Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
БезопасностьDDoS Атаки: Типы, Уровни Модели OSI и Как Защитить Вашу Инфраструктуру
Атаки типа Distributed Denial of Service (DDoS) остаются одной из наиболее разрушительных и дорогостоящих угроз для онлайн-бизнеса, веб-приложений и хостинг-инфраструктуры на сегодняшний день. Независимо от того, управляете ли вы небольшим сайтом электронной коммерции или серверами корпоративного уровня, понимание того, как работают DDoS-атаки — и как они соответствуют определенным уровням модели OSI — является основой любой серьезной стратегии защиты.
В этом подробном руководстве мы разбираем все основные типы DDoS-атак, объясняем, какой уровень OSI атакует каждый из них, описываем реальное влияние на ваш бизнес и рассказываем о проверенных стратегиях смягчения последствий, чтобы ваши услуги оставались в сети.
Что такое DDoS-атака?
Атака типа Distributed Denial of Service (DDoS) — это скоординированная, злонамеренная попытка перегрузить целевой сервер, сеть или сервис огромным объемом трафика или истощающих ресурсы запросов — делая его неспособным отвечать на запросы законных пользователей.
В отличие от простой атаки DoS, запущенной с одной машины, DDoS-атаки используют ботнеты: сети тысяч или даже миллионов скомпрометированных устройств (компьютеры, IoT-устройства, серверы), которые одновременно наводняют цель. Распределенный характер делает эти атаки намного сложнее блокировать и намного более мощными.
Конечная цель проста: истощить ресурсы цели — пропускную способность, CPU, память или емкость соединения — вызывая простой, деградацию производительности и прерывание обслуживания.
Модель OSI: почему она важна для защиты от DDoS
Модель OSI (Open Systems Interconnection) — это концептуальная структура, которая делит сетевое взаимодействие на семь отдельных уровней, каждый из которых отвечает за определенную функцию. DDoS-атаки специально разработаны для использования уязвимостей на определенных уровнях, поэтому понимание модели необходимо для диагностики и защиты от них.
| Уровень OSI | Название | Функция |
|---|---|---|
| Уровень 1 | Физический | Аппаратная передача необработанных данных |
| Уровень 2 | Канальный | Передача данных между узлами |
| Уровень 3 | Сетевой | Маршрутизация и IP-адресация |
| Уровень 4 | Транспортный | Сквозное взаимодействие (TCP/UDP) |
| Уровень 5 | Сеансовый | Управление сеансом |
| Уровень 6 | Представления | Форматирование и шифрование данных |
| Уровень 7 | Приложения | Протоколы, ориентированные на пользователя (HTTP, DNS и т.д.) |
DDoS-атаки в основном нацелены на уровни 3, 4 и 7, каждый из которых требует другого подхода к обнаружению и смягчению последствий.
Типы DDoS-атак по уровню OSI
1. Объемные атаки — уровень 3 (сетевой уровень)
Объемные атаки — это наиболее простые и часто самые крупные по объему необработанного трафика. Их основная цель — насытить доступную пропускную способность цели или сетевой инфраструктуры, соединяющей ее с интернетом. Размер атаки обычно измеряется в гигабитах в секунду (Gbps) или пакетах в секунду (PPS).
#### ICMP Flood (Ping Flood)
Злоумышленник отправляет огромное количество ICMP Echo Request (ping) пакетов на цель. Сервер жертвы вынужден обрабатывать каждый запрос и отправлять соответствующий ответ, потребляя как входящую, так и исходящую пропускную способность, а также циклы CPU. Когда объем превышает емкость сервера, законный трафик полностью вытесняется.
Ключевая характеристика: Простая в исполнении, часто используется как дымовая завеса для более сложных одновременных атак.
#### UDP Flood
При UDP flood злоумышленник отправляет большие объемы пакетов User Datagram Protocol (UDP) на случайные порты целевого хоста. Поскольку UDP не требует соединения и не имеет состояния, целевой сервер должен:
- Проверить, прослушивает ли какое-либо приложение порт назначения.
- Ответить пакетом ICMP “Destination Unreachable”, если приложение не найдено.
Этот процесс, повторяемый миллионы раз в секунду, быстро истощает ресурсы сервера и доступную пропускную способность.
#### Усиливающие атаки (DNS/NTP Amplification)
Особо опасный подтип объемных атак уровня 3, усиливающие атаки используют общедоступные серверы (DNS-резолверы, NTP-серверы, экземпляры memcached) для умножения трафика атаки. Злоумышленник подделывает IP-адрес жертвы и отправляет небольшие запросы на эти серверы, которые отвечают ответами в 10-100 раз больше — все направлено на жертву.
2. Протокольные атаки — уровень 4 (транспортный уровень)
Протокольные атаки используют слабости в самих протоколах TCP/IP, а не просто наводняют пропускную способность. Они нацелены на истощение ресурсов на стороне сервера, таких как таблицы состояния соединения, таблицы сеансов брандмауэра и емкость балансировщика нагрузки. Размер атаки измеряется в пакетах в секунду (PPS).
