DDoS-атака — это атака на вычислительную систему серверов с целью довести ее до отказа в работе. Во время выполнения атаки работа серверов может быть затруднена. Обычно, DDoS-атака выполняется с большого числа компьютеров, чтобы прорвать защиту хорошо защищенного сервера. Такая атака называется распределенной.

Вычислительная сеть, на которую планируется совершаться распределенная атака, сканируется злоумышленником и в ней выявляется потенциально слабые места. После этого, на уязвимые места производится нападение, после чего хакеры получают права доступа и устанавливают троянские программы для их работы в фоновом режиме.
Захваченные компьютеры, которые подверглись взлому и были заражены троянскими программами, называют компьютерами-зомби. Владельцы таких компьютеров могут даже и не подозревать, что их машина используется для участия в совершаемой DDoS-атаке.
Хакеры отправляют необходимые команды компьютерам-зомби и с их помощью осуществляют мощнейшую DDoS-атаку на целевой компьютер. Большое количество запросов производят очень большую нагрузку на сервер и как следствие сервер перестает нормально функционировать.
Чтобы защитить себя от сетевых атак применяют специальные фильтры с большой пропускной способностью, которые анализируют проходящий трафик, выявляя нестандартную сетевую активность и многочисленные ошибки.

DDoS-атаки производятся по следующему ряду причин:

1. Конкуренция — заказ атаки на сервера одним из конкурентов.
2. Политический умыслы — поддержка разных акций, несогласие с введением нового закона или протест против одной из-политических сторон.
3. Личная неприязнь — правительственные и коммерческие, а также некоммерческие организации, либо отдельные субъекты совершают DDoS-атаку.
4. Развлечение — атака на систему серверов без какой-либо причины.

Разновидность DDoS-атак:

— Насыщение полосы пропускания — или пропускная способность, флуд. За счет того, что компьютер подключен к сети Internet, либо к локальной сети, производится DDoS-атака при помощи переполнения полосы пропускания. Хакеры используют большое количество бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, что соответственно приводит к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.

Флуд бывает следующих типов:

  • HTTP-флуд и ping-флуд — один из примитивных видов DDoS-атаки. Осуществляется при помощи обычных ping-запросов если канал атакующего шире канала компьютера-жертвы. Данный вид атаки бесполезен против сервера с широкой полосой пропускания.
  • Smurf-атака (ICMP-флуд) — является опасным видом атаки после которой отказ в обслуживании сервера гарантирован 100%. Для данной атаки необходима усиливающая сеть, по которой хакер отправляет поддельный ICMP пакет, после чего адрес атакующего меняется на адрес жертвы и все узлы пришлют ей ответ на ping-запрос.
  • Атака Fraggle (UDP-флуд)- на седьмой порт жертвы отправляются echo-команды по широковещательному запросу и идет подмена ip-адреса злоумышленника на ip-адрес жертвы. Далее жертва получает множество ответных сообщений, количество которых зависит от числа узлов в сети. Атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы.
  • Переполнение пакетами SYN (SYN-флуд) — осуществляется за счет обмена данными между двумя системами, во установку соединения которого выделяется некоторое количество ресурсов,чем и пользуются хакеры. Они отправляют несколько ложных запросов, после чего израсходовают все ресурсы системы.

— Недостаток ресурсов — вид DDoS атаки для захвата системных ресурсов: оперативной и физической памяти, процессорного времени и остального.

 Отправка «тяжелых» пакетов- отправка хакером пакетов серверу, которые не насыщают полосу пропускания, однако тратят все его процессорное время. Из-за этого на сервере может произойти сбой и он станет недоступен.

Переполнение сервера лог-файлами — это переполнение файлами, в которых записываются действия пользователей или работы сервера.

Плохая система квотирования — получение доступа хакера к CGI-программе на сервере и написание им скрипта для проведения DDoS-атаки используя системные ресурсы.

Недостаточная проверка данных пользователя — приводит к повышенному и длительному потреблению процессорных ресурсов до исчерпания этих ресурсов.

Ошибки программирования — злоумышленник пишет специальные программы (эксплойты), при помощи которых атакует сложные вычислительные системы. Сюда можно отнести ошибки в программном коде, приводящие к аварийному завершению серверной программы.

Недостатки в программном коде — ошибки допущенные системным администратором или программистом на сервере.

Переполнение буфера — возникает когда программа из-за ошибки программиста записывает данные за пределами буфера.

Методы обнаружения DoS-атак:

1. Сигнатурные — качественный анализ трафика.
2. Статистические — количественный анализ трафика.
3. Гибридные (комбинированные) — качественный и количественный анализы трафика.

Защита от DDoS-атак:

На данный момент полностью защититься от DDoS-атак невозможно. Но существует целый комплекс мер связанных с предотвращением и отражением атак на сервер.

1. Предотвращение- профилактика причин возникновения DDoS-атаки и их устранение.

2. Воздействие на организатора DDoS-атаки — посредством принятия в исполнения технических и правовых меры.

3. Программное обеспечение — обеспечение фильтрации и блэкхолинга, блокирование трафика, исходящего от атакующих компьютеров.

4. Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера, позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
5. Устранение уязвимостей - не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.

6. Укрепление ресурсов — применять различные способы защиты и построение распределённых и дублированных систем, которые не прекратят обслуживание при DDoS-атаке на их некоторые их элементы.

7. Уклонение — от DDoS-атак посредством смены доменного имени или IP-адреса.