В качестве примера приведем два метода одиночных атак (их, конечно, гораздо больше). При установлении соединения между компьютером-клиентом и сервером сайта происходит обмен служебными пакетами — синхронизация. Для организации атаки клиент (обычно с поддельного IP-адреса) посылает серверу служебный запрос. Сервер сообщает о готовности и резервирует канал связи. А вот второго подтверждения от такого клиента сервер не дождется никогда. Таким образом, канал связи окажется занятым по крайней мере какое-то время. Поскольку каналов конечное число, а запросы на соединение идут непрерывно, и не один из них не подтверждается — все каналы оказываются занятыми, и получить доступ к сайту реальные пользователи не могут.

Другой метод сфокусирован для атак на публичные сайты. В этом случае компьютер-клиент направляет множество запросов на публичный сайт, по возможности очень мощный, например на почтовый сервер или крупный новостной портал, но в качестве обратного адреса указывает не свой, а адрес сайта-жертвы. Публичный ресурс отвечает сайту-жертве — ответы сыплются непрерывным потоком, сервер жертвы не справляется с нагрузкой и блокируется. У этого метода есть серьезное преимущество: публичный сайт, который становится фактически производителем спама, нельзя заблокировать — источник атаки полностью легитимен, но этот легитимный источник в результате «роняет» сайт.

Но наиболее часто сегодня используется распределенная атака — DDoS-атака (Distributed Denial of Service Attack). Такая атака опирается на сеть компьютеров-зомби (botnet’ов). Конечно, здесь bot — это усечение от слова robot, а net — «сеть», но любопытно, что в английском языке у слова bot есть и другое значение — «личинка овода», и это значение очень точно отражает метод работы botnet.

Согласно исследованию, проведенному в Технологическом институте Джорджии (Georgia Institute of Technology, USA), по состоянию на январь 2007 года различные сети компьютеров-зомби (botnets) охватывают около 11% из 650 миллионов компьютеров, подключенных к Интернету. Наиболее крупные botnets включают десятки тысяч компьютеров, разбросанных по всему миру. 26 июля 2004 года в результате распределенной атаки несколько часов были заблокированы поисковые порталы Google и Yahoo, а ведь Google — это десятки тысяч серверов, и чтобы добиться от Google отказа в обслуживании, нужно просто чудовищное количество «мусора». А между тем поисковик замолчал.

Компьютер (как правило, это домашняя машина, подключенная к выделенному каналу) может быть заражен троянской программой. Эта программа попадает на компьютер пользователя, как правило, при неосторожном обращении с электронной почтой, например открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Компьютеры, зараженные троянскими программами и подчиняющиеся командам удаленного хозяина, превращаются в botnet. Такая программа может в течение долгого времени ничем деструктивным себя не проявлять, а владелец компьютера даже не подозревает, что его машина заражена и полностью подконтрольна удаленному хозяину. Единственное, чем занят такой «троянский конь» — он «слушает» определенный чат или форум.

В таком чате может идти обычная переписка страдающих бездельем подростков, но в определенный момент некто пишет условную фразу, которая содержит адрес сайта-жертвы. Сеть зомби-машин начинает работать. Из «личинок» вылупляются «оводы» и начинают «топить» жертву. Запросы идут из многих точек Сети, идут с высокой частотой, и сайт, который они атакуют, начинает задыхаться, перестает отвечать на легитимные запросы и наконец смолкает. Атакующие компьютеры могут не только сами посылать запросы на сайт-жертву, но инициировать поток запросов от публичных сайтов. Этот изощренный вид атаки получил название DRDoS (Distributed Reflecting Denial of Service Attack).

Атака на интернет

DoS-атакам подвергаются не только отдельные сайты, но и вся инфраструктура Интернета в целом. Так произошло 21 октября 2002 года (атака длилась один час) и 6 февраля 2007 (атака длилась восемь часов). Тогда были атакованы корневые DNS-серверы (англ. Domain Name System — «система доменных имен»).

DNS-серверы предназначены для установления цифрового IP-адреса сайта по его названию. Когда пользователь запрашивает нужный сайт, например www.vokrugsveta.ru , его браузер связывается с ближайшим DNS-сервером и пытается выяснить у него, какой IP-адрес следует поставить в соответствие введенному имени. Если ближайший DNS-сервер не знает адреса, он направляет запрос на корневой DNS, который тоже ответа не знает, но знает какой DNS отвечает за зону RU. Постепенно разбирая введенное имя, DNS-сервера выясняют, какой же IP-адрес следует поставить в соответствие имени. И в конце концов выясняется, что это 88.222.4.40.