Флуд — основной способ DDoS-атак

Флуд — основной способ DDoS-атак

DDoS. По обе стороны баррикад

Содержание:

1. DDoS – атака. Основные виды

2. Флуд, как основной способ DDoS-атак

3. Защита от DDoS атак

4. Защита от DDoS атак методом проксирования (фильтрации)

Флуд (англ. flood — «наводнение, потоп») основной способ проведения DDoS-атак на выбранный злоумышленниками ресурс. Флуд настолько популярен среди злоумышленников, что на сегодняшний день сами понятия DDoS и флуд для многих стали практически синонимичны.

Сам по себе флуд это поток бессмысленных сообщений направленный на то, чтобы превысить пропускную способность сервера и тем самым вынудить его прекратить обслуживать посетителей. Как следствие ресурс перестают посещать потенциальные клиенты и владелец ресурса несёт убытки.

Флуд популярен из-за своей простоты применения и сложности, для службы безопасности, в отражении данного способа атак. При создании флуда могут использоваться как общедоступные сетевые утилиты, так и специально разработанные для этих целей программы. Кроме того, для большей эффективности флуда, злоумышленники часто используют уязвимости имеющиеся на ресурсе (например, возможность включения в код страницы пользовательских скриптов).

Флуд - основной способ DDoS-атак

Весь флуд делиться на четыре основных типа: в зависимости от того какой тип пакетов отправляется по TCP-протоколу (SYN-, UDP- и ICMP-флуд) и HTTP-флуд.

Основные виды flood атаки

SYN flood

  1. SYN-flood. При нормальном взаимодействии клиента и сервера, на отправленный  SYN-пакет (synchronize-пакеты), т.е. запрос на открытие соединения, сервер отвечает комбинацией SYN+ACK-пакетов. После ответа клиента АСК-пакетом, соединение устанавливается и клиент может спокойно пользоваться ресурсом. В случае SYN-flood, злоумышленники в большом количестве и в короткий срок отправляют SYN-пакеты, игнорируя при этом ответ сервера. В результате появляется очередь «полуоткрытых» запросов, которая переполняет очередь подключения, не позволяя легитимным клиентам отправить на сервер SYN-пакет. Теоретически связь легитимного клиента с ресурсом может быть установлена, но если такое и произойдёт, то только с очень большими задержками.

UDP flood

  1. UDP-flood. На сегодняшний день данный тип флуда считается наименее опасным, поскольку хакерские программы которые его используют, легко обнаруживаются и блокируются. При использовании UDP-flood, основной целью является не сам ресурс, а его канал связи. Поскольку провайдерами UDP-пакеты обслуживаются в первую очередь, то злоумышленники используют большое количество пакетов данного вида, чтобы забить канал и не позволить ТСР-пакетам легитимных пользователей дойти до сервера.

Флуд - основной способ DDoS-атак

ICMP flood

  1. ICMP-flood. Данный тип флуда направлен на сетевое оборудование. Суть данной атаки в том, что ICMP-пакет при небольшом размере самого запроса (примерно в 1000 раз меньше обычного IP-пакета) требует от сетевого оборудования значительно большего объёма работы. Таким образом, при отправлении сравнительно небольшого объёма ICMP-запросов возникает перегрузка сетевого оборудования и значительная часть легитимных запросов теряется, не пройдя обработку. Ключевым отличием данного типа является то, что организовать его можно используя программы и утилиты, имеющиеся в домашних и офисных версиях операционных систем.

HTTP флуд

  1. HTTP-флуд (он же флуд прикладного уровня). В основе этого самого популярного и простого способа лежит отсылка HTTP-запросов GET на 80-й порт. При этом происходит перегрузка сервера, рост его логов (по которому и можно вычислить пропущенную DDoS-атаку данного типа) и, если не были приняты адекватные меры противодействия, выход сервера из строя.