Layer 4 (Transport Layer) атаки
Додано: 22 травня 2026, 00:25
Попередження: Ця інформація надається виключно з освітньою метою. Здійснення
DDoS-атак є кримінальним злочином у більшості країн світу.
Категорія 1: Атаки відбиття та ампліфікації (Reflection & Amplification)
Ці атаки використовують вразливі UDP-сервіси, які за замовчуванням відповідають
на запити даними, що значно перевищують розмір самого запиту.
1. MEM (Memcached)
Механіка: Використовує протокол Memcached (порт 11211). Атакуючий надсилає
маленький запит (наприклад, команду get) на публічно доступний
Memcached-сервер від імені IP-адреси жертви. Для чого: Для створення атак з
найвищим коефіцієнтом підсилення (до 50,000x). Відмінності: Найпотужніший
метод ампліфікації. На відміну від DNS, Memcached може повертати величезні
обсяги кешованих даних у відповідь на крихітний запит, що дозволяє вивести з
ладу навіть великі мережі за допомогою невеликого ботнету.
2. NTP (Network Time Protocol)
Механіка: Експлуатує команду monlist на старих NTP-серверах. Атакуючий надсилає
запит на сервер, вказуючи IP жертви. Сервер надсилає список останніх 600
клієнтів, що підключалися до нього. Для чого: Для "забивання" каналу
жертви трафіком, який виглядає як легітимна відповідь сервера часу.
Відмінності: Метод дуже стабільний, оскільки NTP-сервери розраховані на
швидку відповідь. Ефективність залежить від наявності "старих" серверів у
мережі, які досі підтримують вразливі функції.
3. DNS (DNS Amplification)
Механіка: Атакуючий генерує UDP-запити до відкритого DNS-резолвера, запитуючи
великі записи (наприклад, DNSSEC або ANY). Для чого: Перевантаження
мережевого інтерфейсу жертви через спрямування великої кількості
великих DNS-відповідей на її IP. Відмінності: Це один із найстаріших і
найпоширеніших методів. Його важче відфільтрувати, ніж NTP, оскільки
DNS-трафік є критично важливим для роботи більшості сервісів, тому його не
можна просто повністю заблокувати.
4. CLDAP (Connection-less LDAP)
Механіка: Атака на порт UDP 389. CLDAP дозволяє виконувати запити до каталогів
без встановлення повноцінного TCP-з'єднання. Для чого: Використовується для
ампліфікації трафіку (коефіцієнт близько 50x-70x). Відмінності: Оскільки LDAP
часто використовується в корпоративних мережах для авторизації, багато
адміністраторів залишають порти відкритими, не підозрюючи про
вразливість перед DDoS.
5. ARD (Apple Remote Desktop)
Механіка: Використовує вразливість у протоколі Apple Remote Desktop (порт 3283).
Атакуючий надсилає запит, змушуючи сервер відправити відповідь на IP жертви. Для
чого: Вузькоспеціалізована атака проти інфраструктур, де адміністратори
налаштували віддалене керування комп'ютерами Mac без належного захисту
фаєрволом. Відмінності: Рідкісний метод, який часто обходить базові правила
фільтрації, оскільки адміністратори рідко очікують атаки через цей протокол.
6. CHAR (Character Generator Protocol)
Механіка: Протокол CHARGEN генерує нескінченний потік символів при отриманні
будь-якого пакету. Для чого: Атака "петля" (loop). Якщо направити відповідь
від сервера на інший сервер з активним CHARGEN, вони почнуть генерувати
нескінченний трафік, доки не "впаде" канал. Відмінності: Застарілий
метод, який зараз майже не зустрічається через масове відключення сервісу
CHARGEN на сучасних пристроях.
7. RDP (Remote Desktop Protocol)
Механіка: Використання UDP-рефлексії для протоколу віддаленого робочого столу
Windows. Для чого: Навантаження каналу зв'язку жертви за допомогою відповідних
пакетів RDP. Відмінності: Використовується проти серверів, на яких активовано
RDP через UDP (для покращення швидкості передачі зображення). Ефективний для
атаки на офісні мережі.
Категорія 2: Атаки вичерпання ресурсів (State Exhaustion)
Методи, що спрямовані не на обсяг трафіку, а на вичерпання внутрішніх таблиць
пристроїв (Firewalls, Load Balancers, Routers).
