Массированные ddos атаки. Самая мощная DDoS атака в мире и кто такой Брайан Кребс? Ddos-атаки на сервер - что это такое

Сегодня давайте попытаемся прояснить ситуацию вокруг Ddos-атак на сервер. Все таки данная проблема реально пересекается с темой хостинга как такового.

Штука довольно-таки неприятная. Представьте, установил я вчера новенький плагин на свой wordpress и вдруг через какое-то время, бац! - блог в браузере перестает открываться. Причем другие сайты в то же самое время прекрасно серфятся. Мысли лезут - чего-то напортачил с плагином. Много раз жму на перезагрузку страницы и ничего! Потом, правда заработало, но несколько неприятных минут пришлось пережить.

А сегодня в почте вижу письмецо от техподдержки ТаймВэб. Скрывать не буду, хостинг я там беру. Да и чего скрывать, достаточно ввести адрес сайта в Whois.
Письмо такое:

"Уважаемые пользователи.
Сегодня, 02 декабря 2011 года в 16:32 по Московскому времени, на технологическую площадку TIMEWEB, началась массированная DDOS атака, которая нарушила работу некоторых сайтов и серверов.
Инженеры TIMEWEB взяли ситуацию под контроль и уже к 18:45 стабильная работа площадки была полностью восстановлена. .."

Решил я разобраться откуда берутся Ddos-атаки на сервер и что это, вообще, такое. И вот, что нарыл.

Ddos-атаки на сервер - что это такое?

Во-первых, заглянем в Вики, куда ж без нее:

DOS-АТАКА (от англ. Denial of Service , отказ в обслуживании ) - атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к захвату контроля над системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDOS-АТАКЕ (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Итак, с одной стороны имеется объект атаки - некий сервер или сайт, а с другой стороны, группа злоумышленников, организующих Ddos-атаку на объект нападения.

Какие цели преследуют организаторы Ddos-атаки?

Одной из самых безобидных причин становится банальное кибер-хулиганство. Дело усугубляется тем, что большинство программ для организации атак находится в свободном доступе в сети Интернет.

Более серьезные Ddos-атаки порождает недобросовестная конкуренция. Цели тут ставятся разные - обрушить сервер конкурента, тем самым нарушая работу соперника, да плюс к этому создать конкуренту отрицательный имидж на рынке. Возможен также взлом сервера, так как при массированной атаке могут проскочить на всеобщее обозрение кусочки информации в виде программных кодов.

Еще, используя метод Ddos-атаки, различные Ddos-группировки могут заявлять о своем существовании или выставлять требования, ультиматумы хозяевам серверов.

Вот некоторые примеры Ddos-атаки на сервер , которые я нашел в Луркоморье:

• ООФР (Организация Объединенных Фагов России), в которую входят следующие мем-группировки: Лепрозорий Суеверный, Падшая часть ЖЖ и во главе, конечно же, Упячка.

Главными жертвами ООФР стали:

1. www.mail.ru (за проект ЖУКИ),
2. www.gay.com (за то что гей),
3. www.4chan.org (за оскорбления бога «Онотоле»),
4. www.wikipedia.org (за статью про УПЧК, в которой было оскорбление в сторону котов (Котэ), не снятое модератором в течение месяца)

Многие организации, работающие в области защиты от Ddos-атак, несмотря на достижения в этой сфере, все же признают растущую опасность угрозы, в основном по причине простоты организации атак.

ПОДВЕДЕМ НЕБОЛЬШОЙ ИТОГ:

Нас, рядовых пользователей Интернета, больше всего должно интересовать, как дело защиты от кибер-атак поставлено у тех хостеров, где мы арендуем хостинг для своих детищ - сайтов. Как видим в конкретном случае TimeWeb с проблемой справился и довольно быстро. Второй ему плюс вручаю за то, что известил меня об этом по почте.

