Регистрация Войти +7 495 268 04 12
ru
Ru
Продукты Услуги Партнёрам Тестовый доступ Блог Клиенты Компания
+7 495 268 04 12
+7 495 268 04 12

Виды DDoS-атак

В эпоху облачных сервисов устойчивость инфраструктуры стала приоритетом для бизнеса. Риски, связанные с отказом в обслуживании, обуславливают существенные финансовые и репутационные потери. Одними из главных источников таких опасностей остаются распределенные атаки отказа в обслуживании (DDoS). Понимание разновидностей этих атак, их механизмов помогает выстроить эффективную защиту и выбрать подходящие решения уровня IaaS.

image-ddos.png

Основные типы DDoS-атак

Современные DDoS-атаки по назначению можно разделить на три большие группы: объемные (volumetric), протокольные (protocol) и прикладного уровня (application). Объемные атаки стремятся заполнить пропускную способность канала и по трафику измеряются в битах в секунду. Протокольные атаки направлены на исчерпание таблиц и ресурсов сетевого стека, измеряются в пакетах в секунду. Атаки на прикладном уровне имитируют легитимные запросы к сервисам и ориентированы на исчерпание процессорного времени или пулов соединений. Знание специфики этой триады помогает определить приоритеты в защите и выбрать подходящие инструменты.

Классификация DDoS-атак по протоколам

Классификация по протоколам учитывает используемые сетевые протоколы и типы векторов.

  • ICMP-флуды — направлены на сетевой стек и часто используются для тестирования способности сети фильтровать нежелательный трафик.

  • UDP-флуды — генерируют большие объемы UDP-пакетов без установления сеансов, что быстро нагружает каналы и узлы маршрутизации.

  • TCP/SYN-флуды — инициируют множество полуоткрытых TCP-соединений, исчерпывая очередь принятия соединений на сервере.

  • DNS-амплификация, NTP-амплификация, SNMP-reflection и другие отражающие/амплификационные векторы — используют сторонние сервисы с соотношением размера ответа к запросу, значительно превышающим единицу, что умножает эффект атаки.

Амплификационные схемы строятся так: злоумышленник подделывает исходный IP в небольшом запросе к открытому сервису, и этот сервис отсылает большой ответ уже на адрес жертвы. В результате небольшой исходный поток трансформируется в крупный поток на цель. Такие векторы исторически использовали DNS, NTP, CLDAP и другие сервисы. Именно возможность многократного увеличения объема трафика делает их опасными для инфраструктур, не имеющих соответствующей очистки.

Классификация по модели OSI

В контексте модели OSI полезно обратить внимание на атаки уровней 3 и 4, а также уровня 7.

  • Уровни 3–4 (сетевой и транспортный): ICMP, UDP, SYN и другие флуды, которые загружают сеть и элементы маршрутизации.

  • Уровень 7 (прикладной): HTTP(S), DNS-запросы, SMTP-векторы, которые направлены на приложение и потребляют CPU, память или ресурсы баз данных.

Каждый уровень требует своих методов обнаружения и смягчения, таких как фильтрация по IP/портам, контроль состояния соединений, глубокая проверка пакетов, поведенческий анализ и логика WAF для приложений.

Классификация DDoS-атак по механизму действия

По механизму действия атаки обычно делятся на 

  • прямые (direct) — трафик ботнета или арендованных ресурсов направляется непосредственно на цель;

  • отраженные/амплификационные — сторонние ресурсы используются как ретрансляторы, что повышает общий объем и затрудняет блокировку по спискам источников;

  • медленные, или low-and-slow, — небольшие, устойчивые потоки, которые удерживают соединения или отправляют медленные фрагментированные запросы, расходуя ресурсы серверов при низком уровне трафика.

Каждый из этих механизмов предъявляет разные требования к системе обнаружения.  Так, пороговая фильтрация эффективна против простых флудов, но бессильна против медленных атак, которые нужно выявлять по шаблонам поведения.

Другие типы кибератак и сопутствующие сценарии

Кроме классических DDoS-векторов, есть смежные и комбинированные угрозы.

  • Advanced persistent DDoS (APDoS) — длительные, управляемые кампании, в рамках которых атака поддерживается и изменяется на протяжении дней или недель, чтобы обходить защиту.

  • BGP-хайджинг и атакующие манипуляции с маршрутизацией — могут сопровождать DDoS и увеличивать время восстановления.

DDoS иногда служит прикрытием: в момент отвлекающего трафика проводятся вторичные атаки на уязвимые сервисы или внедрения в сеть.

