Что такое DDoS? Типы DDoS-атаки и уровни модели OSI

Заголовки новостей пестрят сообщениями о DDoS-атаках (Distributed Denial of Service). Распределенным атакам «отказ в обслуживании» подвержены любые организации, присутствующие в интернете.

Вопрос не в том, атакуют вас, или нет, а в том, когда это случится. Гос.учреждения, сайты СМИ и электронной коммерции, сайты компаний, коммерческих и некоммерческих организаций – все они являются потенциальными жертвами DDoS-атак. 

Каковы последствия DDoS-атаки?

Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги. 

Основная теория

DDoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён.

Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик. Хакеры из других сфер и обычные люди часто недооценивают DDOS, но, это и является их ошибкой.

Методы DDoS-атак

На этом этапе, имея представление о том, что такое DDoS, плавно переходим к методам атак.

1. HTTP методы

2. TCP методы

3. UDP методы

HTTP методы

HTTP Get/Post Flood - Генерируем большое количество HTTP запросов к серверу жертвы. В большинстве случаев это GET запросы на получение максимально больших элементов сайта.

Каждый бот может генерировать большое количество легитимных запросов (более 10 раз в секунду). Таким образом, не нужно иметь большую армию ботов или сверхприватный ботнет для осуществления данного метода атаки.

Кроме GET запросов также могут посылаться POST запросы и осуществляться другие HTTP действия, приводящие к одному и тому же результату - перегрузке веб-сервера жертвы и его недоступности. Реализовать можно даже со своего компьютера/сервера.

HTTP Strong - Генерируется также большое количество HTTP запросов к серверу жертвы, но, отличие этого метода заключается в том, что, отправляются пустые HTTP запросы на веб- сервер.

Этот метод является очень мощным и соответственно находится в привате. Метод очень мощный, и если вам доведется встретить - покупайте.

HTTP Null - Генерируется большое количество HTTP запросов, также пустых, но отличие этого метода от Strong'a в том, что HTTP Strong ждет ответа от веб-сервера, а HTTP Null нет.

TCP методы

IP спуфинг - это кратко говоря подмена обратного IP адреса. Который позволяет обманывать систему, подменяя адрес отправителя. Именно благодаря IP спуфингу невозможно вычислить атакующего.

SSYN - (Spoofed SYN) В данном случае, мы посылаем поддельные SYN-запросы на сервер, подменяя адрес отправителя (Спуфинг).

Ответный SYN+ACK отправляется на несуществующий адрес, в результате в очереди подключений появляются так называемые полуоткрытые соединения, ожидающие подтверждения от клиента.

По истечении определённого тайм-аута эти подключения отбрасываются. Метод очень эффективный и актуальный по сей день. От него могут защититься, но в СНГ мало у кого на это хватит ума.

SYN-ACK Flood - В данном случае, во время SYN-ACK флуда мы заваливаем поддельными SYN-ACK пакетами, поступающими в большом количестве. Пытаясь принять решение по каждому SYN-ACK пакету и сопоставить его с одной из записей, хранящихся в таблице соединений, сервер жертвы выделяет на это вычислительные ресурсы (ОЗУ, проц, и пр.) для обработки потока поддельных SYN-ACK пакетов.

В итоге происходит то же, что и вовремя SYN-флуда: перегрузка сервера жертвы, ведущая к его частичной или полной недоступности.

UDP методы

UDP Flood - Во время UDP флуда сервер жертвы получает огромное количество поддельных UDP пакетов от большого диапазона IP-адресов.

Сервер жертвы или сетевое оборудование перед ним, оказывается, переполненным поддельными UDP пакетами.

Атака провоцирует перегрзу сетевых интерфейсов путем занятия всей полосы пропускания. В протоколе UDP нет понятия об установлении соединения (хэндшейк), как в TCP. Это делает фильтрацию UDP флуда с сохранением легитимного UDP-трафика крайне сложной задачей, а также эффективным средством для переполнения канала.

UDP флуд поражает сеть пакетами, содержащими случайные или статические IP-адреса, и может быть реализован с целью выведения из строя сервера, используя информацию о нем, такую как целевой порт легитимного сервиса и IP-адрес назначения.

Из-за наличия сложностей проверки UDP трафика (отсутствие механизма проверки сессии как с TCP), многие операторы связи предлагают своим клиентам блокировку трафика по различным критериям, что является по сути спасением сети за счет блокировки отдельных серверов.

