Что такое DDoS-атака?

[DarthWader]

Что такое DDoS-атака?
Пример мужчины, запускающего DDoS-атаку.
DDoS-атака - это отправка большого количества запросов на веб-ресурс, в результате чего может произойти прекращение работы ресурса – «отказ в обслуживании» или DoS (Denial-of-service).

Существует множество киберугроз, которых следует опасаться интернет-пользователям и сетевым администраторам, но для организаций, чьи сервисы в основном работают в режиме онлайн, одной из самых важных атак, о которой следует знать, ввиду ее растущей распространенности, являются атаки типа «распределенный отказ в обслуживании» (DDoS). Как они работают и есть ли способы их предотвратить


DDoS-атаки (распределенный отказ в обслуживании)
Этот тип кибератак, который иногда называют распределенными сетевыми атаками, использует определенные ограничения пропускной способности, которые применяются к любым сетевым ресурсам, например, к инфраструктуре, обеспечивающей работу веб-сайта компании. DDoS-атака будет отправлять множественные запросы на атакуемый веб-ресурс с целью превышения возможностей веб-сайта по обработке множественных запросов и воспрепятствования его корректной работе. Типичными целями DDoS-атак являются сайты электронной коммерции и любые организации, предлагающие онлайн-услуги.

Как это работает?
Сетевые ресурсы, такие как веб-серверы, имеют конечное ограничение на количество запросов, которые они могут обслуживать одновременно. Помимо ограничения емкости сервера, канал, соединяющий сервер с Интернетом, также будет иметь конечную пропускную способность или емкость. Всякий раз, когда количество запросов превышает пределы пропускной способности любого компонента инфраструктуры, уровень обслуживания, скорее всего, пострадает.

Обычно целью злоумышленника в любом примере DDoS-атаки является перегрузка сервера веб-ресурса, что приведет к невозможности его нормальной работы и полному отказу в обслуживании. Злоумышленник также может потребовать плату за прекращение атаки. В некоторых случаях ддос-атака может даже представлять собой попытку дискредитировать или нанести ущерб бизнесу конкурента.

Для осуществления атаки злоумышленник захватывает контроль над сетью или устройством, заражая его вредоносным ПО , создавая ботнет . Затем они инициируют атаку, отправляя ботам определенные инструкции. В свою очередь, ботнет начинает отправлять запросы на целевой сервер через его IP-адрес , перегружая его и вызывая отказ в обслуживании его обычного трафика.

 

[DarthWader]

Примеры DDoS-атак: какие существуют типы атак?
Изучение значения DDoS-атак и принципов их работы — это один из шагов к их предотвращению, но также важно понимать, что существуют различные типы DDoS-атак. Для этого необходимо сначала описать, как формируются сетевые соединения.

Модель взаимодействия открытых систем (OSI), разработанная Международной организацией по стандартизации, определяет семь отдельных уровней, из которых состоят сетевые соединения в Интернете. К ним относятся физический уровень, уровень канала передачи данных, сетевой уровень, транспортный уровень, сеансовый уровень, уровень представления и прикладной уровень.

Многочисленные примеры DDoS-атак различаются в зависимости от того, на какой уровень соединения они нацелены. Ниже приведены некоторые наиболее распространенные примеры.

Атаки на уровне приложений
Иногда их называют атакой уровня 7 (потому что они нацелены на 7 -й (прикладной) уровень модели OSI). Такие атаки истощают ресурсы целевого сервера с помощью DDoS-сайтов. На 7 -м уровне сервер генерирует веб-страницы в ответ на HTTP-запрос. Злоумышленники выполняют многочисленные HTTP-запросы, перегружая целевой сервер, поскольку он отвечает за загрузку многочисленных файлов и выполнение запросов к базе данных, необходимых для создания веб-страницы.

HTTP-флуд
Представьте себе эти DDoS-атаки как многократное обновление веб-браузера на многих компьютерах. Это создает «поток» HTTP-запросов, вызывающий отказ в обслуживании. Реализация этих атак может быть простой — с использованием одного URL-адреса с узким диапазоном IP-адресов — или сложной, с использованием массива IP-адресов и случайных URL-адресов.

