Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно.

Стандартные цели DDoS-атак:

  • Сайты интернет-магазинов
  • Онлайн-казино
  • Компания или организация, работа которой связана с предоставлением онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:

  • Существенное замедление время ответа на запросы.
  • Отказ в обслуживании всех запросов пользователей или части из них.

Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.

Использование сети зомби-компьютеров для проведения DDoS-атак

Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.

Природа современных DDoS-угроз

В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:

  • Полицейские расследования, которые привели к аресту преступников по всему миру
  • Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам

Для атаки могут использоваться абсолютно любые алгоритмы, но вот основные типы атак:

UDP Flood - отправка большого количество запросов по UPD протоколу на разные порты атакуемой машины. В результате сервер будет вынужден отправлять большое количество ICMP-сообщениий «адресат недоступен», что съедает полосу пропускания.

SYN Flood - отправкой большого количества SYN сообщений сервер вынуждают создавать новые соединение, которые закроются только по истечению timeout. Поскольку количество возможных соединений ограничено, у атакуемой машины быстро заканчиваются ресурсы.

Ping of Death - отправляется по частям пакет, размер которого больше максимального размера пакета в IPv4(65535 байт). Это может привести к выводу из строя серверного ПО на машине. Но сейчас с этим типом атаки успешно борются.

Zero Day DDoS - DDOS с использованием только что обнаруженных уязвимостей.

Unintentional DDoS - тот случай, когда хакеры ни к чему не причастны. Это состояние, при котором количество запросов от обычных пользователей настолько большое, что сервер перестаёт справляться.

Application Level Attacks - атака проводится на определённые приложения на сервере. Цель - заставить приложение создать наибольшую нагрузку одним запросом.

Nuke - отправка модифицированного ICMP пакета, в процессе обработки которого сетевым оборудованием или сервером возникает критическая ошибка.

Что будет, если ваш IP-адрес «засветится» при DDoS-атаке или взломе?

Для интернет-провайдера не составляет труда узнать IP-адрес компьютера, с которого осуществлялись атаки. Но, часто по IР-адресу очень сложно идентифицировать конечного пользователя: например, в домашних сетях под одним IP-адресом могут выходить в Интернет множество пользователей. Но даже в случае, если IP-адрес закреплен за конкретной квартирой, там может быть установлен, например, WiFi-маршрутизатор. К нему "по воздуху" подключаются различные устройства, компьютеры, планшеты, смартфоны, которые могут принадлежать разным людям. А если радиус действия WiFi-сети выходит за пределы квартиры, то ее владелец может и не подозревать, что ей пользуются посторонние люди.

Кроме того, злоумышленники могут инфицировать устройство компьютерным вирусом, чтобы получить к нему удаленный доступ без ведома владельца.

Есть и еще одна проблема. Как показывает практика, многие провайдеры не блокируют возможность использования своими клиентами чужих IP-адресов. Поэтому атака якобы с IP-адреса любого пользователя на самом деле может осуществляться из сети, например, в Германии или Панамы.