Bilet deschis 
+373 79 600002 
Telegramă Chat live 
F.A.Q 
Română
English 
Русский 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SecuritateAtacuri DDoS: Tipuri, Straturi ale Modelului OSI și Cum să vă Protejați Infrastructura
Atacurile Distributed Denial of Service (DDoS) rămân una dintre cele mai perturbatoare și costisitoare amenințări care se confruntă astazi cu afacerile online, aplicațiile web și infrastructura de hosting. Indiferent dacă gestionezi un mic site de comerț electronic sau administrezi servere la nivel enterprise, înțelegerea modului în care funcționează atacurile DDoS — și modul în care se mapează la straturile specifice ale modelului OSI — este fundamentul oricărei strategii serioase de apărare.
În acest ghid cuprinzător, analizez fiecare tip major de atac DDoS, explic care strat OSI este țintit de fiecare, prezint impactul din lumea reală asupra afacerii tale și te ghidez prin strategii de atenuare dovedite pentru a-ți menține serviciile online.
Ce este un atac DDoS?
Un atac Distributed Denial of Service (DDoS) este o încercare coordonată și malițioasă de a copleși un server, rețea sau serviciu țintit cu un volum enorm de trafic sau cereri care consumă resurse — făcând-o incapabilă să răspundă utilizatorilor legitimi.
Spre deosebire de un atac DoS simplu lansat de pe o singură mașină, atacurile DDoS folosesc botnets: rețele de mii sau chiar milioane de dispozitive compromise (computere, dispozitive IoT, servere) care inundă simultan ținta. Natura distribuită face aceste atacuri mult mai greu de blocat și mult mai puternice.
Scopul final este simplu: epuizează resursele țintei — lățimea de bandă, CPU, memorie sau capacitatea de conexiune — provocând timp de inactivitate, performanță degradată și întreruperea serviciului.
Modelul OSI: De ce contează pentru apărarea DDoS
Modelul OSI (Open Systems Interconnection) este un cadru conceptual care împarte comunicația în rețea în șapte straturi distincte, fiecare responsabil pentru o funcție specifică. Atacurile DDoS sunt deliberat concepute pentru a exploata vulnerabilități la straturi specifice, motiv pentru care înțelegerea modelului este esențială pentru diagnosticarea și apărarea împotriva lor.
| Stratul OSI | Nume | Funcție |
|---|---|---|
| Stratul 1 | Fizic | Transmisia hardware a datelor brute |
| Stratul 2 | Legătura de date | Transfer de date de la nod la nod |
| Stratul 3 | Rețea | Rutare și adresare IP |
| Stratul 4 | Transport | Comunicare de la capăt la capăt (TCP/UDP) |
| Stratul 5 | Sesiune | Gestionarea sesiunilor |
| Stratul 6 | Prezentare | Formatarea și criptarea datelor |
| Stratul 7 | Aplicație | Protocoale orientate către utilizator (HTTP, DNS, etc.) |
Atacurile DDoS țintesc în principal straturile 3, 4 și 7, fiecare necesitând o abordare diferită de detectare și atenuare.
Tipuri de atacuri DDoS după stratul OSI
1. Atacuri bazate pe volum — Stratul 3 (Stratul de rețea)
Atacurile bazate pe volum sunt cele mai directe și adesea cele mai mari în ceea ce privește volumul brut de trafic. Scopul lor principal este să satureze lățimea de bandă disponibilă a țintei sau a infrastructurii de rețea care o conectează la internet. Dimensiunea atacului este de obicei măsurată în gigabits pe secundă (Gbps) sau pachete pe secundă (PPS).
#### Inundație ICMP (Ping Flood)
Atacatorul trimite un număr masiv de pachete ICMP Echo Request (ping) către țintă. Serverul victimei este forțat să proceseze fiecare cerere și să trimită un răspuns corespunzător, consumând atât lățimea de bandă de intrare cât și de ieșire, precum și ciclurile CPU. Când volumul depășește capacitatea serverului, traficul legitim este complet eliminat.
Caracteristică cheie: Simplu de executat, adesea folosit ca ecran de fum pentru atacuri mai sofisticate simultane.
#### Inundație UDP
Într-o inundație UDP, atacatorul trimite volume mari de pachete User Datagram Protocol (UDP) la porturi aleatorii pe gazda țintă. Deoarece UDP este fără conexiune și fără stare, serverul țintă trebuie să:
- Verifice dacă vreo aplicație ascultă pe portul de destinație.
