Что такое DDoS-атаки уровня L7?

Распределенная атака типа «отказ в обслуживании» (Distributed Denial-of-Service, DDoS) — это вредоносная попытка нарушить нормальную работу сервера, сети или веб-приложения. Для этого злоумышленники одновременно используют множество скоординированных атак типа «отказ в обслуживании» (Denial-of-Service, DoS), перегружая целевой ресурс или связанную с ним инфраструктуру большим количеством нежелательного трафика.

Среди всех типов DDoS-атак особую угрозу представляют L7 DDoS-атаки, также известные как атаки на уровне приложений. Эти атакинацелены на процессы, работающие на верхнем уровне модели OSI. В отличие от атак на сетевом (L3) и транспортном (L4) уровнях, которые фокусируются на базовом сетевом оборудовании и файрволах, атаки уровня L7 направлены напрямую на серверы, обслуживающие веб-приложения.

Такие атаки особенно опасны, потому что вредоносный трафик часто неотличим от обычного пользовательского, что усложняет обнаружение и фильтрацию. Еще одна особенность L7-атак состоит в том, что им не нужен большой объем трафика, чтобы нарушить работу веб-приложения.

Хотя к прикладному уровню модели OSI относится множество протоколов, L7 DDoS-атаки чаще всего нацелены на два из них — HTTP и HTTPS. Эти протоколы прикладного уровня играют ключевую роль в работе веб-приложений, что и делает их основными целями для злоумышленников.

• HTTP (Hypertext Transfer Protocol) — основной протокол передачи данных во Всемирной паутине (World Wide Web). Он определяет формат и порядок обмена сообщениями между веб-серверами и браузерами.
• HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола HTTP, которое обеспечивает защищенный обмен данными между браузером и сервером за счет использования шифрования.

Отдельно стоит упомянуть протоколы DNS и NTP, которые также входят в прикладной уровень модели OSI. Они постоянно используются в DDoS-атаках — в частности, в атаках с усилением через DNS и NTP. Однако в таких случаях атаки направлены не на приложения, а на сетевое оборудование, например маршрутизаторы, работающие с IP-протоколом. Поэтому такие атаки относятся к DDoS-атакам на сетевом уровне (L3), а не к атакам уровня L7.

Эффективность L7 DDoS-атак основана на том, что обработка HTTP- и HTTPS-запросов требует значительных вычислительных ресурсов. Сложность обработки HTTP и дополнительные затраты на расшифровку HTTPS делают эти протоколы особенно уязвимыми к перегрузке, позволяя атакующим с минимальными усилиями выводить веб-серверы из строя.

Кроме того, как уже упоминалось выше, вредоносный HTTP/HTTPS-трафик очень похож на обычный пользовательский. Особенно это актуально для HTTPS, поскольку без расшифровки практически невозможно отличить вредоносные запросы от легитимных.

Основная цель L7-атаки — исчерпать ресурсы серверов, на которых работает веб-приложение, чтобы замедлить его работу или сделать сайт полностью недоступным для настоящих пользователей.

Добиться этого можно разными способами. Один из них — отправить на сервер огромное количество бессмысленных HTTP- или HTTPS-запросов. Другой — перегрузить его небольшим числом специально сформированных запросов, эксплуатирующих особенности протоколов. Еще один вариант — направить поток трафика от большого количества фиктивных пользователей: формально такие запросы легитимны, но при этом бесполезны с бизнес-точки зрения и создают серьезную нагрузку на сервер.

С практической точки зрения L7 DDoS-атаки удобно разделить на три категории: так называемые “медленные” HTTP-атаки, масштабные атаки с использованием ботнетов и атаки, связанные с хактивизмом. Кратко рассмотрим каждую из них.

Атаки L7 с низкой скоростью отправки запросов, также известные как «low and slow», используют особенности протоколов, чтобы перегрузить сервер при минимальных затратах со стороны атакующего. Вот наиболее известные инструменты для таких атак:

• Slowloris — этот инструмент открывает HTTP-сессии и медленно отправляет заголовки, не завершая запросы. Сервер вынужден удерживать соединения, что приводит к исчерпанию его ресурсов — в итоге он перестает принимать подключения от легитимных пользователей.
• R.U.D.Y. (R U Dead Yet) — похожий по принципу действия инструмент, который заставляет сервер удерживать открытое соединение, с крайне низкой скоростью отправляя данные веб-форм. Он находит поля форм, создает POST-запросы и передает данные маленькими порциями с непредсказуемыми паузами, перегружая сервер и блокируя доступ для настоящих пользователей.

