Επιθέσεις DoS και DDoS: νόημα και διαφορές. Γιατί είναι επικίνδυνες οι επιθέσεις DoS και DDoS; Η διαφορά μεταξύ dos και ddos

Σε ένα υπολογιστικό σύστημα για να το φέρει σε αστοχία, δηλαδή τη δημιουργία τέτοιων συνθηκών υπό τις οποίες οι νόμιμοι (νόμιμοι) χρήστες του συστήματος δεν μπορούν να έχουν πρόσβαση στους πόρους (διακομιστές) που παρέχει το σύστημα, ή αυτή η πρόσβαση είναι δύσκολη. Η αποτυχία του συστήματος «εχθρού» μπορεί επίσης να είναι ένα βήμα προς την κυριαρχία του συστήματος (εάν σε περίπτωση έκτακτης ανάγκης το λογισμικό παρέχει κρίσιμες πληροφορίες - για παράδειγμα, έκδοση, μέρος του κώδικα προγράμματος κ.λπ.). Αλλά πιο συχνά είναι ένα μέτρο οικονομικής πίεσης: ο χρόνος διακοπής μιας υπηρεσίας που δημιουργεί έσοδα, οι λογαριασμοί από τον πάροχο και τα μέτρα για την αποφυγή επίθεσης χτυπούν σημαντικά τον «στόχο» στην τσέπη.

Αν μια επίθεση πραγματοποιείται ταυτόχρονα από μεγάλο αριθμό υπολογιστών, μιλάμε για Επίθεση DDoS(από τα Αγγλικά. Κατανεμημένη άρνηση υπηρεσίας, κατανεμημένη επίθεση άρνησης υπηρεσίας). Σε ορισμένες περιπτώσεις, μια ακούσια ενέργεια οδηγεί σε μια πραγματική επίθεση DDoS, για παράδειγμα, η τοποθέτηση ενός συνδέσμου σε έναν δημοφιλές πόρο του Διαδικτύου σε έναν ιστότοπο που φιλοξενείται σε έναν όχι πολύ παραγωγικό διακομιστή (εφέ κουκκίδας). Μια μεγάλη εισροή χρηστών οδηγεί σε υπέρβαση του επιτρεπόμενου φορτίου στον διακομιστή και, κατά συνέπεια, σε άρνηση εξυπηρέτησης ορισμένων από αυτούς.

Τύποι επιθέσεων DoS

Υπάρχουν διάφοροι λόγοι για τους οποίους μπορεί να εμφανιστεί μια κατάσταση DoS:

  • Λάθοςστον κώδικα προγράμματος, με αποτέλεσμα την πρόσβαση σε ένα αχρησιμοποίητο τμήμα του χώρου διευθύνσεων, την εκτέλεση μιας μη έγκυρης εντολής ή άλλη μη χειριζόμενη εξαίρεση όταν το πρόγραμμα διακομιστή διακόπτεται - το πρόγραμμα διακομιστή. Ένα κλασικό παράδειγμα είναι η μηδενική αναφορά. μηδενικό) διεύθυνση.
  • Ανεπαρκής επικύρωση των δεδομένων χρήστη, που οδηγεί σε άπειρο ή μεγάλο κύκλο ή αυξημένη μακροπρόθεσμη κατανάλωση πόρων επεξεργαστή (μέχρι την εξάντληση των πόρων του επεξεργαστή) ή στην κατανομή μεγάλης ποσότητας μνήμης RAM (μέχρι την εξάντληση της διαθέσιμης μνήμης).
  • πλημμύρα(Αγγλικά) πλημμύρα- "πλημμύρα", "υπερχείλιση") - μια επίθεση που σχετίζεται με μεγάλο αριθμό συνήθως ανούσιων ή εσφαλμένα μορφοποιημένων αιτημάτων σε σύστημα υπολογιστή ή εξοπλισμό δικτύου, που έχει ως στόχο ή οδήγησε σε αστοχία του συστήματος λόγω εξάντλησης πόρους του συστήματος- επεξεργαστής, μνήμη ή κανάλια επικοινωνίας.
  • Επίθεση δεύτερου είδους- μια επίθεση που επιδιώκει να προκαλέσει ψευδή συναγερμό του συστήματος προστασίας και έτσι να οδηγήσει στη μη διαθεσιμότητα του πόρου.

Αν μια επίθεση (συνήθως πλημμύρα) γίνει ταυτόχρονα με ένας μεγάλος αριθμόςΔιευθύνσεις IP - από πολλούς υπολογιστές διασκορπισμένους στο δίκτυο - σε αυτήν την περίπτωση ονομάζεται διανέμονταιεπίθεση άρνησης υπηρεσίας ( DDoS).

Εκμετάλλευση σφαλμάτων

Εκμεταλλεύομαιονομάστε ένα πρόγραμμα, ένα κομμάτι κώδικα προγράμματος ή μια ακολουθία εντολών προγράμματος που εκμεταλλεύεται τα τρωτά σημεία στο λογισμικόκαι χρησιμοποιείται για να επιτεθεί σε σύστημα κυβερνοχώρου. Από τα exploits που οδηγούν σε επίθεση DoS, αλλά είναι ακατάλληλα, για παράδειγμα, για την κατάληψη του ελέγχου ενός «εχθρικού» συστήματος, τα πιο διάσημα είναι το WinNuke και το Ping of death (Ping of death).

πλημμύρα

Για τις πλημμύρες ως παραβίαση του εθιμοτυπικού, βλέπε πλημμύρα.

πλημμύρακαλέστε μια τεράστια ροή ανούσιων αιτημάτων με διαφορετικούς υπολογιστέςπροκειμένου να απασχολήσει το σύστημα «εχθρού» (επεξεργαστή, μνήμη RAM ή κανάλι επικοινωνίας) με εργασία και έτσι να το απενεργοποιήσει προσωρινά. Η έννοια της "επίθεσης DDoS" είναι σχεδόν ισοδύναμη με την έννοια της "πλημμύρας" και στην καθημερινή ζωή και οι δύο είναι συχνά εναλλάξιμες ("flood the server" = "DDoS'it the server").

Για να δημιουργήσετε μια πλημμύρα μπορεί να χρησιμοποιηθεί ως συνήθως βοηθητικά προγράμματα δικτύουόπως το ping (αυτό είναι γνωστό, για παράδειγμα, στην κοινότητα του Διαδικτύου " Upyachka"), και ειδικά προγράμματα. Η δυνατότητα DDoS συχνά «ράβεται» σε botnet. Εάν εντοπιστεί μια ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών ή η δυνατότητα συμπερίληψης εικόνων από άλλους πόρους σε έναν ιστότοπο με υψηλή επισκεψιμότητα, αυτός ο ιστότοπος μπορεί επίσης να χρησιμοποιηθεί για επίθεση DDoS.

