DoS- und DDoS-Angriffe: Bedeutung und Unterschiede. Welche Gefahren bergen DoS- und DDoS-Angriffe? Unterschied zwischen dos und ddos

Auf einem Computersystem mit dem Ziel, es zum Scheitern zu bringen, also Bedingungen zu schaffen, unter denen rechtmäßige (berechtigte) Benutzer des Systems nicht auf die vom System bereitgestellten Ressourcen (Server) zugreifen können oder dieser Zugriff erschwert wird. Der Ausfall eines „feindlichen“ Systems kann auch ein Schritt zur Beherrschung des Systems sein (wenn die Software in einer Notfallsituation kritische Informationen produziert – zum Beispiel eine Version, einen Teil eines Programmcodes usw.). Häufiger ist dies jedoch ein Maß für wirtschaftlichen Druck: Ausfallzeiten eines umsatzgenerierenden Dienstes, Rechnungen des Anbieters und Maßnahmen zur Vermeidung eines Angriffs treffen das „Ziel“ in der Tasche erheblich.

Erfolgt ein Angriff gleichzeitig von einer großen Anzahl an Computern, spricht man von DDoS-Angriff(aus dem Englischen Verteilter Denial-of-Service, Distributed-Denial-of-Service-Angriff). In einigen Fällen wird ein tatsächlicher DDoS-Angriff durch eine unbeabsichtigte Aktion verursacht, beispielsweise durch das Platzieren eines Links zu einer Website auf einer beliebten Internetressource, die auf einem nicht sehr produktiven Server gehostet wird (Slashdot-Effekt). Ein großer Zustrom von Benutzern führt zu einer Überschreitung der zulässigen Belastung des Servers und in der Folge zu einem Denial-of-Service für einige von ihnen.

Arten von DoS-Angriffen

Es gibt verschiedene Gründe, warum ein DoS-Zustand auftreten kann:

  • Fehler im Programmcode, was zum Zugriff auf ein ungenutztes Fragment des Adressraums, zur Ausführung einer ungültigen Anweisung oder zu einer anderen nicht behandelten Ausnahme führt, wenn das Serverprogramm – das Serverprogramm – abstürzt. Ein klassisches Beispiel ist die Umkehrung um Null. Null) Adresse.
  • Unzureichende Überprüfung der Benutzerdaten, was zu einem endlosen oder langen Zyklus oder einem erhöhten langfristigen Verbrauch von Prozessorressourcen (bis zur Erschöpfung der Prozessorressourcen) oder zur Zuweisung einer großen Menge RAM (bis zur Erschöpfung des verfügbaren Speichers) führt.
  • Flut(Englisch) Flut- „Flood“, „Overflow“) – ein Angriff, der mit einer großen Anzahl normalerweise bedeutungsloser oder falsch formatierter Anfragen an ein Computersystem oder Netzwerkgerät verbunden ist und auf einen Ausfall des Systems aufgrund von Erschöpfung abzielt oder zu diesem führt Systemressourcen- Prozessor, Speicher oder Kommunikationskanäle.
  • Angriff der zweiten Art- ein Angriff, der darauf abzielt, einen Fehlalarm des Sicherheitssystems auszulösen und so zur Nichtverfügbarkeit einer Ressource zu führen.

Wenn gleichzeitig ein Angriff (normalerweise eine Überschwemmung) durchgeführt wird große Menge IP-Adressen – von mehreren im Netzwerk verteilten Computern – werden in diesem Fall aufgerufen verteilt Denial-of-Service-Angriff ( DDoS).

Ausnutzung von Fehlern

Ausbeuten ist ein Programm, ein Stück Softwarecode oder eine Folge von Softwarebefehlen, das Schwachstellen in ausnutzt Software und zur Durchführung eines Angriffs auf ein Cybersystem verwendet werden. Von den Exploits, die zu einem DoS-Angriff führen, aber beispielsweise ungeeignet sind, die Kontrolle über ein „feindliches“ System zu übernehmen, sind WinNuke und Ping of Death die bekanntesten.

Flut

Zu Überschwemmungen als Verstoß gegen die Netiquette siehe Überschwemmung.

Flut Rufen Sie einen riesigen Strom bedeutungsloser Anfragen an verschiedene Computer um das „feindliche“ System (Prozessor, RAM oder Kommunikationskanal) mit Arbeit zu besetzen und es dadurch vorübergehend lahmzulegen. Der Begriff „DDoS-Angriff“ entspricht fast dem Begriff „Flood“, und im Alltag sind beide oft austauschbar („Flood the Server“ = „DDoS the Server“).

Kann wie gewohnt zur Erzeugung von Überschwemmungen verwendet werden Netzwerkdienstprogramme wie Ping (dafür ist beispielsweise die Internet-Community „Upyachka“ bekannt) und spezielle Programme. Die Möglichkeit von DDoS ist oft in Botnets „fest verankert“. Wenn festgestellt wird, dass eine Website mit hohem Datenverkehr eine Cross-Site-Scripting-Schwachstelle aufweist oder Bilder von anderen Ressourcen einbinden kann, kann diese Website auch für einen DDoS-Angriff genutzt werden.