- Răspundă cu un pachet ICMP “Destinație inaccesibilă” dacă nu se găsește nicio aplicație.
Acest proces repetat de milioane de ori pe secundă epuizează rapid resursele serverului și lățimea de bandă disponibilă.
#### Atacuri de amplificare (Amplificare DNS/NTP)
Un subtip deosebit de periculos al atacurilor volumetrice de stratul 3, atacurile de amplificare exploatează servere accesibile public (rezolvitori DNS, servere NTP, instanțe memcached) pentru a multiplica traficul de atac. Atacatorul falsifică adresa IP a victimei și trimite cereri mici acestor servere, care răspund cu răspunsuri 10x până la 100x mai mari — toate direcționate către victimă.
2. Atacuri de protocol — Stratul 4 (Stratul de transport)
Atacurile de protocol exploatează slăbiciuni în protocoalele de comunicare TCP/IP în sine, mai degrabă decât pur și simplu inundarea lățimii de bandă. Scopul lor este să epuizeze resursele din partea serverului, cum ar fi tabelele de stare a conexiunilor, tabelele de sesiuni ale firewall-ului și capacitatea load balancer-ului. Dimensiunea atacului este măsurată în pachete pe secundă (PPS).
#### Inundație SYN
Inundația SYN este una dintre cele mai cunoscute și utilizate pe scară largă tehnici DDoS. Exploatează procesul de apăstrare în trei etape TCP:
- Clientul trimite un pachet SYN pentru a iniția o conexiune.
- Serverul răspunde cu SYN-ACK și alocă resurse în timp ce așteaptă ACK final.
- Într-o inundație SYN, atacatorul trimite mii de pachete SYN — adesea cu adrese IP sursă falsificate — dar nu completează niciodată procesul de apăstrare.
Tabelul de conexiuni al serverului se umple cu conexiuni semi-deschise, împiedicând-o să accepte noi conexiuni legitime. Acesta este un atac extrem de eficace chiar și la volume de trafic relativ scăzute.
#### Ping of Death
Atacul Ping of Death implică trimiterea de pachete malformate sau supradimensionate către țintă. Specificația IPv4 limitează dimensiunea pachetului la 65.535 de octeți; atunci când un pachet supradimensionat este fragmentat și reasamblat, poate cauza depășiri de buffer, prăbușiri de sistem sau reîncărcări pe sisteme vulnerabile. Deși sistemele de operare moderne au fost în mare parte remediate împotriva clasicului Ping of Death, variantele continuă să apară.
#### Inundație ACK
Într-o inundație ACK, atacatorul trimite un volum mare de pachete TCP ACK către țintă. Deoarece serverul nu are nicio înregistrare a pachetelor SYN corespunzătoare, trebuie să proceseze fiecare pentru a determina că este invalid — consumând CPU și memorie în proces.
3. Atacuri la nivelul aplicației — Stratul 7 (Stratul de aplicație)
Atacurile la nivelul aplicației sunt cele mai sofisticate și cele mai greu de detectat, deoarece imită îndeaproape comportamentul utilizatorului legitim. Mai degrabă decât să copleșească lățimea de bandă sau să epuizeze tabelele de conexiuni, țintesc resursele computaționale ale aplicațiilor specifice — servere web, baze de date, API-uri și sisteme de conectare. Dimensiunea atacului este măsurată în cereri pe secundă (RPS).
#### Inundație HTTP
O inundație HTTP trimite un număr masiv de cereri HTTP GET sau POST aparent legitime către un server web. Deoarece fiecare cerere pare valabilă, blocarea simplă bazată pe IP este ineficace. Serverul trebuie să proceseze fiecare cerere — interogând baze de date, redând pagini, executând scripturi — până când devine complet copleșit și incapabil să servească utilizatorii reali.
Inundațiile GET țintesc de obicei pagini cu consum intens de resurse (rezultate de căutare, listări de produse).
Inundațiile POST țintesc formulare și puncte finale de conectare, forțând serverul să proceseze cantități mari de date trimise.
#### Slowloris
Slowloris este un atac unic de ascundere care necesită foarte puțină lățime de bandă. Funcționează prin:
- Deschiderea unui număr mare de conexiuni către serverul web țintă.
- Trimiterea de anteturi de cereri HTTP parțiale și incomplete — doar suficient pentru a menține fiecare conexiune vie.
- Trimiterea periodică a liniilor de antet suplimentare pentru a preveni expirarea.
