DoS и DDoS-атаки: значение и различия. DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты Чем отличается dos от ddos

За последнее время мы смогли убедиться, что DDoS атаки - это довольно сильное оружие в информационном пространстве. С помощью DDoS атак с высокой мощностью можно не только отключить один или несколько сайтов, но и нарушить работу всего сегмента сети или же отключить интернет в маленькой стране. В наши дни DDoS атаки случаются все чаще и их мощность с каждым разом возрастает.

Но в чем суть такой атаки? Что происходит в сети когда она выполняется, откуда вообще возникла идея так делать и почему она такая эффективная? На все эти вопросы вы найдете ответы в нашей сегодняшней статье.

DDoS или distributed denial-of-service (разделенный отказ в обслуживании) - это атака на определенный компьютер в сети, которая заставляет его путем перегрузки не отвечать на запросы других пользователей.

Чтобы понять что значит ddos атака, давайте представим ситуацию: веб-сервер отдает пользователям страницы сайта, допустим на создание страницы и полную ее передачу компьютеру пользователя уходит полсекунды, тогда наш сервер сможет нормально работать при частоте два запроса в секунду. Если таких запросов будет больше, то они будут поставлены в очередь и обработаются как только веб-сервер освободиться. Все новые запросы добавляются в конец очереди. А теперь представим что запросов очень много, и большинство из них идут только для того, чтобы перегрузить этот сервер.

Если скорость поступления новых запросов превышает скорость обработки, то, со временем, очередь запросов будет настолько длинной, что фактически новые запросы уже не будут обрабатываться. Это и есть главный принцип ddos атаки. Раньше такие запросы отправлялись с одного IP адреса и это называлось атакой отказа в обслуживании - Dead-of-Service, по сути, это ответ на вопрос что такое dos. Но с такими атаками можно эффективно бороться, просто добавив ip адрес источника или нескольких в список блокировки, к тому же несколько устройство из-за ограничений пропускной способности сети не физически не может генерировать достаточное количество пакетов, чтобы перегрузить серьезный сервер.

Поэтому сейчас атаки выполняются сразу с миллионов устройств. К называнию было добавлено слово Distribed, распределенная, получилось - DDoS. По одному эти устройства ничего не значат, и возможно имеют подключение к интернету с не очень большой скоростью, но когда они начинают все одновременно отправлять запросы на один сервер, то могут достигнуть общей скорости до 10 Тб/с. А это уже достаточно серьезный показатель.

Осталось разобраться где злоумышленники берут столько устройств для выполнения своих атак. Это обычные компьютеры, или различные IoT устройства, к которым злоумышленники смогли получить доступ. Это может быть все что угодно, видеокамеры и роутеры с давно не обновляемой прошивкой, устройства контроля, ну и обычные компьютеры пользователей, которые каким-либо образом подхватили вирус и не знают о его существовании или не спешат его удалять.

Виды DDoS атак

Есть два основные типы DDoS атак, одни ориентированы на то, чтобы перегрузить определенную программу и атаки, направленные на перегрузку самого сетевого канала к целевому компьютеру.

Атаки на перегрузку какой-либо программы, еще называются атаки у 7 (в модели работы сети osi - семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Именно этот вид мы рассматривали выше.

DoS атаки на интернет канал требуют намного больше ресурсов, но зато с ними намного сложнее справиться. Если проводить аналогию с osi, то это атаки на 3-4 уровень, именно на канал или протокол передачи данных. Дело в том, что у любого интернет-соединения есть свой лимит скорости, с которой по нему могут передаваться данные. Если данных будет очень много, то сетевое оборудование точно так же, как и программа, будет ставить их в очередь на передачу, и если количество данных и скорость их поступления будет очень сильно превышать скорость канала, то он будет перегружен. Скорость передачи данных в таких случаях может исчисляться в гигабайтах в секунду. Например, в случае с отключения от интернета небольшой страны Либерии, скорость передачи данных составила до 5 Тб/сек. Тем не менее 20-40 Гб/сек достаточно, чтобы перегрузить большинство сетевых инфраструктур.

