Первые упоминания о DDoS-атаках были уже в 1996 г. Но серьёзно про эту проблему заговорили только в конце 1999 года. Причиной стало выведение из строя веб-серверов таких крупных корпораций, как Amazon, Yahoo, CNN, eBay и др. С тех пор сообщения о DDoS-атаке на тот или иной веб-ресурс уже перестали удивлять.

По данным Computer Emergency Response Team (CERT) — международной организации в области безопасности Интернета, количество DDoS-атак резко возросло в последние три-четыре года, хотя сама технология известна уже довольно давно.

Схема DDoS-атак такая: на выбранный в качестве жертвы сервер обрушивается огромный поток ложных запросов со множества компьютеров с разных концов света одновременно. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. И что самое интересное, что пользователи, с компьютеров которых направляются ложные запросы, могут даже не догадываться о том, что их машина используется хакерами. И такие компьютера принято называть «зомби». Известно множество путей «зомбирования» - от проникновения в незащищенные сети, до использования программ-троянцев. Особенно уязвимыми в этом плане являются локальные сети предприятий и учебных организаций, имеющие постоянное широкополосное подключение к Интернету. Связано это с наличием в них скоростных каналов связи и относительно слабой антивирусной защитой.

Чаще всего в DDoS-атаках используется трехуровневая архитектура, которую называют кластером DDoS. В её основании управляющая консоль (их может быть несколько), тот самый компьютер, с которого хакер подает сигнал о начале атаки, распределяя свои ресурсы и анализируя статистику задействованных “бот-сетей”. Обычно это ноутбук, подключенный к Интернету с помощью мобильного телефона или спутникового канала связи, так как при выходе в Сеть таким образом хакер используют всевозможные уловки от работы через аномайзеры до маскировки реального IP, чтобы не быть обнаруженными. Второй уровень — это так называемые “главные компьютеры”, то есть машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-“зомби”. В зависимости от масштабности атаки, на одну управляющую консоль может приходиться до нескольких сотен главных компьютеров. На третьем, низовом уровне находятся агенты — это “зомбированные” компьютеры, которые своими запросами атакуют узел-мишень. В отличие от главных компьютеров и управляющих консолей, число «зомби» постоянно меняется, так как владельцы компьютеров пользуются антивирусными средствами, администраторы отключают зараженные сегменты от доступа к глобальной сети и т. д., заставляя злоумышленников дальше распространять вирусы, чтобы получать новые бот-системы.

А проследить такую структуру в обратном направлении практически невозможно. Максимум, что может определить атакуемый, так это адрес агента. И в лучшем случаи, станут известны главные компьютера. Но, и компьютеры-«зомби», и главные компьютеры тоже являются пострадавшими в данной ситуации. Вот из-за такой структуры практически невозможным отследить адрес узла, организовавшего атаку.

Опасность DDoS заключается еще и в том, что атакующим практически не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак и информация по технологии свободно распространяются в Интернете. А ведь изначально такое программное обеспечение создавалось исключительно в «мирных» целях. Оно использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам.

На сегодняшний день существуют следующие виды DDoS-атак:
• UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.
• TCP flood — отправка на адрес мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.
• TCP SYN flood — посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.
• Smurf-атака — пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.
• ICMP flood — атака, аналогичная Smurf, но без использования рассылки.

Наиболее опасными являются программы, которые используют одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.

Универсальных методов защиты от DDoS-атак не существует. Но к общим рекомендациям для снижения опасности и уменьшения ущерба можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса.

Вот так на сегодняшний день, DDoS-атаки является проблемой номер один, как у простых владельцев сайтов, так и у крупных Интернет-провайдеров.

Для тех, кто хочет больше узнать про домены и хостинг, рекомендую читать on-line издание "DomainTimes" (http://domaintimes.net/), для которого я пишу статьи тоже.