Атаки на протоколы​

Эти DDoS-атаки, часто называемые атаками истощения состояния, используют уязвимости на 3 -м и 4 -м уровнях модели OSI (сетевой и транспортный уровни). Эти атаки приводят к отказу в обслуживании за счет перегрузки ресурсов сервера или сетевого оборудования, например брандмауэров . Существует несколько типов атак на протоколы, включая SYN-флуд. Они используют протокол TCP (протокол управления передачей), который позволяет двум устройствам установить сетевое соединение, отправляя неуправляемое количество «начальных запросов на подключение» TCP с поддельных IP-адресов.

Объемные атаки​

Эти примеры DDoS-атак создают отказ в обслуживании, используя всю доступную полосу пропускания на целевом сервере путем отправки огромных объемов данных для создания всплеска трафика на сервере.

DNS-амплификация​

Это атака на основе отражения, при которой запрос отправляется на DNS-сервер с поддельного IP-адреса (целевого сервера), побуждая DNS-сервер «перезвонить» цели для проверки запроса. Это действие усиливается за счет использования ботнета, который быстро перегружает ресурсы целевого сервера.

Обнраужение DDoS-атаки​

DDoS-атаки бывает сложно обнаружить, поскольку они могут имитировать обычные проблемы с обслуживанием и становятся все более изощренными. Однако существуют определенные признаки, которые могут указывать на то, что система или сеть стала жертвой DDoS-атаки. Перечислим некоторые из этих приложений и продуктов.

• Внезапный всплеск трафика, исходящего с неизвестного IP-адреса
• Поток трафика от многочисленных пользователей, имеющих определенные сходства, например, геолокацию или версию веб-браузера.
• Необъяснимый рост запросов на одну страницу
• Необычные схемы движения
• Нетипично замедленная работа в сети.
• Служба или веб-сайт, который внезапно и без причины отключается

 

[DarthWader]

Предотвращение и смягчение последствий DDoS-атак
Хотя DDoS-атаки сложно обнаружить, можно реализовать ряд мер, чтобы попытаться предотвратить подобные типы кибератак и смягчить любой ущерб в случае атаки. Для пользователей, интересующихся тем, как предотвратить DDoS-атаки, главное — создать план действий по защите систем и минимизации ущерба в случае атаки. В целом, для предприятий полезно внедрить такое решение, как защита от DDoS-атак Kaspersky , которое постоянно анализирует и перенаправляет вредоносный трафик. Кроме того, следующие общие советы могут помочь еще больше усилить вашу защиту:

Оцените текущую настройку системы, включая программное обеспечение, устройства, серверы и сети, чтобы выявить риски безопасности и потенциальные угрозы, а затем примите меры по их снижению; проводите регулярные оценки рисков.
Поддерживайте все программное обеспечение и технологии в актуальном состоянии, чтобы быть уверенными в наличии последних исправлений безопасности.
Разработать эффективную стратегию предотвращения, обнаружения и смягчения последствий ддос-атак.
Убедитесь, что все участники плана по предотвращению атак понимают значение DDoS-атаки и свои назначенные роли.
В случае атаки эти действия могут обеспечить некоторое смягчение последствий:

Сети Anycast: использование сети Anycast для перераспределения трафика может помочь сохранить работоспособность сервера во время устранения проблемы, гарантируя, что сервер не придется полностью отключать.
Маршрутизация по принципу «черной дыры». В этом сценарии сетевой администратор интернет-провайдера перенаправляет весь трафик с целевого сервера на маршрут «черной дыры» (целевой IP-адрес), исключая его из сети и сохраняя его целостность. Однако это может оказаться слишком радикальным шагом, поскольку он также блокирует легитивный трафик
Ограничение скорости: ограничивает количество запросов, которые сервер может принять в любой момент времени. Хотя само по себе это не будет очень эффективным, оно может быть полезным как часть более крупной стратегии.
Межсетевые экраны: организации могут использовать межсетевые экраны веб-приложений (WAF) в качестве обратного прокси-сервера для защиты своих серверов. WAF можно настроить с помощью правил фильтрации трафика, и администраторы могут изменять их в режиме реального времени, если подозревают DDoS-атаку.

