Для DDoS-атак с амплификацией также возможно использовать следующие протоколы: TCP, UDP, ICMP, DNS, SSDP/UPnP, NTP, RIPv1, rpcbind, SNMP, SQL RS, L2TP, Memcached. В этой статье мы кратко опишем каждый вид DDoS-атак с амплификацией (подробности можно прочитать в отдельных статьях нашей Базы знаний)
Использование протокола TCP для осуществления амплифицированных DDoS-атак
Transmission Control Protocol (TCP) - это протокол контроля передачи данных в компьютерных сетях. Один из основных протоколов передачи данных интернета, предназначенный для корректной передачи данных без потерь. Сети и подсети, в которых совместно используются протоколы TCP и IP называются сетями TCP/IP.
Использование этого протокола для амплификации атак возможно из-за особенностей его механизма синхронизации TCP (так называемого трехэтапного рукопожатия) и того, что многие устройства в интернете совершают непредсказуемые действия во время установления соединения.
Использование протокола UDP для осуществления амплифицированных DDoS-атак
Атака поддельными UDP-пакетами с амплификацией
По своей сути, UDP - это протокол без установления соединения, который не проверяет исходные IP-адреса. Если протокол прикладного уровня не использует защитные меры, такие как инициирование сеанса в протоколе Voice over Internet, злоумышленник может легко подделать датаграмму IP-пакетов (базовый блок передачи, который связан с сетью с коммутацией пакетов), чтобы включить произвольный IP-адрес источника. Когда у многих пакетов UDP их IP-адрес источника подделан под IP-адрес жертвы, целевой сервер (или усилитель) отвечает жертве (вместо атакующего), создавая отраженную атаку типа «отказ в обслуживании» (DoS).
Некоторые команды к протоколам UDP вызывают ответы, которые намного больше, чем первоначальный запрос. Ранее злоумышленники были ограничены линейным количеством пакетов, непосредственно отправляемых жертве для проведения DoS-атаки; теперь один пакет может генерировать от 10 до 100 раз большую мощность для переполнения полосы пропускания. Это называется амплификацией атаки. DDoS-атаки могут проводиться довольно легко в сочетании с масштабными отражающими DoS-атаками, с использованием нескольких усилителей и нацеливанием на одну жертву.
Потенциальный эффект атаки с усилением может быть измерен с помощью коэффициента усиления пропускной способности системы. Его можно рассчитать как отношение числа байтов полезной нагрузки UDP, которые усилитель отправляет для ответа на запрос, к количеству байтов полезной нагрузки UDP запроса.
На базе UDP работают следующие протоколы, которые так же могут быть использованы для амплификаций:
- Domain Name System (DNS)
- Network Time Protocol (NTP)
- Character Generator Protocol (CharGEN)
- Simple Service Discovery Protocol (SSDP)
- Routing Information Protocol version 1 (RIPv1)
- Memcached
Другие протоколы, используемые для атак с амплификацией
Помимо UDP и TCP, хакеры могут использовать уязвимости следующих протоколов:
- Internet Control Message Protocol (ICMP)
- Layer 2 Tunneling Protocol (L2TP)
- Simple Network Management Protocol (SNMP)
А также утилиту для серверов rpcbind (Portmapper) и серверную систему создания отчетов от Microsoft SQL RS.
На данный момент не существует универсального способа для защиты от всех видов амплифицированных DDoS-атак, описанных в данной статье, поэтому мы рекомендуем воспользоваться нашими услугами с целью максимально обезопасить ваш интернет-ресурс. Нашим клиентам доступна круглосуточная служба поддержки, которая незамедлительно отреагирует на атаку и предотвратит поражение вашей сети.