DoS- ja DDoS-hyökkäykset: merkitys ja erot. Mitkä ovat DoS- ja DDoS-hyökkäysten vaarat? Ero dos:n ja ddos:n välillä

Tietokonejärjestelmässä tarkoituksena saattaa se epäonnistumaan, eli luoda olosuhteet, joissa järjestelmän lailliset (lailliset) käyttäjät eivät pääse käsiksi järjestelmän tarjoamiin resursseihin (palvelimiin) tai pääsy on vaikeaa. "Vihollisen" järjestelmän vikaantuminen voi olla myös askel kohti järjestelmän hallitsemista (jos ohjelmisto tuottaa hätätilanteessa kriittistä tietoa - esimerkiksi version, osan ohjelmakoodista jne.). Mutta useammin tämä on taloudellisen paineen mitta: tuloja tuottavan palvelun seisokit, palveluntarjoajan laskut ja toimenpiteet hyökkäyksen välttämiseksi osuvat merkittävästi taskussa olevaan "kohteeseen".

Jos hyökkäys suoritetaan samanaikaisesti suuresta määrästä tietokoneita, puhutaan DDoS-hyökkäys(englannista Hajautettu palvelunesto, hajautettu palvelunestohyökkäys). Joissakin tapauksissa todellinen DDoS-hyökkäys johtuu tahattomasta toiminnasta, esimerkiksi linkin sijoittamisesta suosittuun Internet-resurssiin sivustolle, jota isännöi ei kovin tuottava palvelin (slashdot-efekti). Suuri käyttäjien virta johtaa palvelimen sallitun kuormituksen ylittymiseen ja sen seurauksena palvelun epäämiseen joiltakin heistä.

DoS-hyökkäystyypit

On useita syitä, miksi DoS-ehto voi ilmaantua:

  • Virhe ohjelmakoodissa, mikä johtaa pääsyyn käyttämättömään osoiteavaruuden fragmenttiin, virheellisen käskyn suorittamiseen tai muuhun käsittelemättömään poikkeukseen, kun palvelinohjelma - palvelinohjelma - kaatuu. Klassinen esimerkki on kääntäminen nollalla. tyhjä) osoite.
  • Käyttäjätietojen riittämätön tarkistus, mikä johtaa loputtomaan tai pitkään sykliin tai lisääntyneeseen pitkän aikavälin prosessoriresurssien kulutukseen (prosessoriresurssien loppuun asti) tai suuren RAM-määrän varaamiseen (käytettävissä olevan muistin loppuun asti).
  • Tulva(Englanti) tulva- "tulva", "ylivuoto" - hyökkäys, joka liittyy suureen määrään yleensä merkityksettömiä tai väärin muotoiltuja pyyntöjä tietokonejärjestelmä tai verkkolaitteita, jotka on tarkoitettu järjestelmän toimintahäiriöön tai jotka johtavat järjestelmän sammumiseen järjestelmäresurssit- prosessori, muisti tai viestintäkanavat.
  • Toisen tyypin hyökkäys- hyökkäys, joka yrittää aiheuttaa väärän hälytyksen turvajärjestelmästä ja johtaa siten resurssin epäkäytettävyyteen.

Jos hyökkäys (yleensä tulva) suoritetaan samanaikaisesti suuria määriä IP-osoitteet - useista tietokoneista, jotka ovat hajallaan verkossa - niin tässä tapauksessa sitä kutsutaan hajautettu palvelunestohyökkäys ( DDoS).

Bugien hyödyntäminen

Käyttää hyväkseen on ohjelma, ohjelmistokoodin osa tai ohjelmistokomentosarja, joka hyödyntää haavoittuvuuksia ohjelmisto ja käytetään hyökkäykseen kyberjärjestelmää vastaan. Hyökkäyksistä, jotka johtavat DoS-hyökkäykseen, mutta jotka eivät sovellu esimerkiksi ”vihollisen” järjestelmän hallintaan, tunnetuimmat ovat WinNuke ja Ping of death.