Происхождение DDoS атак

Выше мы рассмотрели что такое DDoS атаки, а также способы DDoS атаки, пора перейти к их происхождению. Вы когда-нибудь задумывались почему эти атаки настолько эффективны? Они основаны на военных стратегиях, которые разрабатывались и проверялись на протяжении многих десятилетий.

Вообще, многие из подходов к информационной безопасности основаны на военных стратегиях прошлого. Существуют троянские вирусы, которые напоминают древнее сражение за Трою, вирусы-вымогатели, которые крадут ваши файлы, чтобы получить выкуп и DDoS атаки ограничивающие ресурсы противника. Ограничивая возможности противника, вы получаете немного контроля над его последующими действиями. Эта тактика работает очень хорошо как для военных стратегов. так и для киберпреступников.

В случае с военной стратегией мы можем очень просто думать о типах ресурсов, которые можно ограничить, для ограничения возможностей противника. Ограничение воды, еды и строительных материалов просто уничтожили бы противника. С компьютерами все по-другому тут есть различные сервисы, например, DNS, веб-сервер, сервера электронной почты. У всех них различная инфраструктура, но есть то, что их объединяет. Это сеть. Без сети вы не сможете получить доступ к удаленной службе.

Полководцы могут отравлять воду, сжигать посевы и устраивать контрольные пункты. Киберпреступники могут отправлять службе неверные данные, заставить ее потребить всю память или вовсе перегрузить весь сетевой канал. Стратегии защиты тоже имеют те же самые корни. Администратору сервера придется отслеживать входящий трафик чтобы найти вредоносный и заблокировать его еще до того как он достигнет целевого сетевого канала или программы.

Выводы

DDoS атаки становятся все более распространенными и с каждым разом все мощнее. Это значит, что службы, которые мы используем будут все чаще подвергаться атакам. Один из способов, с помощью которого мы можем уменьшить количество атак - это следить за тем, чтобы наши устройства не были заражены никакими вирусами и вовремя получали обновления. Теперь вы знаете что такое DDoS атака и знаете основы защиты, в одной из следующих статей мы рассмотрим последний момент подробнее.

На завершение предлагаю лекцию о DDoS атаках:

Уровень угрозы напрямую зависит силы и продолжительности атаки

Dos (Denial of Service) атаки

Логикой атаки является создание условий, при которых обычные или легитимные пользователи системы не могут получить доступ к предоставляемым сайтом ресурсам, либо этот доступ к ним затруднён.

В большинстве случаев DoS атака - это мера коммерческое давления сайты. Простой сайта, приносящего доход, счета от провайдера, меры по уходу от атаки ощутимо бьют собственника ресурса по карману.
Целью DoS атаки могут также стать политические, религиозные или иные мотивы, когда атакующие не согласны с контентом и политикой сайта.

DoS атака на сайт может быть и прелюдией к взлому сайта, если при сбое ПО сервера или код сайта выдаёт какую-либо критическую информацию - например, версию ПО, часть программного кода, серверные пути и т. п.).

В случае, когда атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service).

DDos (Distributed Denial of Service) атаки

Технологии проведения DoS и DDoS атак разнообразны, от простого навала на ресурс, до техники "умного" DoSa, атакующего конкретные слабые, или долго выполняющиеся скрипты сайта.

Часто злоумышленники пользуются уязвимостями в серверном программном обеспечении. Старые версии серверного ПО подвержены множественным уязвимостям, включая неустойчивостью к DoS и DDoS атакам. Применяются эксплойты использующие эти уязвимости, для организации DoS и DDoS атак.

Техникой "умного" DDoSa так же является атака, приводящая к отказу в обслуживании путем превышения лимитов установленных хостинг - провайдерами.

