В настоящее время различают локальные и удаленные Ddos-атаки. Наибольший интерес представляют атаки второго типа, поскольку именно они становятся серьезной помехой для работы сервера. Выделяют два основных вида таких злоумышленных действий:
Эксплуатация ошибок и уязвимостей программного обеспечения, приводящая к неработоспособности сервера.
Flood атака, т.е. посылка многочисленных пакетов данных на адрес жертвы. Флуд атака может быть нацелена как на пропускную способность канала связи, так и на ресурсы компьютера. В первом варианте атакуемая машина не в силах обрабатывать легитимные запросы, поскольку фальсифицированные пакеты захватывают весь канал. Во втором варианте flood атака приводит к частому обращению к сервису, занимая его обработкой ресурсоемких операций. Результатом этого становится поглощение ресурсов машины, которая оказывается не в состоянии обслуживать реальных пользователей.
Классический вид атаки – хакер против жертвы, один на один – эффективна только в случае эксплуатации ошибок программного обеспечения. Традиционная flood атака в этом контексте бессмысленна, ведь ширина каналов, а также вычислительные мощности в комплексе анти-Ddos не позволят злоумышленнику насести существенный урон.
Однако ситуация кардинально меняется, если та же флуд атака совершается сотнями или тысячами машин. В этом случае сервер легко может «прогнуться» под фиктивными запросами от зомбированных компьютеров.
Флуд атака, как заваливание удаленного компьютера многочисленными пакетами данных, широко распространена в сети. Для построения оптимального оборонительного комплекса важно знать, что различают ICMP-флуд, SYN-флуд, UPD-флуд, а также HTTP-флуд.
ICMP – это наиболее примитивная и распространенная flood атака, способная забивать полосу пропускания и обеспечивать нагрузкой на сетевой стек благодаря пинг-запросам. Данная атака обнаруживается путем двустороннего анализа потока трафика. При этом во время ICMP-атаки трафик в обе стороны практически идентичный. Решается проблема методом отключения ответов на пинг-запросы.
SYN преследует цель забить канал связи, а также довести сетевой стек до состояния, когда он будет не в силах положительно реагировать на новые запросы на подключение. Эта флуд атака инициализирует одновременно больше количество ТСР-соединений, благодаря посылке SYN-пакета с несуществующим обратным адресом. В результате неудачных попыток отсылки ответных АСК-пакетов (ведь адрес оказывается недоступным), неустановленное соединение ставится в очередь. Понятно, что поток исходящих пакетов становится длинным и попытки в открытии новых соединений получают отказ от ядра. В качестве противодействия разумно увеличить очередь полуоткрытых ТСР-подключений, уменьшить временной интервал их удержания, активировать механизм ТСР syncookies, а также лимитировать максимальное количество полуоткрытых подключений с одного IP к определенному порту.
UPD – это флуд атака, построенная на многочисленной посылке соответствующих UPD-пакетов данных на порты разных UPD-сервисов, что забивает полосу пропускания. В качестве способа нейтрализации применяют ограничение таких сервисов, лимитируется количество подключений в заданном временном интервале на стороне шлюза.
HTTP – это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов. Данная flood атака может быть нацелена как на корень сервера, так и на его скрипт, занятый выполнением ресурсоемких задач. Распознание данной атаки возможно путем выявления быстрого роста логов сервера. Эффективная борьба с флудом типа HTTP возможна при усовершенствовании сервера и базы данных, исключении Dos-ботов. Конкретные меры включают в себя увеличение максимального количества используемых файлов и соединений, использование метода epoll для обработки подключений, отключение таймаута на закрытие keep-alive подключений.