Tulva

Katso tulva netiketin rikkomisesta.

Tulva soita valtavaan virtaan merkityksettömiä pyyntöjä erilaisia ​​tietokoneita"vihollisen" järjestelmän (prosessorin, RAM-muistin tai viestintäkanavan) miehittämiseksi työllä ja siten sen väliaikaisesti poistamiseksi käytöstä. Käsite "DDoS-hyökkäys" on lähes sama kuin "tulva", ja jokapäiväisessä elämässä molemmat ovat usein vaihdettavissa keskenään ("Flood the server" = "DDoS the server").

Voidaan käyttää tavalliseen tapaan tulvan luomiseen verkkoapuohjelmat kuten ping (esimerkiksi Internet-yhteisö "Upyachka" tunnetaan tästä) ja erikoisohjelmat. DDoS:n mahdollisuus on usein "kiinnitetty" bottiverkkoihin. Jos paljon liikennettä sisältävällä sivustolla havaitaan sivustojen välinen komentosarjahaavoittuvuus tai kyky sisällyttää kuvia muista resursseista, tätä sivustoa voidaan käyttää myös DDoS-hyökkäykseen.

Tietoliikennekanavan ja TCP-alijärjestelmän tulva

Mikä tahansa tietokone, johon on kytketty ulkopuolinen maailma TCP/IP-protokollan kautta, joka on alttiina seuraavan tyyppisille tulville:

  • SYN-tulva - tämän tyyppisessä tulvahyökkäyksessä suuri määrä SYN-paketteja lähetetään hyökkäävälle solmulle TCP-protokollan kautta (pyynnöt avata yhteys). Tässä tapauksessa lyhyen ajan kuluttua avattavien pistokkeiden (ohjelmistoverkkopistokkeet, portit) määrä on käytetty loppuun hyökätyssä tietokoneessa ja palvelin lakkaa vastaamasta.
  • UDP-tulva - tämäntyyppinen tulva ei hyökkää kohdetietokoneeseen, vaan sen viestintäkanavaan. Palveluntarjoajat olettavat kohtuudella, että UDP-paketit tulee toimittaa ensin ja TCP voi odottaa. Iso määrä Erikokoiset UDP-paketit tukkivat viestintäkanavan, ja TCP-protokollaa käyttävä palvelin lakkaa vastaamasta.
  • ICMP-tulva on sama asia, mutta käyttämällä ICMP-paketteja.

Sovellustason tulva

Monet palvelut on suunniteltu niin, että pienestä pyynnöstä voi aiheutua suuria kuluja laskentateho palvelimella. Tässä tapauksessa hyökkäyksen kohteena ei ole viestintäkanava tai TCP-alijärjestelmä, vaan itse palvelu - samanlaisten "sairaiden" pyyntöjen tulva. Esimerkiksi web-palvelimet ovat alttiita HTTP-tulville joko yksinkertaisella GET / tai monimutkaisella tietokantapyynnöllä, kuten GET /index.php?search=, voidaan käyttää verkkopalvelimen poistamiseen käytöstä.<случайная строка> .

DoS-hyökkäysten havaitseminen

On olemassa mielipide, että erityisiä työkaluja DoS-hyökkäysten havaitsemiseen ei tarvita, koska DoS-hyökkäyksen tosiasiaa ei voida jättää huomiotta. Monissa tapauksissa tämä on totta. Kuitenkin melko usein havaittiin onnistuneita DoS-hyökkäyksiä, jotka uhrit huomasivat vasta 2-3 päivän kuluttua. Tapahtui, että hyökkäyksen negatiiviset seuraukset ( tulva-hyökkäykset) aiheutti tarpeettomia kustannuksia ylimääräisen Internet-liikenteen maksamisesta, mikä kävi ilmi vasta Internet-palveluntarjoajalta laskun saatuaan. Lisäksi monet hyökkäyksen havaitsemismenetelmät ovat tehottomia lähellä hyökkäyskohdetta, mutta ovat tehokkaita verkon runkoverkoissa. Tällöin on suositeltavaa asentaa tunnistusjärjestelmät sinne sen sijaan, että odotat, kunnes hyökkäyksen kohteeksi joutunut käyttäjä huomaa sen itse ja hakee apua. Lisäksi DoS-hyökkäysten tehokas torjuminen edellyttää DoS-hyökkäysten tyypin, luonteen ja muiden ominaisuuksien tuntemista, ja havaitsemisjärjestelmien avulla voit saada nämä tiedot nopeasti.

