не может собрать повторно. Сеть перегружается громоздкими несобранными пакетами, используя все свои ресурсы.

Объемная атака

Объемная атака — это тип DDoS-атаки, направленной на ресурсы пропускной способности. Например, злоумышленник использует ботнет для отправки большого объема пакетов запросов в сеть, перегружая ее пропускную способность эхо-запросами протокола управляющих сообщений (ICMP). Это приводит к замедлению работы сервисов или их полному прекращению.

Протокольная атака

Атака протокола — это тип DDoS-атаки, использующий уязвимости в уровнях 3 и 4 стандарта OSI. Например, злоумышленник может использовать последовательность TCP-соединений, отправляя запросы, но либо не получая ожидаемого ответа, либо отвечая другим запросом, используя поддельный IP-адрес источника. Неотвеченные запросы расходуют ресурсы сети до тех пор, пока она не станет недоступной.

Атака на основе приложений

Атака на основе приложений — это тип DDoS-атаки, нацеленный на уровень 7 стандарта OSI. Примером может служить атака Slowloris, при которой злоумышленник отправляет частичные запросы протокола передачи гипертекста (HTTP), но не завершает их. HTTP-заголовки периодически отправляются для каждого запроса, что приводит к перегрузке сетевых ресурсов. 

Атакующий продолжает до тех пор, пока сервер не сможет установить новые соединения. Этот тип атаки очень трудно обнаружить, потому что вместо отправки поврежденных пакетов он отправляет частичные пакеты, и он использует небольшую полосу пропускания или вообще не использует ее.

Как улучшить защиту от DoS- и DDoS-атак

Ниже приведены некоторые передовые методы защиты от DoS и DDoS-атакна высоком уровне: 

1.         Непрерывный мониторинг сети: это полезно для выявления нормальных схем трафика и крайне важно для раннего обнаружения и смягчения последствий.

2.         Проведение тестов для моделирования DoS-атак: это поможет оценить риск, выявить уязвимости и обучить сотрудников кибербезопасности.

3.         Создание плана защиты: создайте контрольные списки, сформируйте группу реагирования, определите параметры реагирования и разверните защиту.

4.         Выявление критически важных систем и нормальных схем трафика: первое помогает в планировании защиты, а второе помогает в раннем выявлении угроз.

5.         Предоставление дополнительной пропускной способности: возможно, это не остановит атаку, но поможет сети справиться со скачками трафика и уменьшить последствия любой атаки.

DDoS-атаки развиваются, становятся все более изощренными и мощными, поэтому организациям требуются решения, использующие комплексные стратегии — например, передовые инструменты отчетности и аналитики — для одновременного мониторинга бесчисленных параметров угроз. Чтобы защитить организацию от известных атак и подготовиться к потенциальным атакам нулевого дня, необходима многоуровневая защита от DDoS-атак, например FortiDDoS

FortiDDoS включает в себя приложение Fortinet для смягчения DDoS-атак, которое обеспечивает непрерывную оценку угроз и защиту безопасности на уровнях 3, 4 и 7.