Überflutung des Kommunikationskanals und des TCP-Subsystems

Jeder Computer, an den angeschlossen ist Außenweltüber das TCP/IP-Protokoll, anfällig für die folgenden Arten von Überschwemmungen:

  • SYN-Flood – bei dieser Art von Flood-Angriff wird eine große Anzahl von SYN-Paketen über das TCP-Protokoll an den angegriffenen Knoten gesendet (Anfragen zum Verbindungsaufbau). In diesem Fall ist nach kurzer Zeit die Anzahl der zum Öffnen verfügbaren Sockets (Software-Netzwerk-Sockets, Ports) auf dem angegriffenen Computer erschöpft und der Server reagiert nicht mehr.
  • UDP-Flood – diese Art von Flood greift nicht den Zielcomputer, sondern dessen Kommunikationskanal an. Anbieter gehen vernünftigerweise davon aus, dass UDP-Pakete zuerst zugestellt werden sollten und TCP warten kann. Eine große Anzahl von UDP-Paketen unterschiedlicher Größe verstopft den Kommunikationskanal und der Server, der das TCP-Protokoll verwendet, reagiert nicht mehr.
  • ICMP-Flood ist dasselbe, verwendet jedoch ICMP-Pakete.

Flut auf Anwendungsebene

Viele Dienste sind so konzipiert, dass eine kleine Anfrage einen großen Aufwand verursachen kann Rechenleistung auf dem Server. In diesem Fall wird nicht der Kommunikationskanal oder das TCP-Subsystem angegriffen, sondern der Dienst selbst – eine Flut ähnlicher „kranker“ Anfragen. Beispielsweise sind Webserver anfällig für HTTP-Flooding; entweder ein einfaches GET / oder eine komplexe Datenbankanforderung wie GET /index.php?search= kann verwendet werden, um einen Webserver zu deaktivieren.<случайная строка> .

Erkennung von DoS-Angriffen

Es besteht die Meinung, dass spezielle Tools zur Erkennung von DoS-Angriffen nicht erforderlich sind, da die Tatsache eines DoS-Angriffs nicht ignoriert werden kann. In vielen Fällen stimmt das. Allerdings wurden recht häufig erfolgreiche DoS-Angriffe beobachtet, die von den Opfern erst nach 2-3 Tagen bemerkt wurden. Es kam vor, dass die negativen Folgen des Angriffs ( Flut-Angriffe) führten zu unnötigen Kosten für die Bezahlung des übermäßigen Internetverkehrs, was erst beim Erhalt einer Rechnung des Internetproviders deutlich wurde. Darüber hinaus sind viele Angriffserkennungsmethoden in der Nähe des Angriffsziels wirkungslos, auf Netzwerk-Backbones jedoch wirksam. In diesem Fall ist es ratsam, dort Erkennungssysteme zu installieren und nicht zu warten, bis der angegriffene Benutzer es selbst bemerkt und Hilfe sucht. Um DoS-Angriffe effektiv bekämpfen zu können, ist es außerdem notwendig, die Art, Natur und andere Merkmale von DoS-Angriffen zu kennen, und Erkennungssysteme ermöglichen es Ihnen, diese Informationen schnell zu erhalten.

Methoden zur Erkennung von DoS-Angriffen lassen sich in mehrere große Gruppen einteilen:

  • Signatur - basierend auf qualitativer Verkehrsanalyse.
  • statistisch – basierend auf einer quantitativen Analyse des Datenverkehrs.
  • Hybrid (kombiniert) – Kombination der Vorteile beider oben genannten Methoden.

Schutz vor DoS-Angriffen

Maßnahmen zur Abwehr von DoS-Angriffen lassen sich in passive und aktive sowie präventive und reaktionäre Maßnahmen unterteilen.

Nachfolgend finden Sie eine kurze Liste der wichtigsten Methoden.

  • Verhütung. Verhinderung der Gründe, die bestimmte Personen dazu veranlassen, DoS-Angriffe zu organisieren und zu starten. (Sehr oft sind Cyberangriffe im Allgemeinen das Ergebnis persönlicher Beschwerden, politischer, religiöser und anderer Meinungsverschiedenheiten, provozierendes Verhalten des Opfers usw.)
  • Filtration und Blackholing. Blockieren des Datenverkehrs von angreifenden Computern. Die Wirksamkeit dieser Methoden nimmt ab, je näher man dem Angriffsziel kommt, und nimmt zu, je näher man der angreifenden Maschine kommt.
  • DDOS umkehren- Umleitung des für einen Angriff verwendeten Datenverkehrs zum Angreifer.
  • Beseitigung von Schwachstellen. Funktioniert nicht dagegen Flut-Angriffe, bei denen die „Schwachstelle“ in der Endlichkeit bestimmter Systemressourcen liegt.
  • Zunehmende Ressourcen. Natürlich bietet es keinen absoluten Schutz, aber es ist ein guter Hintergrund für die Verwendung anderer Arten des Schutzes gegen DoS-Angriffe.
  • Zerstreuung. Aufbau verteilter und redundanter Systeme, die den Benutzern weiterhin zur Verfügung stehen, selbst wenn einige ihrer Elemente aufgrund eines DoS-Angriffs nicht verfügbar sind.
  • Ausweichen. Verlagerung des unmittelbaren Angriffsziels (Domänenname oder IP-Adresse) von anderen Ressourcen, die häufig zusammen mit dem unmittelbaren Angriffsziel ebenfalls exponiert sind.
  • Aktive Reaktion. Auswirkungen auf die Quellen, den Organisator oder die Leitstelle des Angriffs, sowohl auf technischer als auch auf organisatorisch-rechtlicher Ebene.
  • Einsatz von Geräten zur Abwehr von DoS-Angriffen. Zum Beispiel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® und von anderen Herstellern.
  • Kauf eines Dienstes zum Schutz vor DoS-Angriffen. Dies ist relevant, wenn die Überschwemmung die Kapazität des Netzwerkkanals überschreitet.

