DDoS (распределенный отказ в обслуживании) и DoS (отказ в обслуживании) Атаки могут быть широко классифицированы на три категории в зависимости от уровней модели OSI, на которую они нацелены.: сетевой уровень (Слой 3), транспортный уровень (Слой 4), и прикладной уровень (Слой 7).

Слой 3 и Слой 4 Атаки, как правило, менее сложны–Даже несмотря на то, что их может быть очень сложно смягчить–и предполагают переполнение сетевого и транспортного уровня трафиком, Перегрузка ресурсов целевой системы и недоступность ее для легитимных пользователей. Эти типы атак могут быть запущены с использованием различных методов, таких как ICMP-флуд, TCP SYN флуд, или UDP-флуд.

Например, ICMP-флуд, является слоем 3 атака, при которой большое количество ICMP-пакетов попадает в целевую систему, Он перестает отвечать на запросы. Флуд TCP SYN, С другой стороны, является слоем 4 атака, использующая способы установления TCP-соединений.

При SYN-флуд-атаке, злоумышленник отправляет множество SYN-пакетов в целевую систему, но никогда не отправляет пакет ACK для завершения соединения. Это приводит к тому, что система выделяет ресурсы для каждой попытки подключения, что в конечном итоге перегружает систему и делает ее недоступной для легитимных пользователей. UDP-флуд отправляет большое количество UDP-пакетов в целевую систему, потребляя его ресурсы и делая его невосприимчивым.

DDoS-атаки прикладного уровня

Атаки на уровне приложений более сложны и их сложнее смягчить, чем атаки на уровне 3 и слой 4 нападки. Эти атаки нацелены на прикладной уровень (слой 7) целевой системы и эксплуатировать уязвимости в самом приложении. Слой 7 Атаки могут нанести больший ущерб, поскольку они могут напрямую влиять на приложения и базовую инфраструктуру. Вы не сможете смягчить слой 7 DDoS-атаки со слоем 3 или слой 4 Такие инструменты, как сетевые брандмауэры.

HTTP-флуд, Атаки Слоулориса, и атаки с усилением DNS являются Layer 7 Атаки типа «отказ в обслуживании». Эти атаки требуют более сложных средств защиты, таких как брандмауэры прикладного уровня, Системы предотвращения вторжений, и CDN (Сети доставки контента).

HTTP-флуд

HTTP-флуд-атаки выполняются с использованием GET- или POST-запросов для перегрузки целевого сервера. Флуд-атаки с использованием GET-запросов обычно проще и требуют меньше ресурсов, поскольку запрашивают информацию только у сервера. POST-запросы, С другой стороны, обычно требуется отправка больших объемов данных.

Одна из причин, по которой HTTP-флуд-атаки трудно смягчить, заключается в том, что они часто запускаются из большого количества источников, что затрудняет выявление и блокировку всего вредоносного трафика. Дополнительно, злоумышленники могут использовать такие методы, как подмена IP-адреса, чтобы скрыть свою истинную личность и еще больше затруднить отслеживание источника своих атак.

Защита от HTTP-флуда может быть сложной задачей. Для разных типов атак требуются разные стратегии смягчения последствий. Распространенные средства защиты от HTTP-флуда включают ограничение скорости, Черный список, и брандмауэры веб-приложений. Однако, Эти методы могут быть ресурсоемкими и недостаточными для предотвращения более сложных атак.

Атаки Слоулориса

Slowloris — это тип флуд-атаки, при котором веб-серверы обрабатывают клиентские соединения. Эта атака работает, открывая большое количество соединений с сервером, но отправка запросов происходит с медленной скоростью, Держите каждое соединение открытым как можно дольше. Этот тип атаки может потреблять все доступные ресурсы сервера и позволяет злоумышленникам потреблять процессор, память, или пропускная способность сети, Др. даже не запуская типичное ограничение скорости а также механизмы фильтрации трафика, обычно используемые для обнаружения и блокировки других типов DDoS-атак.

Провести атаку Слоулориса, Злоумышленники обычно используют скрипты или инструменты, которые отправляют HTTP-запросы на сервер, но намеренно откладывают отправку последующих запросов. Запрос выглядит как легитимный запрос, но с неполным заголовком, который держит соединение открытым на неопределенный срок. Со временем, На сервере будет много открытых соединений, ожидающих дополнительных данных от клиента, из-за чего сервер перестает отвечать на легитимный трафик.

