Что такое DDoS-атаки уровней L3 и L4?

Распределенная атака отказа в обслуживании (DDoS) — это злонамеренная попытка нарушить нормальную работу сервера, сети, веб-приложения и других компонентов инфраструктуры путем перегрузки самой цели или ее окружения вредоносным трафиком, сгенерированным множеством одновременных и скоординированных DoS-атак.

В частности, DDoS-атаки уровня L3 и L4 нацелены на процессы и оборудование, работающие на нижних уровнях модели OSI: сетевом (уровень 3) и транспортном (уровень 4). Основная цель таких атак — истощение ресурсов сетевой инфраструктуры, в результате чего легитимные пользователи теряют доступ к целевому ресурсу.

Грубо говоря, DDoS атаки уровня L3 в первую очередь поражают базовое сетевое оборудование, такое как коммутаторы и маршрутизаторы, тогда как атаки уровня L4 ориентированы на более сложное оборудование, например, межсетевые экраны (firewalls) и серверы.

Рассмотрим основные протоколы, которые чаще всего становятся целями DDoS-атак на уровнях L3 и L4:

• IP (Internet Protocol) — основной протокол Интернета, который отвечает за маршрутизацию пакетов от источника к получателю на основе IP-адресов.
  
  
• ICMP (Internet Control Message Protocol) — служебный протокол, используемый для диагностики и контроля, например, командами ping и traceroute.
  
  
• TCP (Transmission Control Protocol) — один из ключевых протоколов интернет-стека, который обеспечивает надежную доставку данных через сети IP.
  
  

UDP (User Datagram Protocol) — быстрая, но менее надежная альтернатива TCP, которая используется, когда важна скорость (стриминг, онлайн-игры, DNS-запросы и так далее).

DDoS атаки уровня L3 используют огромное количество IP-трафика для перегрузки сетевого оборудования без отслеживания состояния сетевых соединений (stateless), такого как маршрутизаторы и коммутаторы. Это может быть реализовано с помощью ботнетов, а также атак с усилением или отражением (amplification/reflection). При этом атакующему вовсе не обязательно ограничиваться каким-то одним методом — на практике часто используется их комбинация.

Атаки уровня L4 направлены на перегрузку оборудования с отслеживанием состояния соединений (stateful), например, межсетевых экранов и серверов. Некоторые массированные атаки воздействуют сразу на оба уровня и классифицируются как комбинированные L3-L4 DDoS-атаки.

В результате таких атак перегруженная сетевая инфраструктура начинает терять или задерживать легитимные пакеты данных. Это приводит к снижению производительности сети и, в конечном итоге, к ухудшению пользовательского опыта, сбоям в работе сервисов или даже полной их недоступности.

Рассмотрим несколько наиболее распространенных типов DDoS-атак на уровнях L3 и L4. Стоит отметить, что такие базовые атаки редко используются изолированно — они часто дополняют друг друга.

• IP fragmented flood. Эта атака эксплуатирует механизм фрагментации IP-пакетов, в котором отправитель разбивает пакеты на более мелкие части, а получатель затем собирает их обратно. Злоумышленник отправляет большое количество фрагментированных пакетов с целью исчерпать ресурсы атакуемой системы на их обработку и сборку.
  
  
• DNS amplification. Хотя протокол DNS принадлежит к прикладному уровню (L7) модели OSI, DNS amplification является атакой на сетевом уровне (L3). Злоумышленники используют открытые DNS-серверы для отправки поддельных запросов от имени жертвы. В ответ на каждый небольшой запрос DNS-сервер возвращает значительно больший объем данных, тем самым многократно усиливая исходящий трафик. Это приводит к перегрузке сетевого оборудования на стороне цели атаки.
• ICMP flood. Также известная как ping flood, эта DDoS-атака использует массовую рассылку поддельных ICMP Echo-запросов (ping). Целевая система вынуждена обрабатывать каждый запрос и отправлять Echo-ответ, что перегружает как входящий, так и исходящий канал. В результате исчерпываются ресурсы сети и нарушается работа сервисов.
  