Κανάλι επικοινωνίας και πλημμύρα υποσυστήματος TCP

Οποιοσδήποτε υπολογιστής είναι συνδεδεμένος με έξω κόσμοςμέσω του πρωτοκόλλου TCP/IP, υπόκειται στους ακόλουθους τύπους πλημμυρών:

  • SYN flood - με αυτόν τον τύπο επίθεσης πλημμύρας, ένας μεγάλος αριθμός πακέτων SYN αποστέλλεται στον κόμβο που δέχεται επίθεση μέσω του πρωτοκόλλου TCP (αιτήματα για άνοιγμα σύνδεσης). Ταυτόχρονα, μετά από σύντομο χρονικό διάστημα, ο αριθμός των διαθέσιμων υποδοχών για άνοιγμα (υποδοχές δικτύου λογισμικού, θύρες) εξαντλείται στον υπολογιστή που δέχεται επίθεση και ο διακομιστής σταματά να ανταποκρίνεται.
  • Πλημμύρα UDP - αυτός ο τύπος πλημμύρας δεν επιτίθεται στον υπολογιστή-στόχο, αλλά στο κανάλι επικοινωνίας του. Οι πάροχοι εύλογα υποθέτουν ότι τα πακέτα UDP πρέπει να παραδοθούν πρώτα, ενώ το TCP μπορεί να περιμένει. Ένας μεγάλος αριθμός πακέτων UDP διαφορετικών μεγεθών φράζει το κανάλι επικοινωνίας και ο διακομιστής που λειτουργεί μέσω του πρωτοκόλλου TCP σταματά να ανταποκρίνεται.
  • ICMP flood - το ίδιο πράγμα, αλλά με τη βοήθεια πακέτων ICMP.

Πλημμύρα στρώματος εφαρμογής

Πολλές υπηρεσίες έχουν σχεδιαστεί με τέτοιο τρόπο ώστε ένα μικρό αίτημα μπορεί να προκαλέσει μεγάλο κόστος. υπολογιστική ισχύςστον διακομιστή. Σε αυτήν την περίπτωση, δεν δέχεται επίθεση το κανάλι επικοινωνίας ή το υποσύστημα TCP, αλλά η ίδια η υπηρεσία (υπηρεσία) - μια πλημμύρα τέτοιων «αρρωστικών» αιτημάτων. Για παράδειγμα, οι διακομιστές ιστού είναι ευάλωτοι σε πλημμύρες HTTP - είτε ένα απλό GET / είτε ένα σύνθετο ερώτημα βάσης δεδομένων όπως το GET /index.php?search= μπορεί να χρησιμοποιηθεί για την απενεργοποίηση ενός διακομιστή ιστού<случайная строка> .

Ανίχνευση επιθέσεων DoS

Υπάρχει η άποψη ότι δεν απαιτούνται ειδικά εργαλεία για τον εντοπισμό επιθέσεων DoS, καθώς το γεγονός μιας επίθεσης DoS δεν μπορεί να αγνοηθεί. Σε πολλές περιπτώσεις αυτό ισχύει. Ωστόσο, επιτυχείς επιθέσεις DoS παρατηρήθηκαν αρκετά συχνά, οι οποίες παρατηρήθηκαν από τα θύματα μόνο μετά από 2-3 ημέρες. Συνέβη ότι οι αρνητικές συνέπειες μιας επίθεσης ( πλημμύρα-επιθέσεις) οδήγησαν σε υπερβολικό κόστος για την πληρωμή της υπερβολικής κίνησης στο Διαδίκτυο, το οποίο διαπιστώθηκε μόνο κατά τη λήψη τιμολογίου από έναν πάροχο Διαδικτύου. Επιπλέον, πολλές μέθοδοι ανίχνευσης εισβολής είναι αναποτελεσματικές κοντά στον στόχο της επίθεσης, αλλά είναι αποτελεσματικές σε κορμούς δικτύου. Σε αυτήν την περίπτωση, καλό είναι να εγκαταστήσετε συστήματα ανίχνευσης ακριβώς εκεί και να μην περιμένετε έως ότου ο χρήστης που έχει δεχτεί επίθεση το αντιληφθεί ο ίδιος και ζητήσει βοήθεια. Επιπλέον, για να αντιμετωπιστούν αποτελεσματικά οι επιθέσεις DoS, είναι απαραίτητο να γνωρίζουμε τον τύπο, τη φύση και άλλα χαρακτηριστικά των επιθέσεων DoS και τα συστήματα ανίχνευσης καθιστούν δυνατή τη γρήγορη απόκτηση αυτών των πληροφοριών.

Οι μέθοδοι ανίχνευσης επιθέσεων DoS μπορούν να χωριστούν σε πολλές μεγάλες ομάδες:

  • υπογραφή - με βάση μια ποιοτική ανάλυση της κυκλοφορίας.
  • στατιστική - με βάση μια ποσοτική ανάλυση της κίνησης.
  • υβριδικό (συνδυασμένο) - συνδυάζοντας τα πλεονεκτήματα και των δύο παραπάνω μεθόδων.

Προστασία DoS

Τα μέτρα για την αντιμετώπιση των επιθέσεων DoS μπορούν να χωριστούν σε παθητικά και ενεργητικά, καθώς και σε προληπτικά και αντιδραστικά.

Παρακάτω είναι μια σύντομη λίστα με τις κύριες μεθόδους.

  • Πρόληψη.Πρόληψη των λόγων που ωθούν ορισμένα άτομα να οργανώσουν και να αναλάβουν επιθέσεις DoS. (Πολύ συχνά, οι κυβερνοεπιθέσεις γενικά είναι αποτέλεσμα προσωπικών παραπόνων, πολιτικών, θρησκευτικών και άλλων διαφωνιών, προκλητικής συμπεριφοράς του θύματος κ.λπ.)
  • Φιλτράρισμα και μαύρη τρύπα.Αποκλεισμός κυκλοφορίας από επιτιθέμενες μηχανές. Η αποτελεσματικότητα αυτών των μεθόδων μειώνεται όσο πλησιάζετε πιο κοντά στο αντικείμενο της επίθεσης και αυξάνεται όσο πλησιάζετε πιο κοντά στην επιτιθέμενη μηχανή.
  • Αντίστροφη DDOS- ανακατεύθυνση της κυκλοφορίας που χρησιμοποιείται για την επίθεση στον εισβολέα.
  • Εξάλειψη των τρωτών σημείων.Δεν λειτουργεί ενάντια πλημμύρα-επιθέσεις για τις οποίες "τρωτότητα" είναι το πεπερασμένο ορισμένων πόρων του συστήματος.
  • Αύξηση πόρων.Φυσικά, δεν παρέχει απόλυτη προστασία, αλλά είναι ένα καλό υπόβαθρο για την εφαρμογή άλλων τύπων προστασίας από επιθέσεις DoS.
  • Διασκορπισμός.Δημιουργία κατανεμημένων και αντιγράφων συστημάτων που δεν θα σταματήσουν να εξυπηρετούν τους χρήστες, ακόμη και αν ορισμένα από τα στοιχεία τους δεν είναι διαθέσιμα λόγω επίθεσης DoS.
  • Υπεκφυγή.Μετακίνηση του άμεσου στόχου της επίθεσης (όνομα τομέα ή διεύθυνση IP) μακριά από άλλους πόρους που συχνά επηρεάζονται επίσης μαζί με τον άμεσο στόχο της επίθεσης.
  • Ενεργή ανταπόκριση.Επιπτώσεις στις πηγές, στον διοργανωτή ή στο κέντρο ελέγχου της επίθεσης, τόσο με ανθρωπογενή όσο και με οργανωτικά και νομικά μέσα.
  • Χρήση εξοπλισμού για την απόκρουση επιθέσεων DoS.Για παράδειγμα DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® και άλλοι κατασκευαστές.
  • Απόκτηση υπηρεσίας προστασίας από επιθέσεις DoS.Πραγματική σε περίπτωση υπέρβασης του εύρους ζώνης του καναλιού δικτύου από την πλημμύρα.

