Ataques DoS y DDoS: significado y diferencias. ¿Por qué son peligrosos los ataques DoS y DDoS? La diferencia entre dos y ddos

En un sistema informático para llevarlo a fallar, es decir, la creación de tales condiciones bajo las cuales los usuarios legales (legales) del sistema no pueden acceder a los recursos (servidores) proporcionados por el sistema, o este acceso es difícil. La falla del sistema "enemigo" también puede ser un paso hacia el dominio del sistema (si en una emergencia el software proporciona información crítica, por ejemplo, versión, parte del código del programa, etc.). Pero más a menudo es una medida de presión económica: el tiempo de inactividad de un servicio que genera ingresos, las facturas del proveedor y las medidas para evitar un ataque golpean significativamente el "objetivo" en el bolsillo.

Si se realiza un ataque simultáneamente desde un gran número de ordenadores, se habla de ataque DDoS(De inglés. Denegación de servicio distribuida, Ataque de denegación de servicio distribuido). En algunos casos, una acción no intencionada conduce a un ataque DDoS real, por ejemplo, colocar un enlace en un recurso popular de Internet a un sitio alojado en un servidor no muy productivo (efecto de barra oblicua). Una gran afluencia de usuarios lleva a que se exceda la carga permitida en el servidor y, en consecuencia, a una denegación de servicio para algunos de ellos.

Tipos de ataques DoS

Hay varias razones por las que puede ocurrir una condición DoS:

  • Error en el código del programa, lo que da como resultado el acceso a un fragmento no utilizado del espacio de direcciones, la ejecución de una instrucción no válida u otra excepción no controlada cuando el programa del servidor falla: el programa del servidor. Un ejemplo clásico es la referenciación basada en cero. nulo) dirección.
  • Validación insuficiente de los datos del usuario, lo que lleva a un ciclo infinito o largo o un mayor consumo a largo plazo de los recursos del procesador (hasta el agotamiento de los recursos del procesador) o la asignación de una gran cantidad de RAM (hasta el agotamiento de la memoria disponible).
  • inundación(Inglés) inundación- "inundación", "desbordamiento"): un ataque asociado con una gran cantidad de solicitudes generalmente sin sentido o con formato incorrecto a un sistema informático o equipo de red, que tiene como objetivo o provocó la falla del sistema debido al agotamiento los recursos del sistema- procesador, memoria o canales de comunicación.
  • Ataque del segundo tipo- un ataque que busca provocar una falsa alarma del sistema de protección y así conducir a la indisponibilidad del recurso.

Si un ataque (generalmente una inundación) se realiza al mismo tiempo que un número grande Direcciones IP - de varias computadoras dispersas en la red - en este caso se llama repartido ataque de denegación de servicio ( DDoS).

Explotación de errores

Explotar nombrar un programa, una pieza de código de programa o una secuencia de comandos de programa que explota vulnerabilidades en software y se utiliza para atacar un sistema cibernético. De los exploits que conducen a un ataque DoS, pero que no son adecuados, por ejemplo, para tomar el control de un sistema "enemigo", los más famosos son WinNuke y Ping of death (Ping de la muerte).

inundación

Para inundaciones como una violación de la etiqueta de la red, consulte inundaciones .

inundación llamar a un gran flujo de solicitudes sin sentido con diferentes computadoras para ocupar el sistema “enemigo” (procesador, RAM o canal de comunicación) con trabajo y así desactivarlo temporalmente. El concepto de "ataque DDoS" es casi equivalente al concepto de "inundación", y en la vida cotidiana ambos son a menudo intercambiables ("inundar el servidor" = "DDoS'it the server").

Para crear una inundación se puede utilizar como de costumbre utilidades de red como ping (esto es conocido, por ejemplo, por la comunidad de Internet " Upyachka"), y programas especiales. La posibilidad de DDoS a menudo está "cosida" en las botnets. Si se encuentra una vulnerabilidad de secuencias de comandos entre sitios o la capacidad de incluir imágenes de otros recursos en un sitio con mucho tráfico, este sitio también puede usarse para un ataque DDoS.

