В сфере сетевых угроз отдельное место занимают атаки, нацеленные на транспортный уровень. Речь о разновидностях DDoS, эксплуатирующих пакеты SYN, SYN-ACK и ACK. Каждая из них воздействует на определенный этап установки TCP-соединения. Результат един — целевая система перестает обрабатывать запросы реальных пользователей, а бизнес несет потери.
Подобные угрозы бьют по оборудованию, отслеживающему состояние сессий. В зоне риска — серверы и межсетевые экраны. Злоумышленник стремится исчерпать ресурсы обработки входящих запросов. Это классические L4-атаки, хотя при больших объемах трафика страдают и устройства уровня L3 (маршрутизаторы, коммутаторы). В таком случае говорят о комбинированной угрозе L3-L4. Для бизнеса это означает, что без профессиональной защиты один инцидент может парализовать всю операционную деятельность.
TCP-рукопожатие в трех шагах
Прежде чем передавать данные по TCP, клиент и сервер обязаны согласовать соединение. Этот процесс выглядит так:
1. Клиент отправляет пакет с флагом SYN. Это сигнал к началу диалога.
2. Сервер отвечает связкой SYN-ACK, подтверждая готовность к обмену.
3. Клиент присылает ACK — соединение считается установленным.
Только после этого стартует передача полезной нагрузки. Уязвимость каждого из трех этапов позволяет организовывать атаки, которые напрямую бьют по доступности коммерческих сервисов.
Как именно работает SYN Flood
Самый прямой способ атаки — ботнет рассылает поток SYN-пакетов с разных IP. Целевой сервер честно отвечает SYN-ACK на каждый и замирает в ожидании завершающего ACK. Но атакующий его не отправляет. Сервер держит тысячи полуоткрытых соединений, пока не исчерпает память и процессорные ресурсы.
Более изощренный вариант — подмена обратного адреса в SYN-запросе. Сервер шлет SYN-ACK на несуществующий или случайный IP, не получает ответа, но продолжает удерживать соединение. Результат идентичен: легитимный трафик блокируется. Для коммерческого сайта это означает остановку продаж, потерю клиентов и падение в поисковой выдаче.
Именно такие атаки эффективно отражает CURATOR. Сервис перехватывает и фильтрует вредоносный трафик на подлете, не допуская его до инфраструктуры компании. В результате бизнес получает чистый трафик без простоев и потерь выручки.
Сценарий SYN-ACK Flood
Здесь злоумышленник меняет вектор. Вместо SYN-запросов в ход идут поддельные SYN-ACK-пакеты. Получатель вынужден тратить вычислительные мощности на проверку: относится ли каждый такой пакет к реальному соединению? Поскольку настоящих связей нет, все проверки бесполезны. Система перегружается и перестает отвечать.
Для бизнеса последствия одинаково тяжелы независимо от типа атаки: недоступность онлайн-кассы, срыв транзакций, уход клиентов к конкурентам. Финансовый ущерб нарастает с каждой минутой простоя.
Сценарий ACK Flood
Аналогичный принцип, но с пакетами ACK. Сервер получает шквал поддельных подтверждений. Задача системы — сопоставить их с ранее отправленными SYN-ACK. Не найдя соответствий, устройство продолжает безуспешные попытки анализа, пока не исчерпает ресурсы. В такой ситуации надежная защита от ddos становится не технической опцией, а бизнес-необходимостью, напрямую влияющей на выручку и непрерывность сервиса.
Атака усиления SYN-ACK (amplification/reflection)
Хотя классические amplification-атаки чаще ассоциируют с UDP, TCP тоже подвержен этому методу. Злоумышленник подменяет обратный IP в SYN-запросах, подставляя адрес жертвы, и рассылает эти запросы тысячам легитимных серверов по всему миру. Те, следуя протоколу, отправляют SYN-ACK по указанному адресу — то есть жертве. Эффект усиливается, если серверы настроены некорректно и генерируют не один, а несколько ответов.
В итоге жертва получает лавину отраженных SYN-ACK-пакетов. Дальше атака развивается как обычный SYN-ACK Flood. Здесь требуется защита, способная выявлять отраженный трафик и гасить его на подлете. Без такого решения даже крупный бизнес может оказаться в ситуации многодневного простоя.
Прямое влияние на бизнес: цифры и риски
Особенно уязвимы проекты с высокой маржинальностью транзакций — электронная коммерция, финтех, онлайн-игры. Час простоя в пиковый период обходится в миллионы рублей недополученной выручки. Клиенты уходят к конкурентам и возвращаются редко.
Финансовые сервисы рискуют не только прямыми убытками, но и санкциями регуляторов за недоступность критически важных систем.
После атаки бизнес теряет дни продуктивной работы ИТ-команды, которая вместо развития занимается восстановлением. Самый долгосрочный ущерб — репутационный: клиенты не доверяют сервису, который регулярно «лежит».
Методы противодействия L3-L4 атакам: что может бизнес
· Blackholing — полное отключение целевого IP. Легитимный трафик блокируется вместе с атакующим. Для бизнеса это равноценно добровольному простою.
· Rate limiting — ограничение частоты запросов с одного IP. Против ботнетов метод бессилен, а слишком низкий порог отсекает реальных покупателей.
· Фильтрация собственными силами требует дорогостоящих алгоритмов и оборудования. Малый и средний бизнес не может себе этого позволить.
· Центры очистки — единственное масштабируемое решение. Трафик уходит на внешние площадки, где фильтруется вредоносная нагрузка. Бизнес получает защиту без капитальных затрат на свою инфраструктуру.
Именно на такой архитектуре строится профессиональная anti ddos защита. Глобальная сеть центров очистки, BGP Anycast и прямые стыки с Tier-1 операторами позволяют распределять нагрузку и фильтровать угрозы в реальном времени. Облачная инфраструктура способна отражать атаки любых объемов. Модель оплаты по факту использования означает, что бизнес платит только за реально отраженный трафик, а не за простаивающие мощности. Это делает надежную защиту доступной для компаний с любым бюджетом.
