DDoS-атаки уровня L7: что это и почему они опасны

Определение DDoS-атак прикладного уровня

Распределённая атака типа «отказ в обслуживании» (DDoS) — это преднамеренное воздействие на ИТ-систему, цель которого — нарушить работу сервера, сети или веб-приложения. Для этого злоумышленники используют большое количество синхронизированных источников, генерирующих вредоносный трафик и перегружающих целевой ресурс либо связанную с ним инфраструктуру.

Особое место среди подобных угроз занимают DDoS-атаки уровня L7, также называемые атаками на уровне приложений. Они нацелены на верхний уровень модели OSI, где работают веб-приложения и бизнес-логика сервисов. В отличие от атак на сетевом (L3) и транспортном (L4) уровнях, которые в первую очередь воздействуют на маршрутизаторы, каналы связи и межсетевые экраны, L7-атаки бьют напрямую по серверам приложений.

Главная сложность таких атак заключается в том, что вредоносные запросы выглядят как обычная пользовательская активность. Кроме того, для вывода приложения из строя атакующему зачастую не требуется высокий объём трафика — достаточно грамотно сформированных запросов.

Протоколы прикладного уровня модели OSI

Хотя прикладной уровень включает десятки различных протоколов, в контексте L7 DDoS-атак наибольшее значение имеют HTTP и HTTPS — фундаментальные протоколы работы веб-приложений.

·      HTTP (Hypertext Transfer Protocol) — базовый протокол Всемирной паутины, определяющий правила обмена данными между браузером и веб-сервером.

·      HTTPS (Hypertext Transfer Protocol Secure) — защищённая версия HTTP, использующая криптографическое шифрование для безопасной передачи данных.

Отдельно стоит отметить DNS и NTP. Несмотря на то, что они также относятся к прикладному уровню OSI, в DDoS-сценариях эти протоколы чаще используются в атаках с отражением и усилением, направленных на перегрузку сетевой инфраструктуры. Поэтому такие атаки классифицируются как L3 DDoS, а не L7.

Принципы работы DDoS-атак уровня L7

Эффективность атак на прикладном уровне обусловлена высокой ресурсоёмкостью обработки HTTP- и HTTPS-запросов. Анализ HTTP-заголовков, выполнение бизнес-логики приложения и, в случае HTTPS, операции расшифровки требуют значительных вычислительных ресурсов.

Дополнительную сложность создаёт сходство вредоносного трафика с легитимным. В случае HTTPS без расшифровки трафика практически невозможно определить, является ли запрос атакующим или пришёл от реального пользователя.

Цель L7-атаки — максимально загрузить серверные ресурсы, замедлив работу веб-приложения или полностью лишив пользователей доступа к сервису.

Для этого применяются разные подходы:

·      генерация большого числа бессмысленных HTTP/HTTPS-запросов;

·      отправка небольшого количества специально сконструированных запросов, эксплуатирующих особенности протоколов или приложения;

·      имитация активности тысяч «пользователей», чьи запросы формально корректны, но не несут бизнес-ценности и создают серьёзную нагрузку.

Основные типы DDoS-атак на уровне приложений

С практической точки зрения L7 DDoS-атаки можно условно разделить на три категории: медленные HTTP-атаки, масштабные атаки с применением ботнетов и атаки, связанные с хактивизмом.

Медленные HTTP-атаки (Low and Slow)

Данный тип атак использует особенности HTTP-протокола, позволяя перегружать сервер при минимальном трафике со стороны атакующего.

·      Slowloris — инструмент, который открывает HTTP-соединения и крайне медленно отправляет заголовки, не завершая запросы. Сервер вынужден удерживать эти соединения, что со временем приводит к исчерпанию доступных ресурсов.

·      R.U.D.Y. (R U Dead Yet) — атака, при которой сервер удерживает открытые POST-запросы, получая данные веб-форм небольшими фрагментами с нерегулярными паузами. Это блокирует обработку легитимных запросов и снижает доступность сервиса.

Масштабные атаки с использованием ботнетов

Наиболее мощные L7-атаки реализуются с помощью ботнетов — сетей из заражённых устройств, генерирующих огромные объёмы HTTP/HTTPS-запросов.

·      Mēris — крупный ботнет, включавший до 200 000 заражённых маршрутизаторов MikroTik. Он участвовал в серии масштабных атак, включая атаку на Google в 2022 году с пиковыми значениями до 46 миллионов запросов в секунду.

·      Mantis — ботнет из примерно 5000 скомпрометированных серверов и виртуальных машин. Несмотря на относительно небольшой размер, он демонстрировал высокую эффективность. Во время атаки на Cloudflare в 2022 году интенсивность достигала 26 миллионов запросов в секунду.

Хактивизм

Значительная доля L7 DDoS-атак инициируется хактивистскими группами, использующими кибератаки как инструмент идеологического давления. Такие атаки часто комбинируют различные техники — от slow HTTP до ботнетов и массовых «ручных» запросов от сторонников движения.

Опасность усугубляется тем, что DDoS-атаки хактивистов нередко сопровождаются взломами, утечками данных и другими видами киберпреступлений.

Классический пример — атака на Sony PlayStation Network в декабре 2014 года, организованная группой Lizard Squad. Инцидент произошёл в праздничный период и был нацелен на демонстрацию уязвимостей даже у крупных сервисов.

Влияние L7 DDoS-атак на бизнес

Атаки на уровне приложений способны нанести компании комплексный ущерб.

Финансовые потери
Недоступность веб-приложений приводит к прямым убыткам и затратам на восстановление. Дополнительно возможны штрафы, компенсации клиентам и выплаты выкупа, поскольку DDoS всё чаще используется в рамках вымогательства.

Операционные риски
Простой сервисов нарушает бизнес-процессы, снижает продуктивность сотрудников и требует срочного перераспределения ресурсов для ликвидации инцидента.

Репутационный ущерб
Сбои в работе подрывают доверие пользователей и партнёров. Негативная публичность и ощущение ненадёжности сервиса могут привести к оттоку клиентов и потере рыночных позиций.

Подходы к защите от DDoS-атак уровня L7

Существует несколько основных моделей защиты от атак на прикладном уровне.

Локальная (on-premise) защита
Предполагает использование анти-DDoS-решений внутри собственной инфраструктуры. Такой подход обеспечивает полный контроль, но требует высококвалифицированной команды и ограничен вычислительными ресурсами, что снижает эффективность против масштабных и сложных L7-атак.

Защита со стороны телеком-операторов
Провайдеры связи хорошо справляются с атаками L3–L4, однако значительно менее эффективны на уровне приложений. Кроме того, зависимость от одного оператора создаёт единую точку отказа.

Облачная защита от DDoS
Наиболее результативный вариант для противодействия L7-атакам. Облачные провайдеры размещают центры очистки трафика в ключевых узлах подключения к Tier 1 и крупным региональным операторам. При отказе одного центра трафик автоматически перенаправляется в другие точки, обеспечивая отказоустойчивость и масштабируемость.

Центры фильтрации анализируют трафик на всех уровнях модели OSI и используют продвинутые алгоритмы для выявления даже сложных атак на уровне приложений.