Уровень защиты определяет, в каком диапазоне модели OSI система будет обнаруживать и отражать атаки. При подключении защиты сети можно выбрать Базовый (L3–4 OSI) или Оптимальный (L3–7 OSI) уровень. В статье расскажем об атаках L3–4 и L7 OSI и объясним, как работает защита.
Атаки L3–4
Атаки на сетевом и транспортном уровнях направлены на переполнение канала, перегрузку сетевых интерфейсов и полосы пропускания. Для этого атакующая сторона генерирует большой объем трафика и использует уязвимости стека сетевых протоколов. Это снижает производительность веб-сайтов и онлайн-сервисов.
Примеры атак:
- TCP SYN flood
- UDP flood
- ICMP flood
- DNS flood
- NTP Amplification
Атаки L7
DDoS-атаки на уровне приложений нацелены на уязвимости критически важных частей веб-сервисов, недостатки в логике и обработке запросов. L7-атаки маскируются под легитимный трафик сайта и могут обходить фильтрацию на более низких уровнях. Это приводит к высокой нагрузке на ресурсы сервера.
Примеры атак:
- массовые запросы формы авторизации с вводом случайных логинов и паролей
- повторяющиеся запросы в поисковой строке на сайте с динамическими страницами
- открытие множества незавершенных HTTP-сессий
Злоумышленники могут менять паттерны атак, что усложняет их обнаружение и отражение
Какие атаки отражает DDoS-Guard
Мы защищаем от наиболее распространенных атак в диапазоне L3–7 OSI.
На сетевом и транспортном уровнях (L3–4):
- DNS-амплификация (DNS Amplification)
- DNS-флуд (DNS Flood)
- ICMP-флуд (ICMP Flood)
- NTP-флуд (NTP Flood)
- Ping-флуд (Ping Flood)
- UDP-флуд (UDP Flood)
- VoIP-флуд (VoIP Flood)
- ACK/PUSH ACK-флуд (ACK & PUSH ACK Flood)
- SYN-ACK-флуд (SYN-ACK Flood)
- SYN-флуд (SYN Flood)
- Атака поддельными TCP-сессиями с несколькими ACK (Multiple ACK Fake Session Attack)
- Атака поддельными TCP-сессиями с несколькими SYN-ACK (Multiple SYN-ACK Fake Session Attack)
- Атака с помощью перенаправления трафика высоконагруженных сервисов (Misused Application Attack)
- Атака поддельными TCP-сессиями (Fake Session Attack)
На уровне приложений (L7):
- HTTP-флуд (HTTP Flood)
- Атака фрагментированными HTTP-пакетами (Fragmented HTTP Flood)
- Сессионная атака. Атака медленными сессиями (Session Attack, Slowloris)
- Рекурсивный HTTP GET-флуд (Recursive HTTP GET Flood)
- Атака с асимметричной рабочей нагрузкой (Asymmetric Workload Attack)
Полное руководство по типам атак можно прочитать в нашем блоге
Как работает защита DDoS-Guard
Наша защита базируется на собственной геораспределенной сети. Чтобы эффективно отражать DDoS-атаки, мы выступаем посредником между защищаемым ресурсом и интернетом: принимаем входящий трафик на узлах фильтрации, анализируем его, блокируем вредоносный и пропускаем легитимный.
Для блокировки угроз на уровнях L3–7 OSI мы используем каскад фильтров. Если подключен Оптимальный уровень защиты сети, трафик направляется на фильтры L7 после очистки на фильтрах L3–4.
Механизм защиты зависит от выбранных параметров, которые можно настраивать исходя из технических возможностей инфраструктуры.
Подробнее о работе защиты на уровнях L3–4
Подробнее о работе защиты на уровне L7
Какой уровень защиты выбрать
- Базовый — если нет потребности защищать веб-приложения и достаточно не допустить перегрузки полосы пропускания.
- Оптимальный — если критически важно поддерживать работу онлайн-сервисов, для защиты сайтов и инфраструктуры.
Сравнить уровни защиты и выбрать подходящий для своего проекта можно в конфигураторе услуги «Защита сети». Для этого нажмите на кнопку Сравнить уровни защиты.
