Виды DDoS-атак
Атака поддельными TCP-сессиями
Алгоритм атак этого типа сводится к эмуляции TCP-сессий на сетях с асимметричной маршрутизацией следующим образом: злоумышленник генерирует поддельные SYN-пакеты, затем много ACK, а затем FIN/RST пакеты.
Атака поддельными TCP сессиями с несколькими SYN-ACK
Этот вариант атаки поддельной сессией выполняется несколькими SYN- и ACK-пакетами совместно с одним или более RST- или FIN-пакетами.
Сессионная атака Slowloris
Между ботом и сервером-жертвой устанавливается TCP-сессия. Когда сессия уже успешно создана, атакующий бот не отвечает ACK пакетом, чтобы удержать сессию открытой, пока не сработает событие «Таймаут» (Session Time Out). Пустая сессия расходует системные ресурсы (ОЗУ, процессор и пр.), которые будут неизбежно выделены сервером для обработки открытой сессии. В результате сервер-жертва резервирует свободные ресурсы на обслуживание открытых TCP-сессий с ботами.
Атака поддельными TCP сессиями с несколькими ACK
Этот вариант атаки поддельной сессией выполняется без начальной отправки SYN-пакетов.
Атака фрагментированными HTTP-пакетами
При такой атаке бот устанавливает корректное http-соединение с веб-сервером. Бот разделяет на маленькие фрагменты легитимные http-пакеты, передавая их настолько медленно, насколько это позволяет тайм-аут сервера.
HTTP-флуд
Атакующий бот генерирует большое количество HTTP-запросов к серверу жертвы. В большинстве случаев это GET-запросы на получение максимально больших элементов сайта. Каждый бот может генерировать большое количество легитимных запросов (более 10 раз в секунду). Злоумышленнику не нужно иметь большое количество ботов для осуществления данного вида атаки.
HTTP-флуд одиночными сессиями
Это разновидность HTTP Flood атак. Данная атака использует возможность HTTP 1.1, разрешающую множественные запросы в рамках одной HTTP-сессии. Таким образом, атакующий может установить лимит сессий и обойти установленное ограничение на максимальное количество сессий для одного клиента.
Эффект от такой атаки, как и механизмы защиты от неё, аналогичен HTTP Flood.
HTTP-флуд одиночными запросами
Еще одна разновидность HTTP Flood. Атакующий бот отправляет множество HTTP-запросов, не посылая их один за другим в течение одной HTTP-сессии, а формируя пакеты с большим количеством запросов. Схожесть с HTTP Flood состоит в перегрузке сервера-жертвы относительно небольшим количеством пакетов. Именно маленькая скорость передачи данных делает атаку практически незаметной для алгоритмов обнаружения аномалий в сетевом потоке и систем глубокого анализа пакетов.