siehe auch

Anmerkungen

Literatur

  • Chris Kaspersky Computer Virus innen und außen. - Peter. - St. Petersburg. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse typischer Sicherheitsverstöße in Netzwerken = Intrusion Signatures and Analysis. – New Riders Publishing (Englisch) St. Petersburg: Williams Publishing House (Russisch), 2001. – S. 464. – ISBN 5-8459-0225-8 (Russisch), 0-7357-1063-5 (Englisch)
  • Morris, R. T.= Eine Schwäche in der 4.2BSD Unix TCP/IP-Software. - Technischer Informatikbericht Nr. 117. - AT&T Bell Laboratories, Februar 1985.
  • Bellovin, S. M.= Sicherheitsprobleme in der TCP/IP-Protokollsuite. - Computer Communication Review, Bd. 19, Nr.2. - AT&T Bell Laboratories, April 1989.
  • =daemon9/route/infinity „IP-Spooling entmystifiziert: Ausnutzung der Vertrauensrealisierung.“ – Phrack Magazine, Band 7, Ausgabe 48. – Guild Production, Juli 1996.
  • =daemon9/route/infinity „Projekt Neptun“. – Phrack Magazine, Band 7, Ausgabe 48. – Guild Production, Juli 1996.

Links

  • DoS Angriff im Linkverzeichnis des Open Directory-Projekts (

Kürzlich konnten wir feststellen, dass DDoS-Angriffe eine ziemlich mächtige Waffe sind Informationsraum. Mit leistungsstarken DDoS-Angriffen können Sie nicht nur eine oder mehrere Websites lahmlegen, sondern auch den Betrieb eines gesamten Netzwerksegments stören oder das Internet in einem kleinen Land lahmlegen. Heutzutage kommt es immer häufiger zu DDoS-Angriffen und ihre Schlagkraft nimmt immer mehr zu.

Aber was ist das Wesentliche an einem solchen Angriff? Was passiert im Netzwerk, wenn es durchgeführt wird, woher kam die Idee dazu und warum ist es so effektiv? Antworten auf all diese Fragen finden Sie heute in unserem Artikel.

DDoS oder Distributed Denial-of-Service ist ein Angriff auf bestimmten Computer in einem Netzwerk, das aufgrund von Überlastung dazu führt, dass es nicht auf Anfragen anderer Benutzer reagiert.

Um zu verstehen, was ein DDoS-Angriff bedeutet, stellen wir uns eine Situation vor: Ein Webserver stellt den Benutzern Site-Seiten zur Verfügung. Nehmen wir an, es dauert eine halbe Sekunde, um eine Seite zu erstellen und sie vollständig auf den Computer des Benutzers zu übertragen. Dann ist unser Server dazu in der Lage um normal mit einer Frequenz von zwei Anfragen pro Sekunde zu arbeiten. Sollten weitere solcher Anfragen vorliegen, werden diese in die Warteschlange gestellt und bearbeitet, sobald der Webserver frei ist. Alle neuen Anfragen werden am Ende der Warteschlange hinzugefügt. Stellen wir uns nun vor, dass es viele Anfragen gibt und die meisten davon nur gesendet werden, um diesen Server zu überlasten.

Wenn die Rate, mit der neue Anfragen eingehen, die Verarbeitungsrate übersteigt, wird die Anfragewarteschlange mit der Zeit so lang, dass keine neuen Anfragen tatsächlich verarbeitet werden. Dies ist das Hauptprinzip eines DDoS-Angriffs. Früher wurden solche Anfragen von einer IP-Adresse gesendet und dies wurde als Denial-of-Service-Angriff bezeichnet – Dead-of-Service. Tatsächlich ist dies die Antwort auf die Frage, was Dos ist. Solche Angriffe können jedoch wirksam bekämpft werden, indem einfach die Quell-IP-Adresse oder mehrere zur Sperrliste hinzugefügt werden. Darüber hinaus können aufgrund der Einschränkungen der Netzwerkbandbreite mehrere Geräte physisch nicht genügend Pakete generieren, um einen ernsthaften Server zu überlasten.

Daher werden Angriffe mittlerweile von Millionen Geräten gleichzeitig ausgeführt. Dem Namen wurde das Wort Distribed hinzugefügt, wie sich herausstellte – DDoS. Die einzelnen Geräte haben keine Bedeutung und verfügen möglicherweise nicht über eine sehr gute Internetverbindung. hohe Geschwindigkeit, aber wenn sie alle gleichzeitig anfangen, Anfragen an einen Server zu senden, können sie eine Gesamtgeschwindigkeit von bis zu 10 Tbit/s erreichen. Und das ist bereits ein ziemlich ernstzunehmender Indikator.

Es bleibt abzuwarten, woher die Angreifer so viele Geräte bekommen, um ihre Angriffe durchzuführen. Das normale Computer oder verschiedene IoT-Geräte, auf die sich die Angreifer Zugriff verschaffen konnten. Das kann alles sein, Videokameras und Router mit Firmware, die schon lange nicht mehr aktualisiert wurde, Steuergeräte und normale Computer von Benutzern, die sich irgendwie mit dem Virus infiziert haben und nichts von seiner Existenz wissen oder es nicht eilig haben, ihn zu entfernen.

Arten von DDoS-Angriffen

Es gibt zwei Haupttypen von DDoS-Angriffen: Einige zielen darauf ab, ein bestimmtes Programm zu überlasten, und Angriffe, die darauf abzielen, die Netzwerkverbindung zum Zielcomputer zu überlasten.

Angriffe auf die Überlastung eines Programms werden auch Angriffe 7 genannt (im OSI-Netzwerkmodell gibt es sieben Ebenen und die letzte Ebene sind die Ebenen einzelner Anwendungen). Ein Angreifer greift ein Programm an, das viele Serverressourcen beansprucht, indem er eine große Anzahl von Anfragen sendet. Letztendlich hat das Programm keine Zeit, alle Verbindungen zu verarbeiten. Dies ist der Typ, den wir oben besprochen haben.

DoS-Angriffe auf den Internetkanal erfordern viel mehr Ressourcen, sind aber deutlich schwieriger zu bewältigen. Wenn wir eine Analogie zu osi ziehen, dann handelt es sich um Angriffe auf der 3-4-Ebene, nämlich auf den Kanal oder das Datenübertragungsprotokoll. Tatsache ist, dass jede Internetverbindung eine eigene Geschwindigkeitsbegrenzung hat, mit der Daten darüber übertragen werden können. Wenn es viele Daten gibt, dann Netzwerk-Hardware Genau wie das Programm stellt es sie zur Übertragung in eine Warteschlange, und wenn die Datenmenge und die Geschwindigkeit, mit der sie ankommen, die Geschwindigkeit des Kanals deutlich übersteigt, kommt es zu einer Überlastung. Die Datenübertragungsrate kann in solchen Fällen in Gigabyte pro Sekunde berechnet werden. Als beispielsweise das kleine Land Liberia vom Internet getrennt wurde, betrug die Datenübertragungsgeschwindigkeit bis zu 5 TB/Sek. Allerdings reichen 20–40 Gbit/s aus, um die meisten Netzwerkinfrastrukturen zu überlasten.

Ursprung von DDoS-Angriffen

Oben haben wir uns mit DDoS-Angriffen und den Methoden von DDoS-Angriffen befasst. Nun ist es an der Zeit, sich mit ihrem Ursprung zu befassen. Haben Sie sich jemals gefragt, warum diese Angriffe so effektiv sind? Sie basieren auf militärischen Strategien, die über viele Jahrzehnte entwickelt und erprobt wurden.

Im Allgemeinen sind viele der Ansätze zu Informationssicherheit basierend auf militärischen Strategien der Vergangenheit. Es gibt Trojaner, die der antiken Schlacht um Troja ähneln, Ransomware-Viren, die Ihre Dateien stehlen, um Lösegeld zu erpressen, und DDoS-Angriffe, die die Ressourcen des Feindes einschränken. Indem Sie die Möglichkeiten Ihres Gegners einschränken, gewinnen Sie eine gewisse Kontrolle über seine weiteren Aktionen. Diese Taktik funktioniert für beide Militärstrategen sehr gut. und für Cyberkriminelle.

Im Falle einer militärischen Strategie können wir ganz einfach über die Arten von Ressourcen nachdenken, die begrenzt werden können, um die Fähigkeiten eines Feindes einzuschränken. Eine Begrenzung von Wasser, Nahrungsmitteln und Baumaterialien würde den Feind einfach vernichten. Bei Computern ist alles anders; es gibt verschiedene Dienste, zum Beispiel DNS, Webserver, Server Email. Sie haben alle eine unterschiedliche Infrastruktur, aber es gibt etwas, das sie verbindet. Das ist ein Netzwerk. Ohne ein Netzwerk können Sie nicht auf den Remote-Dienst zugreifen.

Kriegsherren können Wasser vergiften, Ernten verbrennen und Kontrollpunkte einrichten. Cyberkriminelle können falsche Daten an den Dienst senden, dazu führen, dass dieser den gesamten Speicher belegt oder den gesamten Netzwerkkanal vollständig überlastet. Auch Verteidigungsstrategien haben die gleichen Wurzeln. Der Serveradministrator muss den eingehenden Datenverkehr überwachen, um schädlichen Datenverkehr zu finden und ihn zu blockieren, bevor er den Zielnetzwerkkanal oder das Zielprogramm erreicht.

Schlussfolgerungen

DDoS-Angriffe werden immer häufiger und wirkungsvoller. Das bedeutet, dass die von uns genutzten Dienste zunehmend angegriffen werden. Eine Möglichkeit, die Anzahl der Angriffe zu reduzieren, besteht darin, sicherzustellen, dass unsere Geräte nicht mit Viren infiziert sind und rechtzeitig Updates erhalten. Nachdem Sie nun wissen, was ein DDoS-Angriff ist und die Grundlagen des Schutzes kennen, gehen wir in einem der folgenden Artikel genauer auf den letzten Punkt ein.

Abschließend biete ich einen Vortrag zum Thema DDoS-Angriffe an:

Ein DoS- und DDoS-Angriff ist ein aggressiver externer Angriff auf die Rechenressourcen eines Servers oder einer Workstation mit dem Ziel, diesen zum Scheitern zu bringen. Mit Ausfall meinen wir nicht den physischen Ausfall einer Maschine, sondern die Unzugänglichkeit ihrer Ressourcen für echte Benutzer – die Weigerung des Systems, sie zu warten ( D enial Ö F S(daher stammt auch die Abkürzung DoS).

Wenn ein solcher Angriff von einem einzelnen Computer aus ausgeführt wird, wird er als DoS (DoS) eingestuft, wenn von mehreren - DDoS (DiDoS oder DDoS), was bedeutet "D verteilt D enial Ö F S service“ – verteilter Denial-of-Service. Als nächstes sprechen wir darüber, warum Angreifer solche Angriffe durchführen, was sie sind, welchen Schaden sie den Angegriffenen zufügen und wie diese ihre Ressourcen schützen können.

