Что такое L7 DDoS-атаки — принципы, примеры и защита

DDoS-атаки Что такое DDoS-атаки? Что такое DDoS-атаки уровней L3 и L4? Что такое DDoS-атаки уровня L7? Что такое DDoS-атаки с амплификацией (усилением)? Что такое DDoS-атаки SYN Flood, SYN-ACK Flood и ACK Flood? BGP Что такое BGP (Border Gateway Protocol)? Что такое BGP-перехваты (BGP hijacking)? Что такое утечки маршрутов (route leaks)? DNS Что такое DNS и как это работает? Что такое DNS-сервер? Что такое DNS-записи? Как работают DNS-атаки? Главная / Обучающие материалы / Что такое DDoS-атаки уровня L7? Что такое DDoS-атаки уровня L7? Определение L7 DDoS-атак Распределенная атака типа «отказ в обслуживании» (Distributed Denial-of-Service, DDoS) — это вредоносная попытка нарушить нормальную работу сервера, сети или веб-приложения. Для этого злоумышленники одновременно используют множество скоординированных атак типа «отказ в обслуживании» (Denial-of-Service, DoS), перегружая целевой ресурс или связанную с ним инфраструктуру большим количеством нежелательного трафика.Среди всех типов DDoS-атак особую угрозу представляют L7 DDoS-атаки, также известные как атаки на уровне приложений. Эти атакинацелены на процессы, работающие на верхнем уровне модели OSI. В отличие от атак на сетевом (L3) и транспортном (L4) уровнях, которые фокусируются на базовом сетевом оборудовании и файрволах, атаки уровня L7 направлены напрямую на серверы, обслуживающие веб-приложения.Такие атаки особенно опасны, потому что вредоносный трафик часто неотличим от обычного пользовательского, что усложняет обнаружение и фильтрацию. Еще одна особенность L7-атак состоит в том, что им не нужен большой объем трафика, чтобы нарушить работу веб-приложения. Какие протоколы относятся к прикладному уровню (L7) модели OSI Хотя к прикладному уровню модели OSI относится множество протоколов, L7 DDoS-атаки чаще всего нацелены на два из них — HTTP и HTTPS. Эти протоколы прикладного уровня играют ключевую роль в работе веб-приложений, что и делает их основными целями для злоумышленников.HTTP (Hypertext Transfer Protocol) — основной протокол передачи данных во Всемирной паутине (World Wide Web). Он определяет формат и порядок обмена сообщениями между веб-серверами и браузерами.HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола HTTP, которое обеспечивает защищенный обмен данными между браузером и сервером за счет использования шифрования.Отдельно стоит упомянуть протоколы DNS и NTP, которые также входят в прикладной уровень модели OSI. Они постоянно используются в DDoS-атаках — в частности, в атаках с усилением через DNS и NTP. Однако в таких случаях атаки направлены не на приложения, а на сетевое оборудование, например маршрутизаторы, работающие с IP-протоколом. Поэтому такие атаки относятся к DDoS-атакам на сетевом уровне (L3), а не к атакам уровня L7. Как работают DDoS-атаки на прикладном уровне (L7) Эффективность L7 DDoS-атак основана на том, что обработка HTTP- и HTTPS-запросов требует значительных вычислительных ресурсов. Сложность обработки HTTP и дополнительные затраты на расшифровку HTTPS делают эти протоколы особенно уязвимыми к перегрузке, позволяя атакующим с минимальными усилиями выводить веб-серверы из строя.Кроме того, как уже упоминалось выше, вредоносный HTTP/HTTPS-трафик очень похож на обычный пользовательский. Особенно это актуально для HTTPS, поскольку без расшифровки практически невозможно отличить вредоносные запросы от легитимных.Основная цель L7-атаки — исчерпать ресурсы серверов, на которых работает веб-приложение, чтобы замедлить его работу или сделать сайт полностью недоступным для настоящих пользователей.Добиться этого можно разными способами. Один из них — отправить на сервер огромное количество бессмысленных HTTP- или HTTPS-запросов. Другой — перегрузить его небольшим числом специально сформированных запросов, эксплуатирующих особенности протоколов. Еще один вариант — направить поток трафика от большого количества фиктивных пользователей: формально такие запросы легитимны, но при этом бесполезны с бизнес-точки зрения и создают серьезную нагрузку на сервер. Виды DDoS-атак на уровне приложений (L7) С практической точки зрения L7 DDoS-атаки удобно разделить на три категории: так называемые “медленные” HTTP-атаки, масштабные атаки с использованием ботнетов и атаки, связанные с хактивизмом. Кратко рассмотрим каждую из них. Медленные HTTP-атаки Атаки L7 с низкой скоростью отправки запросов, также известные как «low and slow», используют особенности протоколов, чтобы перегрузить сервер при минимальных затратах со стороны атакующего. Вот наиболее известные инструменты для таких атак:Slowloris — этот инструмент открывает HTTP-сессии и медленно отправляет заголовки, не завершая запросы. Сервер вынужден удерживать соединения, что приводит к исчерпанию его ресурсов — в итоге он перестает принимать подключения от легитимных пользователей.R.U.D.Y. (R U Dead Yet) — похожий по принципу действия инструмент, который заставляет сервер удерживать открытое соединение, с крайне низкой скоростью отправляя данные веб-форм. Он находит поля форм, создает POST-запросы и передает данные маленькими порциями с непредсказуемыми паузами, перегружая сервер и блокируя доступ для настоящих пользователей. Масштабные атаки с использованием ботнетов Крупнейшие L7 