Расшифровка специальных терминов, сокращений и названий, используемых на сайте. Глоссарий составлен в соответствии с требованиями Федерального закона «О государственном языке Российской Федерации» — иноязычные слова и аббревиатуры приведены с переводом и пояснением сути.
Способ адресации в сети, при котором один и тот же IP-адрес одновременно назначен нескольким серверам или маршрутизаторам, расположенным в разных географических точках. Когда пользователь обращается к этому адресу, маршрутизация в сети интернет автоматически направляет его запрос к ближайшему по сетевому расстоянию узлу.
При защите от DDoS-атак Anycast позволяет распределить нагрузку: атака, идущая из азиатского региона, поглощается азиатскими центрами очистки и не доходит до европейских. Это снижает задержки для обычных пользователей и повышает общую устойчивость сервиса.
↑ К оглавлениюОсновной протокол динамической маршрутизации в сети интернет. По нему крупные сети — операторы связи, центры обработки данных, корпоративные сети — сообщают друг другу, какие диапазоны IP-адресов они обслуживают и через какие каналы к ним можно добраться. На основе этих объявлений маршрутизаторы строят пути передачи данных.
При подключении услуги защиты от DDoS клиент через BGP объявляет, что его IP-адреса теперь обслуживаются через инфраструктуру оператора защиты. После этого весь трафик к этим адресам сначала направляется в центры очистки, где отсеивается вредоносная составляющая, а легитимная часть передаётся дальше.
↑ К оглавлениюКибератака, при которой на сервер-жертву одновременно отправляется огромное количество запросов или сетевых пакетов с большого числа заранее заражённых устройств (так называемой бот-сети). Цель — исчерпать ресурсы сервера: канал связи, оперативную память, процессорное время, — чтобы он перестал отвечать на запросы обычных пользователей.
В отличие от обычной (нераспределённой) атаки отказа в обслуживании, источников при DDoS — десятки тысяч, и они находятся в разных странах. Поэтому простая блокировка одного IP-адреса не помогает: для защиты необходима специальная инфраструктура, способная анализировать и фильтровать большие объёмы трафика в реальном времени.
↑ К оглавлениюТехнология «вложения» сетевых пакетов одной сети внутрь пакетов другой сети с последующей передачей их между двумя точками. Для приложений и операционных систем такой туннель выглядит как прямое сетевое соединение между двумя устройствами, даже если физически они находятся в разных дата-центрах и между ними проходит несколько маршрутизаторов.
В сервисах защиты от DDoS GRE-туннели используются для того, чтобы доставлять очищенный трафик с фильтрующих узлов оператора защиты на оборудование клиента поверх обычной сети интернет — без необходимости прокладывать выделенный физический канал. Это упрощает и удешевляет подключение.
↑ К оглавлениюЧисловой идентификатор устройства, подключённого к сети, которая работает по протоколу IP. Используется для адресной доставки данных от одного устройства к другому — аналогично почтовому адресу в обычной переписке.
Существуют две действующие версии: IPv4 (четыре числа от 0 до 255, разделённых точками, например 192.0.2.1) и IPv6 (восемь групп шестнадцатеричных цифр, разделённых двоеточиями). При подключении к сети, защищённой от DDoS-атак, клиенту выделяются специальные защищённые IP-адреса, трафик на которые проходит через центры очистки.
↑ К оглавлениюОбозначения уровней семиуровневой эталонной модели сетевого взаимодействия OSI (Open Systems Interconnection, открытое взаимодействие систем), принятой Международной организацией по стандартизации.
L3 — сетевой уровень. Отвечает за маршрутизацию пакетов между разными сетями. На этом уровне работает протокол IP. Атаки уровня L3 направлены на переполнение канала связи большим объёмом сетевых пакетов.
L4 — транспортный уровень. Отвечает за установление и поддержание соединений между приложениями. На этом уровне работают протоколы TCP и UDP. Атаки уровня L4 направлены на исчерпание ресурсов сетевого оборудования и серверов по обработке состояний соединений.
↑ К оглавлениюЕдиница измерения скорости передачи данных и пропускной способности каналов связи. Один терабит равен 10¹² (одному триллиону) бит, или 1000 гигабит, или приблизительно 125 гигабайтам.
Применительно к защите от DDoS-атак показатель «8+ Тбит/с» означает суммарную ёмкость сети центров очистки трафика — то есть максимальный объём атаки, который инфраструктура способна принять и отфильтровать без отказа в обслуживании легитимных пользователей.
↑ К оглавлениюОбъёмная атака, при которой на сервер-жертву отправляется огромное количество пакетов по протоколу UDP (User Datagram Protocol, протокол пользовательских датаграмм) на случайные сетевые порты. Сервер вынужден для каждого пакета проверять, привязано ли к этому порту какое-либо приложение, и формировать ответ об ошибке, если нет.
При большой интенсивности такая проверка исчерпывает ресурсы процессора, а сам объём входящего трафика переполняет канал связи. Защита заключается в отсеивании UDP-пакетов с подозрительными характеристиками на дальних подступах к сети клиента — в центрах очистки оператора защиты.