Inundación del canal de comunicación y del subsistema TCP

Cualquier computadora conectada a mundo exterior sobre el protocolo TCP/IP, está sujeto a los siguientes tipos de desbordamiento:

  • Inundación SYN: con este tipo de ataque de inundación, se envía una gran cantidad de paquetes SYN al nodo atacado a través del protocolo TCP (solicitudes para abrir una conexión). Al mismo tiempo, después de un corto tiempo, la cantidad de sockets disponibles para abrir (sockets de red de software, puertos) se agota en la computadora atacada y el servidor deja de responder.
  • Inundación UDP: este tipo de inundación no ataca la computadora de destino, sino su canal de comunicación. Los proveedores asumen razonablemente que los paquetes UDP deben entregarse primero, mientras que TCP puede esperar. Una gran cantidad de paquetes UDP de diferentes tamaños obstruyen el canal de comunicación y el servidor que se ejecuta sobre el protocolo TCP deja de responder.
  • Inundación ICMP: lo mismo, pero con la ayuda de paquetes ICMP.

Inundación de la capa de aplicación

Muchos servicios están diseñados de tal manera que una pequeña solicitud puede causar un gran gasto. poder computacional en servidor En este caso, no es el canal de comunicación o el subsistema TCP el que es atacado, sino el servicio (servicio) en sí mismo: una avalancha de tales solicitudes "enfermas". Por ejemplo, los servidores web son vulnerables a la inundación de HTTP: se puede usar un simple GET / o una consulta de base de datos compleja como GET /index.php?search= para deshabilitar un servidor web.<случайная строка> .

Detección de ataques DoS

Existe la opinión de que no se requieren herramientas especiales para detectar ataques DoS, ya que no se puede pasar por alto el hecho de un ataque DoS. En muchos casos esto es cierto. Sin embargo, se observaron ataques DoS exitosos con bastante frecuencia, que las víctimas notaron solo después de 2-3 días. Sucedió que las consecuencias negativas de un ataque ( inundación-ataques) resultó en costos excesivos para pagar el exceso de tráfico de Internet, que se descubrió solo al recibir una factura de un proveedor de Internet. Además, muchos métodos de detección de intrusos son ineficaces cerca del objetivo del ataque, pero son efectivos en las redes troncales de la red. En este caso, es recomendable instalar los sistemas de detección allí mismo, y no esperar a que el propio usuario atacado se dé cuenta y busque ayuda. Además, para contrarrestar eficazmente los ataques DoS, es necesario conocer el tipo, la naturaleza y otras características de los ataques DoS, y los sistemas de detección permiten obtener rápidamente esta información.

Los métodos de detección de ataques DoS se pueden dividir en varios grupos grandes:

  • firma - basada en un análisis cualitativo del tráfico.
  • estadístico - basado en un análisis cuantitativo del tráfico.
  • híbrido (combinado): combina las ventajas de los dos métodos anteriores.

protección DoS

Las medidas para contrarrestar los ataques DoS se pueden dividir en pasivas y activas, así como preventivas y reactivas.

A continuación se muestra una breve lista de los principales métodos.

  • Prevención. Prevención de los motivos que impulsan a determinadas personas a organizar y ejecutar ataques DoS. (Muy a menudo, los ataques cibernéticos en general son el resultado de agravios personales, desacuerdos políticos, religiosos y de otro tipo, comportamiento provocativo de la víctima, etc.)
  • Filtrado y blackholing. Bloquear el tráfico de las máquinas atacantes. La eficacia de estos métodos disminuye a medida que te acercas al objeto del ataque y aumenta a medida que te acercas a la máquina atacante.
  • DDOS inverso- redirigir el tráfico utilizado para el ataque al atacante.
  • Eliminación de vulnerabilidades. no funciona contra inundación-ataques para los cuales "vulnerabilidad" es la finitud de ciertos recursos del sistema.
  • Aumentando los recursos. Naturalmente, no proporciona una protección absoluta, pero es un buen antecedente para aplicar otros tipos de protección contra ataques DoS.
  • Dispersión. Construyendo sistemas distribuidos y duplicados que no dejarán de servir a los usuarios, incluso si algunos de sus elementos no están disponibles debido a un ataque DoS.
  • Evasión. Mover el objetivo inmediato del ataque (nombre de dominio o dirección IP) lejos de otros recursos que a menudo también se ven afectados junto con el objetivo inmediato del ataque.
  • Respuesta activa. Impacto en las fuentes, el organizador o el centro de control del ataque, tanto por medios humanos como organizativos y legales.
  • Uso de equipos para repeler ataques DoS. Por ejemplo DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® y otros fabricantes.
  • Adquisición de un servicio de protección contra ataques DoS. Actual en caso de exceder el ancho de banda del canal de red por la inundación.

