Skip to main content
STEM:Hub

Атаки на доступность

1. ФИЛОСОФСКО-МЕТОДОЛОГИЧЕСКАЯ ОСНОВА: ТЕОРИЯ РАЗРУШЕНИЯ

Цель: Понять, что доступность — это не просто “работает/не работает”. Это способность системы предоставлять сервис с требуемой производительностью в требуемое время. Атака на доступность — это целенаправленное создание состояния, при котором эта способность утрачивается.

Ключевая парадигма: Атаки на доступность (Denial-of-Service, DoS) эволюционировали от вандализма (одиночный источник) до стратегического оружия (распределенные атаки, экономические атаки, атаки на цепочки поставок). Это атаки на емкость (пропускную способность, вычислительные ресурсы) и на логику (уязвимости протоколов, состояния).

2. ДЕТАЛИЗИРОВАННАЯ ТАКСОНОМИЯ: ЭВОЛЮЦИЯ ХАОСА

Эра 1: Классические DoS-атаки (Один источник — одна цель)

  • Принцип: Исчерпание ресурсов целевой системы одним злоумышленником.
  • Примеры:
    • Ping of Death: Отправка фрагментированного ICMP-пакета, который при сборке превышает максимальный размер, вызывая крах системы.
    • TCP SYN Flood: Отправка множества запросов на установление соединения (SYN) без завершения handshake. Исчерпывает очередь полуоткрытых соединений на сервере.
    • UDP Flood: Отправка большого количества UDP-пакетов на случайные порты цели, заставляя ее генерировать сообщения “Destination Unreachable”.
    • HTTP Flood (на прикладном уровне): Отправка большого количества “тяжелых” HTTP-запросов (например, поиска по сайту), исчерпывающих ресурсы CPU/БД.

Смертельная уязвимость: Слабая масштабируемость. Легко блокируется по IP-источнику.

Эра 2: DDoS (Distributed Denial-of-Service) — Атаки на емкость

  • Принцип: Координация тысяч скомпрометированных устройств (ботнет) для атаки с множества источников.
  • Архитектура:
    • Ботнет: Сеть зомби-устройств (IoT-камеры, роутеры, компьютеры).
    • Handler/Agent модель: C&C-серверы (Handlers) управляют ботами (Agents).
    • P2P ботнеты: Отсутствие центрального C&C, устойчивость к выявлению.

Техники насыщения пропускной способности:

  • Direct DDoS: Боты напрямую атакуют цель.
  • Reflection & Amplification (Отражение и усиление):
    • Принцип: Отправка запросов с поддельным IP-адресом отправителя (жертвы) на сторонние серверы, которые отвечают жертве. Ответ (рефлексия) по объему больше запроса (усиление).
    • Примеры:
      • DNS Amplification: Запрос ANY для крупной зоны (маленький запрос ~60 байт -> большой ответ ~4000 байт). Коэффициент усиления > x60.
      • NTP Amplification: Запрос monlist (маленький запрос -> список 600 последних клиентов сервера). Коэффициент усиления > x500.
      • SNMP, SSDP, CLDAP: Другие протоколы с опасными командами.

Эра 3: Low-and-Slow Атаки (Атаки на логику и состояние)

  • Принцип: Не насыщение канала, а исчерпание ограниченных ресурсов приложения минимальным количеством “медленных” соединений.
  • Цель: Обход традиционных DDoS-фильтров, которые ищут аномально высокий трафик.
  • Примеры:
    • Slowloris (Медленный лори):
      • Механика: Установка множества HTTP-соединений и их поддержание в “открытом” состоянии. Отправляются неполные HTTP-заголовки с периодическими доотправками (например, X-a: b\r\n каждые 60 сек.).
      • Результат: Исчерпание лимита одновременных соединений на веб-сервере (Apache httpd уязвим), в то время как для легитимных пользователей “нет мест”.
    • R.U.D.Y. (R-U-Dead-Yet):
      • Механика: Отправка POST-запроса с очень медленной скоростью тела запроса. Удерживает соединение и потоковый обработчик на сервере занятым.
    • Hash Collision DoS (HashDoS):
      • Механика: Создание большого количества ключей (например, в POST-данных), которые хэшируются в одно и то же значение (коллизия хэша). Это превращает хэш-таблицу на сервере из O(1) в O(n), вызывая исчерпание CPU.

Эра 4: Протокольные и Инфраструктурные Атаки (Атаки на стеки)

  • Принцип: Эксплуатация фундаментальных недостатков сетевых протоколов.
  • Примеры:
    • TCP State-Exhaustion Attacks: Атака на stateful-устройства (файрволы, балансировщики), заставляя их хранить состояние для миллионов фальшивых соединений.
    • HTTP/2 Rapid Reset (CVE-2023-44487): Эксплуатация особенности протокола HTTP/2, где клиент может быстро отменять (RST_STREAM) множество запросов, создавая огромную нагрузку на сервер, который успел начать их обработку. Масштабы: 100+ миллионов RPS.
    • BGP Hijacking + Blackholing: Объявление ложного BGP-маршрута для трафика жертвы с последующим его “сбросом в черную дыру”.