↑ К оглавлениюАтака путём отправки большого числа эхо-запросов (команда «ping») по протоколу ICMP (Internet Control Message Protocol, протокол управляющих сообщений в сети интернет). По правилам этого протокола сервер обязан ответить на каждый запрос, тратя на это пропускную способность исходящего канала.
Известная разновидность — Smurf-атака («атака смурфов»): злоумышленник подменяет адрес отправителя на адрес жертвы и рассылает эхо-запросы по широковещательным адресам, заставляя сотни других серверов одновременно отвечать жертве и создавать на её канале лавину ответного трафика.
↑ К оглавлениюАтака с отражением и усилением, использующая публичные DNS-серверы (Domain Name System, система доменных имён — служба, которая переводит понятные человеку имена сайтов в IP-адреса). Атакующий отправляет на такие серверы короткие запросы, но указывает в качестве адреса отправителя адрес жертвы.
DNS-сервер посылает развёрнутый ответ — в десятки раз больший по объёму, чем исходный запрос, — но не атакующему, а жертве. Несколько мегабит исходящего трафика атакующего таким образом превращаются в десятки гигабит входящего трафика жертвы. Это типовая схема для атак многократного усиления.
↑ К оглавлениюВиды атак на транспортный уровень, использующие особенности протокола TCP (Transmission Control Protocol, протокол управления передачей). Установление соединения по TCP происходит в три шага — так называемое «трёхэтапное рукопожатие»: клиент посылает пакет SYN (synchronize, синхронизировать), сервер отвечает SYN-ACK (synchronize-acknowledge, синхронизация подтверждена), клиент посылает ACK (acknowledge, подтверждаю).
При SYN flood атакующий шлёт массу SYN-пакетов, но никогда не завершает «рукопожатие» финальным ACK. Сервер выделяет память под полу-открытые сессии и быстро её исчерпывает. ACK flood и SYN-ACK flood — разновидности, нагружающие межсетевые экраны проверкой состояния каждого приходящего пакета.
↑ К оглавлениюАтака с использованием некорректно фрагментированных IP-пакетов. Когда пакет при передаче по сети превышает максимально допустимый размер, он разбивается на части — фрагменты, каждый из которых содержит указание, где именно в исходном пакете он находился. Принимающая сторона собирает фрагменты обратно по этим указаниям.
При атаке Teardrop злоумышленник отправляет фрагменты с намеренно перекрывающимися или некорректными смещениями. Уязвимое сетевое программное обеспечение при попытке их собрать получает сбой, зависает или перезагружается. Современные операционные системы в большинстве своём защищены, но устаревшее оборудование по-прежнему может пострадать.
↑ К оглавлениюАтака путём отправки сетевого пакета ICMP с размером, превышающим максимально допустимый по стандарту (65 535 байт). При сборке такого пакета на стороне получателя происходит переполнение буфера в памяти, после чего устройство зависает, перезагружается или начинает работать с ошибками.
Атака исторически опасна в первую очередь для устаревшего сетевого оборудования и встраиваемых систем, разработанных без расчёта на такие воздействия. На современных серверах и маршрутизаторах эта уязвимость закрыта, но защита всё равно требуется — атаки нацеливаются на «слабые звенья» в цепи сетевого оборудования клиента.
↑ К оглавлениюАтака с отражением и усилением, использующая публичные серверы NTP (Network Time Protocol, сетевой протокол синхронизации времени). Эти серверы по запросу сообщают клиентам точное время — функция, необходимая для слаженной работы компьютерных систем.
Атакующий направляет на такой сервер команду monlist (запрос списка устройств, недавно опрашивавших данный сервер), указывая адресом отправителя адрес жертвы. Ответ содержит сотни записей и оказывается в сотни раз больше исходного запроса. В результате жертва получает многократно усиленный поток трафика, переполняющий её канал связи.
↑ К оглавлениюАтака с отражением, использующая неправильно настроенные серверы Memcached — системы хранения часто запрашиваемых данных в оперативной памяти для ускорения работы веб-сайтов. По недосмотру администраторов такие серверы оказываются доступны из сети интернет без какой-либо защиты.
Атакующий отправляет на сервер Memcached небольшой запрос с подменённым адресом отправителя (адрес жертвы), и в ответ получаются гигантские объёмы данных, направляемые жертве. Коэффициент усиления здесь достигает 50 000- кратного — это самый высокий показатель среди всех известных атак отражения. Именно по такой схеме в 2018 году была проведена атака на платформу GitHub мощностью 1,35 Тбит/с.
↑ К оглавлениюАтака с отражением, использующая бытовые маршрутизаторы и устройства «умного дома», поддерживающие протокол SSDP (Simple Service Discovery Protocol, простой протокол обнаружения служб) семейства UPnP. Этот протокол помогает устройствам в одной локальной сети находить друг друга — например, принтер «представляется» компьютеру.
Когда такое устройство по ошибке доступно из сети интернет, атакующий может отправить ему запрос обнаружения с подменённым адресом отправителя. Устройство ответит развёрнутым описанием всех своих служб — это даёт примерно 30-кратное усиление потока данных в сторону жертвы.
↑ К оглавлению