DoS-hyökkäysten havaitsemismenetelmät voidaan jakaa useisiin suuriin ryhmiin:

  • allekirjoitus - perustuu laadulliseen liikenneanalyysiin.
  • tilastollinen - perustuu liikenteen kvantitatiiviseen analyysiin.
  • hybridi (yhdistetty) - yhdistää molempien yllä olevien menetelmien edut.

Suojaus DoS-hyökkäyksiä vastaan

Toimenpiteet DoS-hyökkäysten torjumiseksi voidaan jakaa passiivisiin ja aktiivisiin sekä ehkäiseviin ja taantumuksellisiin.

Alla on lyhyt luettelo tärkeimmistä menetelmistä.

  • Ennaltaehkäisy. Sellaisten syiden ehkäisy, jotka saavat tietyt henkilöt järjestämään ja käynnistämään DoS-hyökkäyksiä. (Hyvin usein kyberhyökkäykset ovat seurausta henkilökohtaisista epäkohdista, poliittisista, uskonnollisista ja muista erimielisyyksistä, uhrin provosoivasta käytöksestä jne.)
  • Suodatus ja mustaholkki. Estää hyökkääviltä koneilta tulevan liikenteen. Näiden menetelmien tehokkuus heikkenee, kun pääset lähemmäksi hyökkäyskohdetta, ja lisääntyy, kun tulet lähemmäksi hyökkäävää konetta.
  • Käänteinen DDOS- hyökkäykseen käytetyn liikenteen ohjaaminen hyökkääjälle.
  • Haavoittuvuuksien poistaminen. Ei toimi vastaan tulva-hyökkäykset, joiden "haavoittuvuus" on tiettyjen järjestelmäresurssien rajallisuus.
  • Resurssien lisääminen. Luonnollisesti se ei tarjoa absoluuttista suojaa, mutta se on hyvä tausta muun tyyppiselle suojaukselle DoS-hyökkäyksiä vastaan.
  • Hajaantuminen. Hajautettujen ja redundanttien järjestelmien rakentaminen, jotka eivät lopeta käyttäjien palvelemista, vaikka jotkin niiden elementit eivät olisi käytettävissä DoS-hyökkäyksen vuoksi.
  • Välttely. Hyökkäyksen välittömän kohteen (verkkotunnuksen tai IP-osoitteen) siirtäminen pois muista resursseista, jotka usein myös paljastuvat hyökkäyksen välittömän kohteen kanssa.
  • Aktiivinen vastaus. Vaikutus hyökkäyksen lähteisiin, järjestäjään tai ohjauskeskukseen sekä teknisin että organisatoris-oikeudellisin keinoin.
  • Laitteiden käyttö DoS-hyökkäysten torjumiseen. Esimerkiksi DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® ja muilta valmistajilta.
  • Palvelun ostaminen suojautuaksesi DoS-hyökkäyksiltä. Tämä on olennaista, jos tulva ylittää verkon kanavakapasiteetin.