ver también

notas

Literatura

  • chris kaspersky Virus informáticos dentro y fuera. - Pedro. - San Petersburgo. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Análisis de brechas de seguridad típicas en redes = Firmas y Análisis de Intrusión. - New Riders Publishing (inglés) St. Petersburg: Williams Publishing House (ruso), 2001. - P. 464. - ISBN 5-8459-0225-8 (ruso), 0-7357-1063-5 (inglés)
  • Morris, R. T.= Una debilidad en el software 4.2BSD Unix TCP/IP. - Informe Técnico de Ciencias de la Computación No.117. - AT&T Bell Laboratories, febrero de 1985.
  • Bellovin, S. M.= Problemas de Seguridad en la Suite de protocolos TCP/IP. - Revista de comunicación informática, vol. 19, No.2. - Laboratorios AT&T Bell, abril de 1989.
  • = daemon9 / route / infinity "IP-spooling Desmitificado: Explotación de relaciones de confianza". - Phrack Magazine, Vol.7, Número 48. - Guild Production, julio de 1996.
  • = daemon9/ruta/infinito "Proyecto Neptuno". - Phrack Magazine, Vol.7, Número 48. - Guild Production, julio de 1996.

Enlaces

  • Ataque de DOS en el directorio de enlaces de proyectos de Open Directory (

Recientemente, hemos podido asegurarnos de que los ataques DDoS son un arma bastante poderosa en espacio de información. Con la ayuda de los ataques DDoS de alta potencia, no solo puede deshabilitar uno o varios sitios, sino también interrumpir el funcionamiento de todo el segmento de la red o incluso deshabilitar Internet en un país pequeño. En estos días, los ataques DDoS ocurren cada vez con más frecuencia y su poder aumenta cada vez.

Pero, ¿cuál es la esencia de tal ataque? ¿Qué sucede en la red cuando se ejecuta, de dónde surgió la idea de hacerlo y por qué es tan efectivo? Encontrarás respuestas a todas estas preguntas en nuestro artículo de hoy.

DDoS o denegación de servicio distribuida (denegación de servicio dividida) es un ataque contra computadora especifica en la red, lo que provoca que ésta, por sobrecarga, no responda a las solicitudes de otros usuarios.

Para entender lo que significa un ataque ddos, imaginemos la situación: un servidor web le da a los usuarios páginas de un sitio, digamos que toma medio segundo crear una página y transferirla completamente a la computadora del usuario, entonces nuestro servidor será capaz de trabajar normalmente a una frecuencia de dos solicitudes por segundo. Si hay más solicitudes de este tipo, se pondrán en cola y se procesarán tan pronto como el servidor web esté libre. Todas las solicitudes nuevas se agregan al final de la cola. Ahora imaginemos que hay muchas solicitudes, y la mayoría de ellas solo van a sobrecargar este servidor.

Si la tasa de llegada de nuevas solicitudes excede la tasa de procesamiento, entonces, con el tiempo, la cola de solicitudes será tan larga que, de hecho, ya no se procesarán nuevas solicitudes. Este es el principio fundamental de un ataque ddos. Anteriormente, dichas solicitudes se enviaban desde una dirección IP y esto se denominaba ataque de denegación de servicio: Dead-of-Service, de hecho, esta es la respuesta a la pregunta ¿qué se hace? Pero tales ataques se pueden tratar de manera efectiva simplemente agregando la dirección IP de la fuente o varias a la lista de bloqueo; además, varios dispositivos, debido a las limitaciones de ancho de banda de la red, no pueden generar físicamente una cantidad suficiente de paquetes para sobrecargar un servidor serio.

Por ello, ahora los ataques se realizan de forma inmediata desde millones de dispositivos. La palabra Distribuido se agregó al nombre, distribuido, resultó ser DDoS. Uno por uno, estos dispositivos no significan nada, y quizás tengan una conexión a Internet con no muy alta velocidad, pero cuando todos comienzan a enviar solicitudes al mismo servidor al mismo tiempo, pueden alcanzar una velocidad total de hasta 10 Tb/s. Y esto ya es un indicador bastante serio.

Queda por averiguar de dónde sacan los atacantes tantos dispositivos para llevar a cabo sus ataques. eso computadoras convencionales, o varios dispositivos IoT a los que los atacantes pudieron acceder. Puede ser cualquier cosa, videocámaras y enrutadores con firmware que no se ha actualizado durante mucho tiempo, dispositivos de control y computadoras comunes de usuarios que de alguna manera han contraído un virus y no saben de su existencia o no tienen prisa por eliminarlo.

Tipos de ataques DDoS

Hay dos tipos principales de ataques DDoS, uno enfocado en sobrecargar un programa específico y ataques dirigidos a sobrecargar el enlace de red a la computadora de destino.

Los ataques a la sobrecarga de un programa también se denominan ataques a 7 (en el modelo de red osi, hay siete niveles y el último son los niveles de las aplicaciones individuales). Un atacante ataca un programa que utiliza una gran cantidad de recursos del servidor mediante el envío de una gran cantidad de solicitudes. Al final, el programa no tiene tiempo para procesar todas las conexiones. Este es el tipo que discutimos anteriormente.

Los ataques DoS en el canal de Internet requieren muchos más recursos, pero son mucho más difíciles de manejar. Si hacemos una analogía con osi, estos son ataques en el nivel 3-4, es decir, en el canal o protocolo de transferencia de datos. El hecho es que cualquier conexión a Internet tiene su propio límite de velocidad con el que se pueden transmitir datos a través de ella. Si hay muchos datos, entonces equipo de red de la misma manera que el programa, los pondrá en cola para la transmisión, y si la cantidad de datos y la velocidad de su llegada exceden en gran medida la velocidad del canal, entonces se sobrecargará. La tasa de transferencia de datos en tales casos se puede calcular en gigabytes por segundo. Por ejemplo, en el caso de un pequeño país de Liberia desconectado de Internet, la tasa de transferencia de datos fue de hasta 5 Tb/s. Sin embargo, 20-40 Gb/s es suficiente para abrumar a la mayoría de las infraestructuras de red.

Origen de los ataques DDoS

Arriba, analizamos qué son los ataques DDoS, así como los métodos de los ataques DDoS, es hora de pasar a su origen. ¿Alguna vez te has preguntado por qué estos ataques son tan efectivos? Se basan en estrategias militares que se han desarrollado y probado durante muchas décadas.

En general, muchos de los enfoques de seguridad de información basado en estrategias militares del pasado. Hay virus troyanos que se asemejan a la antigua batalla de Troya, ransomware que roban sus archivos para obtener un rescate y ataques DDoS que limitan los recursos del enemigo. Al limitar las opciones del enemigo, obtienes cierto control sobre sus acciones posteriores. Esta táctica funciona muy bien para ambos estrategas militares. y para los ciberdelincuentes.

En el caso de la estrategia militar, podemos pensar muy simplemente en los tipos de recursos que se pueden limitar para limitar las capacidades del enemigo. Limitar el agua, los alimentos y los materiales de construcción simplemente destruiría al enemigo. Con las computadoras todo es diferente, hay varios servicios, por ejemplo, DNS, servidor web, servidores Correo electrónico. Todos tienen infraestructuras diferentes, pero hay algo que los une. Esta es una red. Sin una red, no podrá acceder al servicio remoto.

Los señores de la guerra pueden envenenar el agua, quemar cultivos y establecer puntos de control. Los ciberdelincuentes pueden enviar datos no válidos al servicio, forzarlo a consumir toda la memoria o sobrecargar por completo todo el canal de red. Las estrategias de defensa también tienen las mismas raíces. El administrador del servidor tendrá que monitorear el tráfico entrante para encontrar tráfico malicioso y bloquearlo antes de que llegue al programa o canal de red de destino.

recomendaciones

Los ataques DDoS son cada vez más comunes y poderosos. Esto significa que los servicios que utilizamos serán cada vez más atacados. Una de las formas en que podemos reducir la cantidad de ataques es asegurarnos de que nuestros dispositivos no estén infectados con ningún virus y reciban las actualizaciones a tiempo. Ahora que sabe qué es un ataque DDoS y conoce los conceptos básicos de protección, en uno de los siguientes artículos veremos el último punto con más detalle.

Para concluir, ofrezco una conferencia sobre ataques DDoS:

El ataque DoS y DDoS es un impacto externo agresivo en los recursos informáticos de un servidor o estación de trabajo, llevado a cabo con el fin de que esta última falle. Por falla, no nos referimos a la falla física de la máquina, sino a la falta de disponibilidad de sus recursos para los usuarios conscientes: la falla del sistema para atenderlos ( D enial o F S servicio, de donde se forma la abreviatura DoS).

Si dicho ataque se lleva a cabo desde una sola computadora, se clasifica como DoS (DoS), si desde varias, DDoS (DDoS o DDoS), lo que significa "D emitido D enial o F S service" - denegación de servicio distribuida. A continuación, hablaremos de por qué los atacantes realizan este tipo de acciones, cuáles son, qué daño causan a los atacados y cómo protegen estos últimos sus recursos.

