Регистрация Войти +7 495 268 04 12
ru
Ru
Продукты Услуги Партнёрам Тестовый доступ Блог Клиенты Компания
+7 495 268 04 12
+7 495 268 04 12

Виды DDoS-атак

В эпоху облачных сервисов устойчивость инфраструктуры стала приоритетом для бизнеса. Риски, связанные с отказом в обслуживании, обуславливают существенные финансовые и репутационные потери. Одними из главных источников таких опасностей остаются распределенные атаки отказа в обслуживании (DDoS). Понимание разновидностей этих атак, их механизмов помогает выстроить эффективную защиту и выбрать подходящие решения уровня IaaS.

image-ddos.png

Основные типы DDoS-атак

Современные DDoS-атаки по назначению можно разделить на три большие группы: объемные (volumetric), протокольные (protocol) и прикладного уровня (application). Объемные атаки стремятся заполнить пропускную способность канала и по трафику измеряются в битах в секунду. Протокольные атаки направлены на исчерпание таблиц и ресурсов сетевого стека, измеряются в пакетах в секунду. Атаки на прикладном уровне имитируют легитимные запросы к сервисам и ориентированы на исчерпание процессорного времени или пулов соединений. Знание специфики этой триады помогает определить приоритеты в защите и выбрать подходящие инструменты.

Классификация DDoS-атак по протоколам

Классификация по протоколам учитывает используемые сетевые протоколы и типы векторов.

  • ICMP-флуды — направлены на сетевой стек и часто используются для тестирования способности сети фильтровать нежелательный трафик.

  • UDP-флуды — генерируют большие объемы UDP-пакетов без установления сеансов, что быстро нагружает каналы и узлы маршрутизации.

  • TCP/SYN-флуды — инициируют множество полуоткрытых TCP-соединений, исчерпывая очередь принятия соединений на сервере.

  • DNS-амплификация, NTP-амплификация, SNMP-reflection и другие отражающие/амплификационные векторы — используют сторонние сервисы с соотношением размера ответа к запросу, значительно превышающим единицу, что умножает эффект атаки.

Амплификационные схемы строятся так: злоумышленник подделывает исходный IP в небольшом запросе к открытому сервису, и этот сервис отсылает большой ответ уже на адрес жертвы. В результате небольшой исходный поток трансформируется в крупный поток на цель. Такие векторы исторически использовали DNS, NTP, CLDAP и другие сервисы. Именно возможность многократного увеличения объема трафика делает их опасными для инфраструктур, не имеющих соответствующей очистки.

Классификация по модели OSI

В контексте модели OSI полезно обратить внимание на атаки уровней 3 и 4, а также уровня 7.

  • Уровни 3–4 (сетевой и транспортный): ICMP, UDP, SYN и другие флуды, которые загружают сеть и элементы маршрутизации.

  • Уровень 7 (прикладной): HTTP(S), DNS-запросы, SMTP-векторы, которые направлены на приложение и потребляют CPU, память или ресурсы баз данных.

Каждый уровень требует своих методов обнаружения и смягчения, таких как фильтрация по IP/портам, контроль состояния соединений, глубокая проверка пакетов, поведенческий анализ и логика WAF для приложений.

Классификация DDoS-атак по механизму действия

По механизму действия атаки обычно делятся на 

  • прямые (direct) — трафик ботнета или арендованных ресурсов направляется непосредственно на цель;

  • отраженные/амплификационные — сторонние ресурсы используются как ретрансляторы, что повышает общий объем и затрудняет блокировку по спискам источников;

  • медленные, или low-and-slow, — небольшие, устойчивые потоки, которые удерживают соединения или отправляют медленные фрагментированные запросы, расходуя ресурсы серверов при низком уровне трафика.

Каждый из этих механизмов предъявляет разные требования к системе обнаружения.  Так, пороговая фильтрация эффективна против простых флудов, но бессильна против медленных атак, которые нужно выявлять по шаблонам поведения.

Другие типы кибератак и сопутствующие сценарии

Кроме классических DDoS-векторов, есть смежные и комбинированные угрозы.

  • Advanced persistent DDoS (APDoS) — длительные, управляемые кампании, в рамках которых атака поддерживается и изменяется на протяжении дней или недель, чтобы обходить защиту.

  • BGP-хайджинг и атакующие манипуляции с маршрутизацией — могут сопровождать DDoS и увеличивать время восстановления.

DDoS иногда служит прикрытием: в момент отвлекающего трафика проводятся вторичные атаки на уязвимые сервисы или внедрения в сеть.

Учет этих сценариев важен при построении плана реагирования и при выборе инструментов защиты.

Примеры векторов атак и практические сценарии

Приведем конкретные варианты и признаки. DNS-амплификация использует открытые резолверы: отправитель формирует маленький запрос с подменой адреса жертвы, а сервер возвращает значительно больший ответ. Аналогично работают NTP-амплификация и CLDAP-амплификация. Эти сервисы имеют отношение ответа к запросу, которое многократно больше единицы, что делает их предпочтительными для злоумышленников.