Wer kann unter DoS- und DDoS-Angriffen leiden?

Unternehmensserver von Unternehmen und Websites werden viel seltener angegriffen – Privatcomputer Einzelpersonen. Der Zweck solcher Aktionen besteht in der Regel darin, der angegriffenen Person wirtschaftlichen Schaden zuzufügen und im Schatten zu bleiben. In manchen Fällen gehören DoS- und DDoS-Angriffe zu den Phasen des Server-Hackings und zielen darauf ab, Informationen zu stehlen oder zu zerstören. Tatsächlich kann ein Unternehmen oder eine Website, die jedermann gehört, Opfer von Angreifern werden.

Ein Diagramm, das das Wesentliche eines DDoS-Angriffs veranschaulicht:

DoS- und DDoS-Angriffe werden meist auf Betreiben unehrlicher Konkurrenten durchgeführt. Wenn Sie also die Website eines Online-Shops „abstürzen“, der ein ähnliches Produkt anbietet, können Sie vorübergehend zum „Monopolisten“ werden und sich dessen Kunden aneignen. Durch die „Abschaltung“ eines Unternehmensservers können Sie die Arbeit eines Konkurrenzunternehmens stören und dadurch dessen Marktposition schwächen.

Groß angelegte Angriffe, die erheblichen Schaden anrichten können, werden in der Regel von professionellen Cyberkriminellen für viel Geld durchgeführt. Aber nicht immer. Ihre Ressourcen können von einheimischen Amateur-Hackern aus Interesse, von Rächern unter entlassenen Mitarbeitern und einfach von denen angegriffen werden, die Ihre Ansichten über das Leben nicht teilen.

Manchmal erfolgt der Angriff zum Zwecke der Erpressung, während der Angreifer offen vom Eigentümer der Ressource Geld verlangt, um den Angriff zu stoppen.

Die Server staatlicher Unternehmen und bekannter Organisationen werden häufig von anonymen Gruppen hochqualifizierter Hacker angegriffen, um Beamte zu beeinflussen oder öffentliche Empörung hervorzurufen.

Wie Angriffe durchgeführt werden

Das Funktionsprinzip von DoS- und DDoS-Angriffen besteht darin, einen großen Informationsfluss an den Server zu senden, der die Rechenressourcen des Prozessors und des Arbeitsspeichers maximal belastet (soweit es die Fähigkeiten des Hackers zulassen), Kommunikationskanäle verstopft oder Speicherplatz füllt . Der angegriffene Computer kann eingehende Daten nicht verarbeiten und reagiert nicht mehr auf Benutzeranfragen.

So sieht der normale Serverbetrieb aus, visualisiert im Logstalgia-Programm:

Die Wirksamkeit einzelner DOS-Angriffe ist nicht sehr hoch. Darüber hinaus besteht für den Angreifer bei einem Angriff von einem Personalcomputer aus das Risiko, identifiziert und gefasst zu werden. Dezentrale Angriffe (DDoS), die von sogenannten Zombie-Netzwerken oder Botnetzen aus durchgeführt werden, bringen deutlich größere Gewinne.

So zeigt die Website Norse-corp.com die Aktivität des Botnets an:

Ein Zombie-Netzwerk (Botnet) ist eine Gruppe von Computern, die keine physische Verbindung untereinander haben. Gemeinsam ist ihnen, dass sie alle unter der Kontrolle eines Angreifers stehen. Die Steuerung erfolgt durch Trojanisches Pferd, was sich vorerst möglicherweise in keiner Weise manifestieren wird. Bei einem Angriff weist der Hacker die infizierten Computer an, Anfragen an die Website oder den Server des Opfers zu senden. Und da er dem Druck nicht standhalten kann, hört er auf zu antworten.

So zeigt Logstalgia einen DDoS-Angriff:

Absolut jeder Computer kann einem Botnetz beitreten. Und sogar ein Smartphone. Es reicht aus, sich einen Trojaner einzufangen und nicht rechtzeitig erkannt zu werden. Das größte Botnetz bestand übrigens aus fast 2 Millionen Maschinen auf der ganzen Welt, und ihre Besitzer hatten keine Ahnung, was sie taten.

Angriffs- und Verteidigungsmethoden

Bevor ein Hacker einen Angriff startet, überlegt er, wie er ihn mit größtmöglicher Wirkung ausführen kann. Wenn der angegriffene Knoten mehrere Schwachstellen aufweist, kann die Wirkung in verschiedene Richtungen erfolgen, was die Gegenmaßnahmen erheblich erschwert. Daher ist es für jeden Serveradministrator wichtig, alle „Engpässe“ zu untersuchen und diese nach Möglichkeit zu beheben.

Flut

Vereinfacht ausgedrückt handelt es sich bei Flut um Informationen, die keinerlei Bedeutung haben. Im Kontext von DoS/DDoS-Angriffen ist eine Flut eine Lawine leerer, bedeutungsloser Anfragen der einen oder anderen Ebene, die der empfangende Knoten verarbeiten muss.

Der Hauptzweck der Verwendung von Flooding besteht darin, Kommunikationskanäle vollständig zu verstopfen und die Bandbreite maximal zu sättigen.

