DoS i DDoS napadi: značenje i razlike. Zašto su DoS i DDoS napadi opasni? Razlika između dos i ddos

Na računarskom sistemu u cilju njegovog dovođenja do kvara, odnosno stvaranja takvih uslova pod kojima legalni (zakoniti) korisnici sistema ne mogu pristupiti resursima (serverima) koje obezbeđuje sistem, ili je taj pristup otežan. Kvar „neprijateljskog“ sistema takođe može biti korak ka ovladavanju sistemom (ako u hitnom slučaju softver daje bilo kakvu kritičnu informaciju - na primer, verziju, deo programskog koda, itd.). Ali češće je to mjera ekonomskog pritiska: zastoji usluge koja stvara prihod, računi od provajdera i mjere za izbjegavanje napada značajno pogađaju „cilju“ u džepu.

Ako se napad vrši istovremeno sa velikog broja računara, govori se o tome DDoS napad(sa engleskog. Distribuirano uskraćivanje usluge, distribuirani napad uskraćivanja usluge). U nekim slučajevima, nenamjerna radnja dovodi do stvarnog DDoS napada, na primjer, postavljanje veze na popularni internetski resurs na web lokaciju koja se nalazi na ne baš produktivnom serveru (efekat kose crte). Veliki priliv korisnika dovodi do prekoračenja dozvoljenog opterećenja na serveru i, posljedično, do uskraćivanja usluge za neke od njih.

Vrste DoS napada

Postoje različiti razlozi zbog kojih može doći do DoS stanja:

  • Greška u programskom kodu, što rezultira pristupom neiskorištenom fragmentu adresnog prostora, izvršavanjem nevažeće instrukcije ili drugim neobrađenim izuzetkom kada se serverski program sruši - serverski program. Klasičan primjer je referenciranje na nuli. null) adresa.
  • Nedovoljna validacija korisničkih podataka, što dovodi do beskonačnog ili dugog ciklusa ili povećane dugotrajne potrošnje procesorskih resursa (do iscrpljivanja resursa procesora) ili do dodjele velike količine RAM-a (do iscrpljivanja dostupne memorije).
  • poplava(engleski) poplava- "poplava", "prelijevanje") - napad povezan s velikim brojem obično besmislenih ili pogrešno formatiranih zahtjeva prema računarskom sistemu ili mrežnoj opremi, koji ima za cilj ili je doveo do kvara sistema zbog iscrpljenosti sistemski resursi- procesor, memorija ili komunikacioni kanali.
  • Napad druge vrste- napad koji nastoji da izazove lažni alarm sistema zaštite i na taj način dovede do nedostupnosti resursa.

Ako se napad (obično poplava) izvrši u isto vrijeme kada veliki broj IP adrese - sa nekoliko računara raštrkanih u mreži - u ovom slučaju se zove distribuirano napad uskraćivanja usluge ( DDoS).

Eksploatacija grešaka

Exploit imenovati program, dio programskog koda ili niz programskih naredbi koje iskorištavaju ranjivosti u softver i koristi se za napad na sajber sistem. Od eksploata koji dovode do DoS napada, ali su neprikladni, na primjer, za preuzimanje kontrole nad "neprijateljskim" sistemom, najpoznatiji su WinNuke i Ping smrti (Ping smrti).

poplava

Za flooding kao kršenje pravila mreže, pogledajte flooding.

poplava nazovite ogroman tok besmislenih zahtjeva sa različitim računarima kako bi „neprijateljski“ sistem (procesor, RAM ili komunikacioni kanal) zauzeo radom i time ga privremeno onemogućio. Koncept „DDoS napada“ je skoro ekvivalentan konceptu „poplave“, a u svakodnevnom životu su oba često zamenljiva („flood the server“ = „DDoS’it the server“).

Za stvaranje poplave može se koristiti kao i obično mrežni uslužni programi poput pinga (ovo je poznato, na primjer, Internet zajednici "Upyachka") i posebnih programa. Mogućnost DDoS-a često je "ušivena" u botnet mrežama. Ako se na sajtu sa velikim prometom pronađe ranjivost skriptovanja na više lokacija ili mogućnost uključivanja slika iz drugih resursa, ova stranica se može koristiti i za DDoS napad.