#### SYN Flood
SYN flood — одна из наиболее известных и широко используемых техник DDoS. Она использует трехэтапное рукопожатие TCP:
- Клиент отправляет пакет SYN для инициирования соединения.
- Сервер отвечает SYN-ACK и выделяет ресурсы, ожидая финального ACK.
- При SYN flood злоумышленник отправляет тысячи пакетов SYN — часто с поддельными исходными IP-адресами — но никогда не завершает рукопожатие.
Таблица соединений сервера заполняется полуоткрытыми соединениями, что препятствует принятию новых законных соединений. Это весьма эффективная атака даже при относительно низких объемах трафика.
#### Ping of Death
Атака Ping of Death включает отправку неправильно сформированных или чрезмерно больших пакетов на цель. Спецификация IPv4 ограничивает размер пакета до 65 535 байт; когда чрезмерно большой пакет фрагментируется и переассемблируется, он может вызвать переполнение буфера, сбой системы или перезагрузку на уязвимых системах. Хотя современные операционные системы в основном были исправлены от классического Ping of Death, варианты продолжают появляться.
#### ACK Flood
При ACK flood злоумышленник отправляет большой объем TCP ACK пакетов на цель. Поскольку сервер не имеет записи о соответствующих пакетах SYN, он должен обработать каждый, чтобы определить его недействительность — потребляя CPU и память в процессе.
3. Атаки уровня приложения — уровень 7 (уровень приложения)
Атаки уровня приложения — это наиболее сложные и самые сложные для обнаружения, потому что они очень похожи на законное поведение пользователей. Вместо перегрузки пропускной способности или истощения таблиц соединений они нацелены на вычислительные ресурсы конкретных приложений — веб-серверов, баз данных, API и систем входа. Размер атаки измеряется в запросах в секунду (RPS).
#### HTTP Flood
HTTP flood отправляет огромное количество, казалось бы, законных HTTP GET или POST запросов на веб-сервер. Поскольку каждый запрос выглядит действительным, простая блокировка на основе IP неэффективна. Сервер должен обработать каждый запрос — запросить базы данных, отрендерить страницы, выполнить скрипты — пока полностью не будет перегружен и не сможет обслуживать реальных пользователей.
GET floods обычно нацелены на ресурсоемкие страницы (результаты поиска, списки товаров).
POST floods нацелены на формы и конечные точки входа, заставляя сервер обрабатывать большие объемы отправленных данных.
#### Slowloris
Slowloris — это уникально скрытная атака, требующая очень мало пропускной способности. Она работает следующим образом:
- Открывает большое количество соединений с целевым веб-сервером.
- Отправляет частичные, неполные заголовки HTTP запроса — достаточно, чтобы каждое соединение оставалось активным.
- Периодически отправляет дополнительные строки заголовков, чтобы предотвратить истечение времени ожидания.
Сервер держит каждое соединение открытым, ожидая завершения запроса, постепенно истощая максимальный пул соединений. Когда пул заполнится, новые законные соединения не смогут быть приняты — фактически отключая сервер, используя минимальные ресурсы злоумышленника.
#### DNS Query Flood
Нацеливаясь на инфраструктуру DNS на уровне 7, злоумышленники отправляют огромные объемы запросов DNS поиска для несуществующих или случайных доменных имен. DNS-сервер должен обработать каждый запрос, потребляя CPU и память, пока не сможет больше разрешать законные запросы — фактически отключая цель от интернета.
#### SSL/TLS Exhaustion
Эти атаки используют вычислительную стоимость SSL/TLS рукопожатий. Установление зашифрованного соединения требует значительных ресурсов CPU на стороне сервера. Инициируя тысячи SSL рукопожатий в секунду без их завершения, злоумышленники могут перегрузить даже хорошо оснащенные серверы.
Реальное влияние DDoS-атак
Понимание технических механизмов — это только половина картины. Бизнес-последствия успешной DDoS-атаки могут быть серьезными и долгосрочными:
Простой услуги и потеря доходов
Каждая минута, когда ваш веб-сайт или приложение находится в сети, напрямую переводится в потерю доходов. Для платформ электронной коммерции, SaaS продуктов и онлайн-сервисов даже несколько часов простоя могут стоить тысячи или десятки тысяч долларов — не считая косвенных затрат на отток клиентов.
Увеличенные операционные затраты
Экстренный реагирование на инциденты, дополнительное выделение пропускной способности, услуги специализированного смягчения последствий и переработки для IT-персонала быстро складываются во время и после DDoS-атаки.
Ущерб репутации
Клиенты и партнеры замечают, когда услуги отключаются. Повторные или продолжительные простои подрывают доверие, наносят ущерб репутации бренда и могут навсегда отогнать пользователей к конкурентам. Для предприятий в регулируемых отраслях простой также может вызвать нарушения соответствия и связанные с ними штрафы.