δείτε επίσης

Σημειώσεις

Λογοτεχνία

  • Κρις Κάσπερσκι Ιοί υπολογιστώνμέσα και έξω. - Πέτρος. - Αγία Πετρούπολη. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik.Ανάλυση τυπικών παραβιάσεων ασφαλείας σε δίκτυα = Υπογραφές εισβολής και ανάλυση. - New Riders Publishing (Αγγλικά) Αγία Πετρούπολη: Williams Publishing House (ρωσικά), 2001. - Σ. 464. - ISBN 5-8459-0225-8 (ρωσικά), 0-7357-1063-5 (Αγγλικά)
  • Morris, R.T.= Αδυναμία στο λογισμικό 4.2BSD Unix TCP/IP. - Τεχνική Έκθεση Επιστήμης Υπολογιστών Αρ.117. - AT&T Bell Laboratories, Φεβρουάριος 1985.
  • Bellovin, S.M.= Προβλήματα ασφαλείας στη σουίτα πρωτοκόλλων TCP/IP. - Computer Communication Review, Vol. 19, Νο.2. - AT&T Bell Laboratories, Απρίλιος 1989.
  • = daemon9 / διαδρομή / άπειρο "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, Ιούλιος 1996.
  • = daemon9 / διαδρομή / άπειρο "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, Ιούλιος 1996.

Συνδέσεις

  • Επίθεση DoSστον κατάλογο συνδέσμων έργου Open Directory (

Πρόσφατα, μπορέσαμε να βεβαιωθούμε ότι οι επιθέσεις DDoS είναι ένα αρκετά ισχυρό όπλο χώρος πληροφοριών. Με τη βοήθεια επιθέσεων DDoS με υψηλή ισχύ, μπορείτε όχι μόνο να απενεργοποιήσετε έναν ή περισσότερους ιστότοπους, αλλά και να διακόψετε τη λειτουργία ολόκληρου του τμήματος δικτύου ή ακόμα και να απενεργοποιήσετε το Διαδίκτυο σε μια μικρή χώρα. Αυτές τις μέρες, οι επιθέσεις DDoS συμβαίνουν όλο και πιο συχνά και η ισχύς τους αυξάνεται κάθε φορά.

Ποια είναι όμως η ουσία μιας τέτοιας επίθεσης; Τι συμβαίνει στο δίκτυο όταν εκτελείται, από πού προήλθε η ιδέα να γίνει αυτό και γιατί είναι τόσο αποτελεσματικό; Θα βρείτε απαντήσεις σε όλες αυτές τις ερωτήσεις στο σημερινό μας άρθρο.

Το DDoS ή η κατανεμημένη άρνηση υπηρεσίας (διαχωρισμένη άρνηση υπηρεσίας) είναι μια επίθεση σε συγκεκριμένο υπολογιστήστο δίκτυο, γεγονός που το αναγκάζει, λόγω υπερφόρτωσης, να μην ανταποκρίνεται σε αιτήματα άλλων χρηστών.

Για να καταλάβουμε τι σημαίνει επίθεση ddos, ας φανταστούμε την κατάσταση: ένας διακομιστής ιστού δίνει στους χρήστες σελίδες ενός ιστότοπου, ας πούμε ότι χρειάζεται μισό δευτερόλεπτο για να δημιουργήσει μια σελίδα και να τη μεταφέρει εντελώς στον υπολογιστή του χρήστη, τότε ο διακομιστής μας θα μπορεί να λειτουργεί κανονικά με συχνότητα δύο αιτημάτων ανά δευτερόλεπτο. Εάν υπάρχουν περισσότερα τέτοια αιτήματα, θα μπουν στην ουρά και θα υποβληθούν σε επεξεργασία μόλις ο διακομιστής ιστού είναι ελεύθερος. Όλα τα νέα αιτήματα προστίθενται στο τέλος της ουράς. Τώρα ας φανταστούμε ότι υπάρχουν πολλά αιτήματα, και τα περισσότερα από αυτά πηγαίνουν μόνο για να υπερφορτώσουν αυτόν τον διακομιστή.

Εάν ο ρυθμός άφιξης νέων αιτημάτων υπερβαίνει τον ρυθμό επεξεργασίας, τότε, με την πάροδο του χρόνου, η ουρά αιτημάτων θα είναι τόσο μεγάλη που στην πραγματικότητα τα νέα αιτήματα δεν θα διεκπεραιώνονται πλέον. Αυτή είναι η κύρια αρχή μιας επίθεσης ddos. Προηγουμένως, τέτοια αιτήματα αποστέλλονταν από μία διεύθυνση IP και αυτό ονομαζόταν επίθεση άρνησης υπηρεσίας - Dead-of-Service, στην πραγματικότητα, αυτή είναι η απάντηση στην ερώτηση τι είναι το dos. Αλλά τέτοιες επιθέσεις μπορούν να αντιμετωπιστούν αποτελεσματικά προσθέτοντας απλώς τη διεύθυνση ip της πηγής ή πολλές στη λίστα μπλοκ, επιπλέον, πολλές συσκευές, λόγω περιορισμών εύρους ζώνης δικτύου, δεν μπορούν να δημιουργήσουν φυσικά επαρκή αριθμό πακέτων για να υπερφορτώσουν έναν σοβαρό διακομιστή.

Επομένως, τώρα οι επιθέσεις πραγματοποιούνται αμέσως από εκατομμύρια συσκευές. Η λέξη Distribed προστέθηκε στην ονομασία, διανεμήθηκε, αποδείχθηκε - DDoS. Μία προς μία, αυτές οι συσκευές δεν σημαίνουν τίποτα και ίσως έχουν σύνδεση στο Διαδίκτυο με όχι πολύ υψηλή ταχύτητα, αλλά όταν όλοι αρχίσουν να στέλνουν αιτήματα στον ίδιο διακομιστή ταυτόχρονα, μπορούν να φτάσουν συνολική ταχύτητα έως και 10 Tb / s. Και αυτό είναι ήδη ένας αρκετά σοβαρός δείκτης.

Μένει να καταλάβουμε πού πηγαίνουν οι εισβολείς τόσες πολλές συσκευές για να πραγματοποιήσουν τις επιθέσεις τους. το συμβατικούς υπολογιστές, ή διάφορες συσκευές IoT στις οποίες είχαν πρόσβαση οι εισβολείς. Μπορεί να είναι οτιδήποτε, βιντεοκάμερες και δρομολογητές με υλικολογισμικό που δεν έχει ενημερωθεί για μεγάλο χρονικό διάστημα, συσκευές ελέγχου και απλοί υπολογιστές χρηστών που έχουν κολλήσει με κάποιο τρόπο έναν ιό και δεν γνωρίζουν την ύπαρξή του ή δεν βιάζονται να τον αφαιρέσουν.

Τύποι επιθέσεων DDoS

Υπάρχουν δύο κύριοι τύποι επιθέσεων DDoS, ο ένας επικεντρώνεται στην υπερφόρτωση ενός συγκεκριμένου προγράμματος και οι επιθέσεις που στοχεύουν στην υπερφόρτωση της ίδιας της σύνδεσης δικτύου στον υπολογιστή-στόχο.

Οι επιθέσεις στην υπερφόρτωση ενός προγράμματος ονομάζονται επίσης επιθέσεις στο 7 (στο μοντέλο δικτύου osi, υπάρχουν επτά επίπεδα και το τελευταίο είναι τα επίπεδα μεμονωμένων εφαρμογών). Ένας εισβολέας επιτίθεται σε ένα πρόγραμμα που χρησιμοποιεί πολλούς πόρους διακομιστή στέλνοντας μεγάλο αριθμό αιτημάτων. Τελικά, το πρόγραμμα δεν έχει χρόνο να επεξεργαστεί όλες τις συνδέσεις. Αυτός είναι ο τύπος που συζητήσαμε παραπάνω.