Komunikacijski kanal i poplava TCP podsistema

Bilo koji računar na koji je povezan vanjski svijet preko TCP/IP protokola, podložan je sljedećim vrstama poplava:

  • SYN flood - kod ove vrste flood napada veliki broj SYN paketa se šalje napadnutom čvoru preko TCP protokola (zahtjeva za otvaranje veze). Istovremeno, nakon kratkog vremena, broj soketa dostupnih za otvaranje (softverske mrežne utičnice, portovi) se iscrpljuje na napadnutom računaru, a server prestaje da reaguje.
  • UDP flood - ova vrsta poplava ne napada ciljni računar, već njegov komunikacioni kanal. Provajderi razumno pretpostavljaju da UDP paketi trebaju biti isporučeni prvi, dok TCP može čekati. Veliki broj UDP paketa različitih veličina začepljuje komunikacioni kanal, a server koji radi preko TCP protokola prestaje da reaguje.
  • ICMP flood - ista stvar, ali uz pomoć ICMP paketa.

Poplava sloja aplikacije

Mnoge usluge su osmišljene na način da mali zahtjev može uzrokovati veliki trošak. računarske snage na serveru. U ovom slučaju nije napadnut komunikacioni kanal ili TCP podsistem, već sam servis (servis) – poplava ovakvih „bolesnih“ zahteva. Na primjer, web serveri su ranjivi na HTTP poplavu - ili jednostavan GET / ili složeni upit baze podataka kao što je GET /index.php?search= može se koristiti za onemogućavanje web servera<случайная строка> .

Detekcija DoS napada

Postoji mišljenje da posebni alati za otkrivanje DoS napada nisu potrebni, jer se činjenica DoS napada ne može previdjeti. U mnogim slučajevima to je tačno. Međutim, dosta često su uočeni uspješni DoS napadi, koje su žrtve primijetile tek nakon 2-3 dana. Dešavalo se da negativne posljedice napada ( poplava-napadi) rezultiralo je previsokim troškovima plaćanja viška internet saobraćaja, što se pokazalo tek prilikom prijema računa od internet provajdera. Pored toga, mnoge metode otkrivanja upada su neefikasne u blizini mete napada, ali su efikasne na mrežnim okosnicama. U tom slučaju, preporučljivo je instalirati sisteme za detekciju upravo tamo, a ne čekati da napadnuti korisnik to sam primijeti i zatraži pomoć. Osim toga, da bi se efikasno suprotstavili DoS napadima, potrebno je poznavati vrstu, prirodu i druge karakteristike DoS napada, a sistemi za detekciju omogućavaju brzo dobijanje ovih informacija.

Metode otkrivanja DoS napada mogu se podijeliti u nekoliko velikih grupa:

  • potpis - na osnovu kvalitativne analize saobraćaja.
  • statistički - zasnovan na kvantitativnoj analizi prometa.
  • hibridni (kombinovani) - kombinujući prednosti obe gore navedene metode.

DoS zaštita

Mjere za suzbijanje DoS napada mogu se podijeliti na pasivne i aktivne, kao i preventivne i reaktivne.

Ispod je kratka lista glavnih metoda.

  • Prevencija. Sprečavanje razloga koji podstiču određene pojedince da organizuju i poduzmu DoS napade. (Vrlo često su cyber napadi općenito rezultat ličnih pritužbi, političkih, vjerskih i drugih nesuglasica, provokativnog ponašanja žrtve itd.)
  • Filtriranje i blackholing. Blokiranje saobraćaja od napadačkih mašina. Efikasnost ovih metoda se smanjuje kako se približavate objektu napada i povećava se kako se približavate mašini koja napada.
  • Obrnuti DDOS- preusmjeravanje saobraćaja korištenog za napad na napadača.
  • Uklanjanje ranjivosti. Ne radi protiv poplava-napadi za koje je "ranjivost" ograničenost određenih sistemskih resursa.
  • Povećanje resursa. Naravno, ne pruža apsolutnu zaštitu, ali je dobra podloga za primjenu drugih vrsta zaštite od DoS napada.
  • Raspršivanje. Izgradnja distribuiranih i dupliciranih sistema koji neće prestati da služe korisnicima, čak i ako neki od njihovih elemenata postanu nedostupni zbog DoS napada.
  • Utaja. Premještanje neposrednog cilja napada (ime domene ili IP adresa) dalje od drugih resursa koji su često također pogođeni zajedno sa neposrednom metom napada.
  • Aktivan odgovor. Uticaj na izvore, organizatora ili kontrolni centar napada, kako ljudskim, tako i organizaciono-pravnim sredstvima.
  • Korištenje opreme za odbijanje DoS napada. Na primjer, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i drugi proizvođači.
  • Nabavka usluge za zaštitu od DoS napada. Aktuelno u slučaju prekoračenja propusnosti mrežnog kanala zbog poplave.

vidi takođe

Bilješke

Književnost

  • Chris Kaspersky Kompjuterski virusi iznutra i spolja. - Peter. - St. Petersburg. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza tipičnih narušavanja sigurnosti u mrežama = Signature i analiza upada. - New Riders Publishing (engleski) St. Petersburg: Williams Publishing House (ruski), 2001. - P. 464. - ISBN 5-8459-0225-8 (ruski), 0-7357-1063-5 (engleski)
  • Morris, R.T.= Slabost u 4.2BSD Unix TCP/IP softveru. - Računarstvo Tehnički izvještaj br.117. - AT&T Bell Laboratories, februar 1985.
  • Bellovin, S.M.= Sigurnosni problemi u paketu TCP/IP protokola. - Pregled kompjuterskih komunikacija, Vol. 19, br.2. - AT&T Bell Laboratories, april 1989.
  • = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, jul 1996.
  • = daemon9 / route / infinity "Projekt Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, jul 1996.

Linkovi

  • DoS napad u Open Directory Project Link Directory (

Nedavno smo bili u mogućnosti da se uvjerimo da su DDoS napadi prilično snažno oružje informacioni prostor. Uz pomoć DDoS napada velike snage, ne možete samo onemogućiti jednu ili više lokacija, već i poremetiti rad cijelog segmenta mreže ili čak onemogućiti Internet u maloj zemlji. Ovih dana, DDoS napadi se dešavaju sve češće i njihova snaga svakim danom raste.

Ali šta je suština takvog napada? Šta se dešava u mreži kada se izvrši, odakle ideja da se to uradi i zašto je tako efikasno? Odgovore na sva ova pitanja naći ćete u našem današnjem članku.

DDoS ili distribuirano uskraćivanje usluge (split denial of service) je napad na određeni računar na mreži, zbog čega ona, preopterećenjem, ne odgovara na zahtjeve drugih korisnika.

Da bismo razumjeli šta znači ddos ​​napad, zamislimo situaciju: web server daje korisnicima stranice web-lokacije, recimo da je potrebno pola sekunde da kreiraju stranicu i potpuno je prenesu na računar korisnika, tada će naš server biti sposoban da radi normalno na frekvenciji od dva zahtjeva u sekundi. Ako ima više takvih zahtjeva, oni će biti stavljeni u red čekanja i obrađeni čim web server bude slobodan. Svi novi zahtjevi se dodaju na kraj reda. Sada zamislimo da ima puno zahtjeva, a većina njih ide samo na preopterećenje ovog servera.

Ako stopa pristizanja novih zahtjeva premašuje brzinu obrade, tada će s vremenom red zahtjeva biti toliko dug da se novi zahtjevi više neće obrađivati. Ovo je glavni princip ddos ​​napada. Ranije su se takvi zahtjevi slali s jedne IP adrese i to se zvalo denial of service napad - Dead-of-Service, zapravo, ovo je odgovor na pitanje šta je dos. Ali takvi napadi se mogu efikasno riješiti jednostavnim dodavanjem IP adrese izvora ili nekoliko na listu blokova, štoviše, nekoliko uređaja, zbog ograničenja propusnosti mreže, ne može fizički generirati dovoljan broj paketa da preoptereti ozbiljan server.

Stoga se sada napadi izvode odmah sa miliona uređaja. Riječ Distribed je dodana imenovanju, distribuirana, ispostavilo se - DDoS. Jedan po jedan, ovi uređaji ne znače ništa, a možda imaju i internetsku vezu sa ne baš velika brzina, ali kada svi počnu slati zahtjeve na isti server u isto vrijeme, mogu postići ukupnu brzinu do 10 Tb/s. A to je već prilično ozbiljan pokazatelj.

Ostaje da se utvrdi odakle napadači uzimaju toliko uređaja da izvedu svoje napade. to konvencionalnih računara, ili razne IoT uređaje kojima su napadači mogli pristupiti. To može biti bilo što, kamkorderi i usmjerivači s firmverom koji dugo nije ažuriran, kontrolni uređaji i obični računari korisnika koji su nekako uhvatili virus, a nisu svjesni njegovog postojanja ili se ne žure da ga uklone.

Vrste DDoS napada

Postoje dvije glavne vrste DDoS napada, jedan fokusiran na preopterećenje određenog programa i napadi usmjereni na preopterećenje same mrežne veze na ciljni računar.

