Как распознать DoS-атаку. Разница между DDoS-атакой и DOS

Как распознать DoS-атаку. Разница между DDoS-атакой и DOS

Атака типа «отказ в обслуживании» (DoS — Denial-of-service attack) — это тип кибератаки, при которой злоумышленник пытается сделать компьютер или другое устройство недоступным для предполагаемых пользователей, прервав нормальное функционирование устройства.

DoS-атаки обычно работают путем переполнения целевой машины запросами до тех пор, пока обычный трафик не будет обработан, что приведет к отказу в обслуживании добавочным пользователям. DoS-атака характеризуется использованием одного компьютера для запуска атаки.

Распределенная атака отказа в обслуживании (DDoS) — это тип DoS-атаки, которая исходит из многих распределенных источников, таких как ботнет.

Боевой единицей ботнета может стать любой ПК подключенный к глобальной сети и заражённый определённым типом malware (вируса).

Как работает DoS-атака
Как работает DoS-атака. Источник: wikipedia.org

Как работает DoS-атака

Основной фокус DoS-атаки заключается в перенасыщении емкости целевой машины, что приводит к отказу в обслуживании дополнительных запросов. Множественные типы атак DoS-атак можно сгруппировать по их сходству.

Как выглядит DDoS-атака

На видео показана DDoS-атака на сайт videolan.org (2013 год). Интенсивность запросов — от 400 до 1600 запросов в секунду. Это достаточно большая нагрузка на сервер.
Принцип: компьютеры-зомби заходили на одну из страниц сайта и скачивали дистрибутив VLC-плеера весом в 22 мегабайта.
С помощью logstalgia — инструмента, который превращает логи сервера в наглядную анимацию — администраторы сайта сделали и опубликовали на Youtube визуализацию, благодаря которой можно увидеть, как выглядит DDoS-атака:

DoS-атаки обычно делятся на 2 категории: атаки переполнения буфера и Flood-атаки

Атаки переполнения буфера

Тип атаки, при которой переполнение буфера памяти может привести к тому, что машина будет использовать все доступное пространство на жестком диске, память или время ЦП.

Эта форма эксплойта часто приводит к вялому поведению, сбоям системы сервера, что приводит к отказу в обслуживании.

Flood-атака

Насыщая целевой сервер огромным количеством пакетов, злоумышленник может перенасыщать емкость сервера, что приводит к отказу в обслуживании. Чтобы большинство атак DoS flood были успешными, злоумышленник должен иметь более доступную пропускную способность, чем цель.

Историческое значение DoS-атаки

DOS-атаки обычно использовали уязвимости безопасности, присутствующие в сети, программном обеспечении и аппаратной части.

Эти атаки стали менее распространенными, поскольку DDoS-атаки имеют большую разрушительную способность и относительно легко создаются с помощью доступных инструментов. На самом деле, большинство DoS-атак также можно превратить в DDoS-атаки.

Несколько общих DoS-атак включают:

  1. Smurf-атака — ранее использовавшаяся DoS-атака, в которой злоумышленник использует широковещательный адрес уязвимой сети, отправляя поддельные пакеты, что приводит к затоплению целевого IP-адреса.
  2. Ping flood — эта простая атака основана на подавлении цели пакетами ICMP (ping). Отказ в обслуживании может произойти из-за того, что целевой объект получает больше эхо-запросов, чем он способен обработать. Эта атака также может быть использована в качестве DDoS-атаки.
  3. Пинг смерти — часто объединены с Ping –flood атаками, пинг смерти заключается в отправке искаженных пакетов для целевой машины, в результате чего происходит сбой системы.

Как определить происходит ли на компьютер DoS-атака

Хотя может быть трудно различить нападение от других ошибок подключения к сети или тяжелую нагрузку, есть некоторые признаки, указывающие на атаку.

Показатели DoS-атаки включают:

  • Нетипично низкая производительность сети, например, длительное время загрузки файлов или веб-сайтов;
  • Невозможность загрузить конкретный веб-сайт;
  • Внезапная потеря подключения между устройствами в одной сети.

В чем разница между DDoS-атакой и DOS

Отличительная разница между DDoS и DoS — количество соединений, используемых в атаке. Некоторые атаки DoS, такие как «слабые и медленные» атаки (Slowloris), получают свою силу в простоте и минимальных требованиях, необходимых для их эффективности.

DoS использует одно соединение, в то время как DDoS-атака использует множество источников атакующего трафика, часто в виде ботнета.

В общем говоря, многие атаки принципиально похожи и могут использовать еще один источник вредоносного трафика.