Главная » Статьи » Основновные механизмы DDoS атак

Основновные механизмы DDoS атак

Существуют несколько основных типов DDoS атак - рассмотрим их ниже:

1. ICMP Smurf

Наиболее распространенным метод DDoS атак. Принцип его работы довольно прост. Злоумышленник, изменяя адрес источника, посылает пакет ICMP Echo Request (больше известный как пинг (ping)) к конкретным компьютерам, как правило, входящих в состав сети ddosnet). Эти компьютеры в свою очередь отвечают пакетом ICMP Echo Reply, отправляя его на IP адрес указанный хакером как источник. Часто для усиления атаки используются локальные сети (LAN) с включенной опцией направленной широковещательной рассылки (directed broadcast), в ответ на пинг с каждого компьютера в составе сети. Например на один запрос будет отправлено 100 ответов.

2. Syn Flood

Так же часто используемый метод DDoS атаки. Для того что бы понять схему его действия, нужно знать, как устанавливается соединение в протоколе TCP (Transport Control Protocol). Syn Flood атака основана на создании, так называемых, полуоткрытых сессиях. Один из агентов посылает SYN пакет, в ответ на который сервер вынужден отвечать SYN и ACK пакетами. Целью такой DDoS атаки является не перегрузка канала, а прекращение связи между администратором и сервером, а так же максимальная загрузка памяти сервера, из-за чего может возникнуть проблемы с доступом к сервисам или же полное прекращение услуг.

3. UDP Flood

Данный метод основан на применении UDP протокола и используется обычно для вызова наиболее возможной нагрузки канала атакуемой системы. Метод UDP Flood не является атакой, использующей недостатки протокола, а основан на приложениях, работающих в рамках протокола UDP. Два сервиса являются частыми мишенями UDP Flood атаки — это системы DNS и Chargen

UDP Flood DNS

Целью DDoS атаки на сервер DNS является нарушение преобразования символьных адресов в IP адреса. Это может парализовать некоторые услуги и мешать взаимодействию пользователя с сетью интернет. Атака служб DNS трудна и часто не приносит желаемого эффекта. Хакеры используют два варианта нападения на сервера. Первый относится к системе имен определенной подсети. В данном случае злоумышленник посылает множеству DNS серверов запрос о домене жертвы, который генерирует относительно высокую активность и тем самым может отрицательно сказаться на работе атакованного сервера. Суть второго варианта атаки — отправка жертве большого количества запросов про IP адрес несуществующего домена. В этом случае ответ от DNS сервера значительно превышает объем запросов отправленных хакером, что может повлечь перегрузку каналов, используемых жертвой.

UDP Flood Chargen

Chargen (сокр. от Character Generator) это сервис, который генерирует набор случайных чисел от 0 до 512 разной длины. Служит он для диагностических целей и позволяет определить причины потери пакетов. Нападение на сервис Chargen является простым и эффективным методом DDoS атак, и основано на отправке на него с множества компьютеров небольших пакетов UDP, на которые услуга должна ответить, в результате чего часто происходит перегрузка соединения. Существует также второй вариант нападения, когда потерпевший имеет в своей сети два сервера, предоставляющих данную услугу. В таком случае используется метод подмены адреса, хакер выдает себя за первый сервер, а потом отправляет на второй сервер набор символов. Это приводит к ответу на первый сервер и так по кругу, создав круговорот обращений и пересылок. Естественно это приводит к неработоспособности серверов.

4. HTTP Flood

Этот тип атаки довольно распространен при нападении на сайты, находящиеся на сервере. Механизм HTTP Flood основан на отправке максимального числа запросов для отображения документов, размещенных на сервере. В результате такой атаки может быть прекращено предоставление услуг, связанных с HTTP и затруднен доступ клиентам к сайту. Существует два способа проведения такой атаки, первый проходит через ddosnet сеть, а второй — через прокси серверы. Первый метод является более надежным и простым. Компьютеры, соединенные в сеть, отправляют запросы на конкретные документы, представляемые HTTP сервером, при достаточно масштабной атаке это может привести даже к полному прекращению предоставления услуг. Второй метод используется, скорее, как усиление атаки. Он основан на использовании множества общедоступных прокси-серверов. Все это делается в три этапа. Сначала хакер посылает запрос на w3cache сервера для отображения конкретной страницы из ресурсов жертвы. Серверы немедленно соединяются с целью скачать необходимые документы, а нападающий временно разрывает связи с ними. Этот процесс повторяется до получения желаемого результата.

Услуги по защите от DDoS атак и их стоимость можно увидеть на этой странице.