Serverul ține fiecare conexiune deschisă în așteptarea completării cererii, epuizând treptat grupul maxim de conexiuni. Odată ce grupul este plin, nicio nouă conexiune legitimă nu poate fi acceptată — deconectând efectiv serverul în timp ce folosind resurse minime ale atacatorului.
#### Inundație de interogări DNS
Țintind infrastructura DNS la stratul 7, atacatorii trimit volume enorme de cereri de căutare DNS pentru nume de domenii inexistente sau aleatorii. Serverul DNS trebuie să proceseze fiecare interogare, consumând CPU și memorie până când nu mai poate rezolva cereri legitime — deconectând efectiv ținta de internet.
#### Epuizare SSL/TLS
Aceste atacuri exploatează costul computațional al proceselor de apăstrare SSL/TLS. Stabilirea unei conexiuni criptate necesită resurse CPU semnificative pe partea serverului. Prin inițierea a mii de procese de apăstrare SSL pe secundă fără a le completa, atacatorii pot copleși chiar și servere bine aprovizionate.
Impactul din lumea reală al atacurilor DDoS
Înțelegerea mecanicii tehnice este doar jumătate din imagine. Consecințele comerciale ale unui atac DDoS reușit pot fi severe și de lungă durată:
Timp de inactivitate al serviciului și pierdere de venit
Fiecare minut în care site-ul web sau aplicația ta este offline se traduce direct în pierdere de venit. Pentru platforme de comerț electronic, produse SaaS și servicii online, chiar și câteva ore de timp de inactivitate pot costa mii sau zeci de mii de dolari — fără a număra costurile indirecte ale pierderii de clienți.
Costuri operaționale crescute
Răspunsul la incidente de urgență, aprovizionarea suplimentară cu lățime de bandă, servicii de atenuare specialiste și ore suplimentare pentru personalul IT se adună rapid în timpul și după un atac DDoS.
Daune reputaționale
Clienții și partenerii observă când serviciile se opresc. Întreruperile repetate sau prelungite erozeaza încrederea, dăunează reputației mărcii și pot determina utilizatorii să se mute permanent la concurenți. Pentru afacerile din industrii reglementate, timpul de inactivitate poate declanșa, de asemenea, încălcări de conformitate și penalități asociate.
Distracție de securitate (Atacuri cu ecran de fum)
Unele atacuri DDoS sunt deliberat concepute ca diversiuni — ținând echipele de securitate ocupate în timp ce atacatorii execută simultan breșe de date, implementări de ransomware sau alte intruziuni prin vectori nemonitorați.
Strategii de atenuare DDoS: Un ghid practic
Apărarea eficace împotriva DDoS necesită o abordare stratificată și proactivă care abordează amenințări la fiecare nivel OSI. Nicio soluție unică nu este suficientă de una singură.
1. Alege o infrastructură construită pentru reziliență
Fundamentul tău de hosting contează enorm. Alegerea unui furnizor care oferă infrastructură conștientă de DDoS cu conexiuni de rețea de mare capacitate, filtrare la nivel hardware și conectivitate redundantă este prima linie de apărare.
Dacă rulezi aplicații critice pentru afacere, ia în considerare upgrade la un plan VPS Hosting sau o soluție Dedicated Servers care oferă resurse dedicate, control mai mare asupra configurației rețelei și capacitatea de a implementa reguli firewall personalizate — toate avantajele critice atunci când ești sub atac.
2. Implementează filtrarea traficului și firewall-uri
Implementează firewall-uri cu stare și sisteme de detectare/prevenire a intruziunilor (IDS/IPS) pentru a inspecta traficul de intrare și a renunța automat la pachete care se potrivesc cu semnăturile de atac cunoscute. Configurează reguli pentru:
- Blocarea traficului din intervale IP și ASN-uri malițioase cunoscute.
- Renunțarea la pachete malformate și stări de protocol nevalide.
- Restricționarea traficului ICMP și UDP la cazuri de utilizare legitime.
- Aplicarea validării stricte a stării TCP pentru a contracara inundațiile SYN.