Отвлечение безопасности (атаки-дымовые завесы)
Некоторые DDoS-атаки специально разработаны как отвлечения — держат команды безопасности в занятости, пока злоумышленники одновременно выполняют утечки данных, развертывание программ-вымогателей или другие вторжения через неконтролируемые векторы.
Стратегии смягчения DDoS: практическое руководство
Эффективная защита от DDoS требует многоуровневого, проактивного подхода, который решает угрозы на каждом уровне OSI. Ни одно решение само по себе недостаточно.
1. Выберите инфраструктуру, построенную для устойчивости
Ваша основа хостинга имеет огромное значение. Выбор поставщика, который предлагает инфраструктуру, осведомленную о DDoS, с высокопроизводительными сетевыми каналами, аппаратной фильтрацией и избыточной связью, является первой линией защиты.
Если вы запускаете критически важные приложения, рассмотрите возможность обновления до плана VPS Hosting или решения Dedicated Servers, которое обеспечивает выделенные ресурсы, больший контроль над конфигурацией сети и возможность реализации пользовательских правил брандмауэра — все критические преимущества при атаке.
2. Реализуйте фильтрацию трафика и брандмауэры
Развертывайте stateful брандмауэры и системы обнаружения/предотвращения вторжений (IDS/IPS) для проверки входящего трафика и автоматического отбрасывания пакетов, соответствующих известным сигнатурам атак. Настройте правила для:
- Блокировки трафика из известных вредоносных диапазонов IP и ASN.
- Отбрасывания неправильно сформированных пакетов и недействительных состояний протокола.
- Ограничения трафика ICMP и UDP на законные варианты использования.
- Обеспечения строгой проверки состояния TCP для противодействия SYN floods.
3. Применяйте ограничение скорости
Ограничение скорости контролирует, сколько запросов один IP-адрес или соединение может сделать в определенном временном окне. Это особенно эффективно против атак уровня 7, таких как HTTP floods и DNS query floods. Реализуйте ограничение скорости на нескольких уровнях:
- Уровень веб-сервера (NGINX, Apache)
- Уровень брандмауэра приложения (правила WAF)
- Уровень CDN/edge (Cloudflare, Akamai)
4. Развертывайте Web Application Firewall (WAF)
WAF работает на уровне 7 и может различать законных пользователей и трафик атаки на основе анализа поведения, паттернов запросов и оценки репутации. Это особенно эффективно против HTTP floods, Slowloris и специфичных для приложения эксплойтов.
5. Используйте Anycast Network Diffusion
Anycast маршрутизация распределяет входящий трафик по нескольким географически распределенным центрам обработки данных. Вместо того, чтобы весь трафик атаки попадал на один сервер, он распределяется по всей сети — разбавляя его влияние и делая объемные атаки намного менее эффективными.
6. Реализуйте избыточность и балансировку нагрузки
Распределение вашего приложения по нескольким серверам и географическим регионам с использованием балансировщиков нагрузки гарантирует, что даже если один узел перегружен, другие продолжают обслуживать законных пользователей. Эта архитектура также улучшает производительность и доступность при нормальных условиях.
7. Используйте специализированные услуги защиты от DDoS
Для предприятий, сталкивающихся с серьезными или постоянными угрозами DDoS, специализированные услуги смягчения DDoS (такие как Cloudflare Magic Transit, Radware или Imperva) обеспечивают постоянную очистку трафика — удаление вредоносного трафика до того, как он когда-либо достигнет вашей инфраструктуры.
8. Защитите вашу инфраструктуру DNS
Поскольку DNS часто является целью DDoS, убедитесь, что ваш поставщик DNS предлагает устойчивую к DDoS инфраструктуру с anycast маршрутизацией и ограничением скорости. Рассмотрите использование DNSSEC для предотвращения подделки DNS и отравления кэша, которые могут усугубить ущерб от DDoS.
9. Держите SSL сертификаты действительными и правильно настроенными
Истекшие или неправильно настроенные SSL сертификаты могут создать уязвимости, которые используют злоумышленники. Поддержание действительных SSL Certificates гарантирует, что зашифрованные соединения обрабатываются эффективно и снижает подверженность атакам SSL exhaustion.
10. Разработайте и протестируйте план реагирования на инциденты
Наличие задокументированного, протестированного плана реагирования на DDoS значительно сокращает время смягчения атаки. Ваш план должен включать:
- Четкие пути эскалации и списки контактов.
- Предварительно настроенные шаблоны правил брандмауэра для распространенных типов атак.
- Отношения с вышестоящими поставщиками для экстренного null-маршрутизации или очистки трафика.
- Процедуры постинцидентного анализа для улучшения защиты.
Сводка DDoS-атак: уровни OSI с первого взгляда
| Тип атаки | Уровень OSI | Целевой ресурс | Единица измерения |
|---|