Какие бывают DDoS-атаки и почему защищаться сложнее из года в год

По данным системы активного анализа уровня угроз NETSCOUT Threat Intelligence во время пандемии произошло самое большое количество атак, которое когда-либо наблюдали наши партнеры — 4,83 миллиона DDoS-атак в первой половине 2020 года (на 15% больше, чем в 2019 году). А частота DDoS-атак увеличилась на 25% в период с марта по июнь.

Однако стоит заметить, что количество одновекторных атак за первую половину 2020 года снизилось на 43% по сравнению с тем же периодом предыдущего года. А количество сложных многовекторных (15+ векторов) атак увеличилось на 126% за последний год и на 2851% с 2017 года.

 

Подробная статистика и выводы о DDoS-атаках за первое полугодие 2020 года собрана в нашей pdf-брошюре.

Скачать брошюру

 

Таким образом, отражать DDoS-атаки становится сложнее. Подавляющее большинство DDoS-атак длится один час или меньше, а почти четверть из них длится менее пяти минут. Это означает, что компаниям необходима защита, которая может мгновенно обнаруживать и смягчать атаки до того, как будет нанесен ущерб.

Какие категории DDoS-атак бывают и в чем их опасность, разберем в этой статье.

 

Категории DDoS-атак и их опасность

От того, какую часть сети злоумышленники планируют атаковать, зависит сложность и тип DDoS-атаки. Сетевые подключения состоят из различных уровней (согласно сетевой модели OSI), DDoS-атака может быть направлена на любой из них:

L7 (уровень приложения) обеспечивает взаимодействие пользовательских приложений с сетью. Например, просмотр страниц с помощью протокола HTTP.

L6 (уровень представления) обеспечивает преобразование протоколов и кодирование/декодирование данных. Этот уровень работает на основе протоколов сжатия и кодирования данных (ASCII, EBCDIC).

L5 (сеансовый уровень) обеспечивает поддержку сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Основные протоколы этого уровня — SMPP и PAP.

L4 (транспортный уровень) обеспечивает надежную передачу данных от отправителя к получателю. Основные протоколы этого уровня — UDP и TCP.

L3 (сетевой уровень) отвечает за трансляцию логических адресов и имён, коммутацию и маршрутизацию. Работает по протоколу IP (Internet Protocol).

L2 (канальный уровень) обеспечивает взаимодействие сетей на физическом уровне. Работает через коммутаторы и концентраторы.

L1 (физический уровень) определяет метод передачи данных, представленных в двоичном виде, от одного устройства к другому. Работает благодаря протоколам Ethernet, Bluetooth, Wi-Fi, IRDA.

Киберпреступники могут атаковать любой из семи уровней, но наиболее часто подвергаются атакам L3 и L4 (низкоуровневые атаки), а также L5 и L7 (высокоуровневые атаки).

 

DDoS-атаки могут иметь смешанный характер, однако можно выделить три категории:

  • атаки на уровне приложений;
  • атаки на уровне протокола;
  • объемные атаки.

Разберем каждую категорию с примерами атак.

 

Атаки на уровне приложений

Атаки на уровне приложений особенно разрушительны и трудны для выявления, так как могут имитировать легитимный трафик. Они предназначены для перегрузки элементов инфраструктуры сервера приложений и выведении их из строя. На этом уровне киберпреступники используют ресурсозатратные вызовы и взаимосвязи приложений, провоцируя систему атаковать себя же.

Взлом BGP (Border Gateway Protocol) нацелен на протокол шлюза, используемый для стандартизации данных маршрутизации и обмена информацией, связан с изменением IP-маршрутов. Эта атака направлена ​​на маршрутизацию интернет-трафика в непредусмотренный пункт назначения.

Атака Slowloris (сессионная атака) нацелена на запросы HTTP-соединения, чтобы поддерживать как можно больше одновременных соединений. Киберпреступники открывают множество соединений и держат каждое из них открытым как можно дольше — до момента таймаута. В результате замедляется работа серверов и игнорируются запросы реальных пользователей.

Медленная POST-атака основана на отправке правильно заданных заголовков HTTP POST на сервер, но тело заголовка передается с очень низкой скоростью, обрывая связь на одном из моментов и начиная новое соединение. Поскольку заголовок сообщения правильный, сервер отвечает на запрос. В результате сервер открывает множество таких соединений, расходуя ресурсы.

Атака медленного чтения по принципу напоминает медленную POST-атаку, но в обратном направлении. Разница в том, что в случае POST-атаки медленно отправляется тело сообщения, а в случае атаки медленного чтения — HTTP-запросы намеренно принимаются и читаются с очень низкой скоростью. Сервер должен держать такие запросы открытыми — это увеличивает нагрузку.

Low and slow атака основана на небольшом потоке очень медленного трафика. Этим методом киберпреступники постепенно перегружают серверы, в результате чего запросы реальных пользователей на подключение отклоняются. Для таких атак необходима небольшая полоса пропускания и их трудно предотвратить, так как генерируется трафик аналогичный трафику реальных пользователей.

