DoS (Denial of Service) у перекладі означає відмова в обслуговуванні. Це мережева атака, коли зловмисники прагнуть перевантажити сайт, вичерпати його ресурси і зробити його нездатним відповісти на запити користувачів. Таким чином, сайт змушений відмовляти в обслуговуванні.

DDoS (Distributed Denial of Service) – атака сайту відразу з багатьох пристроїв, тобто блокування сайту відбувається за допомогою надсилання великої кількості запитів, що перевищує можливості сайту. Велика кількість пристроїв дає велике навантаження на сервер, що збільшує можливість зробити сайт недоступним. Також небезпека атаки залежить від її тривалості: що довша атака за часом, то вона небезпечніша. DDoS-атака здатна порушити роботу будь-якої служби, яка має підключення до Інтернету (мережі, бази банних, мобільні пристрої, додатки тощо). Головною метою такої атаки є перезавантаження онлайн-ресурсів до рівня неможливості відповісти на запити. Про можливу DDoS-атаки може вказувати невластиве повільне завантаження сайту. Якщо після цього буде повідомлення про помилку «503 Service Unavailable» – швидше за все відбудеться DDoS-атака.

Принцип роботи DDoS-атаки

Така атака відбувається шляхом компрометації ряду IoT пристроїв. Цільовий пристрій заражається шкідливим програмним забезпеченням для віддаленого управління і підключається до інших скомпрометованих пристроїв, створюючи при цьому ботнет. Розміри такого ботнету можуть бути необмеженими. Запити шкідливого трафіку накопичуються і можуть бути спрямовані на одну мету. У такому разі оперативна пам’ять та центральний процесор можуть не впоратися з таким трафіком.

Види DDoS-атак

1. Атака на основі обсягу – спрямовує та пригнічує трафік на веб-ресурси.

• UDP флуд: атака, коли відбувається перевантаження випадкового порту на хост-машині з використанням UDP-пакетів. Жертва отримує величезну кількість UDP-пакетів за одиницю часу від великої кількості IP-адрес. Внаслідок цього відбувається перевантаження системи і поступово стає недоступним для користувачів. Захистом може бути блокування UDP-трафіку.
• ICMP флуд: цільова система атакується пакетами ICMP. На такий пакет система повинна відповісти, внаслідок чого створюється велика кількість пакетів, що знижують пропускну здатність. Захистом може бути блокування ICMP-трафіку.

2. Протокольні чи мережеві DDoS-атаки – спрямовують великий обсяг пакетів на інструменти управління та мережну інфраструктуру.

• SYN флуд: атака відбувається за допомогою надсилання великої кількості SYN-запитів за короткий проміжок часу. SYN-запит – це запити на підключення за протоколом TCP. Існує 2 види таких атак: one-on-one (SYN-пакети відправляються однією машиною), many-on-one (атака SYN-пакетами відбувається з багатьох програм, які встановлені на різних серверах). Механізм захисту: очищення більш старих напіввідкритих з’єднань; збільшення ліміту напіввідкритих з’єднань; створення TCP SYN cookies; використання брандмауера.
• Smurf-атака: при такій атаці зловмисник наповнює цільовий сервер фіктивними пакетами IP-адрес та ICMP.

3. Атаки прикладного рівня – надсилання безлічі запитів, які потребують обчислювальної потужності (HTTP флуд, DNS флуд). Такого виду атаки часто складно запобігти і проводяться вони проти певної мети.

Профілактика:

• Вивчення мережевої конфігурації;
• Блокування портів, що не використовуються;
• Проведення тестових та контрольованих DDoS-атак;
• Розробка плану дій у разі настання такої атаки.