Οι επιθέσεις DoS στο κανάλι του Διαδικτύου απαιτούν πολύ περισσότερους πόρους, αλλά είναι πολύ πιο δύσκολο να αντιμετωπιστούν. Εάν σχεδιάσουμε μια αναλογία με το osi, τότε πρόκειται για επιθέσεις στο επίπεδο 3-4, δηλαδή στο κανάλι ή στο πρωτόκολλο μεταφοράς δεδομένων. Το γεγονός είναι ότι κάθε σύνδεση στο Διαδίκτυο έχει το δικό της όριο ταχύτητας με το οποίο μπορούν να μεταδοθούν δεδομένα μέσω αυτής. Αν υπάρχουν πολλά δεδομένα, τότε υλικό δικτύουμε τον ίδιο τρόπο όπως το πρόγραμμα, θα τα βάλει σε ουρά για μετάδοση και αν η ποσότητα των δεδομένων και ο ρυθμός άφιξής τους υπερβούν κατά πολύ την ταχύτητα του καναλιού, τότε θα υπερφορτωθεί. Ο ρυθμός μεταφοράς δεδομένων σε τέτοιες περιπτώσεις μπορεί να υπολογιστεί σε gigabyte ανά δευτερόλεπτο. Για παράδειγμα, στην περίπτωση μιας μικρής χώρας της Λιβερίας που αποσυνδέθηκε από το Διαδίκτυο, ο ρυθμός μεταφοράς δεδομένων ήταν έως και 5 Tb / s. Ωστόσο, 20-40 Gb/s είναι αρκετά για να κατακλύσουν τις περισσότερες υποδομές δικτύου.

Προέλευση επιθέσεων DDoS

Παραπάνω, εξετάσαμε τι είναι οι επιθέσεις DDoS, καθώς και τις μεθόδους επιθέσεων DDoS, ήρθε η ώρα να προχωρήσουμε στην προέλευσή τους. Έχετε αναρωτηθεί ποτέ γιατί αυτές οι επιθέσεις είναι τόσο αποτελεσματικές; Βασίζονται σε στρατιωτικές στρατηγικές που έχουν αναπτυχθεί και δοκιμαστεί εδώ και πολλές δεκαετίες.

Σε γενικές γραμμές, πολλές από τις προσεγγίσεις για ασφάλεια πληροφοριώνμε βάση τις στρατιωτικές στρατηγικές του παρελθόντος. Υπάρχουν ιοί Trojan που μοιάζουν με την αρχαία μάχη για την Τροία, ransomware που κλέβουν τα αρχεία σας για να λάβουν λύτρα και επιθέσεις DDoS που περιορίζουν τους πόρους του εχθρού. Περιορίζοντας τις επιλογές του εχθρού, αποκτάτε κάποιο έλεγχο στις επόμενες ενέργειές του. Αυτή η τακτική λειτουργεί πολύ καλά και για τους δύο στρατιωτικούς στρατηγούς. και για εγκληματίες στον κυβερνοχώρο.

Στην περίπτωση της στρατιωτικής στρατηγικής, μπορούμε πολύ απλά να σκεφτούμε τους τύπους πόρων που μπορούν να περιοριστούν προκειμένου να περιοριστούν οι δυνατότητες του εχθρού. Ο περιορισμός του νερού, των τροφίμων και των οικοδομικών υλικών απλώς θα κατέστρεφε τον εχθρό. Με τους υπολογιστές, όλα είναι διαφορετικά· υπάρχουν διάφορες υπηρεσίες, για παράδειγμα, DNS, διακομιστής web, διακομιστές ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ. Όλα έχουν διαφορετική υποδομή, αλλά υπάρχει κάτι που τους ενώνει. Αυτό είναι ένα δίκτυο. Χωρίς δίκτυο, δεν θα μπορείτε να έχετε πρόσβαση στην απομακρυσμένη υπηρεσία.

Οι πολέμαρχοι μπορούν να δηλητηριάσουν νερό, να κάψουν καλλιέργειες και να δημιουργήσουν σημεία ελέγχου. Οι εγκληματίες του κυβερνοχώρου μπορούν να στείλουν μη έγκυρα δεδομένα στην υπηρεσία, να την αναγκάσουν να καταναλώσει όλη τη μνήμη ή να υπερφορτώσουν πλήρως ολόκληρο το κανάλι του δικτύου. Οι αμυντικές στρατηγικές έχουν επίσης τις ίδιες ρίζες. Ο διαχειριστής του διακομιστή θα πρέπει να παρακολουθεί την εισερχόμενη κίνηση για να βρει κακόβουλη κίνηση και να την αποκλείσει προτού φτάσει στο κανάλι ή το πρόγραμμα του δικτύου-στόχου.

ευρήματα

Οι επιθέσεις DDoS γίνονται όλο και πιο συνηθισμένες και πιο ισχυρές κάθε φορά. Αυτό σημαίνει ότι οι υπηρεσίες που χρησιμοποιούμε θα δέχονται όλο και περισσότερες επιθέσεις. Ένας από τους τρόπους με τους οποίους μπορούμε να μειώσουμε τον αριθμό των επιθέσεων είναι να διασφαλίσουμε ότι οι συσκευές μας δεν έχουν μολυνθεί από ιούς και να λαμβάνουν ενημερώσεις εγκαίρως. Τώρα ξέρετε τι είναι μια επίθεση DDoS και γνωρίζετε τα βασικά της προστασίας, σε ένα από τα παρακάτω άρθρα θα εξετάσουμε το τελευταίο σημείο με περισσότερες λεπτομέρειες.

Κλείνοντας, προσφέρω μια διάλεξη για τις επιθέσεις DDoS:

Η επίθεση DoS και DDoS είναι μια επιθετική εξωτερική επίδραση στους υπολογιστικούς πόρους ενός διακομιστή ή ενός σταθμού εργασίας, που πραγματοποιείται με σκοπό την αποτυχία του τελευταίου. Με τον όρο αστοχία, δεν εννοούμε τη φυσική αστοχία του μηχανήματος, αλλά τη μη διαθεσιμότητα των πόρων του για ευσυνείδητους χρήστες - την αποτυχία του συστήματος να τους εξυπηρετήσει ( ρεενιαίος οφά μικρόυπηρεσία, από την οποία σχηματίζεται η συντομογραφία DoS).

Εάν μια τέτοια επίθεση πραγματοποιείται από έναν μόνο υπολογιστή, ταξινομείται ως DoS (DoS), εάν από πολλούς - DDoS (DDoS ή DDoS), που σημαίνει "ΡΕεκδόθηκε ρεενιαίος οφά μικρόυπηρεσία" - κατανεμημένη άρνηση υπηρεσίας. Στη συνέχεια, θα μιλήσουμε για το γιατί οι επιτιθέμενοι πραγματοποιούν τέτοιες ενέργειες, τι είναι, τι ζημιά προκαλούν στους επιτιθέμενους και πώς οι τελευταίοι προστατεύουν τους πόρους τους.

Ποιοι μπορούν να επηρεαστούν από επιθέσεις DoS και DDoS

Οι εταιρικοί διακομιστές επιχειρήσεων και ιστοσελίδων εκτίθενται σε επιθέσεις, πολύ λιγότερο συχνά - προσωπικούς υπολογιστές τα άτομα. Ο σκοπός τέτοιων ενεργειών, κατά κανόνα, είναι ο ίδιος - να προκληθεί οικονομική βλάβη στο άτομο που επιτέθηκε και ταυτόχρονα να παραμείνει στη σκιά. Σε ορισμένες περιπτώσεις, οι επιθέσεις DoS και DDoS είναι ένα από τα στάδια της εισβολής διακομιστή και στοχεύουν στην κλοπή ή την καταστροφή πληροφοριών. Στην πραγματικότητα, μια επιχείρηση ή ένας ιστότοπος που ανήκει σε οποιονδήποτε μπορεί να γίνει θύμα εισβολέων.

Ένα διάγραμμα που απεικονίζει την ουσία μιας επίθεσης DDoS:

Οι επιθέσεις DoS και DDoS πραγματοποιούνται τις περισσότερες φορές με υπόδειξη ανέντιμων ανταγωνιστών. Έτσι, «γεμίζοντας» την ιστοσελίδα ενός ηλεκτρονικού καταστήματος που προσφέρει ένα παρόμοιο προϊόν, μπορείτε να γίνετε προσωρινά «μονοπώλιος» και να πάρετε για εσάς τους πελάτες του. Με το να «αποθέσετε» έναν εταιρικό διακομιστή, μπορείτε να διαταράξετε το έργο μιας ανταγωνιστικής εταιρείας και έτσι να μειώσετε τη θέση της στην αγορά.

Επιθέσεις μεγάλης κλίμακας που μπορούν να προκαλέσουν σημαντική ζημιά συνήθως πραγματοποιούνται από επαγγελματίες εγκληματίες του κυβερνοχώρου για πολλά χρήματα. Αλλά όχι πάντα. Οι εγχώριοι ερασιτέχνες χάκερ μπορούν να επιτεθούν στους πόρους σας - λόγω ενδιαφέροντος, και εκδικητές από τους απολυμένους υπαλλήλους και απλώς αυτούς που δεν συμμερίζονται τις απόψεις σας για τη ζωή.

Μερικές φορές η πρόσκρουση πραγματοποιείται με σκοπό τον εκβιασμό, ενώ ο εισβολέας απαιτεί ανοιχτά χρήματα από τον ιδιοκτήτη του πόρου για να σταματήσει την επίθεση.

Οι διακομιστές κρατικών εταιρειών και γνωστών οργανισμών δέχονται συχνά επίθεση από ανώνυμες ομάδες υψηλά ειδικευμένων χάκερ με σκοπό να επηρεάσουν αξιωματούχους ή να προκαλέσουν δημόσια κατακραυγή.

Πώς γίνονται οι επιθέσεις

Η αρχή λειτουργίας των επιθέσεων DoS και DDoS είναι η αποστολή μιας μεγάλης ροής πληροφοριών στον διακομιστή, η οποία, στο μέγιστο (όσο το επιτρέπουν οι δυνατότητες του χάκερ), φορτώνει τους υπολογιστικούς πόρους του επεξεργαστή, τη μνήμη RAM, φράζει κανάλια επικοινωνίας ή γεμίζει χώρο στο δίσκο. Το μηχάνημα που δέχεται επίθεση δεν μπορεί να αντιμετωπίσει την επεξεργασία των εισερχόμενων δεδομένων και σταματά να ανταποκρίνεται στα αιτήματα των χρηστών.

Έτσι φαίνεται η κανονική λειτουργία του διακομιστή, που απεικονίζεται στο πρόγραμμα Logstalgia:

Η αποτελεσματικότητα των μεμονωμένων επιθέσεων DOS δεν είναι πολύ υψηλή. Επιπλέον, μια επίθεση από προσωπικό υπολογιστή θέτει τον εισβολέα σε κίνδυνο εντοπισμού και σύλληψης. Οι κατανεμημένες επιθέσεις (DDoS) που πραγματοποιούνται από τα λεγόμενα δίκτυα ζόμπι ή botnet παρέχουν πολύ περισσότερα κέρδη.

Αυτός είναι ο τρόπος με τον οποίο ο ιστότοπος Norse-corp.com εμφανίζει τη δραστηριότητα του botnet:

Ένα δίκτυο ζόμπι (botnet) είναι μια ομάδα υπολογιστών που δεν έχουν φυσική σύνδεση μεταξύ τους. Τους ενώνει το γεγονός ότι βρίσκονται όλοι υπό τον έλεγχο ενός επιθετικού. Ο έλεγχος ασκείται μέσω γενναίο και φιλεργό άτομο, που για την ώρα μπορεί να μην εκδηλωθεί με κανέναν τρόπο. Όταν εκτελεί μια επίθεση, ένας χάκερ δίνει εντολή σε μολυσμένους υπολογιστές να στέλνουν αιτήματα στον ιστότοπο ή τον διακομιστή του θύματος. Και αυτός, μη μπορώντας να αντέξει την επίθεση, σταματά να ανταποκρίνεται.

Έτσι το Logstalgia δείχνει μια επίθεση DDoS:

Οποιοσδήποτε υπολογιστής μπορεί να εγγραφεί στο botnet. Και ακόμη και ένα smartphone. Αρκεί να πιάσεις έναν Trojan και να μην τον εντοπίσεις έγκαιρα. Παρεμπιπτόντως, το μεγαλύτερο botnet αριθμούσε σχεδόν 2 εκατομμύρια μηχανήματα σε όλο τον κόσμο και οι ιδιοκτήτες τους δεν είχαν ιδέα τι έπρεπε να κάνουν.

Μέθοδοι επίθεσης και άμυνας

Πριν ξεκινήσει μια επίθεση, ο χάκερ καταλαβαίνει πώς να την πραγματοποιήσει με το μέγιστο αποτέλεσμα. Εάν ο κόμβος που δέχεται επίθεση έχει πολλά τρωτά σημεία, η πρόσκρουση μπορεί να πραγματοποιηθεί σε διαφορετικές κατευθύνσεις, γεγονός που θα περιπλέξει πολύ τα αντίμετρα. Ως εκ τούτου, είναι σημαντικό για κάθε διαχειριστή διακομιστή να μελετήσει όλα τα «μποτιλιαρίσματα» του και, αν είναι δυνατόν, να τα ενισχύσει.

πλημμύρα

Το Flud, με απλά λόγια, είναι πληροφορίες που δεν φέρουν σημασιολογικό φορτίο. Στο πλαίσιο των επιθέσεων DoS / DDoS, μια πλημμύρα είναι μια χιονοστιβάδα κενών, ανούσιων αιτημάτων του ενός ή του άλλου επιπέδου που ο κόμβος λήψης αναγκάζεται να επεξεργαστεί.

Ο κύριος σκοπός της χρήσης του flooding είναι να φράξει εντελώς τα κανάλια επικοινωνίας, να κορεστεί το εύρος ζώνης στο μέγιστο.

Τύποι ρευστού:

  • Πλημμύρα MAC - αντίκτυπος στους φορείς επικοινωνίας δικτύου (μπλοκάρισμα θυρών από ροές δεδομένων).
  • ICMP flood - πλημμυρίζοντας το θύμα με αιτήματα ηχούς υπηρεσίας χρησιμοποιώντας ένα δίκτυο ζόμπι ή αποστολή αιτημάτων «εκ μέρους» του κεντρικού υπολογιστή που δέχεται επίθεση, έτσι ώστε όλα τα μέλη του botnet να του στέλνουν ταυτόχρονα μια απάντηση ηχούς (επίθεση Smurf). Μια ειδική περίπτωση ICMP flooding είναι το ping flooding (αποστολή αιτημάτων ping στον διακομιστή).
  • SYN flood - αποστολή πολλών αιτημάτων SYN στο θύμα, υπερχείλιση της ουράς σύνδεσης TCP δημιουργώντας έναν μεγάλο αριθμό μισάνοιχτων (αναμονή επιβεβαίωσης πελάτη) συνδέσεων.
  • UDP flood - λειτουργεί σύμφωνα με το σχήμα επίθεσης Smurf, όπου αποστέλλονται datagrams UDP αντί για πακέτα ICMP.
  • HTTP flood - πλημμυρίζει τον διακομιστή με πολλά μηνύματα HTTP. Μια πιο εξελιγμένη επιλογή είναι μια πλημμύρα HTTPS, όπου τα μεταδιδόμενα δεδομένα είναι προκρυπτογραφημένα και πριν τα επεξεργαστεί ο κόμβος που δέχεται επίθεση, πρέπει να τα αποκρυπτογραφήσει.


Πώς να προστατευτείτε από τις πλημμύρες

  • Διαμορφώστε τους διακόπτες δικτύου για επικύρωση και φιλτράρισμα διευθύνσεων MAC.
  • Περιορίστε ή απενεργοποιήστε την επεξεργασία των αιτημάτων ηχούς ICMP.
  • Αποκλεισμός πακέτων που προέρχονται από μια συγκεκριμένη διεύθυνση ή τομέα, γεγονός που δίνει λόγο να υποπτευόμαστε ότι είναι αναξιοπιστία.
  • Ορίστε ένα όριο στον αριθμό των μισάνοιχτων συνδέσεων με μία διεύθυνση, μειώστε τον χρόνο διατήρησής τους, επιμηκύνετε την ουρά σύνδεσης TCP.
  • Απενεργοποιήστε τις υπηρεσίες UDP από τη λήψη κίνησης από έξω ή περιορίστε τον αριθμό των συνδέσεων UDP.
  • Χρησιμοποιήστε CAPTCHA, καθυστερήσεις και άλλες τεχνικές προστασίας bot.
  • Αυξάνουν μέγιστο ποσόΣυνδέσεις HTTP, διαμορφώστε την προσωρινή αποθήκευση αιτημάτων με το nginx.
  • Επεκτείνετε το εύρος ζώνης του καναλιού δικτύου.
  • Εάν είναι δυνατόν, διαθέστε έναν ξεχωριστό διακομιστή για την επεξεργασία κρυπτογραφίας (αν χρησιμοποιείται).
  • Δημιουργήστε ένα εφεδρικό κανάλι για πρόσβαση διαχειριστή στον διακομιστή σε καταστάσεις έκτακτης ανάγκης.

Υπερφόρτωση πόρων υλικού

Υπάρχουν τύποι πλημμύρας που επηρεάζουν όχι το κανάλι επικοινωνίας, αλλά τους πόρους υλικού του υπολογιστή που δέχθηκε επίθεση, φορτώνοντάς τους στο έπακρο και προκαλώντας πάγωμα ή συντριβή. Για παράδειγμα:

  • Δημιουργώντας ένα σενάριο που θα δημοσιεύει σε ένα φόρουμ ή ιστότοπο όπου οι χρήστες έχουν την ευκαιρία να αφήσουν σχόλια, μια τεράστια ποσότητα ανούσιων πληροφοριών κειμένου μέχρι να γεμίσει όλος ο χώρος στο δίσκο.
  • Το ίδιο, μόνο τα αρχεία καταγραφής διακομιστή θα γεμίσουν τη μονάδα δίσκου.
  • Φόρτωση τοποθεσίας όπου πραγματοποιείται κάποιο είδος μετασχηματισμού των δεδομένων που έχουν εισαχθεί με συνεχή επεξεργασία αυτών των δεδομένων (αποστολή των λεγόμενων «βαρέων» πακέτων).
  • Φόρτωση του επεξεργαστή ή της μνήμης με την εκτέλεση κώδικα μέσω της διεπαφής CGI (η υποστήριξη CGI σάς επιτρέπει να εκτελέσετε κάποιο εξωτερικό πρόγραμμα στον διακομιστή).
  • Ενεργοποίηση συστήματος ασφαλείας που καθιστά τον διακομιστή απρόσιτο από έξω κ.λπ.


Πώς να προστατευτείτε από την υπερφόρτωση πόρων υλικού

  • Αυξήστε την απόδοση του υλικού και τον χώρο στο δίσκο. Όταν ο διακομιστής λειτουργεί σε κανονική λειτουργία, τουλάχιστον το 25-30% των πόρων θα πρέπει να παραμείνει ελεύθερος.
  • Ενεργοποιήστε την ανάλυση κυκλοφορίας και τα συστήματα φιλτραρίσματος πριν την αποστολή στον διακομιστή.
  • Περιορίστε τη χρήση πόρων υλικού από στοιχεία του συστήματος (ορίστε ποσοστώσεις).
  • Αποθηκεύστε τα αρχεία καταγραφής διακομιστή σε ξεχωριστή μονάδα δίσκου.
  • Διανείμετε πόρους σε πολλούς ανεξάρτητους διακομιστές. Έτσι, εάν ένα μέρος αποτύχει, τα άλλα παραμένουν λειτουργικά.

Τρωτά σημεία σε λειτουργικά συστήματα, λογισμικό, υλικολογισμικό συσκευών

Υπάρχουν αμέτρητα περισσότερες επιλογές για τη διεξαγωγή τέτοιων επιθέσεων παρά με τη χρήση πλημμυρών. Η εφαρμογή τους εξαρτάται από την ικανότητα και την εμπειρία του εισβολέα, την ικανότητά του να βρίσκει λάθη στον κώδικα του προγράμματος και να τα χρησιμοποιεί για δικό του όφελος και εις βάρος του ιδιοκτήτη του πόρου.

Μόλις ένας χάκερ ανακαλύψει μια ευπάθεια (ένα σφάλμα στο λογισμικό που μπορεί να χρησιμοποιηθεί για να διαταράξει το σύστημα), θα πρέπει μόνο να δημιουργήσει και να εκτελέσει ένα exploit - ένα πρόγραμμα που εκμεταλλεύεται αυτήν την ευπάθεια.

Η εκμετάλλευση των τρωτών σημείων δεν έχει πάντα σκοπό να προκαλέσει μόνο άρνηση παροχής υπηρεσιών. Εάν ο χάκερ είναι τυχερός, θα μπορέσει να αποκτήσει τον έλεγχο του πόρου και να διαθέσει αυτό το «δώρο της μοίρας» κατά την κρίση του. Για παράδειγμα, χρησιμοποιήστε το για διανομή κακόβουλο λογισμικό, κλέβουν και καταστρέφουν πληροφορίες κ.λπ.

Μέθοδοι αντιμετώπισης της εκμετάλλευσης τρωτών σημείων στο λογισμικό

  • Εγκαταστήστε έγκαιρα ενημερώσεις που κλείνουν τα τρωτά σημεία λειτουργικών συστημάτων και εφαρμογών.
  • Απομονώστε από πρόσβαση τρίτων όλες τις υπηρεσίες που έχουν σχεδιαστεί για την επίλυση διοικητικών εργασιών.
  • Χρησιμοποιήστε εργαλεία για συνεχή παρακολούθηση της λειτουργίας του λειτουργικού συστήματος διακομιστή και προγραμμάτων (ανάλυση συμπεριφοράς κ.λπ.).
  • Απορρίψτε δυνητικά ευάλωτα προγράμματα (δωρεάν, αυτογραφόμενα, σπάνια ενημερωμένα) υπέρ των αποδεδειγμένων και καλά προστατευμένων.
  • Χρησιμοποιήστε έτοιμα μέσα προστασίας συστημάτων από επιθέσεις DoS και DDoS, τα οποία υπάρχουν τόσο με τη μορφή συστημάτων υλικού όσο και λογισμικού.

