⚡ DDoS Attack Types & Mitigation

Типы DDoS атак по уровням OSI и методы защиты

🔺 DDoS атаки по уровням OSI

🌊

Layer 3-4: Network & Transport

Волюметрические атаки, направленные на исчерпание пропускной способности

🔥 UDP Flood
Отправка большого количества UDP пакетов на случайные порты. Заставляет систему отвечать ICMP Destination Unreachable.
Индикаторы:
  • Высокая утилизация bandwidth
  • Множество UDP пакетов на закрытые порты
  • Рост ICMP unreachable ответов
💥 SYN Flood
Эксплуатация TCP handshake. Отправка SYN пакетов без завершения соединения, исчерпание таблицы состояний.
Индикаторы:
  • Множество half-open соединений
  • Заполнение SYN queue
  • Timeout легитимных соединений
🌀 ICMP Flood
Ping flood - перегрузка ICMP Echo Request пакетами. Потребление процессорных ресурсов и bandwidth.
Индикаторы:
  • Аномальный объем ICMP трафика
  • Ping от множества источников
  • Large ping packets
📡 Amplification Attacks
DNS, NTP, SSDP amplification. Использование публичных серверов для усиления атаки (amplification factor до 1:500).
Индикаторы:
  • Spoofed source IP
  • Трафик от легитимных серверов
  • Специфичные порты (53, 123, 1900)
🔗

Layer 5-6: Session & Presentation

Атаки на состояние соединений и протокольные уязвимости

🎭 SSL/TLS Exhaustion
Инициация множества SSL handshakes без завершения. Высокая CPU нагрузка из-за криптографических операций.
Индикаторы:
  • Высокая CPU утилизация
  • Незавершенные SSL сессии
  • Медленный отклик HTTPS
🔄 Connection Exhaustion
Создание и удержание максимального количества соединений. Исчерпание лимитов подключений сервера.
Индикаторы:
  • Max connections reached
  • Долгоживущие idle соединения
  • Connection pool exhaustion
🎯

Layer 7: Application

Sophisticated атаки на логику приложений

🌐 HTTP Flood
GET/POST flood с валидными HTTP запросами. Имитация легитимного трафика, сложно отфильтровать.
Индикаторы:
  • Spike в HTTP requests
  • Повторяющиеся URL patterns
  • Аномальные User-Agents
🐌 Slowloris
Медленная отправка HTTP заголовков для удержания соединений. Низкий bandwidth, высокая эффективность.
Индикаторы:
  • Множество открытых соединений
  • Неполные HTTP requests
  • Длительное время ожидания
💣 Resource Exhaustion
Запросы к ресурсоемким endpoint'ам (поиск, генерация отчетов). Перегрузка CPU/RAM/DB.
Индикаторы:
  • Высокая нагрузка на БД
  • Долгие запросы
  • Memory/CPU spikes
🤖 Bot Attacks
Использование ботнетов для имитации легитимного поведения. Distributed, low-rate, sophisticated.
Индикаторы:
  • Географически распределенный трафик
  • Human-like поведение
  • Rotating User-Agents/IPs

🛡️ Стратегии защиты от DDoS

🌐
Network Level Protection
Защита на уровне сети и транспорта от волюметрических атак
  • Rate limiting на firewall/router
  • Black hole routing для атакующих IP
  • Anycast распределение трафика
  • BGP Flowspec для upstream фильтрации
  • SYN cookies включены
☁️
Cloud-Based Scrubbing
Перенаправление трафика через scrubbing центры для очистки
  • Cloudflare, Akamai, AWS Shield
  • Always-on или on-demand активация
  • Global scrubbing centers
  • Machine learning detection
  • Автоматическая митигация
🔧
Application Layer Defense
Защита приложений от sophisticated L7 атак
  • Web Application Firewall (WAF)
  • CAPTCHA challenges
  • JavaScript проверки
  • Rate limiting per user/IP
  • Behavioral analysis
🏗️
Infrastructure Hardening
Укрепление инфраструктуры для устойчивости к атакам
  • Увеличение bandwidth capacity
  • Load balancing и failover
  • Caching статического контента
  • Database query optimization
  • Connection limits tuning
🎯
Proactive Monitoring
Раннее обнаружение и автоматическое реагирование
  • Baseline traffic профилирование
  • Anomaly detection системы
  • Real-time traffic analytics
  • Automated alerting
  • Runbook automation
🤝
ISP Cooperation
Сотрудничество с провайдерами для upstream фильтрации
  • Remote Triggered Black Hole (RTBH)
  • Clean pipe services
  • Traffic diversion options
  • 24/7 hotline support
  • Collaborative defense

🔍 DDoS Detection & Analysis Tools

📊 Traffic Analysis
  • Wireshark - packet analysis
  • tcpdump - traffic capture
  • NetFlow analyzers
  • sFlow collectors
  • ntopng - real-time monitoring
🛡️ Mitigation Platforms
  • Arbor Networks
  • Radware DefensePro
  • F5 Silverline
  • Imperva Incapsula
  • Corero SmartWall
📈 Monitoring Solutions
  • Nagios with plugins
  • Zabbix network monitoring
  • PRTG Network Monitor
  • Datadog/New Relic
  • Custom SNMP monitoring

⚡ DDoS Incident Response Plan

1
Detection & Verification (0-5 минут)
  • Подтвердить наличие атаки vs легитимный spike
  • Определить тип и масштаб атаки
  • Активировать incident response team
  • Начать логирование всех действий
2
Initial Mitigation (5-15 минут)
  • Активировать DDoS protection (если on-demand)
  • Применить emergency ACLs
  • Rate limiting на edge устройствах
  • Уведомить ISP о необходимости помощи
3
Escalation & Analysis (15-30 минут)
  • Анализ traffic patterns и векторов атаки
  • Корректировка правил фильтрации
  • Масштабирование ресурсов если возможно
  • Коммуникация со stakeholders
4
Stabilization (30+ минут)
  • Мониторинг эффективности митигации
  • Fine-tuning защитных мер
  • Подготовка к возможной второй волне
  • Восстановление сервисов по приоритетам
5
Post-Incident (После атаки)
  • Сбор и анализ logs и метрик
  • Incident report подготовка
  • Lessons learned meeting
  • Обновление защитных мер

📊 Ключевые метрики мониторинга DDoS

📈
Bandwidth Usage
Mbps/Gbps utilization vs baseline
📦
Packets per Second
PPS rate и аномалии
🔗
Connection Rate
New connections/sec
⏱️
Response Time
Application latency
💻
CPU/Memory
Server resource usage
Error Rate
4xx/5xx responses
🌍
Source Geography
Traffic origin analysis
🎯
Top Targets
Most attacked resources