Статья опубликована в рамках: Научного журнала «Студенческий» № 23(151)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3
DDOS-АТАКИ СЕДЬМОГО УРОВНЯ
LEVEL SEVEN DDOS ATTACKS
Kazbek Mamakev
student, Department of Information Systems in Construction Don State Technical University,
Russia, Rostov-on-Don
Alexandr Lyapin
scientific adviser, doctor of physical and mathematical sciences, professor, Don State Technical University,
Russia, Rostov-on-Don
АННОТАЦИЯ
В статье приведена классификация DDoS-атак, проводится сравнительный анализ между разными уровнями атак. Также в статье представлены существующие методы борьбы с L7-атаками.
ABSTRACT
The article provides a classification of DDoS attacks, a comparative analysis between different levels of attacks. The article also presents the existing methods of combating L7 attacks.
Ключевые слова: DDoS-атаки, L7-атака, защита от вредоносного трафика.
Keywords: DDoS attacks, L7 attacks, protection against malicious traffic.
Введение
Атаки с распределенным отказом в обслуживании (DDoS) – это кибератака, в ходе которой злоумышленник стремится сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей, временно или на неопределенный срок нарушая работу хоста, подключенного к интернету [1]. Отказ в обслуживании обычно осуществляется путем заполнения целевой машины или ресурса избыточными запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов.
Обзор предметной области
DDoS-атаки представляют реальную угрозу, с которой сталкиваются компании во всем мире. Эти атаки, неуязвимые для самых популярных на сегодняшний день инструментов выявления, способны быстро истощить ресурсы компании, выбранной в качестве жертвы. Убытки будут исчисляться тысячами, если не миллионами долларов недополученной прибыли и невыпущенной продукции. Используя новые решения, специально созданные для выявления атак DDoS и борьбы с ними, компании получат гарантию спокойной устойчивой работы.
Перемещение бизнеса в облака увеличило загруженность и повысило важность доступности сервисов, обеспечивающих его функционирование. На рисунке 1 и 2 представлен двухлетний график трафика, которым обмениваются в DE-CIX Marseille [2] и в DE-CIX Madrid [3]. В таких условиях возрастает потенциальный экономический ущерб от DDoS-атак. Ежедневный рост объемов легитимного трафика оставляет провайдерам все меньше свободных канальных емкостей для приема атак без влияния на клиентские сервисы.
Сложившаяся ситуация привела к росту соответствующего теневого рынка и увеличению числа DDoS-атак, мотивированных недобросовестной конкуренцией, во всех сферах экономики.
Рисунок 1. Общий трафик DE-CIX Marseille
Рисунок 2. Общий трафик DE-CIX Madrid
Классификация DDoS-атак
Процесс отправки и получения данных от одного хоста к другому, инкапсуляция данных, возможен благодаря существованию семиуровневого набора протоколов, представленного как модель OSI (см. рисунок 3).
Рисунок 3. Модель OSI
Тенденция DDoS-атак неопровержимо показывает, что злоумышленники целятся и со временем продвигаются вверх по сетевой модели OSI. Перемещение основной цели логично, поскольку все больше систем защиты от DDoS-атак фокусируют свои основные способности обнаружения на нижних уровнях. Поэтому атаки на уровень веб-приложений становятся все более популярными. Кроме того, проникновение в верхний уровень модели OSI, обеспечивает выход на уровне бизнес-логики, который считается абстрактным расширением вышеупомянутого набора сетевых протоколов.
Учитывая, что Интернет построен по вертикали с помощью нескольких уровней протоколов, было бы совершенно понятно, если бы DDoS-атаки в Интернете также принимали вертикальную классификацию.
Если принять этот подход, некоторые распространенные типы DDoS-атак включают:
· L2-атака – забивание канала. Например, у сервера канал 100мбит/с, тогда если направить на него трафик 120мбит/с, канал забьется и сервер потеряет доступ к внешней сети.
