Відкритий квиток 
+373 79 600002 
Telegram Онлайн-чат 
Часті запитання 
Українська
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
български 
Polski 
Indonesia 
中文 (中国) 
БезпекаDDoS атаки: типи, рівні моделі OSI та як захистити вашу інфраструктуру
Атаки розподіленого відмови в обслуговуванні (DDoS) залишаються однією з найбільш руйнівних і дорогих загроз для онлайн-бізнесу, веб-додатків та хостинг-інфраструктури сьогодні. Незалежно від того, керуєте ви невеликим сайтом електронної комерції чи управляєте серверами рівня підприємства, розуміння того, як працюють DDoS-атаки — і як вони відповідають певним рівням моделі OSI — є основою будь-якої серйозної стратегії захисту.
У цьому комплексному посібнику ми розбираємо кожен основний тип DDoS-атаки, пояснюємо, який рівень OSI атакує кожна з них, описуємо реальний вплив на ваш бізнес і проходимо через перевірені стратегії пом’якшення, щоб ваші сервіси залишалися в мережі.
Що таке DDoS-атака?
Атака розподіленої відмови в обслуговуванні (DDoS) — це скоординована, зловмисна спроба перевантажити цільовий сервер, мережу або сервіс величезним обсягом трафіку або запитів, що виснажують ресурси — унеможливлюючи йому відповідати законним користувачам.
На відміну від простої атаки DoS, запущеної з однієї машини, DDoS-атаки використовують ботнети: мережі тисяч або навіть мільйонів скомпрометованих пристроїв (комп’ютерів, пристроїв IoT, серверів), які одночасно заливають ціль. Розподілена природа робить ці атаки набагато складнішими для блокування та набагато потужнішими.
Кінцева мета проста: виснажити ресурси цілі — пропускну здатність, CPU, пам’ять або ємність з’єднання — спричиняючи простої, деградацію продуктивності та порушення обслуговування.
Модель OSI: чому вона важлива для захисту від DDoS
Модель OSI (Open Systems Interconnection) — це концептуальна структура, яка розділяє мережеву комунікацію на сім окремих рівнів, кожен з яких відповідає за конкретну функцію. DDoS-атаки навмисно розроблені для експлуатації вразливостей на конкретних рівнях, тому розуміння моделі є важливим для діагностики та захисту від них.
| Рівень OSI | Назва | Функція |
|---|---|---|
| Рівень 1 | Фізичний | Апаратна передача сирих даних |
| Рівень 2 | Канал передачі даних | Передача даних від вузла до вузла |
| Рівень 3 | Мережа | Маршрутизація та IP-адресація |
| Рівень 4 | Транспорт | Наскрізна комунікація (TCP/UDP) |
| Рівень 5 | Сеанс | Управління сеансом |
| Рівень 6 | Представлення | Форматування даних та шифрування |
| Рівень 7 | Додаток | Протоколи, орієнтовані на користувача (HTTP, DNS тощо) |
DDoS-атаки переважно атакують рівні 3, 4 та 7, кожен з яких вимагає різного підходу до виявлення та пом’якшення.
Типи DDoS-атак за рівнем OSI
1. Атаки на основі обсягу — рівень 3 (мережевий рівень)
Атаки на основі обсягу є найпростішими і часто найбільшими за обсягом сирого трафіку. Їхня основна мета — насичення доступної пропускної здатності цілі або мережевої інфраструктури, що з’єднує її з інтернетом. Розмір атаки зазвичай вимірюється в гігабітах на секунду (Gbps) або пакетах на секунду (PPS).
#### Наводнення ICMP (Ping Flood)
Зловмисник надсилає величезну кількість пакетів ICMP Echo Request (ping) цілі. Сервер жертви змушений обробляти кожен запит і надсилати відповідний відповідь, споживаючи як вхідну, так і вихідну пропускну здатність, а також цикли CPU. Коли обсяг перевищує ємність сервера, законний трафік повністю витісняється.
Ключова характеристика: Просто виконується, часто використовується як дим для більш складних одночасних атак.
#### Наводнення UDP
При наводненні UDP зловмисник надсилає великі обсяги пакетів User Datagram Protocol (UDP) на випадкові порти цільового хоста. Оскільки UDP не має з’єднання та не має стану, цільовий сервер повинен:
- Перевірити, чи будь-який додаток прослуховує порт призначення.
- Відповісти пакетом ICMP “Destination Unreachable”, якщо додаток не знайдено.
Цей процес, повторений мільйони разів на секунду, швидко виснажує ресурси сервера та доступну пропускну здатність.
#### Атаки посилення (DNS/NTP посилення)
Особливо небезпечний підтип атак на рівні 3 з обсягом, атаки посилення експлуатують загальнодоступні сервери (DNS-резолвери, NTP-сервери, екземпляри memcached) для множення трафіку атаки. Зловмисник підробляє IP-адресу жертви і надсилає невеликі запити на ці сервери, які відповідають відповідями, в 10-100 разів більшими — усі спрямовані на жертву.
