DDoS атаки по уровням OSI

Модели OSI и TCP/IP
изображение "Модели OSI и TCP/IP" © //www.oslogic.ru

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней.

7-й уровень OSI: прикладной

  • тип данных: данные;
  • описание уровня: начало создания пакетов данных, присоединение и доступ к данным;
  • протоколы: FTP, HTTP, POP3, SMTP, Telnet, RAS и шлюзы, которые их используют;
  • примеры DDoS: PDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи);
  • последствия DDoS: нехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.

Что делать: мониторинг приложений — систематический мониторинг программного обеспечения, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

6-й уровень OSI: представительский

  • тип данных: данные;
  • описание уровня; трансляция данных от источника получателю;
  • протоколы: протоколы сжатия и кодирования данных (ASCII, EBCDIC);
  • примеры DDoS: подложные SSL запросы - проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы;
  • последствия DDoS: атакуемые системы могут перестать принимать SSL соединения или автоматически перегружаться.

Что делать: для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отдельном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом.

5-й уровень OSI: сеансовый

  • тип данных: данные
  • описание уровня: управление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход);
  • протоколы: протоколы входа/выхода (RPC, PAP);
  • примеры DDoS: атака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным;
  • последствия DDoS: делает невозможным для администратора управление свитчем.

Что делать: поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

4-й уровень OSI: транспортный

  • тип данных: сегменты;
  • описание уровня: обеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень;
  • протоколы: протоколы TCP, UDP;
  • примеры DDoS: SYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами);
  • последствия DDoS: достижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования.

Что делать: фильтрация DDoS-трафика, известная как blackholing — метод, часто используемый провайдерами для защиты клиентов (мы этот метод). Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

3-й уровень OSI: сетевой

  • тип данных: пакеты;
  • описание уровня: маршрутизация и передача информации между различными сетями;
  • протоколы: протоколы IP, ICMP, ARP, RIP и роутеры, которые их используют;
  • примеры DDoS: ICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети;
  • последствия DDoS: снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра.

Что делать: ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

2-й уровень OSI: канальный

  • тип данных: кадры;
  • описание уровня: установка и сопровождение передачи сообщений на физическом уровне;
  • протоколы: протоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют;
  • примеры DDoS: MAC-флуд — переполнение пакетами данных сетевых коммутаторов;
  • последствия DDoS: потоки данных от отправителя получателю блокируют работу всех портов.

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

1-й уровень OSI: физический

  • тип данных: биты;
  • описание уровня: передача двоичных данных;
  • протоколы: протоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют;
  • примеры DDoS: физическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами;
  • последствия DDoS: сетевое оборудование приходит в негодность и требует ремонта для возобновления работы.

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.

Не думать о различных родах атак, не ждать пока сайт "снова заработает" можно разместив свой сайт на защищенном хостинге от 150 рублей в месяц (при оплате за год).