Кстати, недавно я устроил TimeWeb еще один простенький тест.

На сегодня о Ddos-атаках все.

Скоро поговорим о том, какие они бывают и как организуется защита от кибер-атак.

Брайан Кребс когда-то работал в The Washington Post, вёл для них расследования об интернет безопасности. Позже журналист уволился, чтобы открыть собственный блог. Специализацию экс-журналист не поменял, за что в сентябре и поплатился, когда раскрыл афёру двух израильских подростков..

Итак, Брайан Кребс занимался своим привычным делом, расследовал интернет -преступления. К этому времени в его списке раскрытых дел значилось дело о вирусе Stuxnet, который собирал данные с домашних компьютеров и промышленных предприятий. Кребс был первым, кто публично рассказал о вирусе ещё в 2010 году. Тремя годами позднее Брайан раскрыл человека, который продавал информацию о картах покупателей магазинов Target. Месть интернет - преступников была специфичной, к нему домой вызвали полицейских.

Так что думается, Брайан понимал, на что способны хакеры, правда возможные масштабы вряд ли мог представить, когда в сентябре опубликовал пост об израильских подростках, занимавшихся DDoS-атаками. В этот же день хакеров арестовали, но позднее отпустили под залог. Совпадение или нет, но с этого момента сайту Брайана пришлось отбиваться от серьёзной DDoS-атаки, с которой не справилась одна из ведущих компаний по обеспечению интернет-безопасности. Akamai четыре года безвозмездно обеспечивала защиту блога Кребса от DDoS-атак. В своей публикации специалист по интернет – безопасности рассказал о сервисе vDOS, который по официальной версии тестировал нагрузки на сайты, но на самом деле нарушал их работу. По примерной оценке, создателям сервиса удалось присвоить порядка 600 тысяч долларов.

Помощникам Кребса удалось скачать базы данных, с помощью которых были установлены настоящие адреса серверов в Болгарии, с которых велись DDoS-атаки. Как вы понимаете, хакеры заинтересованы в сокрытии своих реальных IP-адресов. Проанализировав данные, Брайану удалось установить имена и даже номера телефонов жителей Израиля, которые могли быть владельцами сервиса.

Позднее стало известно, что день публикации поста были арестованы двое подростков, но которые вскоре вышли на свободу. А уже 10 сентября у сайта Брайана Кребса начались проблемы. На максимуме мощность атаки достигала 140 гигабит в секунду. Обиженные хакеры не преминули оставить Кребсу сообщения «идисдохнимудак» («godiefaggot»). На какое-то время блог даже прекратил работу, но специалисты Akamai сумели его восстановить. Но атаки на этом не прекратились. А к 20 сентября её мощность составила уже 665 гигабит в секунду. Akamai вынуждена была отказаться от сопровождения блога Кребса, чтобы обеспечить безопасность платным подписчикам. Мощность атаки, которой подвергся сайт, была в два раза больше, чем специалистам Akamai приходилось до сих пор наблюдать. Некоторые журналисты и вовсе сошлись во мнении, что это крупнейшая атака за всю историю интернета. Например, в начале 2016 года сайт «Би-Би-Си» подвергся атаке мощностью 602 гигабита в секунду. Несколькими месяцами позднее рекорд был побит.

Видимо, пост Кребса задел злоумышленников за живое. Атака велась с помощью IP-камер, роутеров и других «интернет вещей», на которые пользователи устанавливают стандартные пароли. Хакеры даже не пытались замести следы и засветили адреса большинства устройств, которые еще могли быть использованы для других финансовых атак. Опять таки, не стали мудрить со словоформами. Ник одного из создателей vDOC – AppleJ4ck можно было прочитать в некоторых POST-запросах атаки, содержащих строку «freeapplej4ck». Только вмешательство Google позволило восстановить сайт с расследованиями Кребса. Project Shield интернет-гиганта как раз защищает сайты независимых журналистов и СМИ от кибер - атак.

