6.6.4. Компьютерные атаки типа "отказ в обслуживании" (DDoS-атаки) применительно к информационной инфраструктуре участников информационного обмена [ddosAttacks] (для вектора [INT])

Номер блока (поля) данных

Идентификатор блока (поля) данных

Содержание блока (поля) данных

Формат поля данных

Формат электронного сообщения

Обязательность информирования

Этапы информирования

4

"sourceId"

(поле данных)

идентификатор, присвоенный участником информационного обмена

128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена

"ddosAttacks": [{

"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c",

"target": {

"ip": "127.0.0.1",

"domain": "example.com",

"url": "http://example.com",

"assignment": "назначение атакуемого объекта",

"serviceType": "тип информационного сервиса",

"network": "адрес сети"

},

"attackType": {

"type": "тип атаки (по уровням OSI)",

"comment": "дополнительное описание"

},

"sources": [{

"ip": "127.0.0.1"

}],

"power": {

"pps": "количество пакетов в секунду",

"mps": "количество мегабит в секунду",

"rps": "количество запросов в секунду"

},

"startTimeAt": "2018-03-22T08:14:38Z",

"endTimeAt": "2018-03-22Т09:15:44Z",

"negativeImpact": {

"type": "тип негативного влияния",

"comment": "примечание к выбранному типу"

}

}],

[N]

[2], [3]

4.1

"target"

(блок данных)

идентификаторы объекта атаки

[N]

[2], [3]

4.1.1

"ip"

(поле данных)

IP-адрес

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

4.1.2

"domain"

(поле данных)

доменное имя

Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13]

[N]

[2], [3]

4.1.3

"url"

(поле данных)

URL-адрес

URL в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

4.1.4

"assignment"

(поле данных)

назначение атакуемого объекта

назначение объекта атаки в информационной инфраструктуре участника информационного обмена (сервер, система хранения данных, телеком, персональный компьютер, межсетевой экран и т.д.)

[N]

[2], [3]

4.1.5

"serviceType"

(поле данных)

тип информационного сервиса

текстовое поле (textarea)

[N]

[2], [3]

4.1.6

"network"

(поле данных)

адрес сети

Логический адрес IPv4 в соответствии со спецификацией RFC 791 [12] с указанием маски сети (Subnet Mask) согласно спецификации RFC 997 [17]

[N]

[2], [3]

4.2

"attackType"

(блок данных)

тип атаки

[N]

[2], [3]

4.2.1

"type"

(поле данных)

тип атаки (по уровням OSI)

Выбирается один код из ограниченного множества возможных значений:

[1] - "L2/3: ICMP-flood",

[2] - "L2/3: NTP-amplification",

[3] - "L2/3: TFTP-amplification",

[4] - "L2/3: SENTINEL-amplification",

[5] - "L2/3: DNS-amplification",

[6] - "L2/3: SNMP-amplification",

[7] - "L2/3: SSDP-amplification",

[8] - "L2/3: CHARGEN-amplification",

[9] - "L2/3: RIPv1-amplification",

[10] - "L2/3: BitTorrent-amplification",

[11] - "L2/3: QTPD-amplification",

[12] - "L2/3: Quake-amplification",

[13] - "L2/3: LDAP-amplification",

[14] - "L2/3: 49ad34-amplification",

[15] - "L2/3: Portmap-amplification",

[16] - "L2/3: Kad-amplification",

[17] - "L2/3: NetBIOS-amplification",

[18] - "L2/3: Steam-amplification",

[19] - "L3: DPI-attack",

[20] - "L4: LAND-attack",

[21] - "L4: TCP-SYN-attack",

[22] - "L4: TCP-ACK-attack",

[23] - "L4: Smurf-attack",

[24] - "L4: ICMP/UDP-frag",

[25] - "L4: TCP-frag",

[26] - "L6: SSL-attack",

[27] - "L7: DNS Water Torture Attack",

[28] - "L7: Wordpress Pingback DDoS",

[29] - "L7: DNS-flood",

[30] - "L7: HTTP/S-flood",

[31] - "L7: FTP-flood",

[32] - "L7: SMTP-flood",

[33] - "L7: VoIP/SIP-attack",

[34] - "L7: POP3-flood",

[35] - "L7: SlowRate-attack,"

[36] - "other"

[N]

[2], [3]

4.2.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]

4.3

"sources"

(блок данных)

идентификаторы источников реализации атаки

В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources"

[N]

[2], [3]

4.3.1

"ip"

(поле данных)

IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке "sources" указывается топ 100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле)

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

4.4

"power"

(блок данных)

мощность реализации атаки

[N]

[2], [3]

4.4.1

"pps"

(поле данных)

количество пакетов в секунду

пакет в секунду (Packet per second)

[N]

[2], [3]

4.4.2

"mps"

(поле данных)

количество мегабит в секунду

мегабит в секунду (Megabit per second)

[N]

[2], [3]

4.4.3

"rps"

(поле данных)

количество запросов в секунду

запросов в секунду (Request per second)

[N]

[2], [3]

4.5

"startTimeAt"

(поле данных)

время начала атаки

формат представления данных в соответствии со спецификацией RFC 3339 [11]

[N]

[2], [3]

4.6

"endTimeAt"

(поле данных)

время окончания атаки

формат представления данных в соответствии со спецификацией RFC 3339 [11]

[N]

[2], [3]

4.7

"negativeImpact"

(блок данных)

негативный эффект от реализации атаки

[N]

[2], [3]

4.7.1.

"type"

(поле данных)

тип негативного влияния

Выбирается один код из ограниченного множества возможных значений:

- [NAW] - прерывание доступности сервиса;

- [OTH] - деградация сервиса;

- [NCQ] - негативного влияния на сервис не оказано

[N]

[2], [3]

4.7.2.

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

[N]

[2], [3]