 

[DarthWader]

Последствия DDoS-атак для бизнеса
DDoS‑атаки даже самого низкого уровня — крайне нежелательное испытание для любой ИТ‑системы. Мы уже объяснили, что в результате успеха любого типа вмешательства сервис просто перестаёт работать, и вы и ваши клиенты не можете им пользоваться. За этим следует остановка бизнес‑процессов, снижение доверия и лояльности со стороны покупателя, репутационные потери и потеря потенциальный прибыли. Но есть и другие угрозы:

Риск кражи конфиденциальных данных

Сведение на нет результатов поисковый оптимизации сайта и снижение его позиций в выдаче

Финансовые убытки, связанные с восстановлением ИТ‑инфраструктуры, и многие другие

Ущерб от действий хакеров может быть достаточно большим. Поэтому во время использования некоторых сайтов или сервисов (например, у Яндекса) иногда вы можете сталкиваться с уведомлением о том, что ваши запросы похожи на автоматические, и просьбой пройти капчу — так система пытается бороться с потенциальной угрозой DDoS‑атак.
Что можно сделать самому
Выбрать надёжного интернет-провайдера, в пакет услуг которого входит хорошая защита от внешних угроз и круглосуточная техническая поддержка

Использовать только лицензированное ПО от проверенных разработчиков, своевременно его обновлять и делать резервные копии сайта

Тестировать свою инфраструктуру на уязвимости, создать многоуровневую систему доступа к серверу и усложнить несанкционированные подключение со строгой раздачей полномочий между сотрудниками

Не пренебрегать брандмауэрами для фильтрации входящего трафика, подключать на сайт капчу для предотвращения спама и очищать кэш DNS

Что можно найти у специалистов
На рынке решений для защиты инфраструктур от DDoS-атак представлен немалый выбор хороших, проверенных временем вариантов – мы рассмотрим лишь некоторые из них.

DDOS-GUARD
В 2022 году DDOS-GUARD защитили проекты своих клиентов (более 300 000) почти от 600 000 DDoS-атак. Компания предлагает бизнесу защиту сайтов, защищённый выделенный сервер и хостинг, WAF для отслеживания вредоносных манипуляций и ещё много других решений, которые помогут уберечь критические инфраструктуры.

 

[Reiman]

Совершена и отражена самая мощная DDoS-атака в истории​

Специалисты по киберзащите из компании Cloudflare рассказали о крупнейшей на сегодняшний день DDoS-атаке, мощность которой доходила до 5,6 ТБ/с. Кибератака осуществлялась с помощью Mirai-ботнета, в который входят 13 тыс. взломанных устройств. Прошлый же рекорд в области кибератак был установлен осенью 2024 г., тогда мощность атаки достигла 3,8 ТБ/с.

Рекордная DDoS-атака​

Компания Cloudflare зафиксировала рекордную кибератаку типа DDoS с пиковым значением 5,6 ТБ/с, об этом говорится в материале на сайте ИТ-компании.

По данным Cloudflare, ИТ-атака осуществлялась с помощью ботнета Mirai, в который входят 13 тыс. взломанных устройств. Изначально три молодых хакеры Парас Джа (Paras Jha), Далтон Норман (Dalton Norman) и Джосайя Уайт (Josiah White) создали Mirai как часть аферы в игре Minecraft. Их первоначальная цель состояла в том, чтобы запустить схему вымогательства путем отключения серверов Minecraft и начать защитный рекет. После того как пользователь сети под ником Anna Senpai, которого следователи считают псевдонимом Параса Джа, опубликовал исходный код Mirai в сети, и ботнет мутировал. Mirai - это японское имя, которое в переводе означает «будущее». Согласно чату между Anna Senpai и исполнительным директором Робертом Коэльо (Robert Coelho) ProxyPipe, ботнет Mirai был назван в честь японского аниме-сериала Mirai Nikki.