А в первой публикации, после восстановления сайта, Брайан Кребс рассуждал о цензуре в интернете. Эффективные инструменты есть не только у государства, но и у преступников. DDoS атаки могут быть серьезной преградой для независимых расследований в условиях современной рыночной экономики. Не у всех медиа есть бюджет в 200 тысяч долларов для кибер защиты.

Ошибка в тексте? Выделите ее мышкой! И нажмите: Ctrl + Enter

Андрей Головачев напомнил на своей странице в «Фейсбук», что политическая карьера всех украинских президентов заканчивалась катастрофой. По словам политического эксперта, Леонид Кучма получил под

Около полугода назад общественность узнала о том, что у известной российской актрисы Анастасии Заворотнюк была обнаружена злокачественная опухоль головного мозга. По состоянию на сегодняшний день нет

Обсуждая обеспокоенность президента Владимира Зеленского во время визита в Ватикан, некоторые обозреватели отметили, что это первый подобный случай в истории, когда в Собор Святого Петра чиновники

Эта организация кроме осуществления регистрации доменных имен в зоне.tr также предоставляет магистральную связь турецким вузам. Ответственность за атаку взяли на себя хактивисты Anonymous, обвиняющие турецкое руководство в поддержке ИГИЛ.

Первые признаки DDoS проявились утром 14 декабря, к полудню пять серверов NIC.tr сдались под натиском мусорного трафика мощностью до 40 Гбит/с. Также проблема затронула координационный центр RIPE, обеспечивающий альтернативную NS-инфраструктуру NIC.tr. Представители RIPE отметили, что атака была модифицирована таким образом, чтобы обойти средства защиты RIPE.

Масштабные DDoS-атаки становятся самым действенным способом прервать работу веб-сервисов - стоимость атак постоянно снижается, что позволяет увеличивать мощность: всего за два года средняя мощность DDoS-атаки выросла вчетверо и составляет 8 Гбит/с. Относительно средних значений атака на национальную доменную зону Турции выглядит внушающе, но эксперты подчеркивают, что DDoS-атаки уровня 400 Гбит/с скоро станут нормой.

Уникальность турецкой атаки состоит в том, что злоумышленники выбрали правильную цель: сконцентрировавшись на сравнительно малом количестве IP-адресов, они смогли практически вывести из строя инфраструктуру целой страны при помощи всего лишь 40-гигабитной атаки.

Турецкий национальный центр реагирования на киберинциденты заблокировал весь трафик, поступающий на сервера NIC.tr из других стран, из-за чего все 400 тыс. турецких сайтов стали недоступными, а все сообщения электронной почты вернулись отправителям. Позже центр решил сменить тактику, проводя выборочную блокировку подозрительных IP-адресов. DNS-сервера доменов в зоне.tr были переконфигурированы, чтобы распределить запросы между публичными и приватными серверами, в чем помогли турецкие интернет-провайдеры Superonline и Vodafone.

Атакованные домены вернулись онлайн в тот же день, однако многие сайты и почтовые сервисы еще несколько дней работали с перебоями. Пострадали не только местные компании и правительственные организации, но также многие национальные веб-ресурсы, выбравшие доменное имя в зоне.tr; в совокупности это около 400 тыс. веб-сайтов, 75% которых являются корпоративными. Турецкий национальный домен также используют образовательные учреждения, муниципалитеты и военные.

Пока «анонимусы» не выступили с заявлением, многие винили в DDoS-атаке россиян - из-за напряженных отношений между Турцией и Россией. В свое время российских хакеров по аналогичным причинам подозревали в причастности к масштабным кибератакам на Эстонию (2007), Грузию (2008) и Украину (2014). Некоторые эксперты сочли турецкую DDoS ответом россиян на DDoS-атаку турецких кибергруппировок на российский новостной сайт «Спутник».