8. TCP & SYN (SYN Flood)
Механіка: Атакуючий відправляє потік SYN-пакетів. Сервер виділяє ресурси під
кожне з'єднання (TCP Handshake) і чекає на відповідь. Для чого: Заповнення
таблиці станів (connection table). Після того, як таблиця заповнена, сервер
перестає приймати нові з'єднання. Відмінності: SYN-Flood — це класика
"напіввідкритих" з'єднань. TCP-Flood — більш широкий термін, що включає
будь-яке масове відправлення TCP-пакетів для перевантаження стека TCP/IP
операційної системи.
9. CONNECTION (Connection Flood)
Механіка: Створення великої кількості повноцінних сесій (завершене
рукостискання). Для чого: Вичерпання ресурсів пам'яті (RAM/CPU) на
рівні застосунку (наприклад, Apache/Nginx), а не на рівні мережі. Відмінності:
На відміну від SYN-атак, ці з'єднання виглядають як легітимні "користувачі", що
робить їх складнішими для виявлення системами захисту, які шукають "половину"
рукостискання.
10. CPS (Connection Per Second)
Механіка: Атака спрямована на вичерпання ліміту CPS у фаєрволах або WAF. Для
чого: Перевищення здатності пристрою обробляти нові підключення в секунду.
Відмінності: Це атака на швидкість обробки пакетів, а не на їх кількість.
Навіть потужний сервер може стати недоступним, якщо пристрій захисту перед
ним не витримує навантаження на процесор через огляд кожного пакета.
Категорія 3: Прямий флуд (Volumetric)
Методи для простого "забивання" каналу.
11. UDP & ICMP
Механіка: Масована відправка "сміттєвих" UDP-пакетів або ICMP (Ping) запитів.
Для чого: Вичерпання ширини каналу (bandwidth). Відмінності: UDP не вимагає
рукостискання, тому він набагато ефективніший за TCP для простої "забивки"
каналу. ICMP-флуд сьогодні легко фільтрується на рівні маршрутизаторів
провайдера, тому його ефективність мінімальна, якщо тільки ціль не має
вкрай слабкого захисту.
12. OVH-UDP
Механіка: Специфічний формат UDP-пакетів, розроблений для обходу стандартних
систем захисту (наприклад, Game-філтри OVH). Для чого: Проникнення через
фаєрволи, які очікують певний тип пакетів. Відмінності: Це метод типу
"bypass". Атакуючий "прикидається" легітимним трафіком гри, який захист OVH
змушений пропускати до сервера.
Категорія 4: Ігрові та прикладні протоколи (Logic/Application Attacks)
Атаки на специфічні протоколи ігрових серверів.
13. VSE (Valve Source Engine)
Механіка: Надсилання запитів A2S_INFO або A2S_PLAYER. Для чого: Змушує ігровий
сервер (CS:GO, Rust, TF2) виконувати дорогі операції з підготовки відповіді.
Відмінності: Це атака на процесор (CPU). Сервер витрачає ресурси на формування
списку гравців та інформації про карту для кожного запиту, що призводить до
лагів (High Latency).
14. MINECRAFT & MCPE
Механіка: Емуляція протоколу Minecraft (Java або RakNet для Pocket Edition). Для
чого: Навантаження логіки сервера. Відмінності: Атака на Java-версію змушує
сервер обробляти Handshake, що навантажує Garbage Collector. MCPE (RakNet)
атакується через специфічні UDP-пакети цього протоколу, що призводить до
падіння потоків обробки мережі.
15. MCBOT
Механіка: Імітація великої кількості реальних гравців, що підключаються. Для
чого: Вичерпання лімітів на кількість гравців (slots), бази даних
(авторизація), або навантаження CPU. Відмінності: Це "розумна" атака.
На відміну від флуду пакетами, боти ведуть себе як користувачі, тому їх важко
відрізнити від справжніх гравців без складних систем перевірки (капчі,
антибот-плагіни).
16. FIVEM & FIVEM-TOKEN
Механіка: Атака на механізм авторизації клієнта FiveM (GTA V). Для чого: Не дати
гравцям підключитися, вичерпуючи токени сесій або перевантажуючи сервер
аутентифікації. Відмінності: Використовує специфіку архітектури FiveM.
Це не просто забивка каналу, а порушення бізнес-логіки сервера.
17. TS3 (TeamSpeak 3)
Механіка: UDP-флуд, націлений на порти TeamSpeak. Для чого: Створення критичних
затримок у передачі голосу. Відмінності: Голосові сервери надзвичайно чутливі
до Jitter та втрати пакетів. Атака, яка для вебсайту була б непомітною, для
TS3 означає, що спілкування стає неможливим ("металевий" голос, розриви).