Учет этих сценариев важен при построении плана реагирования и при выборе инструментов защиты.

Примеры векторов атак и практические сценарии

Приведем конкретные варианты и признаки. DNS-амплификация использует открытые резолверы: отправитель формирует маленький запрос с подменой адреса жертвы, а сервер возвращает значительно больший ответ. Аналогично работают NTP-амплификация и CLDAP-амплификация. Эти сервисы имеют отношение ответа к запросу, которое многократно больше единицы, что делает их предпочтительными для злоумышленников.

UDP-флуды применяются для создания больших объемов пакетов без необходимости завершать сеанс. В них нередко задействованы IoT-устройства с низким уровнем защиты. SYN-флуды и TCP-векторы ставят целью исчерпать таблицы полуоткрытых соединений в операционной системе сервера, что приводит к отказу в возможности устанавливать новые сессии. Такие атаки часто сочетают сетевые и прикладные векторы, усложняя обнаружение и смягчение.

Метрики и индикаторы атаки

Для оперативного обнаружения используются ключевые метрики:

  • Gbps — объем трафика в битах в секунду; резкий рост указывает на волюметрическую атаку.

  • Pps — количество пакетов в секунду; всплеск Pps при низкой битовой плотности часто означает пакетоориентированную атаку.

  • Rps — число запросов в секунду на прикладном уровне; высокое значение Rps при нормальной битовой нагрузке говорит об атаке уровня 7.

Анализ распределения по источникам, временному паттерну и характеристикам заголовков помогает отличать легитимный трафик от атакующего.

ddos-scheme

Многофакторная классификация и OSI

Классификация по модели OSI помогает сопоставлять вектор и точку воздействия. На физическом уровне атаки редко возникают в массовом виде, тогда как на уровнях 3–4 атакующие фокусируются на насыщении каналов и маршрутизаторов. На уровне 7 злоумышленники применяют сценарии, воспроизводящие пользовательское поведение: тяжелые запросы к ресурсозатратным эндпоинтам, некорректные сессии, брутфорс эндпоинтов. Подходы к защите варьируются: одни меры эффективны на периферии сети, другие — непосредственно у приложения.

Атаки с низкой скоростью и уклончивые методы

Low-and-slow атаки направлены на установление небольшого числа соединений, которые долго удерживаются открытыми, либо на отправку фрагментированных, медленных HTTP-запросов. Они потребляют ресурсы очередей и пулов без выраженного всплеска трафика, поэтому часто проходят мимо простых пороговых детекторов. Для их выявления применяют контроль времени ответов, лимиты на длительность сессии и эвристический анализ последовательности фрагментов.

Комбинированные и многоцелевые кампании

Современные инциденты часто имеют мультивекторный характер: одновременно задействуются объемные UDP-флуды для насыщения канала и прикладные запросы для создания нагрузки на серверные процессы. Такая тактика увеличивает сложность защиты, потому что инструменты, ориентированные на один слой, теряют эффективность. Важна каскадная защита: на периферии — фильтрация и очистка трафика у провайдера, ближе к серверу — интеллектуальный баланс и rate-limiting, внутри приложения — оптимизация тяжелых операций и применение WAF.

Меры обнаружения и смягчения

Стандартный набор мер включает следующее:

  • централизованный мониторинг с тревогами по Gbps/Pps/Rps;

  • автоматическое переключение на скруббинг-центры провайдера;

  • использование WAF для фильтрации прикладного трафика и блокировки подозрительных паттернов;

  • rate-limiting и throttle на уровне API и балансировщиков;

  • применение черных и белых списков, геоблокировки и challenge-механизмов (CAPTCHA, JavaScript-челленджей).

Автоматическое масштабирование помогает выдержать кратковременные всплески, однако для больших волюметрических векторов необходима очистка у специализированных провайдеров.


Ранее многие крупные атаки исходили от ботнетов, в которые входили инфицированные компьютеры, серверы и устройства Интернета вещей. С ростом облачных платформ злоумышленники начали задействовать уязвимые виртуальные машины или арендуемые ресурсы для генерации трафика. Часто источники распределены по разным провайдерам и по различным регионам, что усложняет идентификацию и блокировку. Совместная работа провайдеров и центров реагирования по обмену индикаторами и блокировке злоумышленников становится необходимой практикой.

