DDoS-атаки: объемные атаки

В этой статье про DDoS мы обсудим категорию DDoS-атак, называемую Volumetric Attacks, также известную как Volume-Based Attacks.

В мире DDoS-атак объемные атаки — это не просто 800-килограммовая горилла, это King Kong, взбирающийся на небоскребы и сбивающий с неба самолеты. Объемные атаки включают в себя некоторые крупнейшие атаки, когда-либо зарегистрированные по объему, часто превышающие пропускную способность 100 Гбит/с. DDoS-атаки в категории Volumetric охватывают уровни 3, 4 и 7 модели OSI, что составляет около 65 процентов всех DDoS-атак.

Атаки на основе объема измеряются в битах в секунду (бит/с). Объемные атаки по своей сути являются простыми атаками, которые требуют очень мало начальных ресурсов для создания мощного удара. Объемные атаки реализуют концепцию распределенной отраженной атаки типа «отказ в обслуживании» (DRDoS), которая реализуется за счет использования среды отражения. Обычно это делается путем использования невинных сторонних серверов для фактической бомбардировки целевого сервера. Используя среду отражения, противник может усилить исходящую атаку с коэффициентами, намного превышающими ожидаемые. На самом деле, существует множество законных протоколов, которыми можно злоупотреблять для достижения значительных успехов в усилении. В некоторых случаях коэффициент усиления может достигать сотен!

Например: DNS (x28-54), SSDP (x30,8), сетевой протокол Quake (x63.9), NTP (x556,9), CharGEN (x358,8), протокол Steam (x5.5), SNMPv2 (x6.3), QOTD (x140,3), Кад (x16,3), NetBIOS (x3.8), BitTorrent (x3.8)

Одна из самых мощных атак называется Amplified NTP DDoS. Усиленные DDoS-атаки NTP основаны на использовании функции monlist протокола сетевого времени (NTP), которая включена по умолчанию на многих серверах. Отправка команды monlist запрашивает у стороннего сервера список последних 600 IP-адресов, подключенных к NTP-серверу. Чтобы использовать эту функцию в качестве оружия, злоумышленник подделывает IP-адрес целевого сервера, так что, когда сервер NTP отправляет ответ, он вместо этого отправляется на целевой сервер. Поскольку размер ответа непропорционально больше по сравнению с отправленной короткой командой, достигается коэффициент усиления 556,9.

Та же логика усиления может быть применена к любому из перечисленных выше протоколов. Это означает, что объем данных, фактически отправленных машинами, контролируемыми противником, очень мал, но ответ от сторонних серверов довольно велик. Это подчеркивает важность не только защиты вашего сервера от DDoS-атак, но и защиты вашего сервера от участия в чужих атаках. Используя облачный брандмауэр веб-приложений (WAF) от надежной антивирусной компании, вы можете уменьшить обе угрозы.

Какова бы ни была причина, по которой страница сайта не открывается, например DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.