Практически у всех хостингов существуют недокументированные ограничения в обслуживание, такие как количество единовременных обращений к файловой системе сервера, ограничение по нагрузке на процессор и.т.п. Обладая этой информацией злоумышленник направляет атаку на сайт или сервер целью которой является превышение этих лимитов.

Классификация DoS и DDoS атак:

  • НАСЫЩЕНИЕ ПОЛОСЫ ПРОПУСКАНИЯ - атака, связанная с большим количеством бессмысленных запросов к сайту, с целью его отказа из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • HTTP - флуд и PING - флуд - примитивная DoS атака, целью которой является насыщение полосы пропускания и отказ сайта в обслуживание. Успех атаки напрямую зависит от разницы размеров ширины канала атакуемого сайта и атакующего сервера.
  • SMURF - атака (ICMP - флуд) - одна из самых опасных DDoS атак, когда атакующий использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. В ней по широковещательному адресу атакующий отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный атакующим через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз.
  • FRAGGLE - атака (UDP - флуд) - атака, аналогичная SMURF - атаке, где вместо ICMP пакетов используются пакеты UDP. Принцип действия этой атаки простой: на атакуемый сервер отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы
  • АТАКА ПАКЕТАМИ SYN (SYN-флуд) - суть атаки заключается в следующем: два сервера устанавливают TCP соединение, установку которого выделяется небольшое количество ресурсов. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения. Делается это подменой истинного IP на несуществующий IP адрес атакующего сервера, при отправке SYN пакетов. Сервер - жертва будет создавать очередь из необработанных соединений, которая исчерпает его ресурсы.
    Определить источник такой атаки крайне сложно, т.к. истинные адреса атакующих серверов подменяются на несуществующие.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном ресурсе ссылки на сайт, размещённый на не очень быстром и производительном сервере (слэшдот-эффект).

Большой наплыв пользователей так же приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании.

Защита от DoS и DDoS атак

Универсальной защиты от DoS и DDoS атак не существует.
Гарантированной защиты от мощной DDoS атаки не существует.

Стратегия защиты DoS или DDoS напрямую зависит от типа, логики и мощности самой атаки

Аудит безопасности сайта

Гарантированная защита сайта от взлома и атак

Если вы работаете в области компьютерных технологий или в области сетевой безопасности, я уверен, что вам знаком термин «отказ в обслуживании», который в просторечье именуется как «DoS атака». В настоящее время это один из наиболее распространенных типов сетевых атак, проводимых в Интернете. Для тех кто не в теме, я проведу «ликбез» и попытаюсь объяснить, что такое DoS атака, в самой доступной и понятной форме.
А началось все с того что один из рабочих сайтов лежал вчера около двух часов. Хостится сайт на NIC.RU, не из самых дешевых, и вроде бы не новички, но, как говорится «и на старуху бывает проруха».

DDoS — отказ в обслуживании

Что такое DOS атака?
Отказ в обслуживании или «DoS атаки» являются одним из видов сетевых атак, предназначены для того, чтобы «затопить» целевые сети или машины большим количеством бесполезного трафика, так чтобы перегрузить атакуемую машину и в конечном итоге поставить ее «на колени». Основная суть DoS атаки, сделать службы, работающие на целевой машине (например, веб-сайт, DNS сервер и пр.) временно недоступными для предполагаемых пользователей. DDoS атаки, как правило, осуществляются на веб-сервера, на которых находятся жизненно важные услуги, такие как банковские сервисы, электронная коммерции, обработка персональных данных, кредитных карт.
Распространенный вариант DOS атаки, известной как DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) атака, стал весьма популярным в последние годы, поскольку это очень мощная и трудно обнаружимая атака. Атака DoS имеет одно место происхождения, а атака DDoS происходит от нескольких IP-адресов, распределенных по нескольким сетям. Как работает DDoS показано на следующей диаграмме:

В отличие от атаки DoS, когда злоумышленник использует для атаки один единственный компьютер или сеть, чтобы атаковать цель, DDoS атака исходит от многочисленных компьютеров и серверов, предварительно зараженных, принадлежащих как правило различным сетям. Так как злоумышленник использует компьютеры и серверы из различных сетей, и даже разных стран, то входящий трафик, по началу, не вызывает подозрений у служб безопасности, так как, его трудно обнаружить.

