Открыть сервис

DDoS-атаки

DDoS-атака (от англ. Distributed Denial of Service — распределённый отказ в обслуживании) — это тип кибератаки, направленный на нарушение доступности информационной системы, веб-сайта, сервера или сетевой инфраструктуры путём создания избыточной нагрузки на целевые ресурсы. В результате атаки легитимные пользователи не могут получить доступ к сервису, а оборудование или программное обеспечение может выйти из строя. DDoS-атаки являются одной из наиболее распространённых угроз в сфере информационной безопасности.

История

Первые упоминания о DDoS-атаках относятся к концу 1990-х годов. Одной из ранних известных атак стала атака на веб-сайт Yahoo! в феврале 2000 года, которая длилась около часа и привела к значительному падению трафика. В последующие годы методы и масштабы атак эволюционировали. В 2007 году были зафиксированы атаки на инфраструктуру Эстонии, которые затронули государственные учреждения, банки и СМИ. В 2016 году атака с использованием ботнета Mirai, состоящего из устройств интернета вещей (IoT), достигла мощности около 1,2 Тбит/с, временно нарушив работу крупных сервисов, включая DNS-провайдера Dyn.

В России DDoS-атаки также стали заметным явлением. В 2014 году во время конфликта на Украине наблюдались атаки на российские государственные и банковские сайты. В 2022 году, после начала специальной военной операции, количество DDoS-атак на российские ресурсы резко возросло, по данным Роскомнадзора, их мощность достигала 1 Тбит/с.

Классификация

DDoS-атаки классифицируются по нескольким признакам, в зависимости от используемого вектора атаки и протокола.

По типу воздействия

  1. Атаки на уровне приложений (L7, OSI model). Нацелены на исчерпание ресурсов конкретного приложения (например, веб-сервера). Генерируются запросы, которые требуют значительных вычислительных мощностей для обработки (например, HTTP GET/POST запросы, запросы к базам данных). Примеры: Slowloris, атаки на CMS.
  2. Атаки на протоколы (L3/L4). Направлены на исчерпание пропускной способности сети или ресурсов сетевого оборудования. Включают:
  • SYN-flood: отправка большого количества SYN-пакетов (запросов на установление TCP-соединения) без завершения рукопожатия, что истощает очередь соединений на сервере.
  • UDP-flood: отправка большого количества UDP-пакетов на случайные порты целевого сервера, заставляя его проверять наличие приложений на этих портах.
  • ICMP-flood: отправка большого количества ICMP-эхо-запросов (пинг).
  1. Амплификационные атаки. Используют уязвимости в протоколах, позволяющие отправлять небольшой запрос, который генерирует значительно больший ответ на целевой сервер. Примеры: DNS-амплификация, NTP-амплификация, SSDP-амплификация. Коэффициент усиления может достигать 100 и более раз.

По источнику атаки

  • Ботнеты: сети заражённых устройств (компьютеры, серверы, IoT-устройства), управляемые злоумышленником. Ботнеты могут насчитывать миллионы устройств.
  • Одиночные серверы: атаки с использованием одного мощного сервера или VPS, часто с использованием амплификации.
  • Облачные сервисы: атаки с использованием арендованных вычислительных мощностей облачных провайдеров.

Механизм проведения

Типичная DDoS-атака включает несколько этапов:

  1. Подготовка: злоумышленник создаёт или арендует ботнет, либо находит уязвимые серверы для амплификации.
  2. Координация: атакующий отдаёт команду на запуск атаки, обычно через командный центр (C&C).
  3. Исполнение: заражённые устройства или серверы начинают одновременно отправлять трафик на целевой IP-адрес или домен.
  4. Эскалация: атака может усиливаться, изменяя векторы или увеличивая мощность.

Защита

Защита от DDoS-атак является сложной задачей и требует многоуровневого подхода. Основные методы включают:

  • Фильтрация трафика: использование межсетевых экранов (firewalls) и систем обнаружения вторжений (IDS/IPS) для блокировки подозрительных пакетов.
  • Ограничение скорости (rate limiting): установка лимитов на количество запросов с одного IP-адреса или подсети.
  • Использование CDN и облачных сервисов защиты: провайдеры, такие как Cloudflare, Akamai, Qrator Labs, распределяют трафик по распределённой сети и фильтруют вредоносные запросы.
  • Анализ поведения: использование алгоритмов машинного обучения для выявления аномалий в трафике.
  • Резервирование инфраструктуры: создание избыточных каналов связи и серверов, способных выдержать часть нагрузки.
  • Взаимодействие с провайдером: при крупных атаках необходимо обращаться к интернет-провайдеру для блокировки трафика на уровне магистральных сетей.

В России действует Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует действия по реагированию на кибератаки, включая DDoS.

Примеры известных атак

  • Атака на GitHub (2018): одна из крупнейших атак на тот момент, достигшая мощности 1,35 Тбит/с. Использовалась амплификация через Memcached.
  • Атака на Dyn (2016): атака с использованием ботнета Mirai, которая нарушила работу Twitter, Netflix, Reddit и других сервисов.
  • Атака на «Сбербанк» (2022): по данным банка, в 2022 году была отражена рекордная атака мощностью 1 Тбит/с, которая длилась несколько часов.
  • Атака на «Яндекс» (2021): одна из крупнейших атак в истории Рунета, мощность которой, по данным компании, достигала 22 Тбит/с (с учётом амплификации).

Правовое регулирование в России

В Российской Федерации DDoS-атаки квалифицируются как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) или создание, использование и распространение вредоносных программ (ст. 273 УК РФ). Ответственность за организацию и проведение DDoS-атак предусматривает лишение свободы на срок до 7 лет (в зависимости от тяжести последствий). Также действует Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ), который обязывает операторов КИИ защищать свои системы от DDoS-атак.

Источники

  • Уголовный кодекс Российской Федерации, статьи 272, 273.
  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Данные Роскомнадзора и НКЦКИ о кибератаках.
  • Публичные отчёты компаний «Яндекс», «Сбербанк» о DDoS-атаках.
  • Материалы конференций по информационной безопасности (например, Positive Hack Days, ZeroNights).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →