DoS-attack (Denial of Service) — is the attack on computer system to incapacitate it, i.e. creating the such conditions, when legitimate users of this system can not access resources it provides, or when this access impeded
In case of attack attempted simultaneously by a large number of computers, such attack called the DDoS-attack (Distributed Denial of Service). In some cases legitimate actions can initiate a DDoS-attack, eg placing link to a site (located on a not very powerful server) on a popular web resource (slashdot effect).
The period when site was down causes not only loss of profit, but also loss of trust by customers and this is the worst. (D)DoS attacks often subjected to commercial projects, purpose of the event – blackmail, intimidation and simple survival of competitors from the market of goods and services.
Methods of attack
There are variety of conditions causing DoS:
- A software bug resulting in an accessing unused fragment of memory address space, executing unhanded instruction or other unhandled exceptions, that causes crash of server applications. Classic example is null pointer exception.
- Insufficient validation of user data, which leads to an infinite or a long cycle or increased long-term consumption of CPU resources (CPU resource exhaustion) or allocation a large amount of RAM (memory exhaustion).
- Flood — an attack, сaused by large number of incorrectly formatted or requests to the server network equipment, subjected to denial of system or cased it by exhaustion of system resources — CPU, RAM or network.
- Denial-of-Service Level II — attack, causing launching of security system that blocks network segment from with attack originated and so the server could not be reached from this segment.
The first two attack methods are attack to vulnerability/defect of software, serving the domain. In this case we can to and ascertain the source of problem very quickly due to our advanced monitoring system and timely eliminate it.
Third and fourth methods realized due to many simultaneous connections from large amount of IP-addresses, and this case it called DDoS (distributed DoS).
DDoS
Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:
- SYN-флуд — при данном виде атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом сервере через короткое время исчерпывается количество открытых сокетов и сервер перестаёт отвечать.
- UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.
- ICMP-флуд — то же, но с помощью ICMP-пакетов.
- HTTP-флуд — отправка большого количества http-запросов жертве. В большинстве случае атакующими хостами являются зараженные компютеры ботнета, по этому отличить их от реальных посетителей довольно сложно.
Обнаружение DoS-атак
Негативные последствия атаки (типа флуд) не ограничиваются временем простоя (и соответвенно упущенной прибылью). Флуд (как и любой трафик) будет оплачен владельцем атакованного сайта, что увеличивает пряммые убытки. Кроме того, большинство хостинговых компаний предпочитает не связываться с отражением (D)DoS атаки, а решает эту проблему нулл-роутом IP-адреса атакованного сайта, после чего сайт нужно перевести на другой IP, что так же увеличивает время простоя, и, к тому же, не дает никакой гарантии что атака не будет продолжена на новый IP-адрес. Наша система мониторинга позволяет своевременно обнаружить (D)DoS атаку и определить тип, характер и другие показатели DoS-атаки.
Защита от DoS-атак
На основе полученных данных мы можем разрабатывать дальнейший план дествий:
1. Мы можем настроить Ваш сервер на максимальную производительность сети и системы в целом, в зависимости от характера атаки настроить систему блокировки нежелательных IP-адресов и (при необходимости) передать списки этих IP-адресов вышестоящему аплинк-провайдеру для блокировки на коре-роутерах.
2. Если показательи атаки таковы, что существует угроза блокировки IP-адреса сайта хостером, или ширины канала до сервера не достаточно – мы можем отфильтровать весь нежелательный трафик на своем высокопроизводительном кластере, и проксировать чистый трафик на Ваш сервер для дальнейшей обработки. В данном случае Скорость отображения сайта для посетителей будет несколько ниже, но функционал и работоспособность будут прежними.
Тут Вы сможете подробно ознакомиться со стоимостью наших услуг по защите от (D)DoS.