Крупнейшие L7 DDoS-атаки проводятся с помощью ботнетов — сетей из зараженных устройств, генерирующих огромный объем HTTP/HTTPS-запросов и выводящих серверы из строя.

• Mēris: масштабный ботнет, состоявший из до 200 000 зараженных маршрутизаторов MikroTik. Участвовал в ряде мощных L7-атак, включая атаку на Google в 2022 году, во время которой пиковая нагрузка достигала 46 миллионов запросов в секунду.
• Mantis: еще один мощный ботнет, составленный из примерно 5000 скомпрометированных виртуальных машин и серверов. Несмотря на скромный размер, ботнет проводил крайне эффективные L7-атаки. Например, во время атаки на Cloudflare в 2022 году пиковая интенсивность достигала 26 миллионов запросов в секунду.

Наконец, немало DDoS-атак проводится хактивистами — группами, объединенными идеологией и использующими кибератаки как форму протеста. Хактивисты комбинируют разные техники: от медленных HTTP-атак и ботнетов до потоков трафика, создаваемого сторонниками группы и максимально похожего на обычный пользовательский.

Дополнительную опасность представляет то, что организованные хактивистами DDoS-атаки часто сопровождаются взломами, кражей данных и другими вредоносными действиями.

• Атака на PlayStation Network: классический пример — DDoS-атака, организованная группой Lizard Squad в декабре 2014 года на сеть Sony PlayStation Network. Целью атаки было продемонстрировать слабую защищенность сервиса. Для этого хактивисты выбрали пиковый праздничный период, чтобы подчеркнуть необходимость усиления мер безопасности даже в крупных компаниях.

Успешные DDoS-атаки типа «отказ в обслуживании», и в особенности L7 DDoS-атаки, могут существенно нарушить бизнес-процессы, повлиять на финансовую стабильность и нанести ущерб репутации компании.

Финансовые потери: L7 DDoS-атаки приводят к прямым убыткам из-за недоступности веб-приложений и расходов на восстановление. Дополнительно возможны затраты на уплату штрафов, компенсации пострадавшим клиентам и выплату выкупа атакующим, так как DDoS-атаки все чаще используются ransomware-группировками.

Операционные последствия: успешные L7-атаки делают веб-приложения недоступными, что значительно затрудняет нормальную работу бизнеса. Кроме того, компании вынуждены оперативно перенаправлять ресурсы с продуктивной деятельности на устранение последствий инцидента.

Репутационный ущерб: помимо прямого ущерба, успешная L7 DDoS-атака может надолго подорвать репутацию компании. Клиенты теряют доверие и лояльность из-за ощущения ненадежности, а негативная публичность приводит к потере бизнес-возможностей и оттоку пользователей.

С практической точки зрения у бизнеса есть несколько вариантов защиты от атак на уровне приложений:

• Локальная (on-premise) защита от DDoS: данный подход предполагает установку специализированного анти-DDoS-оборудования внутри корпоративной инфраструктуры. Локальная защита обеспечивает максимальный контроль, однако у нее есть серьезные недостатки. Во-первых, для эффективного использования локальной защиты от DDoS-атак требуется наличие высококвалифицированной внутренней команды, которая должна постоянно обновлять систему защиты и следить за новыми угрозами. Во-вторых, локальные решения имеют ограниченные ресурсы для обработки трафика, что делает их малоэффективными против крупных и сложных L7 DDoS-атак, которые требуют значительных мощностей для фильтрации трафика на уровне приложений.
• Защита от DDoS от телеком-операторов: у провайдеров связи, как правило, есть ресурсы и опыт борьбы с атаками на сетевом (L3) и транспортном (L4) уровнях. Однако они существенно менее эффективны в случае L7-атак. Кроме того, полная зависимость от одного оператора создает единую точку отказа, снижая отказоустойчивость и повышая уязвимость во время атаки.
• Облачная защита от DDoS: этот вариант наиболее эффективен против L7 DDoS-атак. Чтобы обеспечить гибкость и высокую пропускную способность без узких мест, облачные провайдеры, такие как CURATOR, размещают центры фильтрации трафика в узлах подключения к Tier 1 или ведущим региональным интернет-провайдерам.

Если один из таких центров выходит из строя, трафик автоматически перенаправляется в другие точки благодаря единой системе управления. Центры фильтрации анализируют трафик на всех уровнях модели OSI с помощью продвинутых алгоритмов, способных выявлять и блокировать даже сложные L7-атаки.

Высокая емкость сети фильтрации и продвинутые технологии CURATOR.ANTIDDOS гарантируют надежную защиту от любых DDoS-атак.