Атаки Slowloris может быть трудно обнаружить из-за их скрытой конструкции и относительно низкой пропускной способности. Это делает его эффективным инструментом для злоумышленников, которые хотят саботировать свои серверы, не вызывая оповещений и не вызывая подозрений. Для защиты от атак Слоулориса, Веб-серверы могут реализовывать несколько контрмер. Например, ограничить количество подключений, которые могут быть установлены с одного IP-адреса, или установить таймаут для незавершенных запросов. Некоторые брандмауэры веб-приложений и сервисы защиты от DDoS-атак имеют встроенную защиту от атак Slowloris, использование алгоритмов, способных обнаруживать и блокировать такой трафик в режиме реального времени.

Слой 7 Защита от DDoS-атак

Ограничение скорости

Ограничение скорости включает в себя установку порогового значения количества запросов, которые могут быть сделаны с определенного IP-адреса или агента пользователя за определенный период времени. Концепция очень похожа на ограничение скорости в слое 3 Но это должно быть реализовано на уровне 7.

Цель ограничения скорости — не дать злоумышленнику перегрузить веб-приложение большим количеством запросов, Сбои в работе сервера. Ограничение скорости может быть реализовано на различных уровнях архитектуры веб-приложения, на веб-сервере, Подсистема балансировки нагрузки, или брандмауэр приложений. Реализации обычно включают в себя отслеживание количества запросов, сделанных конкретным IP-адресом или агентом пользователя, и блокировку дальнейших запросов при достижении заранее определенного порога.

Распространенным подходом к реализации ограничения скорости в веб-приложениях является использование промежуточного ПО или плагинов, которые отслеживают количество запросов, сделанных каждым клиентом, и блокируют дальнейшие запросы при превышении порога. Эти плагины могут быть настроены для применения различных политик ограничения скорости в зависимости от таких факторов, как тип запроса, Агент пользователя, или IP-адрес клиента.

Например, простая политика ограничения скорости может ограничить запросы с одного IP-адреса максимум до 10 запросов в минуту. Если клиент превышает этот порог, Последующие запросы блокируются до истечения срока.

Продукты для ограничения скорости на прикладном уровне доступны для популярных веб-серверов и облачных сервисов, включая:

Апачи

Apache имеет несколько модулей, которые можно использовать для ограничения скорости, как mod_limitipconn, который ограничивает количество одновременных подключений с заданного IP-адреса, и mod_qos, который обеспечивает различные элементы управления качеством обслуживания, включая ограничение скорости.

Кроме того, Брандмауэр веб-приложения ModSecurity имеет функцию ограничения скорости, которая может блокировать клиентов, превышающих определенный порог. В дополнение к модулям, упомянутым выше, Apache также предоставляет mod_evasive. Это модуль, который можно использовать для ограничения скорости и блокировки клиентов, превышающих определенный порог. Обнаружение и блокировка мошеннических клиентов с помощью различных методов, включая отслеживание IP-адресов и пользовательских агентов.

Нгинкс

Nginx предоставляет ngx_http_limit_req модуль. Это может быть использовано для ограничения частоты запросов от определенных клиентов на основе IP-адреса или других факторов. Этот модуль использует алгоритм корзины маркеров для распределения маркеров каждому клиенту на основе политики ограничения скорости. Кроме ngx_http_limit_req модуля, Nginx также предоставляет ngx_http_limit_conn модуль. Это можно использовать для ограничения количества подключений от определенных клиентов или IP-адресов. Этот модуль использует алгоритм сегмента маркеров для выделения маркеров на основе политик ограничения скорости.

ИИС

Информационные службы Майкрософт в Интернете (ИИС) включает в себя модуль динамического ограничения IP-адресов , который можно использовать для ограничения скорости. Этот модуль может быть настроен на блокировку запросов с IP-адресов, которые превышают заданные пороговые значения, а также может предоставлять оповещения и журналы для мониторинга. В дополнение к модулю динамического ограничения IP-адресов, IIS также предоставляет модуль фильтрации запросов, который можно использовать для ограничения частоты запросов определенных клиентов на основе различных критериев, таких как IP-адрес, Агент пользователя, и метод запроса.

АРМ

Веб-сервисы Amazon (АРМ) предлагает несколько сервисов, которые можно использовать для ограничения скорости, включая AWS WAF с ограничением скорости в качестве функции.

AWS Shield обеспечивает защиту от DDoS-атак, в том числе правила на основе скорости, которые могут блокировать запросы с IP-адресов, превышающих определенный порог. В дополнение к AWS WAF и AWS Shield, AWS также предлагает AWS Elastic Load Balancer. Он включает в себя различные политики ограничения скорости, которые можно настроить для блокировки клиентов сверх заранее определенных пороговых значений.

