DDoS-атаки
DDoS-атака (от англ. Distributed Denial of Service — распределённый отказ в обслуживании) — это тип кибератаки, направленный на нарушение доступности информационной системы, веб-сайта, сервера или сетевой инфраструктуры путём создания избыточной нагрузки на целевые ресурсы. В результате атаки легитимные пользователи не могут получить доступ к сервису, а оборудование или программное обеспечение может выйти из строя. DDoS-атаки являются одной из наиболее распространённых угроз в сфере информационной безопасности.
История
Первые упоминания о DDoS-атаках относятся к концу 1990-х годов. Одной из ранних известных атак стала атака на веб-сайт Yahoo! в феврале 2000 года, которая длилась около часа и привела к значительному падению трафика. В последующие годы методы и масштабы атак эволюционировали. В 2007 году были зафиксированы атаки на инфраструктуру Эстонии, которые затронули государственные учреждения, банки и СМИ. В 2016 году атака с использованием ботнета Mirai, состоящего из устройств интернета вещей (IoT), достигла мощности около 1,2 Тбит/с, временно нарушив работу крупных сервисов, включая DNS-провайдера Dyn.
В России DDoS-атаки также стали заметным явлением. В 2014 году во время конфликта на Украине наблюдались атаки на российские государственные и банковские сайты. В 2022 году, после начала специальной военной операции, количество DDoS-атак на российские ресурсы резко возросло, по данным Роскомнадзора, их мощность достигала 1 Тбит/с.
Классификация
DDoS-атаки классифицируются по нескольким признакам, в зависимости от используемого вектора атаки и протокола.
По типу воздействия
- Атаки на уровне приложений (L7, OSI model). Нацелены на исчерпание ресурсов конкретного приложения (например, веб-сервера). Генерируются запросы, которые требуют значительных вычислительных мощностей для обработки (например, HTTP GET/POST запросы, запросы к базам данных). Примеры: Slowloris, атаки на CMS.
- Атаки на протоколы (L3/L4). Направлены на исчерпание пропускной способности сети или ресурсов сетевого оборудования. Включают:
- SYN-flood: отправка большого количества SYN-пакетов (запросов на установление TCP-соединения) без завершения рукопожатия, что истощает очередь соединений на сервере.
- UDP-flood: отправка большого количества UDP-пакетов на случайные порты целевого сервера, заставляя его проверять наличие приложений на этих портах.
- ICMP-flood: отправка большого количества ICMP-эхо-запросов (пинг).
- Амплификационные атаки. Используют уязвимости в протоколах, позволяющие отправлять небольшой запрос, который генерирует значительно больший ответ на целевой сервер. Примеры: DNS-амплификация, NTP-амплификация, SSDP-амплификация. Коэффициент усиления может достигать 100 и более раз.
По источнику атаки
- Ботнеты: сети заражённых устройств (компьютеры, серверы, IoT-устройства), управляемые злоумышленником. Ботнеты могут насчитывать миллионы устройств.
- Одиночные серверы: атаки с использованием одного мощного сервера или VPS, часто с использованием амплификации.
- Облачные сервисы: атаки с использованием арендованных вычислительных мощностей облачных провайдеров.
Механизм проведения
Типичная DDoS-атака включает несколько этапов:
- Подготовка: злоумышленник создаёт или арендует ботнет, либо находит уязвимые серверы для амплификации.
- Координация: атакующий отдаёт команду на запуск атаки, обычно через командный центр (C&C).
- Исполнение: заражённые устройства или серверы начинают одновременно отправлять трафик на целевой IP-адрес или домен.
- Эскалация: атака может усиливаться, изменяя векторы или увеличивая мощность.
Защита
Защита от DDoS-атак является сложной задачей и требует многоуровневого подхода. Основные методы включают:
- Фильтрация трафика: использование межсетевых экранов (firewalls) и систем обнаружения вторжений (IDS/IPS) для блокировки подозрительных пакетов.
- Ограничение скорости (rate limiting): установка лимитов на количество запросов с одного IP-адреса или подсети.
- Использование CDN и облачных сервисов защиты: провайдеры, такие как Cloudflare, Akamai, Qrator Labs, распределяют трафик по распределённой сети и фильтруют вредоносные запросы.
- Анализ поведения: использование алгоритмов машинного обучения для выявления аномалий в трафике.
- Резервирование инфраструктуры: создание избыточных каналов связи и серверов, способных выдержать часть нагрузки.
- Взаимодействие с провайдером: при крупных атаках необходимо обращаться к интернет-провайдеру для блокировки трафика на уровне магистральных сетей.
В России действует Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует действия по реагированию на кибератаки, включая DDoS.
Примеры известных атак
- Атака на GitHub (2018): одна из крупнейших атак на тот момент, достигшая мощности 1,35 Тбит/с. Использовалась амплификация через Memcached.
- Атака на Dyn (2016): атака с использованием ботнета Mirai, которая нарушила работу Twitter, Netflix, Reddit и других сервисов.
- Атака на «Сбербанк» (2022): по данным банка, в 2022 году была отражена рекордная атака мощностью 1 Тбит/с, которая длилась несколько часов.
- Атака на «Яндекс» (2021): одна из крупнейших атак в истории Рунета, мощность которой, по данным компании, достигала 22 Тбит/с (с учётом амплификации).
Правовое регулирование в России
В Российской Федерации DDoS-атаки квалифицируются как неправомерный доступ к компьютерной информации (ст. 272 УК РФ) или создание, использование и распространение вредоносных программ (ст. 273 УК РФ). Ответственность за организацию и проведение DDoS-атак предусматривает лишение свободы на срок до 7 лет (в зависимости от тяжести последствий). Также действует Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ), который обязывает операторов КИИ защищать свои системы от DDoS-атак.
Источники
- Уголовный кодекс Российской Федерации, статьи 272, 273.
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Данные Роскомнадзора и НКЦКИ о кибератаках.
- Публичные отчёты компаний «Яндекс», «Сбербанк» о DDoS-атаках.
- Материалы конференций по информационной безопасности (например, Positive Hack Days, ZeroNights).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →