12.3.4. Компьютерные атаки типа "отказ в обслуживании" (DDoS-атаки) применительно к информационной инфраструктуре участников информационного обмена [ddosAttacks] (для вектора [INT])

Номер блока (поля) данных

Идентификатор блока (поля) данных

Содержание блока (поля) данных

Формат поля данных

Формат электронного сообщения

4.2

"attackType"

(блок данных)

тип атаки

"ddosAttacks": [{

"attackType": {

"type": "тип атаки (по уровням OSI)",

"comment": "дополнительное описание"

"sources": [{

"ip": "127.0.0.1"

}],

"power": {

"pps": "количество пакетов в секунду",

"mps": "количество мегабит в секунду",

"rps": "количество запросов в секунду"

},

"startTimeAt": "2018-03-22T08:14:38Z",

"endTimeAt": "2018-03-22T08:14:38Z",

"negativeImpact": {

"type": "тип негативного влияния",

"comment": "дополнительное описание"

}

}],

4.2.1

"type"

(поле данных)

тип атаки (по уровням OSI)

Выбирается один код из ограниченного множества возможных значений:

[1] - "L2/3: ICMP-flood",

[2] - "L2/3: NTP-amplification",

[3] - "L2/3: TFTP-amplification",

[4] - "L2/3: SENTINEL-amplification",

[5] - "L2/3: DNS-amplification",

[6] - "L2/3: SNMP-amplification",

[7] - "L2/3: SSDP-amplification",

[8] - "L2/3: CHARGEN-amplification",

[9] - "L2/3: RIPv1-amplification",

[10] - "L2/3: BitTorrent-amplification",

[11] - "L2/3: QTPD-amplification",

[12] - "L2/3: Quake-amplification",

[13] - "L2/3: LDAP-amplification",

[14] - "L2/3: 49ad34-amplification",

[15] - "L2/3: Portmap-amplification",

[16] - "L2/3: Kad-amplification",

[17] - "L2/3: NetBIOS-amplification",

[18] - "L2/3: Steam-amplification",

[19] - "L3: DPI-attack",

[20] - "L4: LAND-attack",

[21] - "L4: TCP-SYN-attack",

[22] - "L4: TCP-ACK-attack",

[23] - "L4: Smurf-attack",

[24] - "L4: ICMP/UDP-frag",

[25] - "L4: TCP-frag",

[26] - "L6: SSL-attack",

[27] - "L7: DNS Water Torture Attack",

[28] - "L7: Wordpress Pingback DDoS",

[29] - "L7: DNS-flood",

[30] - "L7: HTTP/S-flood",

[31] - "L7: FTP-flood",

[32] - "L7: SMTP-flood",

[33] - "L7: VoIP/SIP-attack",

[34] - "L7: POP3-flood",

[35] - "L7: SlowRate-attack,"

[36] - "other"

4.2.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)

4.3

"sources"

(блок данных)

идентификаторы источников реализации атаки

В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources"

4.3.1

"ip"

(поле данных)

IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке "sources" указывается топ-100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле)

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

4.4

"power"

(блок данных)

мощность реализации атаки

4.4.1

"pps"

(поле данных)

количество пакетов в секунду

пакет в секунду (Packet per second)

4.4.2

"mps"

(поле данных)

количество мегабит в секунду

мегабит в секунду (Megabit per second)

4.4.3

"rps"

(поле данных)

количество запросов в секунду

запросов в секунду (Request per second)

4.5

"startTimeAt"

(поле данных)

время начала атаки

формат представления данных в соответствии со спецификацией RFC 3339 [11].

4.6

"endTimeAt"

(поле данных)

время окончания атаки

формат представления данных в соответствии со спецификацией RFC 3339 [11]

4.7

"negativeImpact"

(блок данных)

негативный эффект от реализации атаки

4.7.1

"type"

(поле данных)

тип негативного влияния

Выбирается один код из ограниченного множества возможных значений:

- [NAW] - прерывание доступности сервиса;

- [OTH] - деградация сервиса;

- [NCQ] - негативного влияния на сервис не оказано

4.7.2

"comment"

(поле данных)

дополнительное описание

текстовое поле (textarea)