Quién puede verse afectado por los ataques DoS y DDoS

Los servidores corporativos de empresas y sitios web están expuestos a ataques, con mucha menos frecuencia: computadoras personales individuos. El propósito de tales acciones, por regla general, es el mismo: infligir un daño económico a la persona atacada y, al mismo tiempo, permanecer en las sombras. En algunos casos, los ataques DoS y DDoS son una de las etapas de la piratería de servidores y tienen como objetivo robar o destruir información. De hecho, una empresa o sitio web que pertenece a cualquier persona puede convertirse en víctima de los atacantes.

Un diagrama que ilustra la esencia de un ataque DDoS:

Los ataques DoS y DDoS se llevan a cabo con mayor frecuencia por sugerencia de competidores deshonestos. Entonces, al "llenar" el sitio web de una tienda en línea que ofrece un producto similar, puede convertirse temporalmente en un "monopolista" y tomar sus clientes para usted. Al "apagar" un servidor corporativo, puede interrumpir el trabajo de una empresa competidora y, por lo tanto, reducir su posición en el mercado.

Los ataques a gran escala que pueden causar daños significativos generalmente los llevan a cabo ciberdelincuentes profesionales por mucho dinero. Pero no siempre. Los piratas informáticos aficionados de cosecha propia pueden atacar sus recursos, por interés, y vengadores de entre los empleados despedidos, y simplemente aquellos que no comparten sus puntos de vista sobre la vida.

A veces, el impacto se lleva a cabo con el propósito de extorsionar, mientras que el atacante exige abiertamente dinero al propietario del recurso para detener el ataque.

Los servidores de empresas estatales y organizaciones conocidas a menudo son atacados por grupos anónimos de piratas informáticos altamente calificados para influir en los funcionarios o provocar protestas públicas.

Cómo se llevan a cabo los ataques

El principio de funcionamiento de los ataques DoS y DDoS es enviar un gran flujo de información al servidor, el cual, al máximo (hasta donde lo permitan las capacidades del hacker), carga los recursos de cómputo del procesador, memoria RAM, obstruye los canales de comunicación o llena espacio en disco. La máquina atacada no puede hacer frente al procesamiento de los datos entrantes y deja de responder a las solicitudes de los usuarios.

Así es como se ve el funcionamiento normal del servidor, visualizado en el programa Logstalgia:

La efectividad de los ataques DOS individuales no es muy alta. Además, un ataque desde una computadora personal pone al atacante en riesgo de ser identificado y atrapado. Los ataques distribuidos (DDoS) llevados a cabo desde las llamadas redes zombies o botnets generan muchas más ganancias.

Así es como el sitio web Norse-corp.com muestra la actividad de la botnet:

Una red zombie (botnet) es un grupo de computadoras que no tienen conexión física entre sí. Están unidos por el hecho de que todos están bajo el control de un atacante. El control se ejerce a través de troyano, que por el momento no podrá manifestarse de ninguna forma. Al llevar a cabo un ataque, un pirata informático instruye a las computadoras infectadas para que envíen solicitudes al sitio web o servidor de la víctima. Y él, incapaz de resistir la embestida, deja de responder.

Así muestra Logstalgia un ataque DDoS:

Cualquier computadora puede unirse a la botnet. E incluso un teléfono inteligente. Basta con atrapar un troyano y no detectarlo a tiempo. Por cierto, la red de bots más grande contaba con casi 2 millones de máquinas en todo el mundo, y sus propietarios no tenían idea de lo que tenían que hacer.

Métodos de ataque y defensa.

Antes de lanzar un ataque, el hacker descubre cómo llevarlo a cabo con el máximo efecto. Si el nodo atacado tiene varias vulnerabilidades, el impacto puede llevarse a cabo en diferentes direcciones, lo que complicará mucho las contramedidas. Por lo tanto, es importante que cada administrador del servidor estudie todos sus "cuellos de botella" y, si es posible, los refuerce.

inundación

Flud, en términos simples, es información que no lleva una carga semántica. En el contexto de los ataques DoS/DDoS, una inundación es una avalancha de solicitudes vacías y sin sentido de un nivel u otro que el nodo receptor se ve obligado a procesar.

El propósito principal de usar la inundación es obstruir completamente los canales de comunicación, para saturar el ancho de banda al máximo.

