DDoS-атаки с амплификацией (или усилением) — это особый вид кибератаки на уровне L3–L4, при котором злоумышленники используют чужие легальные серверы как инструмент удара. Вместо прямого нападения хакеры отправляют небольшие поддельные запросы на уязвимые сервисы, заставляя их генерировать огромный объем данных и направлять его к жертве.
Результат — перегрузка каналов связи или вычислительных мощностей, из-за чего легальные пользователи теряют доступ к сайту или сервису.
Такой способ часто называют «отражённым»: вредоносный трафик словно рикошетом отскакивает от невинных серверов-посредников, концентрируясь на конечной цели.
Принцип действия — маленький запрос, огромный отклик
Сценарий атаки выглядит примерно так:
-
Выбор протокола. Хакеры ищут сервисы, работающие по протоколу UDP, ведь ему не нужно устанавливать соединение — отправил запрос и получил ответ.
-
Поиск уязвимости. Ищется особенность, при которой сервер отвечает в разы большим объемом данных, чем получил.
-
Разведка целей. Проводится сканирование сети, чтобы найти сотни или тысячи таких уязвимых серверов.
-
Подмена отправителя. Формируются запросы с ложным IP-адресом — вместо атакующего указывается адрес будущей жертвы.
-
Массовый отклик. Легальные серверы, не подозревая об атаке, начинают «бомбардировать» жертву огромными пакетами данных.
Объем отражённого трафика характеризуется коэффициентом усиления (N) — то есть количеством байт, которые сервер отправляет в ответ на один байт запроса. В зависимости от уязвимости N может колебаться от нескольких десятков до тысяч.
Так, атаки через протокол Memcached давали усиление до 51 000 раз, а рекордный метод TP240PhoneHome — более 4 миллиардов к одному.
Хотя используются протоколы прикладного уровня, эти атаки классифицируются как сетевые (L3), ведь их цель — перегрузить именно инфраструктуру: маршрутизаторы и каналы связи.
Популярные варианты атак с усилением
-
DNS-амплификация. Один из самых распространённых методов. Некорректно настроенные DNS-серверы генерируют ответ, который может превышать первоначальный запрос в сто раз.
-
NTP-амплификация. Использует команду MONLIST для получения списка последних подключений к серверу синхронизации времени. Коэффициент — до 500:1.
-
SNMP-амплификация. Атака на устройства с включённым протоколом SNMP — маршрутизаторы, принтеры, коммутаторы. Возможное усиление — до 650:1.
-
STUN-амплификация. Затрагивает протокол STUN, применяемый в WebRTC, VoIP и видеосвязи (Zoom, Skype, Teams). Усиление небольшое — около 2,3:1, но блокировка такого трафика может парализовать критичные бизнес-сервисы.
Последствия для бизнеса
Атака с усилением — это не просто сбой. Она может привести к часам простоя, срыву коммуникаций, финансовым потерям и падению доверия клиентов.
Постоянные перебои в доступности сервисов разрушительно влияют на репутацию бренда. В современном цифровом мире защита от DDoS — это уже не дополнительная опция, а обязательное условие стабильной работы компании.
Как защититься
Надежный способ защиты — подключение облачного анти-DDoS-сервиса, такого как CURATOR.ANTIDDOS. Он основан на распределённой системе фильтрации и имеет ряд преимуществ:
-
Сетевая архитектура способна выдерживать атаки любого масштаба.
-
При сбое одного узла трафик мгновенно перенаправляется на другие.
-
Модель «оплата за фактическое использование» позволяет экономить на оборудовании и специалистах.
-
Команда экспертов круглосуточно мониторит трафик и блокирует угрозы в реальном времени.
CURATOR.ANTIDDOS используется для защиты инфраструктуры разного масштаба и предотвращения атак с усилением. Решение curator защита от ddos обеспечивает фильтрацию вредоносного трафика, поддерживает стабильность бизнес‑процессов и сохраняет доступность ресурсов даже при высоких нагрузках.