NTP Амплификация - Это тип DDOS атаки транспортного уровня, при котором публично доступный NTP (Network Time Protocol) сервер используется для генерации “мусорного” трафика.

Так, отправляя короткие запросы одному из открытых NTP серверов можно получить ответ в десятки раз большего объема (эффект амплификации). Этим мы и пользуемся, отправляя запросы с указанием адреса сервера-жертвы в качестве IP-адреса источника запроса.

В итоге сеть сервера жертвы перегружаются “мусорным” UDP- трафиком, из которого достаточно сложно выявить легитимные запросы и ответы NTP. Реализовать данный метод проще простого, как и все методы амплификаций. Данный метод использует 123 порт. 

DNS амплификация - Этот тип DDOS атаки транспортного уровня использует специфику работы DNS служб в сети.

Суть заключается в том, чтобы запросить у публичного DNS- сервера данные о домене и направить его ответ на атакуемый сервер. При реализации данного вида атаки мы формируем и херачим запрос, в ответ на который DNS-сервер возвращает как можно больше данных.

Например, запрос списка всех DNS-записей в определенной зоне. Т.к. в протоколе UDP не осуществляется проверка IP-адресов источника, создаем генерацию запросов от имени сервера жертвы, указывая его IP- адрес в поле исходящего адреса.

Основной целью тут является заполнение канала сервера жертвы объемными ответами от публичных DNS-серверов. Так, используя хороший лист для генерации запросов к публичным DNS-серверам, мы можем увеличить поток генерируемого “мусорного” трафика до 100 раз.

При этом вычислить нас или вычислить хотя бы IP-адреса генераторов запросов почти невозможно, т.к. реальный исходящий IP- адрес всегда заменяется на другой. Метод хоть и староватый, но живет и по сей день. Данный метод использует 53 порт.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной

Тип данных

Данные

Описание уровня

Начало создания пакетов данных. Присоединение и доступ к данным. Пользовательские протоколы, такие как FTP, SMTP, Telnet, RAS

Протоколы

FTP, HTTP, POP3, SMTP и шлюзы, которые их используют

Примеры технологий DoS

PDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи)

Последствия DDoS-атаки

Нехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.

Что делать: Мониторинг приложений — систематический мониторинг ПО, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

6-й уровень OSI: Представительский

Тип данных

Данные

Описание уровня

Трансляция данных от источника получателю

Протоколы

Протоколы сжатия и кодирования данных (ASCII, EBCDIC)

Примеры технологий DoS

Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы

Последствия DDoS-атаки

Атакуемые системы могут перестать принимать SSL соединения или автоматически перегружаться

Что делать: Для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отличном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом, находившимся в защищенной памяти безопасного узла-бастиона.

5-й уровень OSI: Сеансовый

Тип данных

Данные

Описание уровня

Управление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход)

Протоколы

Протоколы входа/выхода (RPC, PAP)

Примеры технологий DoS

Атака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным

Последствия DDoS-атаки

Делает невозможным для администратора управление свитчем

Что делать: Поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

4-й уровень OSI: Транспортный

Тип данных

Сегменты

Описание уровня

Обеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень

Протоколы

Протоколы TCP, UDP

Примеры технологий

DoSSYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами)

Последствия DDoS-атаки

Достижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования

Что делать: Фильтрация DDoS-трафика, известная как blackholing — метод, часто используемый провайдерами для защиты клиентов (мы и сами используем этот метод).

Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей.

Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

3-й уровень OSI: Сетевой

Тип данных

Пакеты

Описание уровня

Маршрутизация и передача информации между различными сетями

Протоколы

Протоколы IP, ICMP, ARP, RIP и роутеры, которые их используют

Примеры технологий DoS

ICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети

Последствия DDoS-атаки

Снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра

Что делать: Ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

2-й уровень OSI: Канальный

Тип данных

Кадры

Описание уровня

Установка и сопровождение передачи сообщений на физическом уровне

Протоколы

Протоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют

Примеры технологий DoS

MAC-флуд — переполнение пакетами данных сетевых коммутаторов

Последствия DDoS-атаки

Потоки данных от отправителя получателю блокируют работу всех портов

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

1-й уровень OSI: Физический

Тип данных

Биты

Описание уровня

Передача двоичных данных

Протоколы

Протоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют

Примеры технологий DoS

Физическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами

Последствия DDoS-атаки

Сетевое оборудование приходит в негодность и требует ремонта для возобновления работы

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.