· L3-атака – нарушение функционирования сетевой инфраструктуры.
· L4-атака – эксплуатация слабых мест TCP-стека, то есть атаки на транспортном уровне, лежащий в основе HTTP и ряда других протоколов, который довольно сложно устроен.
L7-атака – деградация веб-приложения. В этот класс атак относится обычный GET/POST/HTTP Flood и различные потоки запросов к БД, пока у сервера не закончится память. Данный вид атаки нацелен не на IP, а на сайт.
DDoS-атака седьмого уровня
Рассмотрим некоторые общие особенности, которые отличают L7-атаки от других:
· В то время как DDoS-атаки на сетевом уровне пытаются положить сервер-жертву поддельными запросами, DDoS-атаки на прикладном уровне основываются на законных.
· На седьмом уровне DDoS-атак атакующие компьютеры должны установить полное TCP-соединение. Таким образом, хотя предоставление подлинных IP-адресов – это то, без чего невозможно обойтись, все действия могут показаться законными при отсутствии скачков трафика. Они могут фактически обмануть даже бдительный механизм защиты от DDoS-атак.
· DDoS-атака седьмого уровня, в отличие от других, может использовать уязвимости в прикладном программном обеспечении, таким образом обходя обнаружение и нацеливаясь непосредственно на целевой веб-сервер.
· Цель DDoS-атак прикладного уровня обычно не связана с чрезмерной пропускной способностью. Часто на близком расстоянии исчерпываются ресурсы ЦП или памяти. Сильное потребление ресурсов в конечном итоге приведет к отключению сервера.
· ИТ-специалисты хорошо знакомы с защитой и нейтрализацией распространенных объемных атак. Напротив, DDoS-атаки седьмого уровня часто представляют собой более серьезную проблему.
Защита от атак на уровне приложений требуют адаптивной стратегии, включая возможность ограничения трафика на основе определенных наборов правил, которые могут регулярно изменяться. Такие инструменты, как правильно настроенный WAF (Web Application Firewall), могут уменьшить объем фиктивного трафика, передаваемого на исходный сервер, что значительно снижает влияние DDoS-атак.
Существующие методы борьбы с L7-атаками
Один из методов заключается в том, чтобы реализовать вызов устройству, делающему сетевой запрос, чтобы проверить, является ли он ботом. Это делается с помощью теста так же, как тест «капча» обычно встречаются при создании учетной записи в интернете. Предоставляя требование, такое как вычислительная задача JavaScript, можно смягчить многие атаки. Но выдача такого теста всем устройствам обычно плохо сказывается на пользователей, которые не хотят или не умеют проходить их. Из-за чего начинается отток пользователей из защищаемого ресурса.
Другие пути остановки атак включают использование брандмауэра веб-приложения, управление и фильтрация трафика через базу данных IP reputation, а также анализ сети на лету инженерами.
Заключение
В данной статье была рассмотрена актуальность защиты от DDoS-атак в связи с ростом трафика. В долгосрочной перспективе нагрузка на сети операторов продолжит увеличиваться из-за массового перехода компаний на удаленную работу.
Также проведен сравнительный анализ между разными уровнями атак и представлены существующие методы борьбы с L7-атаками.
Список литературы:
- Mohammad, Reza,Khalifeh Theoretical and experimental methods for defending against DDoS attacks / Reza,Khalifeh Mohammad, S. A. Iraj. – 1-е.изд. – Waltham: Syngress is an imprint of Elsevier, 2016. – 62 c. – Текст: непосредственный.
- DE-CIX Marseille statistics. – Текст: электронный // DE-CIX: [сайт]. – URL: https://www.de-cix.net/en/locations/france/marseille/statistics (дата обращения: 16.06.2021).
- DE-CIX Madrid statistics. – Текст: электронный // DE-CIX: [сайт]. – URL: https://www.de-cix.net/en/locations/spain/madrid/statistics (дата обращения: 16.06.2021).
Оставить комментарий