Какими бывают DDoS-атаки
Разновидностей DDoS-атак много, и злоумышленники комбинируют их для нанесения наибольшего урона цели. Вот четыре распространенные тактики.
1. Прямые объемные атаки
‣ High packet rate. Генерация большого количества пакетов за короткий промежуток времени.
‣ Small packet size or large packet size. Использование очень маленьких или очень больших пакетов для нарушения обработки сетевыми устройствами трафика, либо переполнение канала связи.
‣ L3/L4 UDP attacks. Отправка большого количества UDP-пакетов для перегрузки целевого сервера, так как UDP не требует установления соединения.
‣ ICMP (including echo request, echo reply, unreachable). Запросы ICMP, например, ping, вынуждают цель отвечать на массовые запросы.
‣ L2/L3 floods (IGMP, SSDP, CHARGEN, QOTD, BT, Kad). Перегрузка сети путем генерации множественных пакетов используя различные протоколы сетевого уровня.
2. Сложные атаки на протоколы и манипуляции с пакетами
‣ L3/L4 TCP attacks (SYN, FIN, ACK, RST, invalid flag combinations). Эксплуатация TCP-протокола, например, создание фиктивных сессий (SYN flood) или неправильное использование флагов для сбоя обработки пакетов.
‣ Attacks involving fragmented packets, truncated or malformed packets. Отправка не полностью сформированных или некорректных пакетов для вызова ошибок и перегрузки в системе обработки данных.
‣ Fragmented packet floods (Frag. UDP Flood, Frag. TCP ACK flood, Frag. ICMP Flood). Перегрузка сети путем генерации фрагментированных пакетов, что заставляет цель тратить ресурсы на их пересборку и обработку.
‣ IP spoofing attacks. Подделка IP-адресов отправителя для обмана целевой системы или скрытия истинного источника атаки.
‣ Amplification attacks (DNS NTP, SNMP, LDAP). Использование уязвимостей в протоколах для многократного усиления объема атакующих данных
3. Распределенные сетевые атаки
‣ Fan-in (many IPs to one IP). Множество источников атакует и перегружает одну цель.
‣ Fan-out (one IP to many IPs). Один источник направляет трафик на множество целей для разведки уязвимостей или создания отвлекающего маневра
‣ Swarms (many IPs to many IPs). Скоординированная атака множества источников по множеству целей для создания массового хаоса.
‣ Multiple targets attacks. Как скоординированные, так и непоследовательные атаки по различным целям, направленные на манипуляцию защитными ресурсами
4. Атаки разной продолжительности и интенсивности.
‣ Long persistent attacks. Продолжительные атаки, создающие постоянную нагрузку на цель.
‣ Pulsed attack. Чередование активной фазы атаки с периодами покоя.
‣ Slow evolving attacks. Атаки с постепенным нарастанием интенсивности, что делает их менее заметными для систем мониторинга на ранней стадии.
‣ Low-rate attacks (from 1000 pps/10 Gbps). Атаки с низкой скоростью отправки пакетов, маскирующиеся под легитимный трафик.
Сервис «DDoS Secure» блокирует все эти атаки, автоматически адаптируясь к их методам в течение 25 секунд после обнаружения.