Кейс и эволюция угроз

В 2025 году зафиксированы гигантские волюметрические инциденты, достигающие нескольких терабит в секунду. Так, крупная атака с пиком более 11 Тбит/с показала, что злоумышленники комбинируют источники из IoT и облачных площадок, чтобы преодолеть защиту традиционных провайдеров. Этот пример демонстрирует, что масштабность угроз растет и требует распределенных ответных мер: сотрудничества между облачными операторами и провайдерами очистки, а также непрерывного обмена индикаторами компрометации.

Инструменты обнаружения: сигнатуры и поведенческие модели

Традиционная сигнатурная детекция эффективна против известных шаблонов, но бесполезна при новых вариациях атак. Поведенческие модели анализируют нормальную базовую активность сервиса и выявляют отклонения по временным рядам и распределению источников. Для приложений полезны метрики пользовательского поведения: глубина сессии, скорость запросов, соотношение успешных и ошибочных ответов. Комбинация методов повышает вероятность верного срабатывания при низком уровне ложных тревог.

Юридические и организационные аспекты

При подготовке к инциденту важна договорная база: SLA с провайдерами, регламенты уведомления, контакты провайдеров безопасности и план коммуникации для клиентов. В Европе и России действуют требования к защите данных и доступности сервисов. Критически важным сервисам крайне важно избегать сбоев, потому что восстановление репутации требует времени. План реагирования должен включать контакт-лист, механизмы эскалации и тестирование процедур.

Словарь для IT-специалиста

  • Волюмовая атака — попытка заполнить канал передачи данными.

  • Амплификация — использование сторонних сервисов для увеличения объема ответа.

  • Low-and-slow — медленная атака на уровне приложений, использующая длительные соединения.

Контрольный список перед развертыванием:

  1. Провести аудит точек входа и закрыть ненужные сервисы.

  2. Настроить мониторинг Gbps/Pps/Rps с оповещениями.

  3. Подписать SLA с провайдерами очистки трафика.

  4. Настроить автоматическое масштабирование и метрики времени отклика.

  5. Внедрить политики rate-limiting и фильтрации по репутации IP.

  6. Проводить регулярное тестирование процедур переключения и учения.

Рекомендованная архитектура защиты

Практическая архитектура подразумевает распределение нагрузки через Anycast, использование CDN и WAF для фильтрации прикладных запросов, а также интеграцию со скруббинговыми центрами для очистки волюметрического трафика. Транспортные фильтры на уровне провайдера, BGP-маршрутизация с возможностью временной черной дырки и репутационные списки IP дополняют картину. Обмен индикаторами компрометации и сотрудничество с профессиональными центрами реагирования повышают устойчивость инфраструктуры.

Практические рекомендации для обеспечения безопасности корпоративной инфраструктуры:

  • построить многоуровневую систему защиты — на сетевом крае, на границе облачного провайдера и внутри виртуальной сети;

  • использовать провайдеры с функцией очистки трафика и SLA по доступности;

  • настроить мониторинг с порогами по Gbps, Pps и Rps и оповещениями;

  • регулярно тестировать планы восстановления и процедуры переключения;

  • внедрить политики rate-limiting и фильтрации по репутации IP;

  • проводить аудит открытых резолверов и закрывать ненужные службы.

Краткие выводы

Разновидности DDoS-атак развиваются вместе с инфраструктурой сети и вычислительных сервисов. Для бизнеса в России и Европе актуальна готовность к мультивекторным инцидентам и сотрудничество с облачными провайдерами, которые обладают ресурсами и опытом для оперативной очистки трафика. Непрерывный мониторинг и тестирование помогают адаптировать защиту под новые векторы и сохранять доступность сервисов при критичных нагрузках.

Для адаптации защиты под конкретные требования бизнеса рекомендуем обратиться к поставщику облачных услуг и провести оценку рисков, включающую нагрузочное тестирование и аудит конфигурации. Обучение персонала и регулярные учения сокращают время реакции на инциденты.


Полезный материал?
0
0
автор: Всеволод
опубликовано: 22.10.2025
Читайте нас: 
Предыдущая статья
Что еще почитать:
28 августа Безопасность в облаке на основе модели Zero Trust: современные методы защиты 08 октября 2024 Безопасность в облачных вычислениях 15 мая 2024 DDoS атаки - что это, виды и способы защиты
Последние статьи
Что такое домен 3 октября 2025 Что такое домен Атака хакеров: причины, методы защиты и последствия 26 сентября 2025 Атака хакеров: причины, методы защиты и последствия 13 реальных кейсов по IT-безопасности 24 сентября 2025 13 реальных кейсов по IT-безопасности
Вверх!
Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «куки» (Cookies),
а также подтверждаете факт ознакомления с «Политикой конфиденциальности».