Видове DDoS атаки и популярни примери за DDoS атаки

Вече говорихме за това, какво точно са DDoS атаките. Те са съвременна чума, тероризираща интернет. През годините те стават по-силни и се случват все по-често (прочетете относно най-големите DDoS атаки в историята). Разнообразието от DDoS атаки също се увеличи. Сега има различни видове DDoS атаки. Ще ви покажем най-често срещаните.

Има 3 основни вида DDoS атаки

Обемни DDoS атаки (Volume-based attacks)

Обемните DDoS атаки, също познати като трафик DDoS атаки, работят, като изпращат силни вълни от трафик, за да претоварят целевите сървъри. Те се измерват в данни за секунда. Например GitHub беше претоварен с 1,35 TBPS трафик.

Тук целта е да се създаде необходимия трафик за да претовари и спре целта. За да постигнат тази цел, нападателите използват различни и дори смесени техники. Злонамерената креативност опитва всичко, от манипулация на IP адреси до големи и страшни ботнет мрежи.

Примери: IP/ICMP fragmentation, UDP flood и ICMP flood.

Протоколни DDoS атаки (Protocol attacks)

Този тип DDoS атаки се възползва от пропуските в протоколите (SSDP, UDP, TCP/IP и др.). Нападателите „объркват“ или карат сървърите да работят допълнително. В крайна сметка сървърите се сриват, ако атаката е достатъчно силна.

Протоколите са полезни и необходими набори от правила, разработени, за да направят комуникацията през интернет възможна, ефективна и безопасна. Проблемът е, че те все още имат слабости, които нападателите използват за своите зли цели.

Примери: SYN flood, TCP flood, IP fragmentation, SSDP amplification, Smurf Attack, Ping of Death.

Атаки на ниво приложения (Application layer attacks)

Този тип DDoS атаки се опитват да сринат уеб сървъри (Windows, OpenBSD или Apache). Тук акцентът не е върху данните, а върху броя на заявките. Твърде много заявки, които изглеждат нормални. Те имитират обичайното поведение на потребителите, но извършват атака, за да претоварят жертвата.

Нападателите използват различни техники. Тези атаки не работят с големи обеми на трафик, следователно са по-трудни за откриване. Произведените от тях пикове в трафика могат да изглеждат на пръв поглед „нормални“.

Примери: HTTP Flood, Slowloris, BGP hijacking.

Ако искате да научите повече за DDoS атаките, можете да прочетете “Всичко, което трябва да знаете за DDoS атаките. Често задавани въпроси”.

Примери на популярни DDoS атаки

След като вече знаем какви са видовете DDoS атаки, нека да разгледаме най-често срещаните им варианти:

Teardrop Attack

Teardrop атаката се изпълнява чрез изпращане на променени пакети от данни към мрежа, сървър или компютър. Жертвата ще започне да получава тези пакети, но тъй като са повредени, няма да ги разбере. Това се случва, защото нападателите се възползват от TCP/IP уязвимост. Те използват уязвимостта, за да повлияят на кодовете за фрагментиране на TCP/IP или функцията за повторно сглобяване.

По този начин се създава конфликт в жертвата, която ще се опита да възстанови пакетите в правилната последователност. Пакетите ще се припокриват и постоянният провал на този процес ще спре жертвата.

Тази ситуация вече е лоша за атакуваната мрежа, сървър или компютър, но с всеки изминал момент, става по-лоша поради големия трафик (научете как да тествате сайта си за силен трафик тук), които нападателите изпращат, за да постигнат своята злонамерена цел. Тази комбинация най-накрая ще причини претоварване на жертвата.

Ping of Death

Ping of Death, както подсказва името, използва инструмента ping (вижте какво е ping командата тук). Сървърът получава пакети, които са по-големи от ограничението, което IP протоколът позволява. Това „обърква“ сървъра. В резултат на объркването може да се срине, да замръзне или да се рестартира.

Да приемем, че размерът на IPv4 пакет заедно с неговия IP хедър е 65 535 байта. През 90-те години грешка в TCP/IP структурата на различни операционни системи показа, че по-големите пакети, изпратени до машина, биха причинили нестабилност, рестартиране или срив. Обяснението е било просто. Получателят (машината жертва) получи такива пакети с данни, по-големи от споменатия размер. След това, докато се опитва да сглоби отново тези пакети, се получава препълване на буфера.