Arten von Überschwemmungen:

  • MAC-Flut – Auswirkungen auf Netzwerkkommunikatoren (Blockierung von Ports mit Datenflüssen).
  • ICMP-Flooding – Überschwemmung eines Opfers mit Service-Echo-Anfragen über ein Zombie-Netzwerk oder Senden von Anfragen „im Namen“ des angegriffenen Knotens, sodass alle Mitglieder des Botnetzes ihm gleichzeitig eine Echo-Antwort senden (Smurf-Angriff). Ein Sonderfall der ICMP-Flood ist die Ping-Flood (Senden von Ping-Anfragen an den Server).
  • SYN-Flut – Senden zahlreicher SYN-Anfragen an das Opfer, wodurch die TCP-Verbindungswarteschlange überläuft, indem eine große Anzahl halboffener (auf Client-Bestätigung wartender) Verbindungen erstellt wird.
  • UDP-Flood – funktioniert nach dem Smurf-Angriffsschema, bei dem UDP-Datagramme anstelle von ICMP-Paketen gesendet werden.
  • HTTP-Flood – Überflutung des Servers mit zahlreichen HTTP-Nachrichten. Eine ausgefeiltere Option ist HTTPS-Flooding, bei dem die gesendeten Daten vorverschlüsselt werden und vor der Verarbeitung durch den angegriffenen Knoten entschlüsselt werden müssen.


So schützen Sie sich vor Überschwemmungen

  • Konfigurieren Sie Netzwerk-Switches, um die Gültigkeit zu überprüfen und MAC-Adressen zu filtern.
  • Beschränken oder deaktivieren Sie die Verarbeitung von ICMP-Echoanfragen.
  • Blockieren Sie Pakete, die von einer bestimmten Adresse oder Domäne stammen, bei der der Verdacht besteht, dass sie unzuverlässig ist.
  • Begrenzen Sie die Anzahl halboffener Verbindungen mit einer Adresse, reduzieren Sie deren Haltezeit und verlängern Sie die Warteschlange der TCP-Verbindungen.
  • Deaktivieren Sie den Empfang von Datenverkehr von außen durch UDP-Dienste oder begrenzen Sie die Anzahl der UDP-Verbindungen.
  • Nutzen Sie CAPTCHA, Verzögerungen und andere Bot-Schutztechniken.
  • Zunahme Höchstbetrag HTTP-Verbindungen, Anforderungs-Caching mit Nginx konfigurieren.
  • Erweitern Sie die Kapazität der Netzwerkkanäle.
  • Wenn möglich, reservieren Sie einen separaten Server für die Kryptografie (sofern verwendet).
  • Erstellen Sie in Notfallsituationen einen Backup-Kanal für den administrativen Zugriff auf den Server.

Hardware-Überlastung

Es gibt Arten von Überschwemmungen, die sich nicht auf den Kommunikationskanal, sondern auf die Hardwareressourcen des angegriffenen Computers auswirken, diese auf ihre volle Kapazität belasten und zu einem Einfrieren oder Absturz führen. Zum Beispiel:

  • Erstellen eines Skripts, das eine große Menge bedeutungsloser Textinformationen in einem Forum oder auf einer Website veröffentlicht, wo Benutzer die Möglichkeit haben, Kommentare zu hinterlassen, bis der gesamte Speicherplatz belegt ist.
  • Das Gleiche gilt, nur die Serverprotokolle füllen das Laufwerk.
  • Laden einer Site, auf der eine Art Transformation der eingegebenen Daten durchgeführt wird, wobei diese Daten kontinuierlich verarbeitet werden (Versenden sogenannter „schwerer“ Pakete).
  • Laden des Prozessors oder Speichers durch Ausführen von Code über die CGI-Schnittstelle (CGI-Unterstützung ermöglicht die Ausführung jedes externen Programms auf dem Server).
  • Auslösen des Sicherheitssystems, Unzugänglichmachen des Servers von außen usw.


So schützen Sie sich vor Überlastung der Hardware-Ressourcen

  • Erhöhen Sie die Hardwareleistung und den Speicherplatz. Bei normalem Betrieb des Servers sollten mindestens 25–30 % der Ressourcen frei bleiben.
  • Verwenden Sie Verkehrsanalyse- und Filtersysteme, bevor Sie ihn an den Server übertragen.
  • Beschränken Sie die Nutzung von Hardwareressourcen durch Systemkomponenten (Festlegen von Kontingenten).
  • Speichern Sie Serverprotokolldateien auf einem separaten Laufwerk.
  • Verteilen Sie Ressourcen unabhängig voneinander auf mehrere Server. Damit auch bei Ausfall eines Teils die anderen funktionsfähig bleiben.

Schwachstellen in Betriebssystemen, Software, Geräte-Firmware

Es gibt ungleich mehr Möglichkeiten, einen solchen Angriff durchzuführen als den Einsatz von Flooding. Ihre Umsetzung hängt von der Qualifikation und Erfahrung des Angreifers sowie seiner Fähigkeit ab, Fehler im Programmcode zu finden und zu seinem Vorteil und zum Nachteil des Ressourceneigentümers auszunutzen.

Sobald ein Hacker eine Schwachstelle entdeckt (einen Fehler in der Software, der dazu genutzt werden kann, den Betrieb des Systems zu stören), muss er lediglich einen Exploit erstellen und ausführen – ein Programm, das diese Schwachstelle ausnutzt.

Das Ausnutzen von Schwachstellen soll nicht immer nur zu einem Denial-of-Service führen. Wenn der Hacker Glück hat, kann er die Kontrolle über die Ressource erlangen und dieses „Geschenk des Schicksals“ nach eigenem Ermessen nutzen. Zum Beispiel zur Verteilung verwenden Schadsoftware, Informationen stehlen und zerstören usw.