POST-атака с большой полезной нагрузкой основана на использовании расширяемого языка разметки XML. Сервер получает измененные киберпреступниками данные в кодировке XML. Фактический размер таких данных в разы больше, поэтому когда они попадают на сервер, его память значительно заполняется.

Имитация просмотра страниц. Этот тип DDoS-атак имитирует паттерны поведения реальных пользователей на страницах приложения, что приводит к резкому увеличению количества посетителей и усложняет возможность отсеивать легитимный трафик от трафика ботнета.

 

Атаки на уровне протокола

Атаки на уровне протокола расходуют ресурсы сервера или оборудования. В этом случае задача киберпреступников — исключить возможность обрабатывать пакеты реальных пользователей, отправляя на сервер вредоносные пакеты.

SYN flood использует уязвимости в системе установления связи TCP, а именно: SYN-запросы, SYN-ACK и пакеты ACK. На сервер отправляется SYN-запрос, на который сервер отвечает сообщением SYN-ACK. Сервер в ответ ожидает пакет ACK от пользователя, но оборудование киберпреступника настроено таким образом, чтобы пакет ACK никогда не приходил. Большое количество таких запросов может вызвать сбой на сервере.

Атака фрагментированными пакетами (TearDrop) нацелена на максимально возможную пропускную способность протокола TCP/IP. Киберпреступники отправляют множество фрагментированных пакетов на сервер жертвы, но во время передачи происходит смещение пакетов, а при сборке пакетов — перекрытие. Такое перекрытие приводит к ошибке на сервере и аварийному завершению системы.

Smurf DDoS-атака основана на отправке запросов большому количеству устройств сети, используя IP-адрес жертвы. Киберпреступники, используя широковещательные сетевые рассылки, отправляют поддельный запрос с адресом жертвы на разные устройства. Получив такой запрос, эти устройства отвечают, создавая усиленный трафик в адрес устройства жертвы.

 

Объемные атаки

Объемные атаки направлены на превышение пропускной способности канала. Мощность объемных DDoS-атак измеряется в количестве бит за единицу времени. Наиболее эффективная защита от таких атак — очистка трафика на уровне, например, операторов связи. Наш сервис, Internet Umbrella, обеспечивает защиту от DDoS-атак мощностью до 5 Тб/с при грубой очистке и до 300 Гб/с при тонкой очистке.

HTTP flood перегружает сервер огромным количеством HTTP-запросов, например, для получения тяжёлых элементов сайта. Запросы подбираются таким образом, чтобы ответ был максимальным по объему. В результате обратный канал от сервера к клиентам перегружается трафиком HTTP-ответов.

ICMP flood основан на отправке большого количества вредоносных ICMP пакетов с разных IP-адресов, перегружая сервер поддельными запросами. Каждый раз, когда сервер получает такой запрос, он должен диагностировать состояние своей сети. В результате сам поток ICMP запросов перегружает входящий канал.

UDP flood использует большое количество запросов UDP с различных адресов, в результате чего сервер оказывается переполненным вредоносными UDP пакетами, загружая ими всю линию соединения.

Атака с усилением (DNS amplification) основана на отправке множества запросов с поддельными IP-адресами от имени жертвы на DNS-сервер. Такие запросы требуют объемных ответов, которые и направляются на сайт жертвы.

 

Защищаться становится сложнее

В первом полугодии средняя продолжительность атак снизилась на 51% по сравнению с первым полугодием 2019 года. Более короткие атаки требуют меньше ресурсов киберпреступников и осложняют реагирование на такие инциденты со стороны специалистов по кибербезопасности.

Одновременно с этим количество многовекторных (15+ векторов) атак увеличилось на 2851% по сравнению с 2017 годом. Еще три года назад такие атаки считались статистическими выбросами в общем количестве инцидентов.

DDoS-атаки стали более короткими и сложными. В результате у специалистов по ИБ остается меньше времени и ресурсов на их отражение. Это доказывает необходимость уже сейчас начать применять передовые и автоматизированные технологии защиты от DDoS-атак.

Например, NETSCOUT — наш партнер и поставщик решений для защиты от DDoS-атак Arbor Networks, предоставляет обновляемую аналитику угроз о DDoS-атаках со всего мира. Благодаря автоматической доставке обновлений и подстройке защиты нашим центром SOC мы можем оперативно отражать новые угрозы со стороны ботнетов и вредоносных программ.

 

Источники:
https://www.netscout.com/blog
https://orangecyberdefense.com
Justinas Mazura, What is a DDoS attack?, https://cybernews.com/
 

Илья Янгляев

Старший специалист сектора кибербезопасности. С 2013 года в Orange Business Services. Являюсь экспертом по защите от DDoS-атак на уровне провайдера. Имею богатый опыт анализа сетевого трафика, работаю с оборудованием Arbor, Checkpoint, Cisco, Fortinet. Сертифицированный специалист Arbor, Checkpoint, Cisco. Ко мне можно обращаться по вопросам обнаружения и подавления DDoS-атак различной сложности.