Flud tipos:

  • Inundación de MAC: impacto en los comunicadores de red (bloqueo de puertos por flujos de datos).
  • Inundación ICMP: inundar a la víctima con solicitudes de eco del servicio utilizando una red zombie o enviar solicitudes "en nombre" del host atacado para que todos los miembros de la botnet envíen simultáneamente una respuesta de eco (ataque Smurf). Un caso especial de inundación de ICMP es la inundación de ping (envío de solicitudes de ping al servidor).
  • Inundación SYN: envío de numerosas solicitudes SYN a la víctima, desbordamiento de la cola de conexión TCP al crear una gran cantidad de conexiones semiabiertas (en espera de la confirmación del cliente).
  • Inundación UDP: funciona de acuerdo con el esquema de ataque Smurf, donde se envían datagramas UDP en lugar de paquetes ICMP.
  • Inundación HTTP: inunda el servidor con numerosos mensajes HTTP. Una opción más sofisticada es una inundación HTTPS, donde los datos transmitidos se cifran previamente y, antes de que el nodo atacado los procese, debe descifrarlos.


Cómo protegerse de las inundaciones

  • Configure conmutadores de red para validar y filtrar direcciones MAC.
  • Restrinja o deshabilite el procesamiento de solicitudes de eco ICMP.
  • Bloquea paquetes provenientes de una dirección o dominio específico, lo que da motivos para sospechar que no es confiable.
  • Establezca un límite en la cantidad de conexiones semiabiertas con una dirección, reduzca su tiempo de retención, alargue la cola de conexión TCP.
  • Inhabilite los servicios UDP para que no reciban tráfico del exterior o limite la cantidad de conexiones UDP.
  • Use CAPTCHA, retrasos y otras técnicas de protección contra bots.
  • Aumento cantidad máxima Conexiones HTTP, configure el almacenamiento en caché de solicitudes con nginx.
  • Ampliar el ancho de banda del canal de red.
  • Si es posible, asigne un servidor separado para procesar la criptografía (si se usa).
  • Cree un canal de respaldo para el acceso administrativo al servidor en situaciones de emergencia.

Sobrecarga de recursos de hardware

Hay tipos de inundaciones que no afectan el canal de comunicación, sino los recursos de hardware de la computadora atacada, cargándolos al máximo y provocando una congelación o bloqueo. Por ejemplo:

  • Crear un script que publicará en un foro o sitio web donde los usuarios tienen la oportunidad de dejar comentarios, una gran cantidad de información textual sin sentido hasta que se llene todo el espacio del disco.
  • Lo mismo, solo los registros del servidor llenarán la unidad.
  • Cargar un sitio donde se realiza algún tipo de transformación de los datos ingresados ​​​​mediante el procesamiento continuo de estos datos (enviando los llamados paquetes "pesados").
  • Cargar el procesador o la memoria mediante la ejecución de código a través de la interfaz CGI (la compatibilidad con CGI le permite ejecutar algún programa externo en el servidor).
  • Activar un sistema de seguridad que hace que el servidor sea inaccesible desde el exterior, etc.


Cómo protegerse de la sobrecarga de recursos de hardware

  • Aumente el rendimiento del hardware y el espacio en disco. Cuando el servidor se ejecuta en modo normal, al menos el 25-30% de los recursos deben permanecer libres.
  • Habilite los sistemas de análisis y filtrado de tráfico antes de enviarlo al servidor.
  • Limitar el uso de recursos de hardware por componentes del sistema (establecer cuotas).
  • Almacene los archivos de registro del servidor en una unidad separada.
  • Distribuya recursos a través de múltiples servidores independientes. De modo que si una parte falla, las otras permanecen operativas.

Vulnerabilidades en sistemas operativos, software, firmware de dispositivos

Hay muchísimas más opciones para llevar a cabo este tipo de ataques que con el uso de inundaciones. Su implementación depende de la habilidad y experiencia del atacante, su capacidad para encontrar errores en el código del programa y usarlos para su propio beneficio y en detrimento del propietario del recurso.

Una vez que un pirata informático descubre una vulnerabilidad (un error en el software que puede usarse para interrumpir el sistema), solo tendrá que crear y ejecutar un exploit, un programa que aprovecha esta vulnerabilidad.

La explotación de vulnerabilidades no siempre tiene la intención de causar solo una denegación de servicio. Si el hacker tiene suerte, podrá hacerse con el control del recurso y disponer de este "regalo del destino" a su discreción. Por ejemplo, utilizar para distribuir malware, robar y destruir información, etc.