3. МЕТОДИКА АНАЛИЗА: ИНЖЕНЕРНЫЙ ПОДХОД К ХАОСУ

  1. Идентификация целевого ресурса: Что исчерпывается? (Пропускная способность канала, CPU/память сервера, таблицы состояний сетевого оборудования, лимиты соединений веб-сервера).
  2. Классификация вектора атаки:
    • Volumetric (На объем): Насыщение канала (DDoS с усилением).
    • Protocol (Протокольная): Исчерпание таблиц состояний (SYN Flood, HTTP/2 Rapid Reset).
    • Application Layer (Прикладного уровня): Исчерпание логики приложения (Slowloris, HashDoS, целевые HTTP-флуды).
  3. Анализ точки приложения: Где находится “узкое горлышко”? (Провайдер жертвы, upstream-каналы, сам сервер, конкретное приложение).
  4. Построение карты эшелонированной обороны: Какие меры работают на каждом уровне?
    • Уровень 1: Провайдер/Периметр (Clean Pipe): Фильтрация на уровне сети, BGP Flowspec, черные дыры.
    • Уровень 2: CDN / DDoS-провайдер: Распределение нагрузки, поглощение атаки.
    • Уровень 3: Сервер/Приложение: Конфигурационное харденинг (уменьшение таймаутов, увеличение лимитов), WAF (Web Application Firewall).

4. ПРАКТИКУМ: РАЗБОР СЦЕНАРИЯ АПОКАЛИПСИСА

Кейс: “Выборы в Цифрограде — Хроники Кибервойны”

  • Сценарий: В день онлайн-голосования на портал обрушивается комплексная многовекторная DDoS-атака. Наблюдаются:

    1. Массивный UDP-трафик на порт 53 (DNS) с тысяч IP-адресов.
    2. Десятки тысяч “висящих” HTTP-соединений с неполными заголовками.
    3. Всплеск HTTPS-запросов на ресурсоемкие API-эндпоинты (/search, /report).
    4. Резкий рост числа RST_STREAM-фреймов в HTTP/2-трафике.

  • Задание: Классифицируйте каждый вектор, объясните его механизм и предложите конкретные меры противодействия для оперативного реагирования.

  • Эталонный ответ:

Вектор атакиКлассификацияМеханизм воздействияОперативные контрмеры
1Массивный UDP-трафик на порт 53Volumetric, Reflection/AmplificationНасыщение восходящего канала связи дата-центра. Сервер не “тонет”, но трафик до него не доходит.На уровне провайдера: Активция “чистого канала” (Clean Pipe), фильтрация по BGP Flowspec, перенаправление трафика через DDoS-провайдера (Cloudflare, Akamai).
2“Висящие” HTTP-соединенияApplication Layer, Low-and-Slow (Slowloris)Исчерпание пула рабочих процессов/потоков веб-сервера (например, worker MPM в Apache). Легитимные запросы не получают свободного “рабочего”.На уровне сервера:
- Переключение на более устойчивый веб-сервер (nginx, lighttpd).
- Настройка WAF для детекции и обрыва “медленных” соединений.
- Уменьшение таймаутов (Timeout, KeepAliveTimeout).
3Ресурсоемкие HTTPS-запросыApplication Layer, HTTP FloodИсчерпание вычислительных ресурсов backend-приложения (CPU на генерацию страниц, I/O на запросы к БД).На уровне приложения/CDN:
- Внедрение капчи (CAPTCHA) при подозрительной активности.
- Ограничение частоты запросов (Rate Limiting) по IP/сессии.
- Кэширование ответов на уровне CDN.
4RST_STREAM в HTTP/2Protocol (HTTP/2 Rapid Reset)Сервер тратит ресурсы на создание и немедленное уничтожение контекстов запросов, не успевая обслуживать легитимные.Патчинг: Обновление веб-сервера с фиксом CVE-2023-44487.
Конфигурация: Ограничение количества параллельных запросов с одного IP.

5. СТРАТЕГИЧЕСКИЙ УРОВЕНЬ: BEYOND DDoS

  • Атаки на цепочку поставок (Supply Chain): Взлом репозитория с обновлениями ПО и распространение “битого” обновления, которое выводит системы из строя. (См. атака на SolarWinds — хотя ее цель была шпионаж, аналогичный метод может использоваться для саботажа).
  • Физические атаки на инфраструктуру: Разрушение/отключение ЦОД, кабельных систем, электропитания.
  • Рансомвер-атаки (Ransomware): Шифрование данных и систем, делающее их недоступными. Это атака на доступность данных.
  • Экономические атаки (Economic DoS): Использование дорогостоящих API-вызовов в облачной среде (например, вызовы машинного обучения), приводящее к астрономическим счетам и принудительной остановке сервисов провайдером.

6. КРИТЕРИИ ОЦЕНКИ ЭКСПЕРТНОГО УРОВНЯ

Учащийся демонстрирует стратегическое понимание, если может:

  • Разделять атаки по уровню OSI: Четко отличает флуд на сетевом уровне (UDP) от атаки на сеансовый (TCP State-Exhaustion) и прикладной (Slowloris).
  • Объяснять экономику атаки: Понимает, почему Reflection/Amplification так эффективны для злоумышленника (низкая стоимость -> высокий ущерб).
  • Предлагать многоуровневую оборону: Не ограничивается “купить больше гигабит”, а строит стратегию: “Провайдер фильтрует объем -> CDN поглощает флуд -> WAF защищает приложение -> конфигурация сервера минимизирует ущерб”.
  • Видеть неочевидные взаимосвязи: Понимает, что Ransomware — это тоже атака на доступность, а компрометация системы обновлений — катастрофическая угроза доступности в масштабах экосистемы.
  • Аргументировать выбор технологии: Объясняет, почему nginx по умолчанию устойчивее к Slowloris, чем Apache, или почему переход на HTTP/3 может нивелировать некоторые атаки на HTTP/2.