2. Атаки на протокол — рівень 4 (транспортний рівень)
Атаки на протокол експлуатують слабкості в протоколах комунікації TCP/IP самих по собі, а не просто заливають пропускну здатність. Вони спрямовані на виснаження ресурсів на стороні сервера, таких як таблиці стану з’єднання, таблиці сеансів брандмауера та ємність балансувача навантаження. Розмір атаки вимірюється в пакетах на секунду (PPS).
#### SYN Flood
SYN flood — це один з найвідоміших і найширше використовуваних методів DDoS. Він експлуатує трьохетапний TCP-рукостиск:
- Клієнт надсилає пакет SYN для ініціювання з’єднання.
- Сервер відповідає SYN-ACK і виділяє ресурси, очікуючи на фінальний ACK.
- При SYN flood зловмисник надсилає тисячі пакетів SYN — часто з підробленими вихідними IP-адресами — але ніколи не завершує рукостиск.
Таблиця з’єднань сервера заповнюється напівзакритими з’єднаннями, унеможливлюючи йому прийняти будь-які нові законні з’єднання. Це дуже ефективна атака навіть при відносно низьких обсягах трафіку.
#### Ping of Death
Атака Ping of Death включає надсилання неправильно сформованих або надмірно великих пакетів цілі. Специфікація IPv4 обмежує розмір пакета до 65 535 байтів; коли надмірно великий пакет фрагментується та перезібирається, він може спричинити переповнення буфера, збої системи або перезавантаження на вразливих системах. Хоча сучасні операційні системи в основному були виправлені від класичного Ping of Death, варіанти продовжують з’являтися.
#### ACK Flood
При ACK flood зловмисник надсилає великий обсяг пакетів TCP ACK цілі. Оскільки сервер не має запису про відповідні пакети SYN, він повинен обробити кожен, щоб визначити, що він невалідний — споживаючи CPU та пам’ять у процесі.
3. Атаки на рівні додатків — рівень 7 (рівень додатків)
Атаки на рівні додатків є найбільш складними і найважче виявляються, оскільки вони дуже схожі на законну поведінку користувача. Замість перевантаження пропускної здатності або виснаження таблиць з’єднань, вони атакують обчислювальні ресурси конкретних додатків — веб-серверів, баз даних, API та систем входу. Розмір атаки вимірюється в запитах на секунду (RPS).
#### HTTP Flood
HTTP flood надсилає величезну кількість, здавалося б, законних запитів HTTP GET або POST на веб-сервер. Оскільки кожен запит виглядає дійсним, просте блокування на основі IP неефективне. Сервер повинен обробити кожен запит — запитуючи бази даних, рендеринг сторінок, виконуючи скрипти — поки він повністю не буде перевантажений і не зможе обслуговувати реальних користувачів.
GET floods зазвичай атакують сторінки, багаті на ресурси (результати пошуку, списки товарів).
POST floods атакують форми та кінцеві точки входу, змушуючи сервер обробляти великі обсяги поданих даних.
#### Slowloris
Slowloris — це унікально прихована атака, яка вимагає дуже мало пропускної здатності. Вона працює так:
- Відкриває велику кількість з’єднань до цільового веб-сервера.
- Надсилає часткові, неповні заголовки HTTP-запиту — достатньо, щоб кожне з’єднання залишалося активним.
- Періодично надсилає додаткові рядки заголовка, щоб запобігти тайм-аутам.
Сервер тримає кожне з’єднання відкритим, очікуючи завершення запиту, поступово виснажуючи максимальний пул з’єднань. Як тільки пул заповнюється, не можна прийняти нові законні з’єднання — ефективно переводячи сервер в автономний режим, використовуючи мінімальні ресурси зловмисника.
#### DNS Query Flood
Атакуючи інфраструктуру DNS на рівні 7, зловмисники надсилають величезні обсяги запитів DNS-пошуку для неіснуючих або випадкових імен доменів. DNS-сервер повинен обробити кожен запит, споживаючи CPU та пам’ять, поки він не зможе більше вирішувати законні запити — ефективно відключаючи ціль від інтернету.
#### SSL/TLS виснаження
Ці атаки експлуатують обчислювальну вартість SSL/TLS-рукостисків. Встановлення зашифрованого з’єднання вимагає значних ресурсів CPU на стороні сервера. Ініціюючи тисячі SSL-рукостисків на секунду без їх завершення, зловмисники можуть перевантажити навіть добре забезпечені сервери.
Реальний вплив DDoS-атак
Розуміння технічної механіки — це лише половина картини. Бізнес-наслідки успішної DDoS-атаки можуть бути серйозними та довготривалими:
Простої сервісу та втрата доходу
Кожна хвилина, коли ваш веб-сайт або додаток знаходиться в автономному режимі, безпосередньо перекладається на втрату доходу. Для платформ електронної комерції, продуктів SaaS та онлайн-сервісів навіть кілька годин простою можуть коштувати тисячі або десятки тисяч доларів — не рахуючи непрямих витрат на відтік клієнтів.