Πώς να προσδιορίσετε εάν ένας πόρος έχει δεχθεί επίθεση από χάκερ

Εάν ο επιτιθέμενος κατάφερε να φτάσει στον στόχο, είναι αδύνατο να μην παρατηρήσει την επίθεση, αλλά σε ορισμένες περιπτώσεις ο διαχειριστής δεν μπορεί να προσδιορίσει ακριβώς πότε ξεκίνησε. Δηλαδή, από την έναρξη μιας επίθεσης έως τα αισθητά συμπτώματα, μερικές φορές περνούν αρκετές ώρες. Ωστόσο, κατά τη διάρκεια της λανθάνουσας πρόσκρουσης (μέχρι να «ξαπλώσει» ο διακομιστής), υπάρχουν επίσης ορισμένα σημάδια. Για παράδειγμα:

  • Αφύσικη συμπεριφορά των εφαρμογών διακομιστή ή λειτουργικό σύστημα(κολλάει, κολλάει κ.λπ.).
  • Φορτίο CPU, ΕΜΒΟΛΟκαι η χωρητικότητα αποθήκευσης αυξάνεται απότομα σε σύγκριση με το αρχικό επίπεδο.
  • Ο όγκος της κίνησης σε ένα ή περισσότερα λιμάνια αυξάνεται σημαντικά.
  • Υπάρχουν επανειλημμένα αιτήματα πελατών στους ίδιους πόρους (άνοιγμα μιας σελίδας του ιστότοπου, λήψη του ίδιου αρχείου).
  • Η ανάλυση των αρχείων καταγραφής διακομιστή, του τείχους προστασίας και των συσκευών δικτύου δείχνει μεγάλο αριθμό επαναλαμβανόμενων αιτημάτων από διάφορες διευθύνσεις, που συχνά απευθύνονται σε μια συγκεκριμένη θύρα ή υπηρεσία. Ειδικά αν ο ιστότοπος εστιάζει σε στενό κοινό (για παράδειγμα, ρωσόφωνο) και προέρχονται αιτήματα από όλο τον κόσμο. Ταυτόχρονα, μια ποιοτική ανάλυση της επισκεψιμότητας δείχνει ότι τα αιτήματα δεν έχουν πρακτικό νόημα για τους πελάτες.

Όλα τα παραπάνω δεν αποτελούν 100% σημάδι επίθεσης, αλλά είναι πάντα ένας λόγος να προσέχουμε το πρόβλημα και να λαμβάνουμε τα κατάλληλα προστατευτικά μέτρα.

Επιθέσεις DoSείναι επιθέσεις που οδηγούν στην παράλυση του διακομιστή ή προσωπικός υπολογιστήςλόγω του τεράστιου αριθμού αιτημάτων που φτάνουν με μεγάλη ταχύτητα στον πόρο που δέχεται επίθεση. Εάν μια τέτοια επίθεση πραγματοποιείται ταυτόχρονα από μεγάλο αριθμό υπολογιστών, τότε σε αυτή την περίπτωση μιλάμε για Επίθεση DDoS.

DoS- Άρνηση παροχής υπηρεσιών- επίθεση στην «άρνηση υπηρεσίας». Αυτή η επίθεση μπορεί να πραγματοποιηθεί με δύο τρόπους. Με την πρώτη μέθοδο Μια επίθεση DoS χρησιμοποιεί μια ευπάθεια στο λογισμικό που είναι εγκατεστημένο στον υπολογιστή που δέχεται επίθεση. Χρησιμοποιώντας μια τέτοια ευπάθεια σε έναν υπολογιστή, μπορείτε να προκαλέσετε ένα συγκεκριμένο κρίσιμο σφάλμα, το οποίο θα οδηγήσει σε παραβίαση του συστήματος.

Στη δεύτερη μέθοδο, η επίθεση πραγματοποιείται με την ταυτόχρονη αποστολή μεγάλου αριθμού πακέτων πληροφοριών στον υπολογιστή που δέχεται επίθεση. Σύμφωνα με τις αρχές της μεταφοράς δεδομένων μεταξύ υπολογιστών σε ένα δίκτυο, κάθε πακέτο πληροφοριών που αποστέλλεται από έναν υπολογιστή σε άλλο υποβάλλεται σε επεξεργασία για κάποιο συγκεκριμένο χρονικό διάστημα.

Εάν ταυτόχρονα φτάσει ένα άλλο αίτημα στον υπολογιστή, τότε το πακέτο μπαίνει στην "ουρά" και καταλαμβάνει ένα ορισμένο ποσό των φυσικών πόρων του συστήματος. Επομένως, εάν ένας μεγάλος αριθμός αιτημάτων αποστέλλεται στον υπολογιστή ταυτόχρονα, τότε το υπερβολικό φορτίο θα κάνει τον υπολογιστή να "κολλήσει" ή να αποσυνδεθεί από το Διαδίκτυο σε περίπτωση έκτακτης ανάγκης. Αυτό ακριβώς χρειάζονται οι διοργανωτές μιας επίθεσης DoS.

Μια επίθεση DDoS είναι ένας τύπος επίθεσης DoS. Κατανεμημένη άρνηση υπηρεσίας- «κατανεμημένη άρνηση υπηρεσίας» - οργανωμένη με χρήση πολύ μεγάλου αριθμού υπολογιστών, λόγω των οποίων οι διακομιστές μπορούν να υποστούν επίθεση ακόμη και με πολύ μεγάλο εύρος ζώνης καναλιών Διαδικτύου.

Μερικές φορές το αποτέλεσμα μιας επίθεσης DDoS «δουλεύει» τυχαία. Αυτό συμβαίνει εάν, για παράδειγμα, τοποθετήθηκε ένας σύνδεσμος σε έναν ιστότοπο που βρίσκεται στο διακομιστή σε έναν δημοφιλή πόρο του Διαδικτύου. Αυτό προκαλεί μια τεράστια αύξηση στην επισκεψιμότητα του ιστότοπου ( εφέ κουκκίδας), το οποίο δρα στον διακομιστή με παρόμοιο τρόπο με μια επίθεση DDoS.

Οι επιθέσεις DDoS, σε αντίθεση με τις απλές επιθέσεις DoS, πραγματοποιούνται τις περισσότερες φορές για εμπορικό κέρδος, επειδή χρειάζονται εκατοντάδες χιλιάδες υπολογιστές για να οργανωθεί μια επίθεση DDoS και δεν μπορούν όλοι να αντέξουν οικονομικά τόσο τεράστιο κόστος υλικού και χρόνου. Για να οργανώσουν επιθέσεις DDoS, οι εισβολείς χρησιμοποιούν ένα ειδικό δίκτυο υπολογιστών - botnet.

