Существует множество видов атак. В следующих разделах мы рассмотрим наиболее известные из них.
Атаки отказа в обслуживании (DoS) – это когда один хост пытается скомпрометировать жертву при помощи чрезмерного трафика. Самыми простыми и ранними из них были «пинг-флуды». Их заменили потоками пакетов TCP, которые из-за полученного трехпакетного квитирования могли генерировать больше трафика. TCP-атаки были вытеснены UDP-атаками, так как состояние IP-адреса источника без установления соединения позволяет его подделать, что затрудняет отслеживание и остановку UDP-атак.
Простые типы атак уступили место массовым DDoS-атакам, где несколько хостов (иногда сотни тысяч) сосредоточены на одной цели. DoS-атака может посылать десятки мегабит вредоносного трафика в секунду, в то время как даже самая низкая DDoS-атака начинается с сотен мегабит в секунду. Каждый год ставится новый рекорд. Первая терабитная атака (1000 гигабит) может произойти к моменту публикации этой книги или вскоре после нее.
В прямой DoS-атаке вредоносный трафик генерируется единственным хостом. Злоумышленник может (случайным образом) изменить исходный IP-адрес в попытке скрыть его, но при прямых атаках только один отправитель создает трафик, который затем направляется непосредственно к цели без использования промежуточных узлов. Прямые атаки теряют свою популярность, потому что их легко обнаружить, смягчить и устранить.
Reflection-атаки используют один или несколько промежуточных узлов для генерации DDoS-атак. Существует DDoS-бот вредоносных программ, ожидающих команд, которые будут проинструктированы атаковать конкретный хост. Как правило, сотни, десятки тысяч хостов используются против предполагаемой цели. Исходный сервер «Команда и контроль» (C&C) отправляет соответствующие инструкции ботам. Таким образом, несколько пакетов от сервера C&C могут оказаться миллионами пакетов в секунду.
Усиленные DDoS-атаки используют «шумные» протоколы, которые отвечают более чем одним пакетом при получении одного пакета против намеченных целей. Например, злоумышленник DDoS может отправить неправильный запрос на веб-сервер с фальсифицированным IP-адресом источника, принадлежащим жертве. Промежуточный веб-сервер получает неправильный запрос и отправляет его обратно на исходный IP-адрес (целевой жертвы) с несколькими ответами или попытками исправления ошибок. Другая популярная DDoS-атака злоупотребляет DNS-серверами, запрашивая большее количество DNS-информации, на которую DNS-сервер отправляет несколько, если не десятки, пакетов в ответ. Вы можете узнать больше о DNS-атаках на сайте: https://technet.microsoft.com/en-us/security/hh972393.aspx. Чем больше усиление, тем успешнее DDoS-атакующий. Когда усиление координируется с десятками, сотнями тысяч ботов, могут быть выполнены огромные DDoS-атаки.
DoS/DDoS-атаки могут быть выполнены на каждом уровне модели OSI (физический, канал передачи данных, сеть, сеанс, транспорт, представление и применение). Физическая атака может быть выполнена путем физического уничтожения зависимости Центральной службы, такой как маршрутизатор, DNS-сервер или сетевая линия. Все остальные типы атак используют один или несколько протоколов на разных уровнях.
Сегодня наиболее успешные DDoS-хакеры атакуют цели с помощью широкого и разнообразного набора атак по модели OSI. Они могут начинаться с простого флуда в протоколе более низкого уровня и увеличивать трафик с течением времени с короткими паузами между ними. Вероятно, они начинают с простого отражения, а затем переходят к методам усиления. Затем они переключают уровни атаки, продвигаясь вверх по модели OSI, и добавляют еще больше трафика. Злоумышленники часто используют уровень приложений, подделывая трафик, который изначально выглядит как законный, но занимает очень мало пропускной способности.
По мере того как жертва думает, что DDoS под контролем, он меняется и трансформируется. Жертва начинает думать, что поняла масштаб атаки и как ее победить, а атака уже изменилась. Это сбивает с толку жертву и специалиста по ИБ и заставляет дольше настраивать успешную смягчающую защиту. И каждый раз, когда жертва думает, что нашла решение, атака меняется снова, назад и вперед, назад и вперед, и продолжается борьба, пока у атакующего не появятся новые типы атак.
На сайтах, ставших жертвами атак, часто реализуются методы и службы защиты от DDoS, и они нередко успешны. DDoS-атакующие перемещаются вверх или вниз «по течению» и ищут новую цель. Поставщик должен решить, стоит ли вредить всем своим клиентам, чтобы спасти одного. Если жертве повезет, специалист по ИБ успеет что-то предпринять до полного прекращения доступа. В других случаях жертва просто блокируется на несколько дней, если не дольше, пока массовые DDoS-атаки не ослабеют. Ежегодно встречаются случаи, когда жертве не удается реабилитироваться.
Подробнее о DDoS-атаках можно прочитать на сайтах: https://www.incapsula.com/ddos/ddos-attacks, https://javapipe.com/ddos-types/ и https://en.wikipedia.org/wiki/Denial-of-service_attack.
Существует множество инструментов и вендоров услуг, чтобы помочь каждому осуществить DDoS-атаку.