Смяташе се, че тази заплаха е преодоляна, но по-късно през 2000-те години тя се е развила, достигайки IPv6. Вече има защита, но по-добра, не подценявайте тази атака!

Smurf Attack

Още една пинг атака. Тази използва ICMP ехо заявки и зловреден софтуер, наречен Smurf. Много свързани устройства по целия свят изпращат заявка за ping, но потвърждението след това се пренасочва към целевия сървър. Това създава силна вълна от трафик, която може силно да повлияе и спре жертвата.

Зловредният софтуер Smurf променя IP адреса на източника, изпращащ пакета данни. Така пакетът получава променения IP адрес, този на жертвата. След това пакетът пътува до IP broadcast адрес, който изпраща заявки до всяко отделно устройство в broadcast мрежата. Заявката се умножава по броя на устройствата в тази мрежа. Всички те ще отговорят на променения IP адрес на жертвата с ехо Internet Control Message Protocol (ICMP) отговор. Този масивен поток от ехо претоварва жертвата, предизвиквайки отказ на услуга.

ICMP (Ping) Flood

Тази атака е подобно на Smurf Attack. Използва същата техника за изпращане на безброй ping заявки, като пренебрегва отговорите.

Internet Control Message Protocol (ICMP) е протокол без потвърждение на връзка, полезен за IP операции и диагностика на проблеми. Обикновено ICMP ехо заявката и нейният ехо отговор помагат да се извърши ping на устройство от конкретна мрежа, за да се диагностицира или да се провери както връзката на устройството, така и връзката изпращач-устройство. Този процес, изпращането на ICMP заявка и нейният отговор, отнема ресурси, като честотна лента. Така че, след като ICMP заявките се умножат значително със злонамерени цели, препълването на ехото ще изключи жертвата.

SYN Flood

Целта на атаката SYN Flood е да претовари сървъра. Той се възползва от последователност на TCP връзка, наречена тристранно ръкостискане. Процесът е прост; сървърът получава SYN (синхронизирано) съобщение. След това сървърът отговаря със SYN-ACK (потвърждение на съобщението). В последната стъпка сървърът трябва да получи ACK от клиента, но това никога не се случва и сървърът продължава да чака. Това ръкостискане се активира многократно, докато обикновените клиенти не могат да се свържат поради претоварване.

За да влоши ситуацията за жертвата, не е странно, че нападателите добавят валидна информация към заявките. Това увеличава времето за обработката им, следователно задръстванията и използването на процесора.

UDP Flood

UDP – User Datagram Protocol – е мрежов протокол, който се използва от DNS (научете какво е DNS тук). Този UDP протокол работи без да се създава постоянна връзка и функционалността му не включва нещо като механизъм за ръкостискане. UDP Flood е атака, при която устройство (целта) ще получи силен трафик по случаен порт. Ще се опита да провери за приложението на този порт, но няма да намери нищо.

Освен че насища честотната лента за интернет, UDP Flood атаката по пътя си засяга ключови елементи за сигурност като защитни стени. Защитните стени трябва да отварят канал за всеки UDP пакет. Те могат да бъдат затрупани много бързо от потока от връзки.

Атаката Fraggle е един вариант на UDP Flood атаките.

HTTP Flood

HTTP Flood изглежда като нормална GET или POST заявка, но е изпратена от хакер. Атаката принуждава сървърите да реагират на всички заявки и използва много ресурси.

HTTP е основата на интернет заявките на браузъра. Това е нормален протокол и се използва ежедневно за различни цели. Това прави много трудно за устройствата за сигурност да идентифицират злонамерения HTTP трафик. Системите могат да получат много фалшиво положителни сигнали, ако не използват подходяща комбинация от параметри за ефективно откриване.

Освен това нападателите могат да умножат силата на HTTP flood, като използват ботнет.

Slowloris

Тази атака действа като Давид срещу Голиат. Един компютър може да цял свали уеб сървър. Slowloris отваря множество връзки към уеб сървъра на жертвата и ги държи отворени толкова дълго, колкото може. Средството за постигане на тази злонамерена цел е изпращането на непълни HTTP заявки. Крайната му цел е да отвори възможно най-много връзки, докато сървърът не може да отвори никакви за обикновени потребители. Много е опасно за Apache 1.x, 2.x уеб сървъри и други.

Slowloris атака е създаден от „Rsnake“, хакер със сива шапка (вижте различните видове хакери тук). Тя се е родила като инструмент за създаване на отказ на услуга (DoS) чрез използването на много бавни HTTP заявки. Кръстена е на бавните лори, вид примати, известни със своята бавност.

