DDoS (Distributed Denial of Service) са широкоразпространени атаки в днешни дни. Тяхната цел е да наруши работата на сървърните услуги/приложения и по този начин да доведе до ограничаване на достъпа на потребителите до тях по време на атаката. Целта е да се спре работата на конкретен сайт и съответно публичен достъп до информация или критична оперативна функционалност, а това от своя страна да доведе до огромни финансови щети за собственика и дори дългосрочно разрушаване на репутацията и бизнеса.

Най-ефективни са атаките на ниво мрежа, тъй като чрез тях се запълва капацитета на мрежата. Докато трае атаката, мрежата е блокирана и се стига до невъзможност за обслужване на посещенията на сайта или приложението. В същото време е невъзможно да се филтрира на локално ниво, нито има софтуерно решение за митигация, тъй като физически мрежовия канал е запълнен още преди да достигне сървъра. Освен това, тези атаки се осъществяват с много нисък разход, а решенията за защитата от тях често са скъпи, тъй като е необходимо осигуряване на голям мрежови капацитет и най-често допълнителна отделна облачна услуга за защита.

Факт е, че DDoS атаките в повечето случаи не продължават много дълго - средната продължителност е 30 минути, но тези, които нанасят сериозни щети обикновено са няколко часа и дори може да продължат няколко дни. Една от най-големите DDoS атаки бе регистрирана през февруари 2018 година и тя беше насочена срещу платформата за разработчици GitHub, като нейния капацитет е достигнал 1.3 Tb/s. Атаката е филтрирана благодарение на услугите за защита предоставени от Akamai Prolexic - специална платформа за защита от атаки с голям капацитет, която Github използват.

Какво представлява една DDoS атака?

При нормални обстоятелства и реален трафик към сървъра, потребителските интерфейси си комуникират със сървърното приложение без забавяне и проблеми, обменя се информация и възможностите на сървъра са достатъчни за обслужване на заявките, включително и при пикове.

По време на DDoS атака, множество компютърни устройства, които са заразени и управлявани едновременно (наричани ботнет мрежа), изпращат множество заявки към сървъри или уеб приложения с цел да ги претоварват и изразходят капацитета на мрежата. Тъй като зловредният трафик се смесва с легитимния, става трудно да се ограничи атаката, без да има погрешно ограничаване за реалните потребители.

Когато атаката е извършена от самостоятелен източник се нарича DoS атака.

Какви са най-честите видове DoS и DDoS атаки?

Съществуват много видове DDoS атаки, регистрирани до момента. Злонамерените извършители постоянно усъвършенстват алгоритмите, които използват, за да се маскират заявките и трафика като легитимен и така DDoS атаката да бъде по-успешна и трудна за филтриране.

Ще разгледаме най-честите срещани видове DoS/DDoS атаки. 

  • UDP flood DDoS атака
    С тази атака се “наводнява” мрежовия канал на сървъра , чрез изпращане на едновременно и много на брой UDP пакети към сървъра. Целта е да се осъществи атака с по-голям капацитет отколкото може да приеме мрежата на сървъра и така да се блокира достъпа. Нарича се UDP flood.

  • SYN flood атака
    Тази атака се използва слабост в протокола TCP. За да се осъществи връзка се следва така наречения three-way handshake. Атакуващият изпраща първоначалния пакет (SYN) от фалшив IP адрес, след това приемащия сървър отговаря (SYN-ACK), че е получил пакета и е отворил връзка, която е в изчакване. Тъй като IP адреса, на който отговоря не е реален, комуникацията не се осъществява, връзката не се затваря и стои в изчакване. Така атакуващия изпраща много такива пакети от различни фалшиви IP адреси и изразходва системния ресурс за броя едновременно отворени връзки. Когато това се случи, сървърът не може да приема повече нови връзки и той става недостъпен. 

  • Slowloris атака
    Това е DoS атака, която може лесно да се извърши от самостоятелен компютър посредством софтуерно приложение и има възможност да наруши работата на атакувания уеб сървър. Slowloris опитва да задържи отворени много на брой връзки към уеб сървъра, като изпраща частични заявки периодично. Така с малко ресурси може да се претовари уеб сървъра и да се наруши възможността да обслужва посетителите.

  • Amplification атака
    Amplification атаките са от типа на UDP flood и обичайно използват DNS и NTP протоколите за значително засилване на размера на атаката. Обикновено се изпраща заявка към множество публични DNS сървъри, която е малка по-размер (например 20 байта), но отговорът е няколко пъти по-голям (например 150 байта) и за подател се поставя IP адреса на жертвата, така че отговорът да се получи на него. Така с хиляди заявки в секунда може с малък мрежови ресурс, например 1 Gbps, да се извърши UDP flood в размер на 20 Gbps.

  • HTTP атака (layer 7 attack)
    Тази атака симулира реални посетители и трафик към Вашия сайт, чрез изпращането на GET и POST заявки. Целта на атаката е посетителите на сайта да станат прекалено много и по този начин уеб сървъра да не успее да обработи и отговори на всички посещения.

  • Атака чрез уязвимост в приложението
    DDoS атака може да се изпълни и чрез уязвимост в софтуера, който е инсталиран на сървъра, например отдалечено изпълнение на код по легитимен начин, който обаче спира приложението.

В следващата ни статия ще разгледаме и какви са най-ефективните методи за защита от DDoS атаки и тяхното смекчаване.

Открили сте техническа грешка? Докладвайте ни като селектирате грешната дума/и и натиснете CTRL + ALT + M. Благодарим Ви!