Полезно е да знаем - Какво e DDoS атака?

Потребителски рейтинг: 5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Какво представлява DDoS атака?

Атаката за разпространение на отказ на услуга (DDoS) е злонамерен опит да се наруши нормалният трафик на целевия сървър, услуга или мрежа чрез претоварване на целевата или свързаната с нея инфраструктура с поток от интернет трафик. DDoS атаките постигат ефективност, като използват множество компрометирани компютърни системи като източници на трафик на атаки. Използваните машини могат да включват компютри и други мрежови ресурси, като устройства с интернет. От високо ниво, атаката на DDoS е като задръстване, затруднено от пътното движение, което предотвратява пристигането на обичайния трафик до желаното му местоназначение.

Как действа атаката на DDoS?

Атака на DDoS изисква нападателя да придобие контрол над мрежа от онлайн машини, за да извърши атака. Компютрите и други машини (като например устройства с IoT) са заразени с злонамерен софтуер , превръщайки всеки един в бот (или зомби). След това атакуващият има отдалечен контрол над групата ботове, която се нарича ботнет .

След като е създаден ботнет, нападателят може да насочва машините чрез изпращане на актуализирани инструкции до всеки бот чрез метод за дистанционно управление. Когато IP адресът на жертвата е насочен от ботнета, всеки бот ще отговори, като изпрати заявки към целта, потенциално причинявайки претоварване на целевия сървър или мрежа, което води до отказ на услуга за нормален трафик. Тъй като всеки бот е легитимно интернет устройство, отделянето на трафика на атаките от нормалния трафик може да бъде трудно.

Изночник | IMPREVA INCAPSULA


Видове DDoS Атаки?

UDP Flood

Потокът от UDP по дефиниция е всяка DDoS атака, която наводнява целеви пакети с потребителски протокол Datagram Protocol (UDP). Целта на атаката е да запълни произволни портове на отдалечен хост. Това причинява на хоста многократно да проверява за слушането на приложението на този порт и (когато не се намери приложение) да отговори с ICMP пакет "Destination Unreachable". Този процес отслабва домакинските ресурси, което в крайна сметка може да доведе до недостъпност.

ICMP (Ping) Flood

Подобно на принципа на наводнението от UDP, наводнението от ICMP препълва целевия ресурс с пакети ICMP Echo Request (ping), като обикновено изпраща пакети възможно най-бързо, без да чака отговори. Този тип атака може да консумира както изходяща, така и входяща честотна лента, тъй като сървърите на жертвата често се опитват да реагират с пакети ICMP Echo Reply, което води до значително цялостно забавяне на системата.

SYN Flood

Атака на DDoS за наводнение SYN използва известна слабост в последователността на TCP връзката ("трипосочно предаване на ръка"), при което искане на SYN за иницииране на TCP връзка с хост трябва да получи отговор от SYN-ACK отговор от този хост и след това се потвърждава от ACK отговор от заявителя. При SYN наводнения сценарий, заявителят изпраща множество заявки SYN, но или не отговаря на SYN-ACK отговора на хоста, или изпраща заявките SYN от фалшив IP адрес. Така или иначе, системата домакин продължава да чака потвърждение за всяка от заявките, обвързващи ресурси, докато не бъдат направени нови връзки и в крайна сметка ще доведе до отказ на услугата .

Пинг на смъртта

Атака на смърт ("POD") включва нападателя, изпратил множество неправилни или злонамерени пингове на компютър. Максималната дължина на пакета на IP пакета (включително заглавката) е 65 535 байта. Въпреки това Layer Data Link обикновено поставя граници на максималния размер на рамката - например 1500 байта през Ethernet мрежа. В този случай голям IP пакет е разделен на множество IP пакети (известни като фрагменти), а хост-получателят отново сглобява IP фрагментите в целия пакет. При сценария на Ping of Death, след злоумишлено манипулиране на съдържанието на фрагмента, получателят завършва с IP пакет, който е по-голям от 65 535 байта, когато е сглобен отново. Това може да препълни буферите за памет, разпределени за пакета, което води до отказ на услугата за легитимни пакети.

Slowloris

Slowloris е силно насочена атака, която позволява на един уеб сървър да сваля друг сървър, без да засяга други услуги или пристанища в целевата мрежа. Slowloris прави това, като държи колкото се може повече връзки към целевия уеб сървър. Тя постига това чрез създаване на връзки към целевия сървър, но изпраща само частична заявка. Slowloris постоянно изпраща повече HTTP заглавки, но никога не попълва заявка. Целевият сървър запазва всяка от тези фалшиви връзки отворена. Това в крайна сметка прелива от максималния резервен кръг от връзки и води до отказ на допълнителни връзки от легитимни клиенти.

NTP Amplification

При атаки за усилване на NTP деецът експлоатира публично достъпните сървърни мрежови протоколи (NTP), за да запълни целевия сървър с UDP трафик. Атаката се определя като атака на усилване, тъй като съотношението заявка към отговор в такива сценарии е между 1:20 и 1: 200 или повече. Това означава, че всеки нападател, който получава списък с отворени NTP сървъри (например чрез инструмент като Metasploit или данни от Open NTP Project), може лесно да генерира опустошителна DDoS атака с висока честотна лента.

HTTP Flood

При нападение с HTTP на DDoS нападателят използва привидно легитимни заявки HTTP GET или POST за атака на уеб сървър или приложение. HTTP наводненията не използват деформирани пакети, техники за измама или размисъл и изискват по-малко трафик от други атаки, за да свалят целевия сайт или сървър. Атаката е най-ефективна, когато принуждава сървъра или приложението да разпределят максималните възможни ресурси в отговор на всяка отделна заявка.

Кои точно сме ние!?


 Рекламна Агенция КРУЛ ООД | Реклама и дизайн - Стратег в развитието на рекламата: Продуктова Реклама,  Мрежови маркетинг, Онлайн Реклама, Печатна Реклама.. Всичко което е необходимо за да е бизнесът Ви там където го искате!

ISO9001