Можно ли бороться с DoS/DDoS атаками?
Атакующие с помощью DoS-атак могут быть легко добавлены в черный список брандмауэра, с помощью всяческих скриптов и фильтров (по IP-адресам или диапазонам адресов), от которых происходит слишком много запросов, или соединений. DDoS атаки определить слишком сложно, так как входящие запросы выглядеть более или менее естественно, ведь бывает скажем, наплыв клиентов и др.. В этом случае трудно найти разницу между подлинным и вредоносным трафиком. Чрезмерное усиление мер безопасности на брандмауэре может привести к ложным срабатываниям и поэтому настоящие клиенты могут быть отвергнут системой, что согласитесь не есть очень хорошо.

Когда наплыв ложных «клиентов» начинает увеличивается в геометрической прогрессии, делать уже что либо становится поздно, если конечно у вас не сидит целый штат сисадминов и программистов отвечающих как раз за защиту от атак такого рода, ваши сервера становятся не поворотливыми и медлительными, и в конце концов, перестают реагировать на «внешние раздражители», ожидая, когда же на конец закончится этот поток спама.
А в это время злобные хакеры воплощают в жизнь свои темные планы.

На вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

  • Ошибка в программном коде , приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера - серверной программы. Классическим примером является обращение по нулевому (англ. null ) адресу.
  • Недостаточная проверка данных пользователя , приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).
  • Флуд (англ. flood - «наводнение», «переполнение») - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов - с нескольких рассредоточенных в сети компьютеров - то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS ).

Эксплуатация ошибок

Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).

Флуд

О флуде как нарушении сетевого этикета см. Флуд .

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка »), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты . Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг » или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP , подвержен таким типам флуда:

  • SYN-флуд - при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
  • UDP-флуд - этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP -пакеты надо доставить первыми, а TCP - могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP , перестаёт отвечать.
  • ICMP-флуд - то же самое, но с помощью ICMP -пакетов.

Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) - флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, - для выведения веб-сервера из строя может применяться как простейшее GET / , так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка> .

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд -атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

  • сигнатурные - основанные на качественном анализе трафика.
  • статистические - основанные на количественном анализе трафика.
  • гибридные (комбинированные) - сочетающие в себе достоинства обоих вышеназванных методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
  • Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
  • Обратный DDOS - перенаправление трафика, используемого для атаки, на атакующего.
  • Устранение уязвимостей. Не работает против флуд -атак, для которых «уязвимостью » является конечность тех или иных системных ресурсов.
  • Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
  • Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
  • Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
  • Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

См. также

Примечания

Литература

  • Крис Касперски Компьютерные вирусы изнутри и снаружи. - Питер. - СПб. : Питер, 2006. - С. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Анализ типовых нарушений безопасности в сетях = Intrusion Signatures and Analysis. - New Riders Publishing (англ.) СПб.: Издательский дом «Вильямс» (русск.), 2001. - С. 464. - ISBN 5-8459-0225-8 (русск.), 0-7357-1063-5 (англ.)
  • Morris, R.T = A Weakness in the 4.2BSD Unix TCP/IP Software. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, Feb 1985.
  • Bellovin, S. M. = Security Problems in the TCP/IP protocol Suite. - Computer Communication Review, Vol. 19, No.2. - AT&T Bell Laborotories, April 1989.
  • = daemon9 / route / infinity «IP-spooling Demystified: Trust Realationship Exploitation». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.
  • = daemon9 / route / infinity «Project Neptune». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.

Ссылки

  • DoS-атака в каталоге ссылок Open Directory Project (

DoS-атака - это такая атака, которая приводит к парализации работы ПК или сервера. Это происходит из-за того, что посылается огромное количество запросов, которые с довольно высокой скоростью поступают на атакуемый веб-ресурс. DDoS-атака - это атака, которая проводится одновременно с огромного числа компьютеров.

