Що таке DDoS атака

DDoS-атака – це спроба зробити сайт або онлайн-сервіс недоступним, заваливши його потоком штучного трафіку з багатьох пристроїв. Система втрачає здатність обслуговувати легітимні запити – інколи без повного «падіння», інколи з аварійними збоями. Далі розберімося, як це влаштовано і що з цим роблять на практиці, у тому числі як вибудовується захист від ddos у реальних інфраструктурах.

Як працює DDoS-атака

Типовий сценарій починається з ботнету – мережі скомпрометованих пристроїв. Це можуть бути ПК, роутери, IP-камери, інша IoT-техніка. Власник пристрою нерідко й не здогадується, що його гаджет став “зомбі”.

  1. Зараження та збір ботнету. Зловмисник знаходить слабкі паролі, застаріле ПЗ або інші прогалини.
  2. Керування. Командний сервер роздає вказівки тисячам пристроїв одночасно.
  3. Флуд трафіком. На ціль летять запити (HTTP), пакети (UDP/ICMP) або “напіввідкриті” з’єднання (SYN), і система захлинається.

З боку користувача це виглядає буденно: сторінка крутить завантаження, оплата не проходить, API повертає помилки, а служба підтримки отримує шквал звернень.

Чим DDoS відрізняється від DoS

DoS – атака з одного джерела. Її простіше відсікти: один IP, одна мережа, один “кран” трафіку. DDoS – розподілена атака, і тут краник не один, а цілий водогін з різних країн і провайдерів.

  • DoS: один нападник або одна машина; блокування часто зводиться до фільтра правилами на брандмауері.
  • DDoS: багато джерел; блокування “в лоб” ризикує відрізати й легітимних клієнтів.

Приклад із життя: DoS – коли одна людина стоїть у дверях і заважає входу. DDoS – коли натовп заповнює весь прохід, і вхід формально відкритий, та пройти нікому.

Види DDoS-атак

Найчастіше говорять про три категорії – вони б’ють по різних “поверхах” інфраструктури.

  • Об’ємні (volumetric). Мета – забити канал трафіком. Часто використовують підсилення через відкриті сервіси (наприклад, DNS).
  • Протокольні (L3/L4). Грають на механіці мережевих протоколів: SYN flood, UDP flood, ICMP flood. Сервер витрачає ресурси на обробку з’єднань.
  • Прикладні (L7). Імітують поведінку користувача: хвиля HTTP-запитів до “важких” сторінок, пошуку, авторизації. Такі атаки підступні: трафік схожий на реальний.

Навіщо здійснюють DDoS-атаки

Мотиви зазвичай прагматичні. Комусь потрібні гроші, комусь – тиск, комусь – шумова завіса.

  • Шантаж. “Заплатіть, інакше сервіс лежатиме”.
  • Конкурентна боротьба. Збити продажі, зірвати запуск, підмочити репутацію.
  • Хактивізм. Демонстрація позиції через параліч публічного ресурсу.
  • Відволікання. Поки всі гасять DDoS-атаку, паралельно пробують інші проникнення – наприклад, уразливості вебзастосунку.

Як розпізнати та захиститися від DDoS-атаки

Ознаки часто помітні ще до повного “падіння”: різко росте навантаження, збільшується кількість однотипних запитів, у логах з’являються хвилі звернень до одних і тих самих URL, стрибає RPS, а реальні користувачі скаржаться на таймаути.

  • Розпізнавання: моніторинг метрик (CPU, RAM, мережа), алерти на аномалії, аналіз логів і NetFlow.
  • Профілактика: оновлення ПЗ, закриття зайвих портів, ліміти на запити, кешування, підготовлені плани реагування.
  • Протидія: WAF для L7, rate limiting, фільтрація на рівні провайдера, “очищення” трафіку через анти-DDoS сервіси, використання CDN та балансування навантаження.

Практична порада з досвіду інженерів: не чекати інциденту. У хмарних середовищах на кшталт Azure або AWS варто заздалегідь увімкнути захисні профілі та перевірити, як поводяться ліміти й правила, коли трафік росте не по днях, а по секундах.