UDP-флуды применяются для создания больших объемов пакетов без необходимости завершать сеанс. В них нередко задействованы IoT-устройства с низким уровнем защиты. SYN-флуды и TCP-векторы ставят целью исчерпать таблицы полуоткрытых соединений в операционной системе сервера, что приводит к отказу в возможности устанавливать новые сессии. Такие атаки часто сочетают сетевые и прикладные векторы, усложняя обнаружение и смягчение.

Метрики и индикаторы атаки

Для оперативного обнаружения используются ключевые метрики:

  • Gbps — объем трафика в битах в секунду; резкий рост указывает на волюметрическую атаку.

  • Pps — количество пакетов в секунду; всплеск Pps при низкой битовой плотности часто означает пакетоориентированную атаку.

  • Rps — число запросов в секунду на прикладном уровне; высокое значение Rps при нормальной битовой нагрузке говорит об атаке уровня 7.

Анализ распределения по источникам, временному паттерну и характеристикам заголовков помогает отличать легитимный трафик от атакующего.

ddos-scheme

Многофакторная классификация и OSI

Классификация по модели OSI помогает сопоставлять вектор и точку воздействия. На физическом уровне атаки редко возникают в массовом виде, тогда как на уровнях 3–4 атакующие фокусируются на насыщении каналов и маршрутизаторов. На уровне 7 злоумышленники применяют сценарии, воспроизводящие пользовательское поведение: тяжелые запросы к ресурсозатратным эндпоинтам, некорректные сессии, брутфорс эндпоинтов. Подходы к защите варьируются: одни меры эффективны на периферии сети, другие — непосредственно у приложения.

Атаки с низкой скоростью и уклончивые методы

Low-and-slow атаки направлены на установление небольшого числа соединений, которые долго удерживаются открытыми, либо на отправку фрагментированных, медленных HTTP-запросов. Они потребляют ресурсы очередей и пулов без выраженного всплеска трафика, поэтому часто проходят мимо простых пороговых детекторов. Для их выявления применяют контроль времени ответов, лимиты на длительность сессии и эвристический анализ последовательности фрагментов.

Комбинированные и многоцелевые кампании

Современные инциденты часто имеют мультивекторный характер: одновременно задействуются объемные UDP-флуды для насыщения канала и прикладные запросы для создания нагрузки на серверные процессы. Такая тактика увеличивает сложность защиты, потому что инструменты, ориентированные на один слой, теряют эффективность. Важна каскадная защита: на периферии — фильтрация и очистка трафика у провайдера, ближе к серверу — интеллектуальный баланс и rate-limiting, внутри приложения — оптимизация тяжелых операций и применение WAF.

Меры обнаружения и смягчения

Стандартный набор мер включает следующее:

  • централизованный мониторинг с тревогами по Gbps/Pps/Rps;

  • автоматическое переключение на скруббинг-центры провайдера;

  • использование WAF для фильтрации прикладного трафика и блокировки подозрительных паттернов;

  • rate-limiting и throttle на уровне API и балансировщиков;

  • применение черных и белых списков, геоблокировки и challenge-механизмов (CAPTCHA, JavaScript-челленджей).

Автоматическое масштабирование помогает выдержать кратковременные всплески, однако для больших волюметрических векторов необходима очистка у специализированных провайдеров.


Ранее многие крупные атаки исходили от ботнетов, в которые входили инфицированные компьютеры, серверы и устройства Интернета вещей. С ростом облачных платформ злоумышленники начали задействовать уязвимые виртуальные машины или арендуемые ресурсы для генерации трафика. Часто источники распределены по разным провайдерам и по различным регионам, что усложняет идентификацию и блокировку. Совместная работа провайдеров и центров реагирования по обмену индикаторами и блокировке злоумышленников становится необходимой практикой.

Кейс и эволюция угроз

В 2025 году зафиксированы гигантские волюметрические инциденты, достигающие нескольких терабит в секунду. Так, крупная атака с пиком более 11 Тбит/с показала, что злоумышленники комбинируют источники из IoT и облачных площадок, чтобы преодолеть защиту традиционных провайдеров. Этот пример демонстрирует, что масштабность угроз растет и требует распределенных ответных мер: сотрудничества между облачными операторами и провайдерами очистки, а также непрерывного обмена индикаторами компрометации.

Инструменты обнаружения: сигнатуры и поведенческие модели

Традиционная сигнатурная детекция эффективна против известных шаблонов, но бесполезна при новых вариациях атак. Поведенческие модели анализируют нормальную базовую активность сервиса и выявляют отклонения по временным рядам и распределению источников. Для приложений полезны метрики пользовательского поведения: глубина сессии, скорость запросов, соотношение успешных и ошибочных ответов. Комбинация методов повышает вероятность верного срабатывания при низком уровне ложных тревог.