Заявление Anonymous лишило гипотезу о «российском следе» основания. Хактивисты также грозят атаковать турецкие аэропорты, банки, серверы правительственных структур и военных организаций, если Турция не перестанет помогать ИГИЛ.

Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, зафиксировала факт высокоскоростных DDoS-атак на крупнейшие веб-ресурсы с использованием техники амплификации на основе memcache (программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы).

С 23 по 27 февраля 2018 года по всей Европе прокатилась волна memcache амплифицированных DDoS-атак. Техника такой атаки заключается в прослушивании злоумышленниками UDP-трафика при условии установки параметров memcache по умолчанию, то есть фактически используется UDP-флуд – отправка множества поддельных UDP-пакетов в единицу времени от широкого диапазона IP-адресов.

Проблемы с безопасностью memcache известны как минимум с 2014 года, однако в 2018 году эта уязвимость проявилась особенно ярко: в ночь с 25 на 26 февраля специалисты Qrator Labs наблюдали ряд memcache амплифицированных DDoS-атак по всему интернету, включая атаки на крупнейшие в России сетевые ресурсы.

В 2017 году группа исследователей из китайской OKee Team рассказала о возможности организации подобных атак, указав на их потенциально разрушительную мощность.

За прошедшие несколько дней множество источников подтвердили факт атаки амплифицированными ответами от memcache ресурсов, с вкраплениями ответов от DNS и NTP. Источниками этих spoofed-атак стал крупный провайдер OVH и большое количество меньших интернет-провайдеров и хостеров.

Один из клиентов компании Qrator Labs – платежная система QIWI подтверждает факт успешно нейтрализованной атаки полосой 480 Гбит/сек UDP трафика по своим ресурсам от скомпрометированных memcache амплификаторов.

«Современные техники осуществления DDoS-атак не стоят на месте. Все чаще мы фиксируем появление новых «брешей» в инфраструктуре интернета, которыми с успехом пользуются злоумышленники для реализации нападений. Атаки с использованием memcache, скорость которых достигала нескольких сотен Гб/с, стали тому подтверждением, - комментирует генеральный директор и основатель Qrator Labs Александр Лямин. - Уязвимых memcache ресурсов в интернете огромное количество, и мы настоятельно рекомендуем техническим специалистам производить корректную настройку memcache, не забывая об установках по умолчанию. Это поможет избежать прослушивания всего UDP-трафика, отправляемого на сервер, и снизить вероятность проведения DDoS-атак».

О компании Qrator Labs

Qrator Labs – номер один в области противодействия DDoS в России (согласно отчету IDC Russia Anti-DDoS Services Market 2016–2020 Forecast and 2015 Analysis). Компания основана в 2009 году и предоставляет услуги противодействия DDoS-атакам в комплексе с решениями WAF (Web Application Firewall), организованными по технологии партнёрской компании Wallarm. Для эффективного противодействия DDoS-атакам Qrator Labs использует данные собственного сервиса глобального мониторинга интернета Qrator.Radar. Сеть фильтрации Qrator построена на узлах, расположенных в США, России, ЕС и Азии, что наряду с собственными алгоритмами фильтрации является конкурентным преимуществом компании.

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

• MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
• ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
• SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
• UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
• HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.

Как защититься от флуда

• Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
• Ограничить или запретить обработку эхо-запросов ICMP.
• Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
• Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
• Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
• Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
• Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
• Расширить пропускную способность сетевого канала.
• По возможности выделить отдельный сервер для обработки криптографии (если используется).
• Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

• Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
• То же самое, только заполнять накопитель будут логи сервера.
• Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
• Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
• Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.

Как защититься от перегрузки аппаратных ресурсов

• Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
• Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
• Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
• Хранить лог-файлы сервера на отдельном накопителе.
• Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

• Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
• Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
• Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
• Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
• Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

• Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
• Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
• Объем трафика на один или несколько портов увеличивается в разы.
• Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
• Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.