DDoS-атак є кримінальним злочином у більшості країн світу.
Категорія 1: Атаки відбиття та ампліфікації (Reflection & Amplification)
Ці атаки використовують вразливі UDP-сервіси, які за замовчуванням відповідають
на запити даними, що значно перевищують розмір самого запиту.
1. MEM (Memcached)
Механіка: Використовує протокол Memcached (порт 11211). Атакуючий надсилає
маленький запит (наприклад, команду get) на публічно доступний
Memcached-сервер від імені IP-адреси жертви. Для чого: Для створення атак з
найвищим коефіцієнтом підсилення (до 50,000x). Відмінності: Найпотужніший
метод ампліфікації. На відміну від DNS, Memcached може повертати величезні
обсяги кешованих даних у відповідь на крихітний запит, що дозволяє вивести з
ладу навіть великі мережі за допомогою невеликого ботнету.
2. NTP (Network Time Protocol)
Механіка: Експлуатує команду monlist на старих NTP-серверах. Атакуючий надсилає
запит на сервер, вказуючи IP жертви. Сервер надсилає список останніх 600
клієнтів, що підключалися до нього. Для чого: Для "забивання" каналу
жертви трафіком, який виглядає як легітимна відповідь сервера часу.
Відмінності: Метод дуже стабільний, оскільки NTP-сервери розраховані на
швидку відповідь. Ефективність залежить від наявності "старих" серверів у
мережі, які досі підтримують вразливі функції.
3. DNS (DNS Amplification)
Механіка: Атакуючий генерує UDP-запити до відкритого DNS-резолвера, запитуючи
великі записи (наприклад, DNSSEC або ANY). Для чого: Перевантаження
мережевого інтерфейсу жертви через спрямування великої кількості
великих DNS-відповідей на її IP. Відмінності: Це один із найстаріших і
найпоширеніших методів. Його важче відфільтрувати, ніж NTP, оскільки
DNS-трафік є критично важливим для роботи більшості сервісів, тому його не
можна просто повністю заблокувати.
4. CLDAP (Connection-less LDAP)
Механіка: Атака на порт UDP 389. CLDAP дозволяє виконувати запити до каталогів
без встановлення повноцінного TCP-з'єднання. Для чого: Використовується для
ампліфікації трафіку (коефіцієнт близько 50x-70x). Відмінності: Оскільки LDAP
часто використовується в корпоративних мережах для авторизації, багато
адміністраторів залишають порти відкритими, не підозрюючи про
вразливість перед DDoS.
5. ARD (Apple Remote Desktop)
Механіка: Використовує вразливість у протоколі Apple Remote Desktop (порт 3283).
Атакуючий надсилає запит, змушуючи сервер відправити відповідь на IP жертви. Для
чого: Вузькоспеціалізована атака проти інфраструктур, де адміністратори
налаштували віддалене керування комп'ютерами Mac без належного захисту
фаєрволом. Відмінності: Рідкісний метод, який часто обходить базові правила
фільтрації, оскільки адміністратори рідко очікують атаки через цей протокол.
6. CHAR (Character Generator Protocol)
Механіка: Протокол CHARGEN генерує нескінченний потік символів при отриманні
будь-якого пакету. Для чого: Атака "петля" (loop). Якщо направити відповідь
від сервера на інший сервер з активним CHARGEN, вони почнуть генерувати
нескінченний трафік, доки не "впаде" канал. Відмінності: Застарілий
метод, який зараз майже не зустрічається через масове відключення сервісу
CHARGEN на сучасних пристроях.
7. RDP (Remote Desktop Protocol)
Механіка: Використання UDP-рефлексії для протоколу віддаленого робочого столу
Windows. Для чого: Навантаження каналу зв'язку жертви за допомогою відповідних
пакетів RDP. Відмінності: Використовується проти серверів, на яких активовано
RDP через UDP (для покращення швидкості передачі зображення). Ефективний для
атаки на офісні мережі.
Категорія 2: Атаки вичерпання ресурсів (State Exhaustion)
Методи, що спрямовані не на обсяг трафіку, а на вичерпання внутрішніх таблиць
пристроїв (Firewalls, Load Balancers, Routers).
