Типы флуда на сайт, раскрываем детали HTTP,ICMP,SYN-ACK-флуда

Флуд – большой поток сообщений, часто не имеющих никакой смысловой нагрузки, направляемых на серверы, чаты, форумы, сайты. Системные программисты и администраторы склонны рассматривать флуд не только, как средство заявить о себе, разместить некоторую информацию, но и как один из видов DDoS-атак, парализующих работу серверов. Цель флуда – пересылка таких объемов информации, которые не могут быть обработаны одномоментно. Серверы выходят из строя, обработка текущих запросов становится невозможной.


О принадлежности флуда к DDoS-атакам можно говорить в том случае, если запросы и сообщения посылаются одновременно с множества компьютеров и мобильных устройств с разными IP-адресами. Специалисты выделяют несколько типов DDoS-атак, основанных на флуде – массовой рассылке сообщений: SYN-ACK, HTTP, ICMP, UDP.


Атака SYN-ACK типа

SYN-ACK- флуд – одна из наиболее распространенных сетевых атак. В основе – рассылка больших объемов SYN-запросов ежесекундно и ежеминутно. Если работа сервера и или иной принимающей системы строится на использовании TCP-протокола, нормальное функционирование нарушается.


Стандартный сценарий работы сервиса строится по следующему алгоритму:


- пользователь отправляет запрос на установление связи. Обязательно наличие SYN-флага;

- сервер, получив запрос, отравляет ответное сообщение, в котором содержится ACK-флаг. Сообщение отправляется на тот IP-адрес, с которого получен исходный запрос;

- пользователь, получив ACK-флаг от сервера, должен подтвердить установление связи.


DDoS-атака строится на использовании двух особенностей данного типа серверов:

- наличии очереди конечной длины для принятия и обработки запросов;

- ожидании ответного сообщения с ACK-флагом.


Пользователь, желающий заблокировать сервер, использует для отправки сообщений об установлении связи вымышленные адреса. Сервер отправляет ACK-флаг, но не получает ответного сообщения. Соответственно, сообщение SYN-ACK-флуда остается в очереди и не обрабатывается. Очередь сообщений остается неизменной, сервер не может принимать последующие запросы.


Атаки с использованием HTTP-флуда

Тип HTTP-флуд атак «востребован» в тех случаях, если сервер или иная система обращается за определенной информацией к базам данных. Целью является либо непосредственно сервер, либо приложение, обращающееся к БД. На сервер поступают большие объемы запросов GET на 80 порт. Запросы всех остальных типов остаются без внимания: у сервера не хватает ресурсов для их обработки. Результат: увеличение Log-файлов до предельно возможного, а пользователи теряют возможность получать ответы на свои запросы.


Атаки, основанные на ICMP-флуде

Большая часть серверов работает с использованием стеков различной емкости. И значительная часть DDoS-атак основана на том, что сервер не может в полной мере обрабатывать запросы, поступившие в очередь. Не является исключением и ICMP-флуд. Пользователь или пользователи отправляют многочисленные запросы типа ICMP PING. Если при разработке сервера не уделено значительное внимание защите от запросов ECHO, не установлены сетевые экраны, работа сервера будет блокирована уже через самое короткое время.


Атаки, основанные на UDP-флуде

Разработка сервера требует пристального внимания и к используемым протоколам передачи данных. Использование атак, основанных на UDP-флуде, возможно в том случае, если перед отправкой пакетов данных не производится их синхронизация. Если пользователь или ряд пользователей желает блокировать работу сервера, достаточно отправить пакет с любыми данными на UDP порт. Ресурсы сервера отвлекаются на обработку данного пакета. Дальнейшая работа пользователей заключается в отправке многочисленных пакетов аналогичного содержания. UDP порты сервера не справляются с нагрузкой, сервер перестает принимать и обрабатывать запросы.


Наши новости | все новости

13/042018
300 Гб на Backblaze B2

Теперь во всех тарифах включено, бекап в облаке Backblaze B2 на 300 Гбайт

9/042018
Vesta CP zeroday

Не 1 из клиентских серверов и впс под VESTACP не пострадал

12/032018
Джаббер вновь онлайн

Джаббер вновь онлайн

7/032018
Выпущен fork модуля Nginx PageSpeed

При нашей поддержке выпущен форк модуля Nginx Page Speed

14/022018
9 лет лучшей защиты

Нам 9 лет, вот уже 9 лет наши клиенты не платят за усилия ддосеров и их заказчиков по устранению сайтов