Unsplash - Wesley Ford
Cloudflare отразила рекордную кибератаку мощностью 5,6 ТБ/с
По данным Cloudflare, UDP-атака произошла еще 29 октября 2024 г. и была нацелена на неназваного интернет-провайдера из Восточной Азии. С помощью DDoS хакеры пытались увести ИТ-сервисы цели в оффлайн. ИТ-атака длилась всего 80 секунд, не оказала практически никакого влияния на компанию-жертву и не спровоцировала никаких предупреждений, поскольку обнаружение и устранение ИТ-инцидента произошли в автономном режиме.

Сloudflare


Распределение гиперобъемных DDoS-атак L3/4
Специалисты отмечают, что дарквеб часто воспринимается как мир без правил, однако в действительности индустрия работает по принципам легального рынка. Например, высокая конкуренция стимулирует продавцов постоянно улучшать товары и услуги, выстраивать доверительные отношения с клиентами, укреплять свои бизнес-позиции. Кроме того, в дарквебе широко используются инструменты маркетинга для привлечения заказчиков: так, например, один из дарк-форумов запустил акцию в честь черной пятницы, предложив скидку 50% на все тарифные планы, в том числе повышение привилегий аккаунта. Площадки на киберпреступном рынке стремятся и защитить собственные системы от атак, например для безопасности пользовательских данных и средств они проводят программы багбаунти и внедряют гарант-сервисы.

 

[Reiman]

Правительство РФ подготовило поправки к Уголовному кодексу. Документ вводит ответственность за DDoS‑атаки. Максимальное наказание — штраф до 2 млн рублей или до восьми лет лишения свободы. Также возможен запрет на определенные должности до трех лет. Наказание будет применяться за умышленные действия, которые привели к сбоям в работе цифровых систем. Исключение — если атака была направлена на ресурсы, доступ к которым запрещён или ограничен законом.

Сгенерировано в Leonardo.Ai
Поправки стали частью второго пакета мер по борьбе с киберпреступностью. Его готовят в Минцифры совместно с другими ведомствами и представителями отрасли. Пакет затрагивает около десяти федеральных законов. Документ еще обсуждают, и он может измениться.

С 1 июня 2025 года в России вступил в силу первый закон из этой серии. Он касается телефонного и интернет‑мошенничества. В нем более 30 мер: создание системы «Антифрод», маркировка звонков, запрет на иностранные мессенджеры для общения с гражданами и запрет на передачу сим‑карт.

Новый пакет получил неофициальное название «Антифрод 2.0». В нем — изменения в Уголовный, Уголовно‑процессуальный и Административный кодексы.

Вице‑премьер Дмитрий Григоренко сообщил, что цель этих мер — защита граждан и борьба с мошенничеством.

В проекте предлагается новая статья УК — 272.2. Она касается злостного воздействия на цифровые и телекоммуникационные системы. Под это подпадают DDoS‑атаки. В проекте сказано, что наказание применяется за действия, связанные с блокировкой или уничтожением информации, если это привело к серьезным последствиям.

Юристы и специалисты по кибербезопасности считают, что важно точно определить, что считать атакой. Важно учитывать умысел, используемые технологии и последствия. Без этого под закон могут попасть и обычные пользователи, которые случайно создали нагрузку.

Пример уголовного дела за DDoS уже был. В 2013 году Павла Врублевского осудили за организацию атаки на сайт Assist. Тогда применили статью о неправомерном доступе к информации.

Юристы подчеркивают, что для применения закона важно точно определить признаки атаки. Например: использование бот‑сетей, повторяющиеся действия с одного IP, координация действий, применение специального ПО и причиненный ущерб.