Métodos para contrarrestar la explotación de vulnerabilidades en el software

  • Instale oportunamente actualizaciones que cierren las vulnerabilidades de los sistemas operativos y aplicaciones.
  • Aísle del acceso de terceros todos los servicios diseñados para resolver tareas administrativas.
  • Utilizar herramientas de monitorización continua del funcionamiento del sistema operativo del servidor y de los programas (análisis de comportamiento, etc.).
  • Rechace los programas potencialmente vulnerables (gratuitos, escritos por él mismo, raramente actualizados) en favor de los probados y bien protegidos.
  • Utilice medios preparados para proteger los sistemas de los ataques DoS y DDoS, que existen tanto en forma de sistemas de hardware como de software.

Cómo determinar si un recurso ha sido atacado por un hacker

Si el atacante logró alcanzar el objetivo, es imposible no darse cuenta del ataque, pero en algunos casos el administrador no puede determinar exactamente cuándo comenzó. Es decir, desde el inicio de un ataque hasta los síntomas perceptibles, a veces pasan varias horas. Sin embargo, durante el impacto latente (hasta que el servidor "se acuesta"), ciertos signos también están presentes. Por ejemplo:

  • Comportamiento no natural de las aplicaciones del servidor o Sistema operativo(se cuelga, se bloquea, etc.).
  • carga de CPU, RAM y la capacidad de almacenamiento aumenta considerablemente en comparación con el nivel inicial.
  • El volumen de tráfico en uno o más puertos aumenta significativamente.
  • Hay solicitudes repetidas de clientes a los mismos recursos (abrir una página del sitio, descargar el mismo archivo).
  • El análisis de los registros del servidor, el firewall y los dispositivos de red muestra una gran cantidad de solicitudes repetitivas de varias direcciones, a menudo dirigidas a un puerto o servicio específico. Especialmente si el sitio está enfocado a una audiencia limitada (por ejemplo, de habla rusa) y las solicitudes provienen de todo el mundo. Al mismo tiempo, un análisis cualitativo del tráfico muestra que las solicitudes no tienen sentido práctico para los clientes.

Todo lo anterior no es señal al 100% de un ataque, pero siempre es motivo para prestar atención al problema y tomar las medidas de protección adecuadas.

Ataques DoS son ataques que conducen a la parálisis del servidor o computadora personal debido a la gran cantidad de solicitudes que llegan a gran velocidad al recurso atacado. Si tal ataque se lleva a cabo simultáneamente desde una gran cantidad de computadoras, entonces en este caso se habla de ataque DDoS.

DoS- Negación de servicio- ataque de "negación de servicio". Este ataque se puede realizar de dos formas. Con el primer método Un ataque DoS utiliza una vulnerabilidad en el software instalado en la computadora atacada. Al usar una vulnerabilidad de este tipo en una computadora, puede causar un cierto error crítico, lo que conducirá a una violación del sistema.

En el segundo método, el ataque se lleva a cabo enviando simultáneamente una gran cantidad de paquetes de información a la computadora atacada. De acuerdo con los principios de transferencia de datos entre computadoras en una red, cada paquete de información enviado por una computadora a otra se procesa durante un tiempo específico.

Si al mismo tiempo llega otra solicitud a la computadora, entonces el paquete ingresa a la "cola" y ocupa una cierta cantidad de los recursos físicos del sistema. Por lo tanto, si se envía una gran cantidad de solicitudes a la computadora al mismo tiempo, la carga excesiva hará que la computadora se "cuelgue" o se desconecte de Internet en caso de emergencia. Esto es exactamente lo que necesitan los organizadores de un ataque DoS.

Un ataque DDoS es un tipo de ataque DoS. Denegación de servicio distribuida- "denegación de servicio distribuida": organizada utilizando una gran cantidad de computadoras, por lo que los servidores pueden ser atacados incluso con un ancho de banda muy grande de canales de Internet.

A veces, el efecto de un ataque DDoS "funciona" por accidente. Esto sucede si, por ejemplo, se colocó un enlace en un sitio ubicado en el servidor en un recurso popular de Internet. Esto provoca un gran aumento en el tráfico del sitio ( efecto de punto de salpicadura), que actúa sobre el servidor de forma similar a un ataque DDoS.

Los ataques DDoS, a diferencia de los ataques DoS simples, se llevan a cabo con mayor frecuencia con fines comerciales, porque se necesitan cientos de miles de computadoras para organizar un ataque DDoS, y no todos pueden permitirse costos materiales y de tiempo tan grandes. Para organizar los ataques DDoS, los atacantes usan una red especial de computadoras: red de bots.