Katso myös

Huomautuksia

Kirjallisuus

  • Chris Kaspersky Tietokonevirukset sisällä ja ulkona. - Peter. - Pietari. : Peter, 2006. - s. 527. - ISBN 5-469-00982-3
  • Pääosissa Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyysi tyypillisistä tietoturvaloukkauksista verkoissa = Intrusion Signatures and Analysis. - New Riders Publishing (englanniksi) St. Petersburg: Williams Publishing House (venäläinen), 2001. - S. 464. - ISBN 5-8459-0225-8 (venäjä), 0-7357-1063-5 (englanti)
  • Morris, R.T.= 4.2BSD Unix TCP/IP -ohjelmiston heikkous. - Tietojenkäsittelytieteen tekninen raportti nro 117. - AT&T Bell Laboratories, helmikuu 1985.
  • Bellovin, S. M.= Suojausongelmat TCP/IP-protokollapaketissa. - Computer Communication Review, Voi. 19, nro 2. - AT&T Bell Laboratories, huhtikuu 1989.
  • =daemon9/route/infinity "IP-spooling Demystified: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, heinäkuu 1996.
  • =daemon9/route/infinity "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, heinäkuu 1996.

Linkit

  • DoS-hyökkäys Open Directory Project -linkkihakemistossa (

Viime aikoina olemme voineet nähdä, että DDoS-hyökkäykset ovat melko voimakas ase tietotilaa. Tehokkailla DDoS-hyökkäyksillä ei voi vain sulkea yhtä tai useampaa verkkosivustoa, vaan myös häiritä koko verkkosegmentin toimintaa tai sulkea Internet pienessä maassa. Nykyään DDoS-hyökkäyksiä tapahtuu yhä useammin ja niiden teho kasvaa joka kerta.

Mutta mikä on tällaisen hyökkäyksen ydin? Mitä verkossa tapahtuu, kun se suoritetaan, mistä idea tähän tuli ja miksi se on niin tehokas? Löydät vastaukset kaikkiin näihin kysymyksiin tämän päivän artikkelistamme.

DDoS tai hajautettu palvelunesto on hyökkäys tietty tietokone verkossa, joka saa sen ylikuormituksen vuoksi vastaamatta muiden käyttäjien pyyntöihin.

Ymmärtääksemme, mitä ddos-hyökkäys tarkoittaa, kuvitellaanpa tilanne: verkkopalvelin antaa sivuston sivut käyttäjille, oletetaan, että sivun luominen ja sen siirtäminen kokonaan käyttäjän tietokoneelle kestää puoli sekuntia, niin palvelimemme pystyy toimimaan normaalisti taajuudella kaksi pyyntöä sekunnissa. Jos tällaisia ​​pyyntöjä on enemmän, ne asetetaan jonoon ja käsitellään heti, kun verkkopalvelin on vapaa. Kaikki uudet pyynnöt lisätään jonon loppuun. Kuvitellaan nyt, että pyyntöjä on paljon, ja suurin osa niistä lähetetään vain tämän palvelimen ylikuormittamiseksi.

Jos uusien pyyntöjen saapumisnopeus ylittää käsittelynopeuden, pyyntöjonosta tulee ajan myötä niin pitkä, ettei uusia pyyntöjä itse asiassa käsitellä. Tämä on ddos-hyökkäyksen pääperiaate. Aiemmin tällaiset pyynnöt lähetettiin yhdestä IP-osoitteesta ja tätä kutsuttiin palvelunestohyökkäykseksi - Dead-of-Service, itse asiassa tämä on vastaus kysymykseen, mitä dos on. Mutta tällaisia ​​hyökkäyksiä voidaan torjua tehokkaasti lisäämällä lähde-IP-osoite tai useita estoluetteloon. Lisäksi verkon kaistanleveyden rajoitusten vuoksi useat laitteet eivät pysty fyysisesti generoimaan riittävää määrää paketteja ylikuormittamaan vakavaa palvelinta.

Siksi hyökkäyksiä tehdään nyt miljoonista laitteista kerralla. Sana Distribed lisättiin nimeen, kävi ilmi - DDoS. Yksi kerrallaan nämä laitteet eivät tarkoita mitään, eikä niillä välttämättä ole kovin hyvää internetyhteyttä. suuri nopeus, mutta kun ne kaikki alkavat lähettää pyyntöjä samaan aikaan yhdelle palvelimelle, niiden kokonaisnopeus voi olla jopa 10 Tb/s. Ja tämä on jo melko vakava indikaattori.