Methoden zur Bekämpfung der Ausnutzung von Softwareschwachstellen

  • Installieren Sie rechtzeitig Updates, die Schwachstellen von Betriebssystemen und Anwendungen abdecken.
  • Isolieren Sie alle Dienste, die der Lösung administrativer Aufgaben dienen, vom Zugriff Dritter.
  • Verwenden Sie Mittel zur kontinuierlichen Überwachung des Betriebs des Server-Betriebssystems und der Programme (Verhaltensanalyse usw.).
  • Lehnen Sie potenziell anfällige Programme (kostenlos, selbst geschrieben, selten aktualisiert) zugunsten bewährter und gut geschützter Programme ab.
  • Nutzen Sie vorgefertigte Mittel zum Schutz von Systemen vor DoS- und DDoS-Angriffen, die sowohl in Form von Hardware- als auch Softwaresystemen existieren.

So stellen Sie fest, dass eine Ressource von einem Hacker angegriffen wurde

Wenn es dem Angreifer gelingt, das Ziel zu erreichen, ist es unmöglich, den Angriff nicht zu übersehen, in manchen Fällen kann der Administrator jedoch nicht genau bestimmen, wann er begann. Das heißt, vom Beginn des Anfalls bis zu spürbaren Symptomen vergehen manchmal mehrere Stunden. Bei versteckter Einflussnahme (bis der Server ausfällt) sind jedoch auch bestimmte Anzeichen vorhanden. Zum Beispiel:

  • Unnatürliches Verhalten von Serveranwendungen bzw Betriebssystem(Hängt, Herunterfahren mit Fehlern usw.).
  • CPU-Last, RAM und die Akkumulation steigt im Vergleich zum Ausgangsniveau stark an.
  • Das Verkehrsaufkommen an einem oder mehreren Ports nimmt deutlich zu.
  • Es gibt mehrere Anfragen von Clients an dieselben Ressourcen (Öffnen derselben Website-Seite, Herunterladen derselben Datei).
  • Die Analyse von Server-, Firewall- und Netzwerkgeräteprotokollen zeigt eine große Anzahl monotoner Anfragen von verschiedenen Adressen, die häufig an einen bestimmten Port oder Dienst gerichtet sind. Vor allem, wenn sich die Seite an ein schmales Publikum richtet (z. B. russischsprachig) und Anfragen aus der ganzen Welt kommen. Eine qualitative Analyse des Datenverkehrs zeigt, dass die Anfragen für Kunden keine praktische Bedeutung haben.

All dies ist kein hundertprozentiges Anzeichen für einen Angriff, aber immer ein Grund, sich mit dem Problem auseinanderzusetzen und entsprechende Schutzmaßnahmen zu ergreifen.

DoS-Angriffe– das sind Angriffe, die zur Lähmung des Servers führen bzw persönlicher Computer aufgrund der großen Anzahl von Anfragen, die mit hoher Geschwindigkeit bei der angegriffenen Ressource eintreffen. Wenn ein solcher Angriff gleichzeitig von einer großen Anzahl von Computern ausgeführt wird, dann sprechen wir in diesem Fall davon DDoS-Angriff.

DoS - Denial of Service– Denial-of-Service-Angriff. Es gibt zwei Möglichkeiten, diesen Angriff durchzuführen. Mit der ersten Methode Ein DoS-Angriff nutzt eine Schwachstelle in der auf dem angegriffenen Computer installierten Software aus. Durch die Ausnutzung einer solchen Sicherheitslücke können Sie einen bestimmten kritischen Fehler auf Ihrem Computer verursachen, der zu einer Störung des Systems führt.

Bei der zweiten Methode erfolgt der Angriff durch das gleichzeitige Senden einer großen Anzahl von Informationspaketen an den angegriffenen Computer. Gemäß den Prinzipien der Datenübertragung zwischen Computern in einem Netzwerk wird jedes Informationspaket, das von einem Computer an einen anderen gesendet wird, für einen bestimmten Zeitraum verarbeitet.

Wenn gleichzeitig eine weitere Anfrage beim Computer eintrifft, wird das Paket in die „Warteschlange“ gestellt und beansprucht eine bestimmte Menge physischer Systemressourcen. Wenn daher eine große Anzahl von Anfragen gleichzeitig an den Computer gesendet werden, führt die übermäßige Belastung dazu, dass der Computer einfriert oder die Verbindung zum Internet trennt. Genau das brauchen die Organisatoren eines DoS-Angriffs.

Ein DDoS-Angriff ist eine Art DoS-Angriff. Verteilter Denial-of-Service– „Distributed Denial of Service“ – wird unter Verwendung einer sehr großen Anzahl von Computern organisiert, wodurch Server auch mit sehr hoher Internetbandbreite anfällig für Angriffe sein können.

Manchmal wird die Wirkung eines DDoS-Angriffs zufällig ausgelöst. Dies geschieht beispielsweise, wenn ein Link auf eine Site gesetzt wurde, die sich auf einem Server einer beliebten Internetressource befindet. Dies führt zu einem starken Anstieg des Website-Verkehrs ( Splashdot-Effekt), der auf dem Server ähnlich wie ein DDoS-Angriff wirkt.

DDoS-Angriffe werden im Gegensatz zu einfachen DoS-Angriffen meist aus kommerziellen Gründen durchgeführt, da für die Organisation eines DDoS-Angriffs Hunderttausende Computer erforderlich sind und sich nicht jeder einen derart hohen Material- und Zeitaufwand leisten kann. Um DDoS-Angriffe zu organisieren, nutzen Angreifer ein spezielles Computernetzwerk – Botnetz.

