Что представляют собой DDoS-атаки уровней L3 и L4

Понятие DDoS-атак L3–L4

Распределённая атака типа отказ в обслуживании (DDoS) — это целенаправленное воздействие на ИТ-инфраструктуру, при котором сервер, сеть или сервис выводятся из строя за счёт перегрузки вредоносным трафиком. Такой трафик формируется множеством синхронизированных источников и приводит к исчерпанию ресурсов цели либо её сетевого окружения.

DDoS-атаки уровней L3 и L4 фокусируются на нижних уровнях модели OSI — сетевом (Layer 3) и транспортном (Layer 4). Их ключевая задача заключается в истощении пропускной способности и вычислительных ресурсов сетевой инфраструктуры, что делает сервис недоступным для легитимных пользователей.

Если упростить, атаки L3 в первую очередь затрагивают базовые сетевые устройства — маршрутизаторы и коммутаторы, тогда как атаки L4 нацелены на stateful-оборудование: серверы, балансировщики и межсетевые экраны.

Протоколы уровней L3 и L4 в модели OSI

Наиболее часто при DDoS-атаках L3–L4 задействуются следующие протоколы:

IP (Internet Protocol) — фундаментальный протокол, обеспечивающий доставку пакетов между узлами сети на основе IP-адресов.

ICMP (Internet Control Message Protocol) — служебный протокол, используемый для диагностики сети и передачи сообщений об ошибках (ping, traceroute).

TCP (Transmission Control Protocol) — протокол с установлением соединения, обеспечивающий надёжную и упорядоченную передачу данных.

UDP (User Datagram Protocol) — протокол без установления соединения, ориентированный на минимальные задержки и высокую скорость передачи.

Механизм работы DDoS-атак L3–L4

Атаки сетевого уровня (L3) генерируют огромные объёмы IP-трафика и воздействуют на stateless-устройства, не отслеживающие состояние соединений. Для этого применяются ботнеты, а также методы отражения и усиления трафика (reflection и amplification). На практике злоумышленники часто комбинируют несколько техник одновременно.

Атаки транспортного уровня (L4) направлены на оборудование, которое отслеживает состояние соединений — серверы и системы сетевой безопасности. Нередко встречаются комбинированные атаки, одновременно затрагивающие оба уровня модели OSI.

Перегрузка инфраструктуры приводит к задержкам и потерям легитимных пакетов, снижению производительности сети, деградации сервисов и, в критических случаях, к полной недоступности ресурсов.

Основные типы DDoS-атак уровней L3 и L4

На практике атаки редко применяются поодиночке и часто используются в комплексе. Наиболее распространённые из них:

IP Fragmented Flood

Атака использует механизм фрагментации IP-пакетов. Злоумышленник отправляет большое количество фрагментированных пакетов, вынуждая систему тратить ресурсы на их сборку и обработку, что приводит к перегрузке.

DNS Amplification

Несмотря на то что DNS относится к прикладному уровню, DNS amplification считается сетевой атакой. Атакующий использует открытые DNS-резолверы для отправки запросов с подменённым IP-адресом жертвы. В ответ серверы возвращают значительно больший объём данных, многократно усиливая трафик в сторону цели.

ICMP Flood (Ping Flood)

Массовая отправка ICMP Echo-запросов заставляет систему отвечать на каждый из них, перегружая как входящий, так и исходящий канал и исчерпывая сетевые ресурсы.

TCP Flood

Цель атаки — перегрузка сервера огромным количеством TCP-запросов на установление соединений, в результате чего легитимные подключения перестают обслуживаться.

SYN Flood

Эксплуатирует процесс TCP-handshake. Сервер получает множество SYN-запросов, но соединение не завершается, из-за чего накапливаются полуоткрытые сессии и истощаются ресурсы. К родственным атакам относятся SYN-ACK flood и ACK flood.

UDP Flood

Атакующий отправляет UDP-пакеты на случайные порты сервера. Система вынуждена проверять каждый порт и формировать ICMP-ответы о недоступности, что приводит к значительной нагрузке на сеть и процессор.

Воздействие DDoS-атак на бизнес

Успешные DDoS-атаки способны нанести компании ощутимый ущерб по нескольким направлениям.

Финансовые потери

Простой сервисов напрямую влияет на выручку, а восстановление инфраструктуры требует дополнительных затрат. Возможны штрафы со стороны регуляторов, компенсации клиентам и выплаты выкупа при DDoS-вымогательстве.

Операционные риски

Нестабильная работа сети нарушает бизнес-процессы, снижает эффективность сотрудников и требует отвлечения ИТ-ресурсов на ликвидацию последствий атаки.

Репутационный ущерб

Сбои в работе сервисов подрывают доверие пользователей. Публичное освещение инцидента может негативно сказаться на имидже бренда и долгосрочных деловых отношениях.

Методы защиты от DDoS-атак L3–L4

Один из самых простых способов реагирования — blackholing, при котором трафик с определённых IP-диапазонов перенаправляется в «чёрную дыру». Метод позволяет быстро снизить нагрузку, но блокирует и легитимных пользователей, поэтому подходит только как крайняя мера.

Rate limiting ограничивает количество запросов с одного IP-адреса. Такой подход малоэффективен против распределённых атак с тысячами источников и может негативно влиять на добросовестный трафик при жёстких лимитах.

Фильтрация трафика является более точным методом, однако требует сложных механизмов анализа и высокой масштабируемости, чтобы выдерживать крупные атаки без потери производительности.

Наиболее надёжным решением считается распределённая сеть очистки трафика, при которой весь входящий поток перенаправляется в специализированные центры. Там он анализируется, вредоносные пакеты отсекаются, а чистый трафик передаётся к защищаемому ресурсу. Такие сети обладают высокой пропускной способностью и используют современные алгоритмы защиты.

CURATOR.ANTIDDOS предоставляет комплексную защиту от DDoS атак на уровнях L3–L4 и L7 на базе распределённой сети из 18 центров очистки по всему миру. Решение работает в режиме постоянной защиты и использует архитектуру BGP Anycast для равномерного распределения трафика, его мониторинга и фильтрации в реальном времени. Облачная инфраструктура CURATOR.ANTIDDOS позволяет эффективно нейтрализовать DDoS-атаки любого масштаба при минимальных затратах для клиентов.