  
• TCP flood. Атака, направленная на перегрузку целевой системы большим количеством запросов на установление TCP-соединений. В результате цель оказывается неспособной обрабатывать легитимные подключения.
  
  
• SYN flood. Данная атака эксплуатирует процесс установления TCP-соединения (TCP-handshake). Злоумышленник массово отправляет серверу поддельные SYN-запросы, инициируя соединения, но не доводя процесс до завершения. Это приводит к накоплению большого числа полуоткрытых соединений, истощению ресурсов целевой системы и, как следствие, к недоступности сервисов. К связанным типам атак относятся SYN-ACK flood и ACK flood.
  
  

UDP flood. Злоумышленник массово отправляет UDP-пакеты на случайные порты атакуемого сервера. Система вынуждена проверять наличие приложений на указанном порту и, не обнаружив их, отвечать ICMP-сообщением о недоступности пункта назначения (Destination Unreachable). Это истощает ресурсы сервера и приводит к перегрузке сети.

Успешные DDoS-атаки нередко оказывают серьезное воздействие на бизнес, затрагивая различные аспекты работы компании и нанося ущерб ее репутации.

• Финансовое воздействие: DDoS-атаки приводят к прямым убыткам — в том числе к потере выручки из-за простоя и затратам на восстановление. Дополнительно возможны расходы, связанные с регуляторными штрафами и компенсациями клиентам, пострадавшим от перебоев в обслуживании. Также DDoS-атаки все чаще используются вымогателями, так что в некоторых случаях бизнесу приходится выплачивать выкуп, чтобы атака прекратилась.
  
  
• Операционные последствия: замедление работы сети и перебои в работе сервисов напрямую мешают нормальной деятельности компании. Это снижает продуктивность сотрудников, а также отвлекает ресурсы на устранение последствий атаки.
  
  

Репутационные риски: помимо нанесения прямого ущерба, DDoS-атака также может иметь долгосрочные последствия. Пользователи, столкнувшиеся с перебоями, могут потерять доверие к сервису и отказаться от его использования. Публичное внимание к инциденту также негативно отражается на репутации бренда и может повлиять на деловые перспективы.

Один из самых простых способов противодействия L3-L4 DDoS-атакам — это blackholing, то есть перенаправление трафика от определенного диапазона IP-адресов на нулевой маршрут (в «черную дыру»). Этот метод позволяет быстро отсечь крупные объемы вредоносного трафика, однако вместе с ним отбрасывается и легитимный трафик от того же диапазона адресов. Поэтому blackholing не рекомендуется к использованию и должен рассматриваться только как крайняя мера.

Другой метод — это ограничение частоты запросов (rate limiting), то есть контроль объема трафика, пропускаемого к целевой системе. Поскольку лимиты устанавливаются на каждый IP-адрес отдельно, этот способ неэффективен против DDoS-атак с участием большого количества адресов. Слишком жесткие ограничения, с другой стороны, могут также блокировать и легитимный трафик.

Эффективным способом защиты от DDoS-атак является фильтрация трафика. Однако задача по распознаванию и блокировке вредоносного трафика при одновременном пропуске легитимного далеко не тривиальна. Возникает также вопрос масштабируемости: насколько мощную атаку само решение для фильтрации способно выдержать.

Распределенная сеть очистки обеспечивает надежную защиту от DDoS-атак на уровнях L3 и L4 за счет перенаправления входящего трафика в специализированные центры, где он проходит анализ и фильтрацию. Вредоносный трафик отсекается, а легитимный передается целевой системе. Сети фильтрации используют передовые технологии и обладают достаточной мощностью для противодействия массированным DDoS-атакам.

Curator.AntiDDoS предлагает комплексную защиту от DDoS-атак как на уровнях L3-L4, так и на уровне L7 с помощью сети 18 центров очистки по всему миру. Решение работает в режиме постоянной защиты и использует архитектуру BGP Anycast для эффективного распределения трафика, обеспечивая его мониторинг и фильтрацию в реальном времени. Распределенная облачная инфраструктура Curator.AntiDDoS позволяет нейтрализовать DDoS-атаки любого масштаба с минимальными затратами для клиентов.