Napadi na preopterećenje programa nazivaju se i napadi na 7 (u osi mrežnom modelu postoji sedam nivoa i posljednji je nivo pojedinačnih aplikacija). Napadač napada program koji koristi mnogo serverskih resursa slanjem velikog broja zahtjeva. Na kraju, program nema vremena da obradi sve veze. Ovo je tip o kojem smo gore govorili.

DoS napadi na internet kanal zahtijevaju mnogo više resursa, ali se s njima mnogo teže nositi. Ako povučemo analogiju sa osi, onda su to napadi na nivou 3-4, odnosno na kanal ili protokol za prenos podataka. Činjenica je da svaka internetska veza ima svoje ograničenje brzine kojom se podaci mogu prenositi preko nje. Ako ima puno podataka, onda mrežni hardver na isti način kao i program, on će ih staviti u red za prijenos, a ako količina podataka i brzina njihovog dolaska uvelike premašuju brzinu kanala, onda će biti preopterećen. Brzina prijenosa podataka u takvim slučajevima može se izračunati u gigabajtima u sekundi. Na primjer, u slučaju male zemlje Liberije bez veze s internetom, brzina prijenosa podataka bila je do 5 Tb/s. Međutim, 20-40 Gb/s je dovoljno da preplavi većinu mrežnih infrastruktura.

Poreklo DDoS napada

Iznad smo pogledali šta su DDoS napadi, kao i metode DDoS napada, vrijeme je da pređemo na njihovo porijeklo. Da li ste se ikada zapitali zašto su ovi napadi tako efikasni? Oni su zasnovani na vojnim strategijama koje su razvijane i testirane tokom mnogih decenija.

Općenito, mnogi pristupi sigurnost informacija na osnovu vojnih strategija iz prošlosti. Postoje trojanski virusi koji liče na drevnu bitku za Troju, ransomware koji krade vaše datoteke da bi dobio otkupninu i DDoS napadi koji ograničavaju neprijateljske resurse. Ograničavanjem neprijateljskih opcija, dobijate određenu kontrolu nad njegovim kasnijim akcijama. Ova taktika jako dobro funkcionira za oba vojna stratega. i za sajber kriminalce.

U slučaju vojne strategije, možemo vrlo jednostavno razmišljati o vrstama resursa koji se mogu ograničiti kako bi se ograničile sposobnosti neprijatelja. Ograničavanje vode, hrane i građevinskog materijala jednostavno bi uništilo neprijatelja. Kod računara je sve drugačije, postoje razni servisi, na primjer DNS, web server, serveri Email. Svi imaju različitu infrastrukturu, ali postoji nešto što ih spaja. Ovo je mreža. Bez mreže nećete moći pristupiti udaljenoj usluzi.

Gospodari rata mogu otrovati vodu, spaliti usjeve i postaviti kontrolne punktove. Sajber-kriminalci mogu poslati nevažeće podatke servisu, natjerati ga da potroši svu memoriju ili potpuno preopteretiti cijeli mrežni kanal. Odbrambene strategije također imaju iste korijene. Administrator servera će morati pratiti dolazni promet kako bi pronašao zlonamjerni promet i blokirao ga prije nego što stigne do ciljanog mrežnog kanala ili programa.

nalazi

DDoS napadi su svaki put sve češći i snažniji. To znači da će usluge koje koristimo biti sve češće napadane. Jedan od načina na koji možemo smanjiti broj napada je osigurati da naši uređaji nisu zaraženi virusima i da primamo ažuriranja na vrijeme. Sada kada znate šta je DDoS napad i znate osnove zaštite, u jednom od sljedećih članaka ćemo detaljnije pogledati posljednju tačku.

Za kraj nudim predavanje o DDoS napadima:

DoS i DDoS napad je agresivni eksterni uticaj na računarske resurse servera ili radne stanice, koji se sprovodi kako bi se potonje dovele do kvara. Pod kvarom ne mislimo na fizički kvar mašine, već na nedostupnost njenih resursa za savjesne korisnike - neuspjeh sistema da ih servisira ( D enial o f S usluga, od koje je nastala skraćenica DoS).

Ako se takav napad izvrši sa jednog računara, on se klasifikuje kao DoS (DoS), ako sa više - DDoS (DDoS ili DDoS), što znači „D izdao D enial o f S usluga" - distribuirano uskraćivanje usluge. Zatim ćemo govoriti o tome zašto napadači provode takve radnje, šta su one, kakvu štetu nanose napadnutima i kako ovi štite svoje resurse.

