DDoS-атака
DDoS-атака (от англ. Distributed Denial of Service — распределённый отказ в обслуживании) — это тип кибератаки, направленный на нарушение доступности информационной системы, веб-сайта, сервера или сетевой инфраструктуры путём создания избыточной нагрузки, исходящей от множества распределённых источников. Целью DDoS-атаки является временный или полный вывод системы из строя, что делает её недоступной для легитимных пользователей. В отличие от DoS-атаки (Denial of Service), которая проводится с одного источника, DDoS-атака использует ботнет — сеть заражённых устройств (компьютеров, серверов, IoT-устройств), управляемых злоумышленником удалённо.
История
Первые упоминания о DoS-атаках относятся к концу 1980-х годов. Одним из ранних примеров является инцидент 1988 года, когда студент Корнеллского университета Роберт Моррис создал червя, который, размножаясь, вызывал отказ в обслуживании тысяч компьютеров в сети ARPANET. Однако термин «DDoS-атака» вошёл в обиход в конце 1990-х годов, когда злоумышленники начали использовать распределённые сети для атак.
В 1999 году была зафиксирована одна из первых крупных DDoS-атак на веб-сайты Yahoo, eBay и Amazon. С тех пор частота и мощность атак неуклонно росли. В 2000 году хакер, известный под псевдонимом «Mafiaboy», организовал серию атак на крупные сайты, включая CNN, Dell и E*Trade, что привлекло внимание общественности к проблеме. В 2007 году DDoS-атаки были использованы в ходе киберконфликта между Россией и Эстонией, когда были атакованы правительственные и банковские сайты Эстонии. В 2010-х годах распространение интернета вещей (IoT) привело к появлению мощных ботнетов, таких как Mirai, который в 2016 году использовал уязвимые IoT-устройства для атаки на DNS-провайдера Dyn, вызвав сбои в работе крупных сайтов, включая Twitter, Netflix и Reddit.
Классификация DDoS-атак
DDoS-атаки классифицируются по уровню модели OSI, на который они направлены, и по механизму воздействия.
Атаки на уровне сети (L3/L4)
Эти атаки направлены на исчерпание пропускной способности канала или ресурсов сетевого оборудования (маршрутизаторов, коммутаторов). Они генерируют огромный объём трафика, который перегружает канал связи.
- UDP-флуд (UDP flood): отправка большого количества UDP-пакетов на случайные порты цели. Система вынуждена проверять, какое приложение слушает порт, и отвечать ICMP-пакетом «Destination Unreachable», что истощает ресурсы.
- ICMP-флуд (ICMP flood): отправка множества ICMP-пакетов (например, ping) для перегрузки канала.
- SYN-флуд (SYN flood): эксплуатация механизма TCP-рукопожатия. Злоумышленник отправляет множество SYN-пакетов, но не завершает соединение, оставляя сервер в состоянии ожидания и истощая его память.
- Амплификация (amplification attack): использование открытых серверов (например, DNS, NTP, Memcached) для усиления трафика. Злоумышленник отправляет небольшой запрос с поддельным IP-адресом жертвы, и сервер отправляет жертве ответ во много раз большего объёма.
Атаки на уровне приложений (L7)
Эти атаки направлены на исчерпание ресурсов веб-сервера или приложения (CPU, память, база данных). Они имитируют поведение легитимных пользователей, что делает их сложными для обнаружения.
- HTTP-флуд (HTTP flood): отправка большого количества HTTP-запросов (GET или POST) на сервер. Сервер вынужден обрабатывать каждый запрос, что приводит к исчерпанию ресурсов.
- Slowloris: атака, при которой злоумышленник открывает множество соединений с сервером, но отправляет заголовки HTTP очень медленно, удерживая соединение открытым и истощая пул соединений сервера.
- Атаки на базы данных: отправка сложных SQL-запросов или запросов к API, которые требуют больших вычислительных ресурсов.
Атаки на протоколы
Эти атаки направлены на уязвимости в протоколах передачи данных.
- Ping of Death: отправка ICMP-пакета размером, превышающим допустимый (65535 байт), что может вызвать переполнение буфера и сбой системы.
- Teardrop: отправка фрагментированных IP-пакетов с перекрывающимися смещениями, что может вызвать сбой при сборке пакета.