Юридические и организационные аспекты

При подготовке к инциденту важна договорная база: SLA с провайдерами, регламенты уведомления, контакты провайдеров безопасности и план коммуникации для клиентов. В Европе и России действуют требования к защите данных и доступности сервисов. Критически важным сервисам крайне важно избегать сбоев, потому что восстановление репутации требует времени. План реагирования должен включать контакт-лист, механизмы эскалации и тестирование процедур.

Словарь для IT-специалиста

  • Волюмовая атака — попытка заполнить канал передачи данными.

  • Амплификация — использование сторонних сервисов для увеличения объема ответа.

  • Low-and-slow — медленная атака на уровне приложений, использующая длительные соединения.

Контрольный список перед развертыванием:

  1. Провести аудит точек входа и закрыть ненужные сервисы.

  2. Настроить мониторинг Gbps/Pps/Rps с оповещениями.

  3. Подписать SLA с провайдерами очистки трафика.

  4. Настроить автоматическое масштабирование и метрики времени отклика.

  5. Внедрить политики rate-limiting и фильтрации по репутации IP.

  6. Проводить регулярное тестирование процедур переключения и учения.

Рекомендованная архитектура защиты

Практическая архитектура подразумевает распределение нагрузки через Anycast, использование CDN и WAF для фильтрации прикладных запросов, а также интеграцию со скруббинговыми центрами для очистки волюметрического трафика. Транспортные фильтры на уровне провайдера, BGP-маршрутизация с возможностью временной черной дырки и репутационные списки IP дополняют картину. Обмен индикаторами компрометации и сотрудничество с профессиональными центрами реагирования повышают устойчивость инфраструктуры.

В рамках облачных решений уровня IaaS эффективным подходом становится использование встроенных механизмов фильтрации и очистки трафика, предоставляемых провайдерами. Например, в инфраструктуре Cloud4Y реализованы сервисы защиты от DDoS-атак, обеспечивающие комплексную защиту на сетевом и прикладном уровнях. Очистка трафика выполняется на специализированных узлах до его попадания в корпоративный сегмент, что позволяет сохранить доступность сервисов даже во время масштабных атак.

Такие решения интегрируются без необходимости переноса данных или установки дополнительного программного обеспечения, что делает их удобными для компаний, уже использующих облачные ресурсы. В совокупности с механизмами мониторинга, rate-limiting и политиками доступа это формирует многоуровневую систему противодействия современным DDoS-угрозам.

Практические рекомендации для обеспечения безопасности корпоративной инфраструктуры:

  • построить многоуровневую систему защиты — на сетевом крае, на границе облачного провайдера и внутри виртуальной сети;

  • использовать провайдеры с функцией очистки трафика и SLA по доступности;

  • настроить мониторинг с порогами по Gbps, Pps и Rps и оповещениями;

  • регулярно тестировать планы восстановления и процедуры переключения;

  • внедрить политики rate-limiting и фильтрации по репутации IP;

  • проводить аудит открытых резолверов и закрывать ненужные службы.

Краткие выводы

Разновидности DDoS-атак развиваются вместе с инфраструктурой сети и вычислительных сервисов. Для бизнеса в России и Европе актуальна готовность к мультивекторным инцидентам и сотрудничество с облачными провайдерами, которые обладают ресурсами и опытом для оперативной очистки трафика. Непрерывный мониторинг и тестирование помогают адаптировать защиту под новые векторы и сохранять доступность сервисов при критичных нагрузках.

Для адаптации защиты под конкретные требования бизнеса рекомендуем обратиться к поставщику облачных услуг и провести оценку рисков, включающую нагрузочное тестирование и аудит конфигурации. Обучение персонала и регулярные учения сокращают время реакции на инциденты.


Полезный материал?
1
0
автор: Всеволод
опубликовано: 22.10.2025
Читайте нас: 
Предыдущая статья Следующая статья
Что еще почитать:
28 августа Безопасность в облаке на основе модели Zero Trust: современные методы защиты 08 октября 2024 Безопасность в облачных вычислениях 15 мая 2024 DDoS атаки - что это, виды и способы защиты
Последние статьи
Установка и настройка FTP-сервера на Ubuntu 14 ноября 2025 Установка и настройка FTP-сервера на Ubuntu Что такое конфиденциальность информации 11 ноября 2025 Что такое конфиденциальность информации Мультиоблако: как искусственный интеллект управляет инфраструктурой, сокращает расходы и повышает надёжность 10 ноября 2025 Мультиоблако: как искусственный интеллект управляет инфраструктурой, сокращает расходы и повышает надёжность
Вверх!
Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «куки» (Cookies),
а также подтверждаете факт ознакомления с «Политикой конфиденциальности».