Подробнее о DoS-атаке

DoS (англ. Denial of Service) переводится буквально, как «отказ в обслуживании». У такой атаки есть два варианта осуществления. Если атака осуществляется первым способом, то используется при этом уязвимость ПО, который установлен на компьютере, который будет атакован. С помощью этой уязвимости на компьютере вызывают критическую ошибку, приводящую к нарушению работоспособности всей системы. Если же используется второй способ, то DoS-атака осуществляется при помощи отсылки очень большого количества пакетов информации на компьютер. Каждый пакет информации, который отсылается с одного компьютера на другой, некоторое время обрабатывается.

Если же во время обработки приходит другой запрос, то он «встаёт в очередь» и занимает некоторое количество физических ресурсов всей системы. Но если на компьютер отослать большое количество пакетов информации, то такая огромная нагрузка заставит компьютер экстренно отключиться от интернета или же, попросту зависнуть, чего и добиваются организаторы DoS-атаки.

Подробнее о DDoS-атаке

DDoS-атака (англ. Distributed Denial of Service, в переводе - «распределённый отказ в обслуживании») - это некоторая разновидность DoS-атаки. Такая атака организуется огромным числом компьютеров. Из-за этого атаке подвержены даже такие сервера, которые имеют огромную пропускную способность интернет-каналов.

Но не всегда DDoS-атака проходит по чьей-то недоброй воле. Иногда такой эффект может произойти случайно. Так может произойти, если, например, на какой-то сайт, который находится на каком-нибудь сервере, был поставлен линк (ссылка) в очень популярном веб-ресурсе. Это явление называют сплэшдот-эффектом.

Необходимо знать, что DDoS-атака почти всегда проводится в целях коммерческой выгоды, ведь для её организации потребуется огромное количество как временных, так и материальных затрат, что, согласитесь, может позволить себе не каждый. Довольно часто при организации DDoS-атаки используется специальная сеть компьютеров под названием ботнет.

Что такое ботнет? Ботнет - это такая сеть компьютеров, которые были заражены особым видом вирусов. Абсолютно всеми заражёнными компьютерами удалённо владеет злоумышленники, часто владельцы этих компьютеров даже не знают, что они принимают участие в DDoS-атаке. Компьютеры заражаются определённым вирусом или же программой, которая маскируется под полезную. Затем при помощи этой программы в компьютер устанавливают вредоносный код, который работает в так называемом «невидимом» режиме, поэтому его не замечают антивирусы. В определённый момент владелец ботнета активирует эти программы и начинает отсылать запросы на сервер, атакуемый злоумышленниками.

Часто злоумышленники, когда проводят DDoS-атаку, используют так называемый «кластер DDoS». Кластер DDoS - это такая специальная трёхуровневая архитектура сети ПК. В такой структуре обычно один или же несколько управляемых консолей, подающих сигнал о начале DDoS-атаки.

Затем этот сигнал передаётся на главные компьютеры (главные компьютеры это что-то типа посредников между консолями и компьютерами-агентами). Компьютеры-агенты - это и есть те компьютеры, которые атакуют сервер. Часто владельцы главных компьютеров и компьютеров-агентов даже не подозревают о том, что они участвуют в атаке.

Защиты от DDoS-атаки могут быть различны. Это из-за того, что и сами виды этих атак различаются. Вот четыре основных типа: UDP flood, TCP flood, TCP SYN flood и ICMP flood. DDoS-атака становится ещё опасней, если злоумышленники комбинируют все эти способы или некоторые из них.

Универсальный способ защиты от этого типа атак ещё не придуман. Но если соблюдать несколько простых правил, то риск атаки можно свести почти к нулю. Необходимо устранить уязвимости ПО, также надо наращивать ресурсы, а также рассредоточивать их. На компьютере должен быть установлен пакет программ защиты от этого вида атаки (хотя бы минимальный).