Ένα botnet είναι ένα δίκτυο υπολογιστών που έχουν μολυνθεί από έναν συγκεκριμένο τύπο ιού. "βρυκόλακας". Ένας εισβολέας μπορεί να ελέγξει κάθε τέτοιο υπολογιστή από απόσταση, χωρίς να το γνωρίζει ο ιδιοκτήτης του υπολογιστή. Με τη βοήθεια ενός ιού ή ενός προγράμματος που μεταμφιέζεται επιδέξια ως «χρήσιμο περιεχόμενο», εγκαθίσταται κακόβουλος κώδικας προγράμματος στον υπολογιστή-θύμα, ο οποίος δεν αναγνωρίζεται από το πρόγραμμα προστασίας από ιούς και λειτουργεί σε «λειτουργία μυστικότητας». Την κατάλληλη στιγμή, με εντολή του κατόχου του botnet, ένα τέτοιο πρόγραμμα ενεργοποιείται και αρχίζει να στέλνει αιτήματα στον διακομιστή που δέχεται επίθεση.

Κατά τη διεξαγωγή επιθέσεων DDoS, οι εισβολείς χρησιμοποιούν συχνά "Cluster DDoS"- μια ειδική αρχιτεκτονική τριών επιπέδων ενός δικτύου υπολογιστών. Αυτή η δομή περιέχει ένα ή περισσότερα κονσόλες ελέγχου, από το οποίο αποστέλλεται απευθείας ένα σήμα για μια επίθεση DDoS.

Το σήμα μεταδίδεται σε κύριους υπολογιστές- "σύνδεσμος μετάδοσης" μεταξύ κονσολών ελέγχου και υπολογιστών πρακτόρων. ΠράκτορεςΠρόκειται για υπολογιστές που επιτίθενται απευθείας στον διακομιστή με τα αιτήματά τους. Τόσο οι κεντρικοί υπολογιστές όσο και οι υπολογιστές πρακτόρων είναι κατά κανόνα "ζόμπι", δηλ. οι ιδιοκτήτες τους δεν γνωρίζουν ότι συμμετέχουν σε επίθεση DDoS.

Οι μέθοδοι προστασίας από επιθέσεις DDoS διαφέρουν ανάλογα με τον ίδιο τον τύπο της επίθεσης. Οι επιθέσεις DDoS περιλαμβάνουν τους ακόλουθους τύπους:

UDP flood - μια επίθεση με την αποστολή πολλών πακέτων UDP στη διεύθυνση του "θύματος". TCP flood - μια επίθεση με την αποστολή πολλών πακέτων TCP στη διεύθυνση του "θύματος". TCP SYN flood - μια επίθεση με την αποστολή μεγάλου αριθμού αιτημάτων για την προετοιμασία των συνδέσεων TCP. ICMP flood - επίθεση λόγω αιτημάτων ping ICMP.

Οι εισβολείς μπορούν να συνδυάσουν αυτούς και άλλους τύπους επιθέσεων DDoS, γεγονός που καθιστά τέτοιες επιθέσεις ακόμη πιο επικίνδυνες και δύσκολο να εξαλειφθούν.

Δυστυχώς, δεν υπάρχουν καθολικές μέθοδοι προστασίας από επιθέσεις DDoS. Αλλά η τήρηση ορισμένων γενικών κανόνων θα βοηθήσει στη μείωση του κινδύνου επίθεσης DDoS ή στην αντιμετώπιση των συνεπειών της όσο το δυνατόν πιο αποτελεσματικά.

Έτσι, για να αποφευχθεί μια επίθεση DDoS, είναι απαραίτητο να παρακολουθείτε συνεχώς την εξάλειψη των τρωτών σημείων στο λογισμικό που χρησιμοποιείται, να αυξάνετε τους πόρους και να τους διασκορπίζετε. Βεβαιωθείτε ότι έχετε εγκατεστημένο στον υπολογιστή σας τουλάχιστον το ελάχιστο πακέτο λογισμικού προστασίας DDoS. Αυτά μπορεί να είναι συνηθισμένα τείχη προστασίας (firewalls) και ειδικά προγράμματα anti-DDoS. Για τον εντοπισμό επιθέσεων DDoS, θα πρέπει να χρησιμοποιούνται ειδικά συστήματα λογισμικού και υλικού.

Ο στόχος μιας επίθεσης DDoS μπορεί να είναι είτε να μπλοκάρει το έργο ενός ανταγωνιστή ή έναν δημοφιλή πόρο, είτε να αποκτήσει τον πλήρη έλεγχο του συστήματος. Κατά την προώθηση ενός ιστότοπου, λαμβάνεται υπόψη ότι οι συνθήκες DoS προκύπτουν για τους ακόλουθους λόγους:

  • λόγω σφαλμάτων στον κώδικα του προγράμματος που οδηγούν στην εκτέλεση μη έγκυρων εντολών, πρόσβαση σε αχρησιμοποίητο τμήμα του χώρου διευθύνσεων κ.λπ.
  • λόγω ανεπαρκούς επικύρωσης των δεδομένων χρήστη, που μπορεί να οδηγήσει σε μεγάλο (ή άπειρο) κύκλο, αυξημένη κατανάλωση πόρων επεξεργαστή, εξάντληση μνήμης κ.λπ.
  • λόγω πλημμύρας - εξωτερική επίθεση μέσω ενός μεγάλου αριθμού λανθασμένων ή ανούσιων αιτημάτων προς τον διακομιστή. Υπάρχει μια πλημμύρα του υποσυστήματος TCP, των καναλιών επικοινωνίας και του επιπέδου εφαρμογής
  • λόγω εξωτερικής επιρροής, σκοπός της οποίας είναι να προκαλέσει λάθος συναγερμόςπροστατευτικό σύστημα και, ως αποτέλεσμα, να οδηγήσει στη μη διαθεσιμότητα του πόρου.

ΠΡΟΣΤΑΣΙΑ

Οι επιθέσεις DDoS το καθιστούν πιο δύσκολο, γιατί εάν ο διακομιστής είναι εκτός λειτουργίας για αρκετά μεγάλο χρονικό διάστημα, οι σελίδες πέφτουν εκτός ευρετηρίου. Για τον εντοπισμό μιας απειλής, χρησιμοποιούνται υπογραφές, στατιστικές και υβριδικές μέθοδοι. Οι πρώτες βασίζονται στην ποιοτική ανάλυση, οι δεύτερες στην ποσοτική ανάλυση και οι τρίτοι συνδυάζουν τα πλεονεκτήματα των προηγούμενων μεθόδων. Τα αντίμετρα είναι παθητικά και ενεργητικά, προληπτικά και αντιδραστικά. Χρησιμοποιούνται κυρίως οι ακόλουθες μέθοδοι:

  • εξάλειψη προσωπικών και κοινωνικών λόγων που ενθαρρύνουν τους ανθρώπους να οργανώνουν επιθέσεις DDoS,
  • blackholing και φιλτράρισμα κυκλοφορίας,
  • εξάλειψη των τρωτών σημείων του κώδικα κατά τη διάρκεια βελτιστοποίηση μηχανών αναζήτησηςιστοσελίδα,
  • αύξηση των πόρων διακομιστών, δημιουργία διπλότυπων και κατανεμημένων συστημάτων για εφεδρική εξυπηρέτηση των χρηστών,
  • τεχνικές και οργανωτικές-νομικές επιπτώσεις στον διοργανωτή, τις πηγές ή το κέντρο ελέγχου επιθέσεων,
  • εγκατάσταση εξοπλισμού για την απόκρουση επιθέσεων DDoS (Arbor Peakflow®, DefensePro®, κ.λπ.),
  • αγορά αποκλειστικού διακομιστή για φιλοξενία ιστοσελίδων.


ΣΧΕΤΙΚΑ ΑΡΘΡΑ