Эксперты также говорят о серой зоне — автоматическом сборе данных с сайтов и работе с открытыми API. Часто владельцы сайтов сами не могут точно сказать, разрешают ли они такие действия. Еще один пример — резкий рост заказов на сайтах. Он может быть похож по эффекту на DDoS‑атаку. По мнению специалистов, нужно привлекать к ответственности именно

 

[DarthWader]

:

Основные типы DDoS-атак
Классификация DDoS-атак по протоколам
Другие типы кибератак
Прошло 27 лет с первой DDoS-атаки. С тех пор эта проблема не только не потеряла своей актуальности, но стала еще опаснее. Распределенные атаки типа «отказ в обслуживании» трансформировались — теперь они могут длиться часами и днями, а также стали более агрессивны и эффективны. Чтобы правильно выстроить надежную защиту от DDoS-атак, для начала нужно разобраться в их типах и особенностях.

Основные типы DDoS-атак
Большинство DDoS-атак имеют смешанный характер. Мы выделили три типа классификации атак, которые помогут понять, как действуют злоумышленники и на чем строится алгоритм нападения:

по модели OSI;
по протоколам;
по механизму воздействия.
Рассмотрим каждый отдельный тип подробнее.

Классификация DDoS-атак по протоколам
Чаще всего DDoS-атаки совершают на три большие группы сетевых протоколов UDP, TCP и прочие.

К категории «прочие» относятся атаки на протоколы ICMP, GRE, IPIP, ESP, AH, SCTP, OSPF, SWIPE, TLSP, Compaq_PEE и остальные.

Далее рассмотрим несколько примеров самых распространенных DDoS-атак по протоколам.

IP Null атака
Согласно техническим стандартам всемирной сети, заголовок IP-пакета должен содержать сведения об используемом протоколе транспортного уровня в специальном поле — «Protocol». Злоумышленники устанавливают значение этого поля равным нулю. Такой прием позволяет отправлять пакеты в большом количестве, не беспокоясь о том, что их задержат фаерволы или маршрутизаторы. Системные ресурсы жертвы сконцентрированы на постоянном анализе входящего трафика, и в конечном итоге сервер выходит из строя.

SYN-флуд
Этот вид атаки строится на алгоритме трехэтапного рукопожатия TCP. Злоумышленник с большой скоростью отправляет запросы на соединение с сервером, содержащие поддельный IP-адрес источника. Постепенно SYN-флуд занимает всю память таблицы соединений.

UDP-флуд
При атаке этого типа сервер-жертва получает большое количество UDP-пакетов от различных IP-адресов. Фальсифицированные UDP-пакеты переполняют сетевое оборудование и провоцируют перегрузку интерфейсов путем утилизации всей полосы пропускания.

Флуд — большое количество неправильно сформированных или бессмысленных сообщений. Цель флуда — создать мощный поток запросов, который займет собой всю выделенную полосу атакуемого ресурса.

Ping of Death
Атака направлена на дестабилизацию или выведение из строя целевого компьютера. Злоумышленник непрерывно генерирует неправильно сформированные или слишком большие пакеты с помощью простой команды ping. Если атакуемая система работает на базе стандартного протокола IPv4, то суммарный объем получаемого пакета не может превышать 65 535 байт. Когда приходит пакет, по объему превышающий эти показатели, возникают сбои из-за переполнения памяти.

Для систем, которые работают на обновленной версии протокола — IPv6, хакеры нашли новые способы вредительства. Они отправляют фрагменты искаженных пакетов. Система-жертва пытается их собрать, но при повторной сборке размер пакета получается слишком большим, что ведет к переполнению памяти и сбою работы.

Атака медленными сессиями
Хакер устанавливает TCP-сессию между сервером-жертвой и ботом. Когда сессия активна, ее удерживают открытой с помощью пакета, который оставляют без ответа, что начинает расходовать системные ресурсы. В результате сервер-жертва «отдает» все свободные резервы на обслуживание поддельных сессий с ботами.

 

[DarthWader]

Низкоуровневые атаки
1-й уровень — физический

Канал работает с данными типа «биты» и обеспечивает передачу необработанных двоичных данных между машинами. Использует протоколы Bluetooth, USB, ИК-порт, а также концентраторы, розетки и патч-панели.

Пример атаки: на данном уровне DoS или DDoS невозможна. Первому уровню могут навредить физические разрушения или любые другие преграды в работе сети. Искусственно созданные сбои ведут к полной непригодности оборудования.