Na koga mogu uticati DoS i DDoS napadi

Korporativni serveri preduzeća i web stranice su izloženi napadima, znatno rjeđe - personalni računari pojedinci. Svrha ovakvih radnji je, po pravilu, ista - nanijeti ekonomsku štetu napadnutoj osobi i istovremeno ostati u sjeni. U nekim slučajevima, DoS i DDoS napadi su jedna od faza hakovanja servera i imaju za cilj krađu ili uništavanje informacija. U stvari, preduzeće ili web stranica koja pripada bilo kome može postati žrtva napadača.

Dijagram koji ilustruje suštinu DDoS napada:

DoS i DDoS napadi najčešće se izvode na prijedlog nepoštenih konkurenata. Dakle, “popunjavanjem” web stranice online trgovine koja nudi sličan proizvod, možete privremeno postati “monopolist” i uzeti njegove kupce za sebe. „Glašenjem“ korporativnog servera možete poremetiti rad konkurentske kompanije i time smanjiti njenu poziciju na tržištu.

Napade velikih razmjera koji mogu uzrokovati značajnu štetu obično izvode profesionalni cyber kriminalci za mnogo novca. Ali ne uvek. Domaći hakeri amateri mogu napasti vaše resurse - iz interesa, i osvetnici iz reda otpuštenih zaposlenih, i jednostavno oni koji ne dijele vaše poglede na život.

Ponekad se udar vrši u svrhu iznude, dok napadač otvoreno traži novac od vlasnika resursa da zaustavi napad.

Servere državnih kompanija i poznatih organizacija često napadaju anonimne grupe visokokvalifikovanih hakera kako bi uticali na zvaničnike ili izazvali negodovanje javnosti.

Kako se napadi izvode

Princip rada DoS i DDoS napada je slanje velikog protoka informacija na server, koji maksimalno (koliko hakerske mogućnosti dozvoljavaju) opterećuje računarske resurse procesora, RAM-a, začepljuje komunikacione kanale ili popunjava prostor na disku. Napadnuta mašina ne može da se nosi sa obradom dolaznih podataka i prestaje da odgovara na zahteve korisnika.

Ovako izgleda normalan rad servera, vizualizovan u programu Logstalgia:

Efikasnost pojedinačnih DOS napada nije velika. Pored toga, napad sa personalnog računara dovodi napadača u opasnost da bude identifikovan i uhvaćen. Distribuirani napadi (DDoS) koji se izvode iz takozvanih zombi mreža ili botneta donose mnogo veći profit.

Ovako web stranica Norse-corp.com prikazuje aktivnost botneta:

Zombi mreža (botnet) je grupa računara koji nemaju fizičku vezu jedni s drugima. Ujedinjuje ih činjenica da su svi pod kontrolom napadača. Kontrola se vrši kroz Trojanac, što se za sada možda neće ni na koji način manifestovati. Prilikom izvođenja napada, haker daje instrukcije zaraženim računarima da pošalju zahtjeve na web stranicu ili server žrtve. I on, nesposoban da izdrži navalu, prestaje da odgovara.

Ovako Logstalgia prikazuje DDoS napad:

Svaki računar se može pridružiti botnetu. Pa čak i pametni telefon. Dovoljno je uhvatiti trojanca i ne otkriti ga na vrijeme. Inače, najveći botnet brojao je skoro 2 miliona mašina širom sveta, a njihovi vlasnici nisu imali pojma šta im je činiti.

Metode napada i odbrane

Prije pokretanja napada, haker smišlja kako da ga izvede sa maksimalnim efektom. Ako napadnuti čvor ima nekoliko ranjivosti, udar se može izvesti u različitim smjerovima, što će uvelike otežati protumjere. Stoga je važno da svaki administrator servera prouči sva svoja „uska grla“ i po mogućnosti ih ojača.

poplava

Flud, jednostavno rečeno, je informacija koja ne nosi semantičko opterećenje. U kontekstu DoS/DDoS napada, poplava je lavina praznih, besmislenih zahtjeva ovog ili onog nivoa koje je prijemni čvor prisiljen obraditi.

Glavna svrha korištenja floodinga je potpuno začepljenje komunikacijskih kanala, maksimalno zasićenje propusnog opsega.

