Вообще говоря, векторы DDoS-атак можно условно разделить на три категории: атаки прикладного уровня, атаки на основе протокола и объемные атаки. Сегодня мы сосредоточимся на одних из самых популярных DDoS-атак - на основе протоколов, которые поражают брандмауэр веб-приложений на протяжении многих лет.

Атаки на основе протоколов нацелены на уровни 3 и 4 модели OSI в целевой инфраструктуре. Вместо того, чтобы ограничиваться нацеливанием исключительно на сам веб-сервер, эти атаки могут быть нацелены на промежуточные ресурсы, такие как устройства брандмауэра, по иронии судьбы используя устройство в качестве инструмента отклонения трафика, потребляя его вычислительные ресурсы до тех пор, пока оно не сможет обрабатывать дополнительные данные.

Атаки на основе протоколов измеряются количеством пакетов в секунду (pps). Если вы еще не слышали об этом, одним из наиболее исторически важных подходов к отказу в обслуживании на основе протокола является печально известный Ping of Death, который использует принцип работы в протоколе TCP/IP — пакеты. Пакеты — это единицы данных, передаваемые по сетям, и они составляют фундаментальную часть того, как данные передаются через Интернет. Во время общения большие объемы данных разбиваются на небольшие порции для использования участвующими компьютерами, чтобы упростить их обработку. Например, вы можете использовать протокол IPv4 чтобы прочитать эту статью прямо сейчас. Этот протокол до сих пор является наиболее широко используемым интернет-протоколом, эти единицы данных имеют длину около 64 байтов, включая заголовок IP. Атака Ping of Death направлена ​​​​на то, чтобы запутать и потенциально привести к сбою целевого сервера, отправляя искаженные или слишком большие пакеты, которые при интерпретации сервером могут вызвать аномалию, называемую переполнением буфера, когда данные превышают ожидаемую границу и могут вызвать сбой. Игра закончена!

Еще одним из самых популярных методов DDoS-атак на основе протоколов является SYN Flood. Обычно, когда пользователь посещает веб-сайт, посетитель запрашивает соединение, отправляя запрос синхронизации ( SYN ) на сервер веб-сайта, который после принятия подтверждается ( SYN-ACK ) веб-сервером и, в свою очередь, подтверждается ( ACK ) посетителем. Этот стандартный процесс трехэтапного рукопожатия обычно обозначается просто SYN, SYN-ACK, ACK. Этот процесс является основой для установления TCP-соединения между веб-сайтом и посетителем. SYN Flood использует этот процесс рукопожатия, отправляя первоначальный запрос SYN, но никогда не отвечая на SYN-ACK, что, по сути, побуждает целевой сервер продолжать ждать ответа ACK. Веб-сервер имеет конечное количество подключений, которые они могут поддерживать, поэтому, насыщая сервер достаточным количеством этих полуоткрытых подключений, сервер в конечном итоге не сможет открывать подключения для представления контента веб-сайта законным посетителям. Игра закончена!

Более яркой стороной DDoS является классическая DDoS-атака Smurf, названная в честь вредоносного ПО DDoS.Smurf, обнаруженного на зараженных машинах-зомби, которые формируют бот-сети, используемые в атаке. DDoS-атака Smurf использует флуд эхо-запросов ICMP (ping), который усиливается за счет подмены адреса целевого сервера при обращении к другому стороннему серверу с запросом, побуждая сторонний сервер доставить ответ на запрос на целевой сервер, непреднамеренно становясь оружием против цели. Злоумышленники обычно используют большое количество этих сторонних серверов, чтобы повысить эффективность атаки DDoS.

Существует множество способов, которыми злоумышленники могут использовать невиновных третьих лиц как в качестве зомби, так и в качестве методов усиления, наследуя их коллективные ресурсы и, следовательно, их огневую мощь. Больше нецелесообразно ожидать, что, полагаясь исключительно на решение для конечной точки, вы защититесь от сетевых или других атак, основанных на протоколах. Лучшим решением является использование распределенного облачного брандмауэра веб-приложений (WAF) от надежной антивирусной компании, который защищает от DDoS-атак на уровнях 3, 4 и 7.

Какова бы ни была причина, по которой страница сайта не открывается, например DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.