Ein Botnet ist ein Netzwerk von Computern, die mit einem speziellen Virustyp infiziert sind. "Zombie". Ein Angreifer kann jeden dieser Computer aus der Ferne steuern, ohne dass der Computerbesitzer es weiß. Mithilfe eines Virus oder eines Programms, das sich geschickt als „nützlicher Inhalt“ ausgibt, wird schädlicher Softwarecode auf dem Computer des Opfers installiert, der vom Antivirenprogramm nicht erkannt wird und im „unsichtbaren Modus“ arbeitet. Im richtigen Moment wird auf Befehl des Botnet-Besitzers ein solches Programm aktiviert und beginnt, Anfragen an den angegriffenen Server zu senden.

Bei der Durchführung von DDoS-Angriffen nutzen Angreifer häufig „DDoS-Cluster“— eine spezielle dreistufige Computernetzwerkarchitektur. Diese Struktur enthält eine oder mehrere Steuerkonsolen, von dem direkt ein Signal über einen DDoS-Angriff gesendet wird.

Das Signal wird an übertragen Hauptrechner– „Übertragungsverbindung“ zwischen Steuerkonsolen und Agentencomputern. Agenten– das sind Computer, die mit ihren Anfragen direkt den Server angreifen. Sowohl Hauptrechner als auch Agentenrechner sind in der Regel „Zombies“, d. h. Ihre Besitzer wissen nicht, dass sie an einem DDoS-Angriff teilnehmen.

Die Methoden zum Schutz vor DDoS-Angriffen variieren je nach Art des Angriffs. Man unterscheidet folgende Arten von DDoS-Angriffen:

UDP-Flood – ein Angriff, bei dem viele UDP-Pakete an die „Opfer“-Adresse gesendet werden; TCP-Flut – ein Angriff, bei dem viele TCP-Pakete an die Adresse des „Opfers“ gesendet werden; TCP-SYN-Flood – ein Angriff, bei dem eine große Anzahl von Anfragen zur Initialisierung von TCP-Verbindungen gesendet wird; ICMP-Flood – Angriff mit ICMP-Ping-Anfragen.

Angreifer können diese und andere Arten von DDoS-Angriffen kombinieren, was solche Angriffe noch gefährlicher und schwieriger zu beseitigen macht.

Leider, Es gibt keine universellen Methoden zum Schutz vor DDoS-Angriffen. Das Befolgen einiger allgemeiner Regeln hilft jedoch, das Risiko eines DDoS-Angriffs zu verringern oder seine Folgen so effektiv wie möglich zu bewältigen.

Um einen DDoS-Angriff zu verhindern, ist es daher notwendig, die Beseitigung von Schwachstellen in der verwendeten Software ständig zu überwachen, Ressourcen zu erhöhen und diese zu beseitigen. Stellen Sie sicher, dass auf Ihrem Computer mindestens ein Mindestpaket an DDoS-Schutzsoftware installiert ist. Dies können normale Firewalls (Firewalls) und spezielle Anti-DDoS-Programme sein. Zur Erkennung von DDoS-Angriffen sollten spezielle Soft- und Hardwaresysteme eingesetzt werden.

Das Ziel eines DDoS-Angriffs kann entweder darin bestehen, das Projekt eines Konkurrenten oder eine beliebte Ressource zu blockieren oder die vollständige Kontrolle über das System zu erlangen. Berücksichtigen Sie beim Bewerben einer Website, dass DoS-Bedingungen aus folgenden Gründen entstehen:

  • aufgrund von Fehlern im Programmcode, die zur Ausführung ungültiger Anweisungen, Zugriff auf einen ungenutzten Teil des Adressraums usw. führen;
  • aufgrund unzureichender Überprüfung der Benutzerdaten, was zu einem langen (oder endlosen) Zyklus, erhöhtem Verbrauch von Prozessorressourcen, Speichererschöpfung usw. führen kann;
  • aufgrund von Flooding – einem externen Angriff durch eine große Anzahl falsch formulierter oder bedeutungsloser Anfragen an den Server. Es kommt zu Überschwemmungen des TCP-Subsystems, der Kommunikationskanäle und der Anwendungsebene
  • aufgrund äußerer Einwirkung, deren Zweck darin besteht, zu verursachen falscher Alarm Schutzsystem und führen dadurch zur Nichtverfügbarkeit der Ressource.

Schutz

DDoS-Angriffe sind kompliziert, denn wenn der Server lange genug ausfällt, fallen Seiten aus dem Index. Zur Erkennung von Bedrohungen werden Signatur-, Statistik- und Hybridmethoden eingesetzt. Die ersten basieren auf einer qualitativen Analyse, die zweiten auf einer quantitativen und die dritten kombinieren die Vorteile früherer Methoden. Gegenmaßnahmen können passiv und aktiv, präventiv und reaktionär sein. Dabei kommen hauptsächlich folgende Methoden zum Einsatz:

  • Beseitigung persönlicher und sozialer Gründe, die Menschen dazu motivieren, DDoS-Angriffe zu organisieren,
  • Blackholing und Verkehrsfilterung,
  • Beseitigung von Code-Schwachstellen während Suchmaschinenoptimierung Website,
  • Erhöhung der Serverressourcen, Aufbau redundanter und verteilter Systeme für Backup-Benutzerdienste,
  • technische und organisatorisch-rechtliche Auswirkungen auf den Veranstalter, die Quellen oder die Leitstelle des Angriffs,
  • Installation von Geräten zur Abwehr von DDoS-Angriffen (Arbor Peakflow®, DefensePro® usw.),
  • Kauf eines dedizierten Servers für das Website-Hosting.


IN VERBINDUNG STEHENDE ARTIKEL