3. Aplică limitarea ratei
Limitarea ratei controlează câte cereri poate face o singură adresă IP sau conexiune într-o fereastră de timp definită. Aceasta este deosebit de eficace împotriva atacurilor de stratul 7, cum ar fi inundațiile HTTP și inundațiile de interogări DNS. Implementează limitarea ratei la mai multe niveluri:
- Nivelul serverului web (NGINX, Apache)
- Nivelul firewall-ului de aplicații (reguli WAF)
- Nivelul CDN/edge (Cloudflare, Akamai)
4. Implementează un Web Application Firewall (WAF)
Un WAF funcționează la stratul 7 și poate distinge între utilizatorii legitimi și traficul de atac pe baza analizei comportamentale, modelelor de cereri și scorării reputației. Este deosebit de eficace împotriva inundațiilor HTTP, Slowloris și exploatărilor specifice aplicației.
5. Folosește difuziunea rețelei Anycast
Rutarea Anycast distribuie traficul de intrare pe mai multe centre de date dispersate geografic. În loc ca tot traficul de atac să lovească un singur server, este răspândit pe întreaga rețea — diluând impactul și făcând atacurile volumetrice mult mai puțin eficace.
6. Implementează redundanță și echilibrare a încărcăturii
Distribuirea aplicației tale pe mai multe servere și regiuni geografice folosind load balancer-e asigură că chiar dacă un nod este copleșit, alții continuă să servească utilizatorii legitimi. Această arhitectură îmbunătățește, de asemenea, performanța și disponibilitatea în condiții normale.
7. Valorifică serviciile specializate de protecție DDoS
Pentru afacerile care se confruntă cu amenințări DDoS serioase sau persistente, serviciile dedicate de atenuare DDoS (cum ar fi Cloudflare Magic Transit, Radware sau Imperva) oferă curățare de trafic mereu activă — curățând traficul malițios înainte ca acesta să ajungă vreodată la infrastructura ta.
8. Securizează infrastructura DNS
Deoarece DNS este o țintă frecventă a DDoS, asigură-te că furnizorul tău DNS oferă infrastructură rezistentă la DDoS cu rutare anycast și limitare a ratei. Ia în considerare utilizarea DNSSEC pentru a preveni falsificarea DNS și atacurile de otrăvire a cache-ului care pot agrava daunele DDoS.
9. Menține certificatele SSL valide și configurate corespunzător
Certificatele SSL expirate sau configurate incorect pot crea vulnerabilități pe care atacatorii le exploatează. Menținerea certificatelor SSL valide asigură că conexiunile criptate sunt gestionate eficient și reduce expunerea la atacuri de epuizare SSL.
10. Dezvoltă și testează un plan de răspuns la incidente
Având un plan de răspuns la DDoS documentat și testat reduce dramatic timpul de atenuare a unui atac. Planul tău ar trebui să includă:
- Căi clare de escaladare și liste de contacte.
- Șabloane de reguli firewall pre-configurate pentru tipuri de atacuri comune.
- Relații cu furnizori upstream pentru null-routing de urgență sau curățare de trafic.
- Proceduri de revizuire post-incident pentru a îmbunătăți apărările.
Rezumat atac DDoS: Straturile OSI în privința
| Tip de atac | Stratul OSI | Resursă țintă | Unitate de măsură |
|---|---|---|---|
| Inundație ICMP | Stratul 3 — Rețea | Lățimea de bandă | Gbps |
| Inundație UDP | Stratul 3 — Rețea | Lățimea de bandă / CPU | Gbps / PPS |
| Amplificare DNS/NTP | Stratul 3 — Rețea | Lățimea de bandă | Gbps |
| Inundație SYN | Stratul 4 — Transport | Tabele de conexiuni | PPS |
| Inundație ACK | Stratul 4 — Transport | CPU / Tabele de stare | PPS |
| Ping of Death | Stratul 4 — Transport | Stabilitatea sistemului | PPS |
| Inundație HTTP | Stratul 7 — Aplicație | CPU server web | RPS |
| Slowloris | Stratul 7 — Aplicație | Grup de conexiuni | Conexiuni |
| Inundație de interogări DNS | Stratul 7 — Aplicație | CPU server DNS | RPS |
| Epuizare SSL | Stratul 7 — Aplicație | CPU (operații crypto) | Apăstrări/sec |
Construirea unui mediu de hosting rezistent la DDoS
Cea mai eficace apărare pe termen lung împotriva atacurilor DDoS începe cu alegerea infrastructurii potrivite. Iată cum AlexHost poate ajuta:
- VPS Hosting — Servere virtuale izolate cu resurse dedicate, acces root complet și capacitatea de a implementa reguli firewall personalizate și configurații de rețea adaptate cerințelor tale de securitate.
- Dedicated Servers