Vrste fluida:

  • MAC flood - utjecaj na mrežne komunikatore (blokiranje portova tokovima podataka).
  • ICMP flood - preplavljivanje žrtve zahtjevima eho servisa pomoću zombi mreže ili slanje zahtjeva “u ime” napadnutog hosta tako da mu svi članovi botneta istovremeno šalju eho odgovor (napad Štrumpfa). Poseban slučaj ICMP floodinga je ping flooding (slanje ping zahtjeva serveru).
  • SYN flood - slanje brojnih SYN zahtjeva žrtvi, prepunjavanje reda TCP veze stvaranjem velikog broja poluotvorenih (čekaju potvrdu klijenta) veza.
  • UDP flood - radi prema šemi napada Štrumpf, gdje se šalju UDP datagrami umjesto ICMP paketa.
  • HTTP flood - preplavljivanje servera brojnim HTTP porukama. Sofisticiranija opcija je HTTPS flood, gdje se preneseni podaci unaprijed šifriraju, a prije nego što ih napadnuti čvor obradi, mora ih dešifrirati.


Kako se zaštititi od poplave

  • Konfigurirajte mrežne prekidače za provjeru valjanosti i filtriranje MAC adresa.
  • Ograničite ili onemogućite obradu ICMP eho zahtjeva.
  • Blokirajte pakete koji dolaze sa određene adrese ili domene, što daje razlog za sumnju u nepouzdanost.
  • Postavite ograničenje na broj poluotvorenih veza sa jednom adresom, smanjite vrijeme njihovog zadržavanja, produžite red TCP veze.
  • Onemogućite UDP usluge da primaju saobraćaj izvana ili ograničite broj UDP konekcija.
  • Koristite CAPTCHA, kašnjenja i druge tehnike zaštite botova.
  • Povećati maksimalni iznos HTTP veze, konfigurirajte keširanje zahtjeva pomoću nginxa.
  • Proširite propusni opseg mrežnog kanala.
  • Ako je moguće, dodijelite poseban server za obradu kriptografije (ako se koristi).
  • Kreirajte rezervni kanal za administrativni pristup serveru u hitnim situacijama.

Preopterećenje hardverskih resursa

Postoje vrste poplava koje ne utiču na komunikacioni kanal, već na hardverske resurse napadnutog računara, učitavajući ih do maksimuma i uzrokujući zamrzavanje ili pad. Na primjer:

  • Kreiranje skripte koja će objavljivati ​​na forumu ili web stranici gdje korisnici imaju mogućnost da ostavljaju komentare, ogromnu količinu besmislenih tekstualnih informacija dok se sav prostor na disku ne popuni.
  • Isto, samo zapisnici servera će ispuniti disk.
  • Učitavanje stranice na kojoj se vrši neka vrsta transformacije unesenih podataka kontinuiranom obradom ovih podataka (slanje tzv. "teških" paketa).
  • Učitavanje procesora ili memorije izvršavanjem koda preko CGI interfejsa (CGI podrška vam omogućava da pokrenete neki eksterni program na serveru).
  • Pokretanje sigurnosnog sistema koji server čini nedostupnim izvana, itd.


Kako se zaštititi od preopterećenja hardverskih resursa

  • Povećajte performanse hardvera i prostor na disku. Kada server radi u normalnom režimu, najmanje 25-30% resursa treba da ostane slobodno.
  • Omogućite analizu prometa i sisteme filtriranja prije slanja na server.
  • Ograničite upotrebu hardverskih resursa komponentama sistema (postavite kvote).
  • Čuvajte serverske log fajlove na zasebnom disku.
  • Distribuirajte resurse na više nezavisnih servera. Tako da ako jedan dio pokvari, ostali ostaju u funkciji.

Ranjivosti u operativnim sistemima, softveru, firmveru uređaja

Postoji nemjerljivo više opcija za izvođenje ovakvih napada nego uz korištenje poplava. Njihova implementacija ovisi o vještini i iskustvu napadača, njegovoj sposobnosti da pronađe greške u programskom kodu i iskoristi ih u svoju korist i na štetu vlasnika resursa.

Jednom kada haker otkrije ranjivost (grešku u softveru koja se može koristiti za ometanje sistema), moraće samo da kreira i pokrene eksploataciju – program koji koristi ovu ranjivost.

Iskorištavanje ranjivosti nije uvijek namijenjeno samo uskraćivanju usluge. Ako haker bude imao sreće, moći će steći kontrolu nad resursom i raspolagati ovim "darom sudbine" po svom nahođenju. Na primjer, koristite za distribuciju malware, krađu i uništavaju informacije itd.