Una botnet es una red de computadoras infectadas con un tipo particular de virus. "zombi". Un atacante puede controlar cada una de esas computadoras de forma remota, sin el conocimiento del propietario de la computadora. Con la ayuda de un virus o un programa que hábilmente se disfraza de "contenido útil", se instala un código de programa malicioso en la computadora de la víctima, que no es reconocido por el antivirus y funciona en "modo sigiloso". En el momento adecuado, por orden del propietario de la botnet, dicho programa se activa y comienza a enviar solicitudes al servidor atacado.

Al realizar ataques DDoS, los atacantes suelen utilizar "Clúster DDoS"- una arquitectura especial de tres niveles de una red de computadoras. Esta estructura contiene uno o más consolas de control, desde donde se envía directamente una señal sobre un ataque DDoS.

La señal se transmite a computadoras principales- "enlace transmisor" entre las consolas de control y los ordenadores de los agentes. Agentes Estas son computadoras que atacan directamente al servidor con sus solicitudes. Tanto los ordenadores host como los ordenadores agentes son, por regla general, "zombis", es decir, sus dueños no saben que son partícipes de un ataque DDoS.

Los métodos de protección contra los ataques DDoS son diferentes según el tipo de ataque en sí. Los ataques DDoS incluyen los siguientes tipos:

Inundación UDP: un ataque mediante el envío de muchos paquetes UDP a la dirección de la "víctima"; Inundación TCP: un ataque mediante el envío de muchos paquetes TCP a la dirección de la "víctima"; Inundación TCP SYN: un ataque mediante el envío de una gran cantidad de solicitudes para inicializar conexiones TCP; Inundación ICMP: un ataque debido a solicitudes de ping ICMP.

Los atacantes pueden combinar estos y otros tipos de ataques DDoS, lo que hace que estos ataques sean aún más peligrosos y difíciles de eliminar.

Desafortunadamente, no existen métodos universales de protección contra ataques DDoS. Pero seguir algunas reglas generales ayudará a reducir el riesgo de un ataque DDoS o a lidiar con sus consecuencias de la manera más efectiva posible.

Entonces, para prevenir un ataque DDoS, es necesario monitorear constantemente la eliminación de vulnerabilidades en el software utilizado, aumentar los recursos y dispersarlos. Asegúrese de tener al menos el paquete de software de protección DDoS mínimo instalado en su computadora. Estos pueden ser firewalls ordinarios (firewalls) y programas especiales anti-DDoS. Para detectar ataques DDoS, se deben utilizar sistemas especiales de software y hardware.

El objetivo de un ataque DDoS puede ser bloquear el proyecto de un competidor o un recurso popular, o bien obtener el control total del sistema. Al promocionar un sitio, se tiene en cuenta que las condiciones DoS ocurren por las siguientes razones:

  • debido a errores en el código del programa que conducen a la ejecución de instrucciones no válidas, acceso a una parte no utilizada del espacio de direcciones, etc.;
  • debido a una validación insuficiente de los datos del usuario, lo que puede conducir a un ciclo largo (o infinito), mayor consumo de recursos del procesador, agotamiento de la memoria, etc.;
  • debido a una inundación: un ataque externo a través de una gran cantidad de solicitudes mal formadas o sin sentido al servidor. Hay una inundación del subsistema TCP, los canales de comunicación y la capa de aplicación.
  • debido a la influencia externa, cuyo propósito es causar falsa alarma sistema de protección y, como resultado, conducir a la indisponibilidad del recurso.

Proteccion

Los ataques DDoS lo hacen más difícil, porque si el servidor está inactivo durante un tiempo suficiente, las páginas se caen del índice. Para detectar una amenaza, se utilizan métodos de firma, estadísticos e híbridos. Los primeros se basan en el análisis cualitativo, los segundos en el análisis cuantitativo y los terceros combinan las ventajas de los métodos anteriores. Las contramedidas son pasivas y activas, preventivas y reaccionarias. Se utilizan principalmente los siguientes métodos:

  • eliminación de motivos personales y sociales que alientan a las personas a organizar ataques DDoS,
  • blackholing y filtrado de tráfico,
  • eliminación de vulnerabilidades de código durante optimización de motores de búsqueda sitio,
  • aumentar los recursos del servidor, construir sistemas duplicados y distribuidos para el servicio de respaldo de los usuarios,
  • impacto técnico y organizativo-legal en el organizador, fuentes o centro de control del ataque,
  • instalación de equipos para repeler ataques DDoS (Arbor Peakflow®, DefensePro®, etc.),
  • compra de un servidor dedicado para alojamiento de sitios web.


ARTÍCULOS RELACIONADOS