- Smurf: отправка ICMP-запроса (ping) на широковещательный адрес сети с поддельным IP-адресом жертвы, что приводит к множеству ответов от всех устройств в сети.
Механизм проведения DDoS-атаки
Типичная DDoS-атака состоит из нескольких этапов:
- Формирование ботнета: злоумышленник заражает устройства (компьютеры, серверы, IoT-устройства) вредоносным ПО, которое позволяет удалённо управлять ими. Заражение может происходить через фишинговые письма, уязвимости в программном обеспечении или эксплуатацию слабых паролей.
- Управление ботнетом: злоумышленник использует командный центр (C&C) для отправки команд заражённым устройствам. В современных ботнетах часто используется децентрализованная архитектура на основе P2P-сетей, что затрудняет их нейтрализацию.
- Запуск атаки: злоумышленник отдаёт команду ботнету начать отправку трафика на цель. Атака может быть запущена вручную или автоматически по расписанию.
- Поддержание атаки: злоумышленник может менять векторы атаки, увеличивать или уменьшать интенсивность, чтобы обойти защитные механизмы.
Примеры известных DDoS-атак
- Атака на Dyn (2016): ботнет Mirai, состоящий из IoT-устройств (камер, маршрутизаторов), атаковал DNS-провайдера Dyn, вызвав сбои в работе крупных сайтов на восточном побережье США. Мощность атаки достигала 1,2 Тбит/с.
- Атака на GitHub (2018): атака с использованием амплификации Memcached достигла мощности 1,35 Тбит/с, что стало рекордом на тот момент. Атака была направлена на репозиторий GitHub, но была отражена за несколько минут.
- Атака на «Яндекс» (2021): одна из крупнейших атак в истории, мощность которой достигала 22 Тбит/с. Атака была направлена на инфраструктуру «Яндекса» и была отражена с помощью собственных систем защиты компании.
- Атака на AWS (2020): атака на облачную инфраструктуру Amazon Web Services, мощность которой составила 2,3 Тбит/с.
Защита от DDoS-атак
Защита от DDoS-атак включает несколько уровней и методов:
- Фильтрация трафика: использование фаерволов, систем обнаружения вторжений (IDS) и систем предотвращения вторжений (IPS) для блокировки подозрительного трафика.
- Ограничение скорости (rate limiting): установка лимитов на количество запросов от одного IP-адреса или подсети.
- Использование CDN (Content Delivery Network): распределение трафика по множеству серверов, что позволяет поглотить часть атаки.
- Облачные сервисы защиты: специализированные компании (Cloudflare, Akamai, Arbor Networks) предоставляют услуги по фильтрации трафика и поглощению атак.
- Анализ поведения: использование алгоритмов машинного обучения для выявления аномалий в трафике и блокировки атак на уровне приложений.
- Резервирование инфраструктуры: использование нескольких дата-центров и каналов связи для распределения нагрузки.
Правовые аспекты в России
В Российской Федерации DDoS-атаки квалифицируются как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) или создание, использование и распространение вредоносных программ (ст. 273 УК РФ). Организация DDoS-атаки может повлечь уголовную ответственность, включая лишение свободы на срок до 7 лет. В 2020 году был принят Федеральный закон № 259-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации», который ужесточил наказание за киберпреступления, включая DDoS-атаки.
Интересные факты
- Первая DDoS-атака была зафиксирована в 1999 году, когда хакерская группа «Cult of the Dead Cow» атаковала сайт Microsoft.
- Ботнет Mirai, использованный для атаки на Dyn, состоял из более чем 100 000 IoT-устройств.
- Мощность DDoS-атак постоянно растёт: если в 2000-х годах атаки измерялись мегабитами в секунду, то в 2020-х годах — терабитами.
- Некоторые DDoS-атаки проводятся не для вымогательства, а для отвлечения внимания от других кибератак, например, кражи данных.
Источники
- Уголовный кодекс Российской Федерации, статьи 272, 273.
- Отчёты компании Cloudflare о DDoS-атаках (2020–2023).
- Исследование «Mirai Botnet: A Survey» (IEEE, 2018).
- Материалы Лаборатории Касперского по защите от DDoS-атак.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →