DDoS-атака — это сокращение от Distributed Denial Of Service Attack (распределённая атака типа «отказ в обслуживании»). Сегодня она является одной из самых распространенных и опасных сетевых угроз. Результат такой атаки — длительные простои компьютерной системы, потерянная прибыль, большие объемы работ по идентификации атаки и подготовка адекватных ответных мер. Поэтому для пострадавших компаний и госструктур ущерб от нее может исчисляться во многих миллионах долларов.

Схематически DDoS-атака действует следующим образом: на выбранный в качестве жертвы сервер с разных компьютеров поступает огромное количество ложных запросов. Атакованный сервер тратит все свои ресурсы на обслуживание этих запросов. Поэтому для обычных пользователей он становится практически недоступным. При этом часто для рассылки запросов хакеры используют компьютер без ведома его хозяина. Для этого используются сети зомби-компьютеров — ботнеты .

Структура DDoS

Чаще всего DDoS-атака имеет трехуровневую структуру. Во главе иерархии находится управляющая консоль, то есть именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки. Причем таких компьютеров может быть несколько. Затем сигнал поступает в главные компьютеры. На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров. И последний, третий, уровень — это так называемые агенты, то есть «зомбированные» компьютеры, которые своими запросами атакуют узел-мишень. Проследить такую структуру в обратном направлении практически невозможно. Можно определить адрес агента, что в лучшем случае приведет к главному компьютеру. Но отследить управляющую консоль будет очень сложно.
Кроме того, опасность DDoS-атаки состоит в простоте ее применения. Изначально программное обеспечение DDoS создавалось в «мирных» целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Поэтому сейчас многие средства DDoS очень легкодоступны в Сети, а злоумышленникам не нужно обладать какими-то специальными знаниями или ресурсами.

Виды DDoS-атак

В настоящее время специалисты по информационной безопасности выделяют следующие виды DDoS-атак:

UDP flood

Данный вид DDoS-атаки предполагает отправку на адрес компьютера-жертвы множества пакетов UDP (User Datagram Protocol). UDP flood легко обнаруживается, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.

TCP flood

TCP flood предполагает отправку на адрес мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

TCP SYN flood

Этот тип атаки подразумевает посылку большого количества запросов на инициализацию TCP-соединений с узлом-мишенью. В результате атакуемое устройство расходует все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Smurf-атака

При Smurf-атаки злоумышленник посылает пакеты ICMP Echo Request, используя в качестве IP-адреса источника запроса адрес сервера-жертвы. Получив пакет с запросом, все узлы сети, получившей запрос (а это как правило мощные новостные или почтовые серверы) вышлют множество ответных пакетов на сервер-жертву. Таким образом сервер получивший запрос становится посредником в smurf-атаке, а сервер-жертва будет парализован «мусорными» запросами.

Основное средство защиты от DDoS-атак — это быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования интернет-провайдера. Провайдер, получив тревожный сигнал, обязан моментально развернуть входные фильтры, чтобы блокировать «мусорный» трафик в тех точках, где он входит в сеть провайдера. К примеру, основной хост-сервер Пентагона подвергается в среднем ста DDoS-атакам в неделю, но благополучно с ними справляется именно благодаря собственной «системе быстрого реагирования».