Збільшені операційні витрати
Екстрена реакція на інцидент, додаткове забезпечення пропускної здатності, спеціалізовані послуги пом’якшення та надурочна робота для IT-персоналу швидко складаються під час та після DDoS-атаки.
Шкода репутації
Клієнти та партнери помічають, коли сервіси виходять з ладу. Повторні або тривалі простої підривають довіру, шкодять репутації бренду та можуть постійно спрямувати користувачів до конкурентів. Для бізнесу в регульованих галузях простої також можуть спричинити порушення відповідності та пов’язані штрафи.
Безпекова відволікання (атаки-дим)
Деякі DDoS-атаки навмисно розроблені як відволікання — утримуючи команди безпеки в зайнятості, поки зловмисники одночасно виконують витоки даних, розгортання програм-вимагачів або інші вторгнення через неконтрольовані вектори.
Стратегії пом’якшення DDoS: практичний посібник
Ефективний захист від DDoS вимагає багатошарового, проактивного підходу, який розглядає загрози на кожному рівні OSI. Жодне окреме рішення не є достатнім само по собі.
1. Виберіть інфраструктуру, побудовану для стійкості
Ваша основа хостингу має величезне значення. Вибір провайдера, який пропонує інфраструктуру, усвідомлену DDoS, з високопропускною мережевою лінією, фільтруванням на рівні апаратури та надлишковою з’єднаністю, є першою лінією захисту.
Якщо ви запускаєте критично важливі для бізнесу додатки, розгляньте можливість оновлення до плану VPS Hosting або рішення Dedicated Servers, яке забезпечує виділені ресурси, більший контроль над конфігурацією мережі та можливість реалізації користувацьких правил брандмауера — усі критичні переваги під час атаки.
2. Реалізуйте фільтрування трафіку та брандмауери
Розгорніть stateful брандмауери та системи виявлення/запобігання вторгненням (IDS/IPS) для перевірки вхідного трафіку та автоматичного відкидання пакетів, які відповідають відомим сигнатурам атак. Налаштуйте правила для:
- Блокування трафіку з відомих зловмисних діапазонів IP та ASN.
- Відкидання неправильно сформованих пакетів та невалідних станів протоколу.
- Обмеження трафіку ICMP та UDP до законних випадків використання.
- Забезпечення суворої валідації стану TCP для протидії SYN floods.
3. Застосуйте обмеження швидкості
Обмеження швидкості контролює, скільки запитів одна IP-адреса або з’єднання може здійснити протягом визначеного часового вікна. Це особливо ефективно проти атак рівня 7, таких як HTTP floods та DNS query floods. Реалізуйте обмеження швидкості на кількох рівнях:
- На рівні веб-сервера (NGINX, Apache)
- На рівні брандмауера додатків (правила WAF)
- На рівні CDN/edge (Cloudflare, Akamai)
4. Розгорніть Web Application Firewall (WAF)
WAF працює на рівні 7 і може розрізняти законних користувачів та трафік атаки на основі аналізу поведінки, шаблонів запитів та оцінки репутації. Це особливо ефективно проти HTTP floods, Slowloris та експлуатацій, специфічних для додатків.
5. Використовуйте Anycast Network Diffusion
Anycast маршрутизація розподіляє вхідний трафік по кількох географічно розосереджених центрах обробки даних. Замість того, щоб весь трафік атаки потрапляв на один сервер, він розповсюджується по всій мережі — розбавляючи його вплив і роблячи об’ємні атаки набагато менш ефективними.
6. Реалізуйте надлишковість та балансування навантаження
Розповсюдження вашого додатку по кількох серверах та географічних регіонах за допомогою балансувачів навантаження забезпечує, що навіть якщо один вузол перевантажений, інші продовжують обслуговувати законних користувачів. Ця архітектура також покращує продуктивність та доступність за нормальних умов.
7. Використовуйте спеціалізовані послуги захисту від DDoS
Для бізнесу, який стикається з серйозними або постійними загрозами DDoS, спеціалізовані послуги пом’якшення DDoS (такі як Cloudflare Magic Transit, Radware або Imperva) забезпечують постійне очищення трафіку — видалення зловмисного трафіку перед тим, як він коли-небудь досягне вашої інфраструктури.
8. Захистіть вашу DNS-інфраструктуру
Оскільки DNS часто є цілю DDoS, переконайтеся, що ваш DNS-провайдер пропонує інфраструктуру, стійку до DDoS, з anycast маршрутизацією та обмеженням швидкості. Розгляньте використання DNSSEC для запобігання DNS-спуфінгу та атакам отруєння кешу, які можуть посилити шкоду від DDoS.
9. Утримуйте SSL-сертифікати дійсними та правильно налаштованими
Закінчені або неправильно налаштовані SSL-сертифікати можуть створити вразливості, які експлуатують зловмисники. Утримання дійсних SSL Certificates забезпечує ефективну обробку зашифрованих з’єднань та зменшує експозицію до атак SSL exhaustion.
10. Розробіть та протестуйте план реагування на інциденти
Наявність документ