Metode za suzbijanje iskorištavanja ranjivosti u softveru

  • Pravovremeno instalirajte ažuriranja koja zatvaraju ranjivosti operativnih sistema i aplikacija.
  • Izolirajte od pristupa treće strane sve usluge dizajnirane za rješavanje administrativnih zadataka.
  • Koristite alate za kontinuirano praćenje rada serverskog OS i programa (analiza ponašanja i sl.).
  • Odbijte potencijalno ranjive programe (besplatne, samostalno pisane, rijetko ažurirane) u korist dokazanih i dobro zaštićenih programa.
  • Koristite gotova sredstva za zaštitu sistema od DoS i DDoS napada, koja postoje iu formi hardverskih i softverskih sistema.

Kako utvrditi da li je resurs napao haker

Ako je napadač uspio doći do cilja, nemoguće je ne primijetiti napad, ali u nekim slučajevima administrator ne može točno odrediti kada je počeo. Odnosno, od početka napada do uočljivih simptoma ponekad prođe nekoliko sati. Međutim, tokom latentnog udara (dok server „ne legne“) prisutni su i određeni znaci. Na primjer:

  • Neprirodno ponašanje serverskih aplikacija ili operativni sistem(visi, ruši, itd.).
  • opterećenje procesora, RAM a kapacitet skladištenja se naglo povećava u odnosu na početni nivo.
  • Obim saobraćaja na jednoj ili više luka značajno se povećava.
  • Postoje ponovljeni zahtjevi klijenata prema istim resursima (otvaranje jedne stranice stranice, preuzimanje iste datoteke).
  • Analiza logova servera, firewall-a i mrežnih uređaja pokazuje veliki broj zahtjeva koji se ponavljaju sa različitih adresa, često upućenih na određeni port ili uslugu. Pogotovo ako je stranica fokusirana na usku publiku (na primjer, rusko govoreći), a zahtjevi dolaze iz cijelog svijeta. Istovremeno, kvalitativna analiza prometa pokazuje da zahtjevi za kupce nemaju praktičnog smisla.

Sve navedeno nije 100% znak napada, ali je uvijek razlog da se obrati pažnja na problem i poduzmu odgovarajuće mjere zaštite.

DoS napadi su napadi koji dovode do paralize servera ili PC zbog ogromnog broja zahtjeva koji pristižu velikom brzinom na napadnuti resurs. Ako se takav napad izvodi istovremeno sa velikog broja računara, onda se u ovom slučaju govori o DDoS napad.

DoS- Uskraćivanje usluge- napad na "uskraćivanje usluge". Ovaj napad se može izvesti na dva načina. Sa prvom metodom DoS napad koristi ranjivost u softveru instaliranom na napadnutom računaru. Koristeći takvu ranjivost na računaru, možete izazvati određenu kritičnu grešku, što će dovesti do kršenja sistema.

Kod druge metode, napad se izvodi istovremenim slanjem velikog broja paketa informacija na napadnuti računar. Prema principima prenosa podataka između računara u mreži, svaki paket informacija koji jedan računar pošalje drugom obrađuje se određeno vreme.

Ako u isto vrijeme na računar stigne još jedan zahtjev, tada paket ulazi u „red” i zauzima određenu količinu fizičkih resursa sistema. Stoga, ako se računaru istovremeno pošalje veliki broj zahtjeva, onda će prekomjerno opterećenje uzrokovati da se računar "visi" ili da se u hitnom slučaju isključi s Interneta. To je upravo ono što je potrebno organizatorima DoS napada.

DDoS napad je vrsta DoS napada. Distribuirano uskraćivanje usluge- „Distribuirano uskraćivanje usluge“ – organizovano korišćenjem veoma velikog broja računara, zbog čega se serveri mogu napasti čak i sa veoma velikom propusnošću Internet kanala.

Ponekad efekat DDoS napada "proradi" slučajno. To se događa ako je, na primjer, veza postavljena na web-lokaciju koja se nalazi na serveru u popularnom Internet resursu. Ovo uzrokuje ogroman porast prometa na web lokaciji ( efekat prskanja), koji na server djeluje na sličan način kao DDoS napad.

DDoS napadi, za razliku od jednostavnih DoS napada, najčešće se izvode radi komercijalne dobiti, jer su za organizaciju DDoS napada potrebne stotine hiljada računara, a ne može svako sebi priuštiti tako ogromne materijalne i vremenske troškove. Da bi organizirali DDoS napade, napadači koriste posebnu mrežu računara - botnet.

