DDoS-атака (Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — разновидность DoS-атаки, при которой целевой сервер, сервис или сеть перегружают трафиком, исходящим из нескольких источников (например, с группы устройств). Как и при любой другой DoS-атаке, цель DDoS — сделать систему жертвы недоступной.
Чаще всего в DDoS-атаках используются ботнеты — сети удаленно управляемых устройств, зараженных вредоносным ПО. По команде с управляющего сервера устройства начинают направлять запросы на целевой ресурс, вызывая временный отказ в обслуживании. Ботнет может состоять как из персональных компьютеров, так и, например, из устройств «интернета вещей» (IoT).
Как обнаружить DDoS-атаку
При успешной DDoS-атаке целевой ресурс оказывается недоступен или откликается с задержкой. Однако однозначно говорить о DDoS-атаке, опираясь только на этот факт, нельзя, поскольку замедление и отключение ресурса может возникать и по другим причинам, например из-за программного сбоя или резкого роста легитимного трафика. Поэтому DDoS-атаки выявляют с помощью инструментов сетевого анализа. К признакам DDoS-атаки относятся:
- подозрительный трафик, который исходит от IP-адресов одного диапазона или от устройств с похожими характеристиками (тип устройства, геолокация, версия браузера и т. д.);
- множество запросов к конкретным веб-страницам, портам или устройствам.
Типы DDoS-атак
Существует несколько классификаций DDoS-атак, в частности:
- Классификация по протоколам, которые используют злоумышленники: TCP-флуд, UDP-флуд, HTTP-флуд, ICMP-флуд и др.
- Классификация по уровням модели Open System Interconnection (OSI, модель взаимодействия открытых систем). Модель распределяет взаимодействия между различными устройствами в сети по семи уровням. Чаще всего DDoS-атаки происходят на одном из трех уровней OSI: сетевом (L3), транспортном (L4) и прикладном (L7, уровне приложений).
- Классификация по механизму действия. DDoS-атаки можно разделить на атаки, нацеленные на истощение пропускного канала, и атаки, нацеленные на истощение ресурса. К первым относятся атаки типа флуда (перегрузка канала большим количеством пакетов) и атаки с амплификацией (когда злоумышленники отправляют запросы не напрямую к целевому ресурсу, а к некоему сервису-посреднику, часто от имени жертвы; в этом случае канал перегружают ответы от этого сервиса). Во вторую группу входят атаки, эксплуатирующие уязвимости сетевых протоколов, атаки с отправкой некорректно сформированных пакетов данных и т. д.
Цели DDoS-атак
Мотивы, которыми руководствуются совершающие DDoS-атаки злоумышленники, можно условно разделить на две группы:
- Коммерческие: вымогательство, борьба с конкурентами, продажа собственных разработок по защите от DDoS и т. д.
- Некоммерческие: хактивизм, месть, срыв занятий в школе или вузе, развлечение и другие.
Вне зависимости от цели DDoS-атаки являются преступлением и преследуются по закону.
Защита от DDoS-атак
Для защиты веб-ресурсов от DDoS-атак существуют специализированные решения, анализирующие и фильтрующие трафик. Также для противодействия DDoS могут применяться различные ограничения, например запрет на обработку запросов из определенных регионов, от определенного списка IP-адресов, ограничение числа запросов из одного источника за единицу времени и т. д.