• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Флуд - основной способ DDoS-атак

    DDoS. По обе стороны баррикад

    Содержание:

    1. DDoS – атака. Основные виды

    2. Флуд, как основной способ DDoS-атак

    3. Защита от DDoS атак

    4. Защита от DDoS атак методом проксирования (фильтрации)

    Флуд (англ. flood — «наводнение, потоп») основной способ проведения DDoS-атак на выбранный злоумышленниками ресурс. Флуд настолько популярен среди злоумышленников, что на сегодняшний день сами понятия DDoS и флуд для многих стали практически синонимичны.

    Сам по себе флуд это поток бессмысленных сообщений направленный на то, чтобы превысить пропускную способность сервера и тем самым вынудить его прекратить обслуживать посетителей. Как следствие ресурс перестают посещать потенциальные клиенты и владелец ресурса несёт убытки.

    Флуд популярен из-за своей простоты применения и сложности, для службы безопасности, в отражении данного способа атак. При создании флуда могут использоваться как общедоступные сетевые утилиты, так и специально разработанные для этих целей программы. Кроме того, для большей эффективности флуда, злоумышленники часто используют уязвимости имеющиеся на ресурсе (например, возможность включения в код страницы пользовательских скриптов).

    Флуд - основной способ DDoS-атак

    Весь флуд делиться на четыре основных типа: в зависимости от того какой тип пакетов отправляется по TCP-протоколу (SYN-, UDP- и ICMP-флуд) и HTTP-флуд.

    Основные виды flood атаки

    SYN flood

    1. SYN-flood. При нормальном взаимодействии клиента и сервера, на отправленный  SYN-пакет (synchronize-пакеты), т.е. запрос на открытие соединения, сервер отвечает комбинацией SYN+ACK-пакетов. После ответа клиента АСК-пакетом, соединение устанавливается и клиент может спокойно пользоваться ресурсом. В случае SYN-flood, злоумышленники в большом количестве и в короткий срок отправляют SYN-пакеты, игнорируя при этом ответ сервера. В результате появляется очередь «полуоткрытых» запросов, которая переполняет очередь подключения, не позволяя легитимным клиентам отправить на сервер SYN-пакет. Теоретически связь легитимного клиента с ресурсом может быть установлена, но если такое и произойдёт, то только с очень большими задержками.

    UDP flood

    1. UDP-flood. На сегодняшний день данный тип флуда считается наименее опасным, поскольку хакерские программы которые его используют, легко обнаруживаются и блокируются. При использовании UDP-flood, основной целью является не сам ресурс, а его канал связи. Поскольку провайдерами UDP-пакеты обслуживаются в первую очередь, то злоумышленники используют большое количество пакетов данного вида, чтобы забить канал и не позволить ТСР-пакетам легитимных пользователей дойти до сервера.

    Флуд - основной способ DDoS-атак

    ICMP flood

    1. ICMP-flood. Данный тип флуда направлен на сетевое оборудование. Суть данной атаки в том, что ICMP-пакет при небольшом размере самого запроса (примерно в 1000 раз меньше обычного IP-пакета) требует от сетевого оборудования значительно большего объёма работы. Таким образом, при отправлении сравнительно небольшого объёма ICMP-запросов возникает перегрузка сетевого оборудования и значительная часть легитимных запросов теряется, не пройдя обработку. Ключевым отличием данного типа является то, что организовать его можно используя программы и утилиты, имеющиеся в домашних и офисных версиях операционных систем.

    HTTP флуд

    1. HTTP-флуд (он же флуд прикладного уровня). В основе этого самого популярного и простого способа лежит отсылка HTTP-запросов GET на 80-й порт. При этом происходит перегрузка сервера, рост его логов (по которому и можно вычислить пропущенную DDoS-атаку данного типа) и, если не были приняты адекватные меры противодействия, выход сервера из строя.