8. TCP & SYN (SYN Flood)
Механіка: Атакуючий відправляє потік SYN-пакетів. Сервер виділяє ресурси під
кожне з'єднання (TCP Handshake) і чекає на відповідь. Для чого: Заповнення
таблиці станів (connection table). Після того, як таблиця заповнена, сервер
перестає приймати нові з'єднання. Відмінності: SYN-Flood — це класика
"напіввідкритих" з'єднань. TCP-Flood — більш широкий термін, що включає
будь-яке масове відправлення TCP-пакетів для перевантаження стека TCP/IP
операційної системи.
9. CONNECTION (Connection Flood)
Механіка: Створення великої кількості повноцінних сесій (завершене
рукостискання). Для чого: Вичерпання ресурсів пам'яті (RAM/CPU) на
рівні застосунку (наприклад, Apache/Nginx), а не на рівні мережі. Відмінності:
На відміну від SYN-атак, ці з'єднання виглядають як легітимні "користувачі", що
робить їх складнішими для виявлення системами захисту, які шукають "половину"
рукостискання.
10. CPS (Connection Per Second)
Механіка: Атака спрямована на вичерпання ліміту CPS у фаєрволах або WAF. Для
чого: Перевищення здатності пристрою обробляти нові підключення в секунду.
Відмінності: Це атака на швидкість обробки пакетів, а не на їх кількість.
Навіть потужний сервер може стати недоступним, якщо пристрій захисту перед
ним не витримує навантаження на процесор через огляд кожного пакета.
Категорія 3: Прямий флуд (Volumetric)
Методи для простого "забивання" каналу.
11. UDP & ICMP
Механіка: Масована відправка "сміттєвих" UDP-пакетів або ICMP (Ping) запитів.
Для чого: Вичерпання ширини каналу (bandwidth). Відмінності: UDP не вимагає
рукостискання, тому він набагато ефективніший за TCP для простої "забивки"
каналу. ICMP-флуд сьогодні легко фільтрується на рівні маршрутизаторів
провайдера, тому його ефективність мінімальна, якщо тільки ціль не має
вкрай слабкого захисту.
12. OVH-UDP
Механіка: Специфічний формат UDP-пакетів, розроблений для обходу стандартних
систем захисту (наприклад, Game-філтри OVH). Для чого: Проникнення через
фаєрволи, які очікують певний тип пакетів. Відмінності: Це метод типу
"bypass". Атакуючий "прикидається" легітимним трафіком гри, який захист OVH
змушений пропускати до сервера.
Категорія 4: Ігрові та прикладні протоколи (Logic/Application Attacks)
Атаки на специфічні протоколи ігрових серверів.
13. VSE (Valve Source Engine)
Механіка: Надсилання запитів A2S_INFO або A2S_PLAYER. Для чого: Змушує ігровий
сервер (CS:GO, Rust, TF2) виконувати дорогі операції з підготовки відповіді.
Відмінності: Це атака на процесор (CPU). Сервер витрачає ресурси на формування
списку гравців та інформації про карту для кожного запиту, що призводить до
лагів (High Latency).
14. MINECRAFT & MCPE
Механіка: Емуляція протоколу Minecraft (Java або RakNet для Pocket Edition). Для
чого: Навантаження логіки сервера. Відмінності: Атака на Java-версію змушує
сервер обробляти Handshake, що навантажує Garbage Collector. MCPE (RakNet)
атакується через специфічні UDP-пакети цього протоколу, що призводить до
падіння потоків обробки мережі.
15. MCBOT
Механіка: Імітація великої кількості реальних гравців, що підключаються. Для
чого: Вичерпання лімітів на кількість гравців (slots), бази даних
(авторизація), або навантаження CPU. Відмінності: Це "розумна" атака.
На відміну від флуду пакетами, боти ведуть себе як користувачі, тому їх важко
відрізнити від справжніх гравців без складних систем перевірки (капчі,
антибот-плагіни).
16. FIVEM & FIVEM-TOKEN
Механіка: Атака на механізм авторизації клієнта FiveM (GTA V). Для чого: Не дати
гравцям підключитися, вичерпуючи токени сесій або перевантажуючи сервер
аутентифікації. Відмінності: Використовує специфіку архітектури FiveM.
Це не просто забивка каналу, а порушення бізнес-логіки сервера.
17. TS3 (TeamSpeak 3)
Механіка: UDP-флуд, націлений на порти TeamSpeak. Для чого: Створення критичних
затримок у передачі голосу. Відмінності: Голосові сервери надзвичайно чутливі
до Jitter та втрати пакетів. Атака, яка для вебсайту була б непомітною, для
TS3 означає, що спілкування стає неможливим ("металевий" голос, розриви).