Zero-day DDoS атаки

Този термин се използва за атаки, които използват нови уязвимости в сигурността. Тези, за които разработчиците все още не познават. Уязвимостите могат да съществуват от самото начало или могат да възникнат след актуализация или корекция.

DDoS Amplification

Този тип атака използва UDP протокола и факта, че UDP е комуникационен модел без създаване на връзка. В този модел едната страна може да изпраща голямо количество данни на другата страна без ограничения. Няма нужда от потвърждение за получаване. Кибер престъпниците изпращат малки UDP заявки с променени IP адреси на жертвата до публични сървъри. Сървърите връщат данните усилени и удрят жертвата с огромен трафик.

SNMP Reflection Attack

Той използва Simple Network Management Protocol (SNMP), мрежов протокол, използван за конфигуриране и събиране на данни от устройства в мрежата (рутери, сървъри, суичове, хъбове, принтери и др.). Хакерите изпращат SNMP заявки с променен IP адрес (този на жертвата). Колкото повече устройства са свързани към мрежата, толкова по-силна е атаката. Целта се опитва да отговори на всички заявки, в резултат на което може да забие и да спре да работи.

SNMP Reflection атаката може да причини щети. Обемите от стотици гига бита в секунда, които може да произведе, не са за пренебрегване. Те могат да ударят сървъри на различни мрежи.

Fork Bomb

Целта на атаката е да вземе всички ресурси на жертвата и да я претовари докато се изключи напълно. Атаката работи чрез повторение на самовъзпроизвеждащи се процеси. Те се повтарят, без да спират, използват паметта и претоварват процесора. Това ще блокира нормалната работа на други програми и ще спре извършването на други необходими процеси. Ако вие или вашият администратор се опитате да използвате клавиатурата, ще разберете, че въведените данни се игнорират. Системата ще бъде заключена.

Един пример е приложение с безкраен цикъл, което се стартира отново и отново. То заема системна памет и натоварва процесора, докато цялата система се срине. Традиционната Fork Bomb е насочена към устройства с Linux, но по-усъвършенствана версия може да е насочена и към устройства с Windows.

Повечето системи ще бъдат достъпни, след като атакуваната машина бъде рестартирана. Твърдото рестартиране може да бъде достатъчно, за да си върнете контрола. Но има големи шансове да загубите данни.

Advanced Persistent DoS (APDoS)

Както подсказва името, това е атака от по-високо ниво. Включва HTTP Flood, SQLI и XSS атаки. Говорим за милиони заявки наведнъж. Атаката често има множество цели за избягване на защитни анти-DoS действия от основната цел и предварително определена цел. Атакува няколко слоя – от 3 до 7. Атаката може да бъде много голяма. Нападателите могат да променят тактиката в движение. Много е опасна и е много трудно да се спре.

Обикновено нападателите, изпълняващи APDoS атака, имат голям изчислителен капацитет, за да гарантират достатъчно мощност, за да поддържат постоянна атака. Жертвата може да се сблъска със седмици постоянна атака.

NXDOMAIN атака

Това е друга атака, която търси нарушаване на правилното функциониране и наличност на DNS сървър. Това, което атакуващите правят, е да изпращат поток от DNS заявки към целта си, за да я накарат да намери адреса на несъществуващо име на домейн. DNS сървърът ще изразходва своите ресурси в това безсмислено усилие. Тъй като дадените DNS записи не са валидни или не съществуват, няма начин да намери искания домейн.

Скоро кешът на целта ще бъде наситен с NXDOMAIN отговори. DNS сървърът ще стане много бавен и всяка минута ще му бъде по-трудно да отговаря на легитимните заявки. В крайна сметка ще спре да работи.

Заключение

Сега със сигурност се чудите какво можем да направим, за да се предпазим от този огромен брой видове DDoS атаки, нали? Не се отчайвайте, има лесен начин да се защитите – Нетера DDoS защита. Тази защита може да издържи на големи атаки. Дори по-големи от 2 Tbps. Освен това защитава слоевете от 3 до 7. Не се колебайте! Да получите модерна и ефективна DDoS защита е инвестиция, която вашият бизнес заслужава!

За да разберете по-добре какво точно включва DDoS защитата, можете да прочетете:
Какво е DDoS атака и DDoS защита?

.