DDoS-атаки проводятся с помощью ботнетов — сетей из зараженных устройств, генерирующих огромный объем HTTP/HTTPS-запросов и выводящих серверы из строя.Mēris: масштабный ботнет, состоявший из до 200 000 зараженных маршрутизаторов MikroTik. Участвовал в ряде мощных L7-атак, включая атаку на Google в 2022 году, во время которой пиковая нагрузка достигала 46 миллионов запросов в секунду.Mantis: еще один мощный ботнет, составленный из примерно 5000 скомпрометированных виртуальных машин и серверов. Несмотря на скромный размер, ботнет проводил крайне эффективные L7-атаки. Например, во время атаки на Cloudflare в 2022 году пиковая интенсивность достигала 26 миллионов запросов в секунду. Хактивизм Наконец, немало DDoS-атак проводится хактивистами — группами, объединенными идеологией и использующими кибератаки как форму протеста. Хактивисты комбинируют разные техники: от медленных HTTP-атак и ботнетов до потоков трафика, создаваемого сторонниками группы и максимально похожего на обычный пользовательский.Дополнительную опасность представляет то, что организованные хактивистами DDoS-атаки часто сопровождаются взломами, кражей данных и другими вредоносными действиями.Атака на PlayStation Network: классический пример — DDoS-атака, организованная группой Lizard Squad в декабре 2014 года на сеть Sony PlayStation Network. Целью атаки было продемонстрировать слабую защищенность сервиса. Для этого хактивисты выбрали пиковый праздничный период, чтобы подчеркнуть необходимость усиления мер безопасности даже в крупных компаниях. Влияние на бизнес Успешные DDoS-атаки типа «отказ в обслуживании», и в особенности L7 DDoS-атаки, могут существенно нарушить бизнес-процессы, повлиять на финансовую стабильность и нанести ущерб репутации компании.Финансовые потери: L7 DDoS-атаки приводят к прямым убыткам из-за недоступности веб-приложений и расходов на восстановление. Дополнительно возможны затраты на уплату штрафов, компенсации пострадавшим клиентам и выплату выкупа атакующим, так как DDoS-атаки все чаще используются ransomware-группировками.Операционные последствия: успешные L7-атаки делают веб-приложения недоступными, что значительно затрудняет нормальную работу бизнеса. Кроме того, компании вынуждены оперативно перенаправлять ресурсы с продуктивной деятельности на устранение последствий инцидента.Репутационный ущерб: помимо прямого ущерба, успешная L7 DDoS-атака может надолго подорвать репутацию компании. Клиенты теряют доверие и лояльность из-за ощущения ненадежности, а негативная публичность приводит к потере бизнес-возможностей и оттоку пользователей. Как защититься от DDoS-атак на прикладном уровне (L7) С практической точки зрения у бизнеса есть несколько вариантов защиты от атак на уровне приложений:Локальная (on-premise) защита от DDoS: данный подход предполагает установку специализированного анти-DDoS-оборудования внутри корпоративной инфраструктуры. Локальная защита обеспечивает максимальный контроль, однако у нее есть серьезные недостатки. Во-первых, для эффективного использования локальной защиты от DDoS-атак требуется наличие высококвалифицированной внутренней команды, которая должна постоянно обновлять систему защиты и следить за новыми угрозами. Во-вторых, локальные решения имеют ограниченные ресурсы для обработки трафика, что делает их малоэффективными против крупных и сложных L7 DDoS-атак, которые требуют значительных мощностей для фильтрации трафика на уровне приложений.Защита от DDoS от телеком-операторов: у провайдеров связи, как правило, есть ресурсы и опыт борьбы с атаками на сетевом (L3) и транспортном (L4) уровнях. Однако они существенно менее эффективны в случае L7-атак. Кроме того, полная зависимость от одного оператора создает единую точку отказа, снижая отказоустойчивость и повышая уязвимость во время атаки.Облачная защита от DDoS: этот вариант наиболее эффективен против L7 DDoS-атак. Чтобы обеспечить гибкость и высокую пропускную способность без узких мест, облачные провайдеры, такие как CURATOR, размещают центры фильтрации трафика в узлах подключения к Tier 1 или ведущим региональным интернет-провайдерам.Если один из таких центров выходит из строя, трафик автоматически перенаправляется в другие точки благодаря единой системе управления. Центры фильтрации анализируют трафик на всех уровнях модели OSI с помощью продвинутых алгоритмов, способных выявлять и блокировать даже сложные L7-атаки.Высокая емкость сети фильтрации и продвинутые технологии CURATOR.ANTIDDOS гарантируют надежную защиту от любых DDoS-атак. Будьте в курсе наших новостей и продуктов! Подпишитесь на ежемесячный обзор самых популярных идей Интернета от CURATOR! Отправить Предыдущая статья Следующая статья В этой статье Определение L7 DDoS-атак Какие протоколы относятся к прикладному уровню (L7) модели OSI Как работают DDoS-атаки на прикладном уровне (L7) Виды DDoS-атак на уровне приложений (L7) Медленные HTTP-атаки Масштабные атаки с использованием ботнетов Хактивизм Влияние на бизнес Как защититься от DDoS-атак на прикладном уровне (L7) В начало статьи Ваша подписка успешно активирована На главную Cвязаться с нами Отправить Ваша заявка принята Мы свяжемся с Вами в ближайшее время Закрыть Мы используем файлы cookie для улучшения наших услуг. Узнайте больше в нашей Политике использования файлов cookie Принять