Лазурный

Microsoft Azure предлагает несколько служб, которые можно использовать для ограничения скорости, включая Шлюзы приложений Azure. Он включает в себя брандмауэр веб-приложения, который можно настроить для ограничения скорости входящих запросов. Дополнительно, Предложения Azure Front Door Функция ограничения скорости которые могут блокировать запросы с IP-адресов, превышающих заранее определенный порог. В дополнение к Шлюзу приложений Azure и Azure Front Door, Azure также предлагает Брандмауэр Azure. Это может быть использовано для ограничения скорости и блокировки клиентов, превышающих определенный порог.

Опорные точки

Облачная платформа Google (Опорные точки) предлагает Cloud Armor, Брандмауэр веб-приложения с возможностями ограничения скорости, который может блокировать запросы от клиентов, превышающие определенное пороговое значение..

Эти продукты, ограничивающие скорость на уровне приложений, могут эффективно смягчать атаки HTTP-флуда, ограничивая количество запросов от неавторизованных клиентов. Однако, Важно, чтобы они были правильно настроены, чтобы не блокировать легитимный трафик, и использовались в сочетании с другими мерами безопасности, такими как брандмауэры и службы защиты от DDoS-атак, чтобы обеспечить комплексную защиту от DDoS-атак.

Тайм-ауты для незавершенных запросов

Ниже приведены некоторые методы устранения рисков на прикладном уровне Slowloris, которые перечислены для Apache, Нгинкс, и веб-серверы IIS, а также балансировщики нагрузки и дополнительные возможности для AWS, Лазурный, и услуги GCP:

Апачи

В дополнение к модулям, упомянутым выше, Apache также предоставляет модуль, mod_reqtimeout, , который можно использовать для установки таймаута для входящих запросов. Если клиент отправляет запрос, который занимает больше времени, чем указанное время ожидания, Сервер закроет соединение. Это предотвратит приступы слоулори.

Нгинкс

Кроме ngx_http_limit_conn модуля и модуля ngx_http_limit_req, Nginx также предоставляет свой модуль ngx_http_request. Это может быть использовано для ограничения времени, необходимого вышестоящему серверу для обработки запроса. Если вышестоящему серверу требуется больше времени, чем указано время ожидания, Nginx закроет соединение.

ИИС

Дополнительно к модулям «Динамические ограничения IP-адресов» и «Фильтрация запросов», IIS также предоставляет драйвер режима ядра HTTP.sys. Это позволяет установить таймаут для входящих запросов. Если клиент отправляет запрос, который занимает больше времени, чем указанное время ожидания, Сервер закроет соединение.

АРМ

В дополнение к AWS WAF и AWS Shield, Кроме того, AWS предоставляет Elastic Load Balancer, который включает в себя многочисленные правила тайм-аута подключения, которые могут быть настроены для отключения соединений, которые занимают больше времени, чем заданное пороговое значение.

Лазурный

В дополнение к Шлюзу приложений Azure и Azure Front Door, Кроме того, Azure предоставляет Azure Load Balancer, который включает в себя настраиваемую характеристику тайм-аута простоя, которая может быть использована для отключения соединений, которые могут простаивать в течение заранее определенного периода времени.

Опорные точки

Облачная платформа Google (Опорные точки) предоставляет многочисленные альтернативы тайм-ауту соединения для своих сервисов, которые включают в себя балансировку нагрузки облака, который включает в себя настраиваемую характеристику тайм-аута, которая может быть использована для отключения соединений, которые занимают больше времени, чем заданное пороговое значение.

Заключение

В заключение, DDoS- и DoS-атаки можно классифицировать в зависимости от уровней модели OSI, на которые они нацелены, например, сетевой уровень (Слой 3), транспортный уровень (Слой 4), и прикладной уровень (Слой 7).

В то время как слой 3 и слой 4 Атаки наводняют трафиком сетевые и транспортные уровни, слой 7 Атаки более сложны и используют уязвимости в самих приложениях. HTTP-флуд и Slowloris-атаки являются примерами слоев 7 Атаки типа «отказ в обслуживании». Контрмеры против этих атак включают ограничение скорости, Черный список, и брандмауэры веб-приложений. Выявление и сдерживание атак в режиме реального времени требует комплексного, Многоуровневая стратегия защиты, включающая мониторинг, обнаружение, и возможности реагирования.

Дополнительно, Злоумышленники могут настраивать свои методы и адаптировать свои атаки, чтобы избежать обнаружения и обойти меры безопасности. Поэтому, Крайне важно, чтобы организации внедрили комплексную, Многоуровневая стратегия защиты, включающая мониторинг, обнаружение, и возможности реагирования для быстрого выявления и сдерживания атак в режиме реального времени. Это может включать в себя использование передовых алгоритмов машинного обучения и поведенческой аналитики для обнаружения и блокировки вредоносных шаблонов трафика.