2-й уровень — канальный

Канальный уровень отвечает за обмен данными между узлами внутри локальной сети. Данные оформляются в специальные блоки — кадры — и передаются на физический уровень. Еще одна функция канального уровня — присвоение уникальных идентификаторов сетевых адаптеров — MAC-адресов.

Пример атаки: самая распространенная — MAC-флуд. Сетевые коммутаторы нагружаются пакетами данных, чтобы вывести из строя все порты соединения.

3-й уровень — сетевой

На этом уровне начинается взаимодействие маршрутизаторов и коммутаторов, расположенных в разных сетях. Маршрутизация строится на преобразовании MAC-адресов в сетевые адреса. Главная задача данного уровня — построить наиболее оптимальный путь для передачи данных между устройствами.

Пример атаки: злоумышленники создают ICMP-флуд, чтобы перегрузить ICMP-сообщениями целевую сеть. Эти действия направлены на снижение пропускной способности и ограничение числа запросов, которое возможно обработать по ICMP-протоколу.

4-й уровень — транспортный

Он использует протоколы UDP и TCP, а также обрабатывает и транспортирует пакеты данных между узлами связи. Четвертый уровень контролирует поток информации и выявляет ошибки. В случае их обнаружения отправляет данные повторно.

Пример атаки: хакеры создают условия, при которых превышаются пороговые значения по ширине канала и количеству доступных подключений. Самые распространенные типы DDoS-атак — Smurf и SYN-флуд.

Высокоуровневые атаки
5-й уровень — сеансовый

Пятый уровень управляет взаимодействием между приложениями, а также устанавливает и завершает соединение, синхронизирует задачи операционной системы.

Пример атаки: атакующий использует слабые места программного обеспечения через протокол Telnet, что может привести к потере доступа над сервером у администратора.

 

[DarthWader]

Низкоуровневые атаки

1-й уровень — физический



Канал работает с данными типа «биты» и обеспечивает передачу необработанных двоичных данных между машинами. Использует протоколы Bluetooth, USB, ИК-порт, а также концентраторы, розетки и патч-панели.



Пример атаки: на данном уровне DoS или DDoS невозможна. Первому уровню могут навредить физические разрушения или любые другие преграды в работе сети. Искусственно созданные сбои ведут к полной непригодности оборудования.



2-й уровень — канальный



Канальный уровень отвечает за обмен данными между узлами внутри локальной сети. Данные оформляются в специальные блоки — кадры — и передаются на физический уровень. Еще одна функция канального уровня — присвоение уникальных идентификаторов сетевых адаптеров — MAC-адресов.



Пример атаки: самая распространенная — MAC-флуд. Сетевые коммутаторы нагружаются пакетами данных, чтобы вывести из строя все порты соединения.



3-й уровень — сетевой



На этом уровне начинается взаимодействие маршрутизаторов и коммутаторов, расположенных в разных сетях. Маршрутизация строится на преобразовании MAC-адресов в сетевые адреса. Главная задача данного уровня — построить наиболее оптимальный путь для передачи данных между устройствами.



Пример атаки: злоумышленники создают ICMP-флуд, чтобы перегрузить ICMP-сообщениями целевую сеть. Эти действия направлены на снижение пропускной способности и ограничение числа запросов, которое возможно обработать по ICMP-протоколу.



4-й уровень — транспортный



Он использует протоколы UDP и TCP, а также обрабатывает и транспортирует пакеты данных между узлами связи. Четвертый уровень контролирует поток информации и выявляет ошибки. В случае их обнаружения отправляет данные повторно.



Пример атаки: хакеры создают условия, при которых превышаются пороговые значения по ширине канала и количеству доступных подключений. Самые распространенные типы DDoS-атак — Smurf и SYN-флуд.



Высокоуровневые атаки

5-й уровень — сеансовый



Пятый уровень управляет взаимодействием между приложениями, а также устанавливает и завершает соединение, синхронизирует задачи операционной системы.



Пример атаки: атакующий использует слабые места программного обеспечения через протокол Telnet, что может привести к потере доступа над сервером у администратора