DDoS-атаки: типы атак и уровни модели OSI


Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса.

Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок.

HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

  • HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

  • HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получется, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI


1-й уровень OSI: Физический

Тип данных Биты
Описание уровня Передача двоичных данных
Протоколы Протоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют
Примеры технологий DoS Физическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами
Последствия DDoS-атаки Сетевое оборудование приходит в негодность и требует ремонта для возобновления работы

 
 2-й уровень OSI: Канальный

Тип данных Кадры
Описание уровня Установка и сопровождение передачи сообщений на физическом уровне
Протоколы Протоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют
Примеры технологий DoS MAC-флуд — переполнение пакетами данных сетевых коммутаторов
Последствия DDoS-атаки Потоки данных от отправителя получателю блокируют работу всех портов


3-й уровень OSI: Сетевой

Тип данных Пакеты
Описание уровня Маршрутизация и передача информации между различными сетями
Протоколы Протоколы IP, ICMP, ARP, RIP и роутеры, которые их используют
Примеры технологий DoS ICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети
Последствия DDoS-атаки Снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра


4-й уровень OSI: Транспортный

Тип данных Сегменты
Описание уровня Обеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень
Протоколы Протоколы TCP, UDP
Примеры технологий DoS SYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами)
Последствия DDoS-атаки Достижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования


5-й уровень OSI: Сеансовый

Тип данных Данные
Описание уровня Управление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход)
Протоколы Протоколы входа/выхода (RPC, PAP)
Примеры технологий DoS Атака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным


6-й уровень OSI: Представительский

Тип данных Данные
Описание уровня Трансляция данных от источника получателю
Протоколы Протоколы сжатия и кодирования данных (ASCII, EBCDIC)
Примеры технологий DoS Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы


7-й уровень OSI: Прикладной

Тип данных Данные
Описание уровня Начало создания пакетов данных. Присоединение и доступ к данным. Пользовательские протоколы, такие как FTP, SMTP, Telnet, RAS
Протоколы FTP, HTTP, POP3, SMTP и шлюзы, которые их используют
Примеры технологий DoS PDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи)
Последствия DDoS-атаки Нехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.
 

 

(C) 2000-2023 ООО НЕТФОКС (NetFox LTD)
Все права защищены.
информация о компании
Электронная почта:
Общие вопросы: info@netfox.ru
Служба поддержки: support@netfox.ru
отправить письмо через сайт...