Botnet je mreža računara zaraženih određenom vrstom virusa. "zombi". Napadač može kontrolisati svaki takav računar na daljinu, bez znanja vlasnika računara. Uz pomoć virusa ili programa koji se vješto maskira u „korisni sadržaj“, na računar žrtve se instalira zlonamjerni programski kod, koji antivirus ne prepoznaje i radi u „stealth modu“. U pravom trenutku, na komandu vlasnika botneta, takav program se aktivira i počinje da šalje zahteve napadnutom serveru.

Prilikom izvođenja DDoS napada, napadači često koriste "DDoS klaster"- posebna trostepena arhitektura mreže računara. Ova struktura sadrži jednu ili više kontrolne konzole, sa kojeg se direktno šalje signal o DDoS napadu.

Signal se prenosi na glavnim računarima- "veza za prijenos" između kontrolnih konzola i računala agenta. Agenti To su računari koji svojim zahtjevima direktno napadaju server. I host računari i agentski računari su po pravilu "zombiji", tj. njihovi vlasnici ne znaju da su učesnici DDoS napada.

Metode zaštite od DDoS napada razlikuju se ovisno o vrsti samog napada. DDoS napadi uključuju sljedeće vrste:

UDP flood - napad slanjem velikog broja UDP paketa na adresu "žrtve"; TCP flood - napad slanjem velikog broja TCP paketa na adresu "žrtve"; TCP SYN flood - napad slanjem velikog broja zahtjeva za inicijalizaciju TCP veza; ICMP flood - napad zbog ICMP ping zahtjeva.

Napadači mogu kombinovati ove i druge vrste DDoS napada, što takve napade čini još opasnijim i teškim za eliminaciju.

nažalost, ne postoje univerzalne metode zaštite od DDoS napada. Ali pridržavanje nekih općih pravila pomoći će u smanjenju rizika od DDoS napada ili rješavanju njegovih posljedica što je moguće efikasnije.

Dakle, da bi se spriječio DDoS napad, potrebno je stalno pratiti otklanjanje ranjivosti u korištenom softveru, povećavati resurse i disperzirati ih. Obavezno na svom računaru imate instaliran barem minimalni softverski paket za zaštitu od DDoS-a. To mogu biti obični zaštitni zidovi (firewall) i posebni anti-DDoS programi. Za otkrivanje DDoS napada treba koristiti poseban softver i hardverski sistem.

Cilj DDoS napada može biti ili blokiranje konkurentskog projekta ili popularnog resursa, ili sticanje potpune kontrole nad sistemom. Prilikom promocije stranice vodi se računa da DoS uvjeti nastaju iz sljedećih razloga:

  • zbog grešaka u programskom kodu koje dovode do izvršavanja nevažećih instrukcija, pristupa neiskorištenom dijelu adresnog prostora i sl.;
  • zbog nedovoljne validacije korisničkih podataka, što može dovesti do dugog (ili beskonačnog) ciklusa, povećane potrošnje procesorskih resursa, iscrpljivanja memorije itd.;
  • zbog poplave - eksternog napada kroz veliki broj neispravnih ili besmislenih zahtjeva serveru. Dolazi do poplave TCP podsistema, komunikacionih kanala i aplikativnog sloja
  • usled spoljašnjeg uticaja, čija je svrha izazivanje lažna uzbuna zaštitni sistem i, kao rezultat, dovode do nedostupnosti resursa.

Zaštita

DDoS napadi otežavaju situaciju, jer ako server nije dovoljno dugo vremena, stranice ispadaju iz indeksa. Za otkrivanje prijetnje koriste se signaturne, statističke i hibridne metode. Prvi se zasnivaju na kvalitativnoj analizi, drugi na kvantitativnoj analizi, a treći kombinuju prednosti prethodnih metoda. Protivmjere su pasivne i aktivne, preventivne i reakcionarne. Uglavnom se koriste sljedeće metode:

  • otklanjanje ličnih i društvenih razloga koji podstiču ljude da organizuju DDoS napade,
  • blackholing i filtriranje saobraćaja,
  • eliminacija ranjivosti koda tokom optimizacija za pretraživače stranica,
  • povećanje resursa servera, izgradnja dupliranih i distribuiranih sistema za back-up servisiranje korisnika,
  • tehnički i organizaciono-pravni uticaj na organizatora, izvore ili centar za kontrolu napada,
  • ugradnja opreme za odbijanje DDoS napada (Arbor Peakflow®, DefensePro®, itd.),
  • kupovina namjenskog servera za web hosting.


POVEZANI ČLANCI