On vielä selvitettävä, mistä hyökkääjät saavat niin paljon laitteita hyökkäysten suorittamiseen. Tämä tavalliset tietokoneet tai erilaisia ​​IoT-laitteita, joihin hyökkääjät pääsivät käsiksi. Tämä voi olla mikä tahansa, videokamerat ja reitittimet, joissa on laiteohjelmistoa, jota ei ole päivitetty pitkään aikaan, ohjauslaitteet ja tavalliset käyttäjien tietokoneet, jotka jotenkin saivat viruksen eivätkä tiedä sen olemassaolosta tai joilla ei ole kiirettä poistaa sitä.

DDoS-hyökkäystyypit

DDoS-hyökkäyksiä on kahta päätyyppiä, joista osa on tarkoitettu tietyn ohjelman ylikuormitukseen ja hyökkäykset, joiden tarkoituksena on ylikuormittaa itse verkkolinkki kohdetietokoneeseen.

Ohjelman ylikuormitukseen kohdistuvia hyökkäyksiä kutsutaan myös hyökkäyksiksi 7 (OSI-verkkomallissa on seitsemän tasoa ja viimeinen on yksittäisten sovellusten tasot). Hyökkääjä hyökkää ohjelmaan, joka käyttää paljon palvelinresursseja lähettämällä suuren määrän pyyntöjä. Lopulta ohjelmalla ei ole aikaa käsitellä kaikkia yhteyksiä. Tämä on tyyppi, josta keskustelimme edellä.

DoS-hyökkäykset Internet-kanavaan vaativat paljon enemmän resursseja, mutta niitä on paljon vaikeampi käsitellä. Jos vedetään analogia osin kanssa, niin nämä ovat 3-4-tason hyökkäyksiä, nimittäin kanavaa tai tiedonsiirtoprotokollaa vastaan. Tosiasia on, että kaikilla Internet-yhteyksillä on oma nopeusrajoitus, jolla tietoja voidaan siirtää sen kautta. Jos dataa on paljon, niin verkkolaitteisto aivan kuten ohjelma, se asettaa ne jonoon lähetystä varten, ja jos tiedon määrä ja saapumisnopeus ylittävät huomattavasti kanavan nopeuden, se ylikuormitetaan. Tiedonsiirtonopeus voidaan tällaisissa tapauksissa laskea gigatavuina sekunnissa. Esimerkiksi pienen Liberian maan ollessa katkaistuna Internetistä tiedonsiirtonopeus oli jopa 5 Tb/s. Kuitenkin 20-40 Gb/s riittää ylikuormittamaan useimmat verkkoinfrastruktuurit.

DDoS-hyökkäysten alkuperä

Yllä tarkastelimme, mitä DDoS-hyökkäykset ovat, sekä DDoS-hyökkäysmenetelmiä, on aika siirtyä niiden alkuperään. Oletko koskaan miettinyt, miksi nämä hyökkäykset ovat niin tehokkaita? Ne perustuvat sotilaallisiin strategioihin, joita on kehitetty ja testattu vuosikymmenien ajan.

Yleensä monet lähestymistavat tietoturva perustuu menneisyyden sotilaallisiin strategioihin. On olemassa troijalaisia ​​viruksia, jotka muistuttavat muinaista Troijan taistelua, lunnasohjelmaviruksia, jotka varastavat tiedostosi lunnaita varten, ja DDoS-hyökkäyksiä, jotka rajoittavat vihollisen resursseja. Rajoittamalla vastustajasi vaihtoehtoja saat jonkin verran hallintaa hänen myöhempien toimiensa suhteen. Tämä taktiikka toimii erittäin hyvin molemmille sotilasstrategeille. ja kyberrikollisille.

Sotilaallisen strategian tapauksessa voimme ajatella hyvin yksinkertaisesti, millaisia ​​resursseja voidaan rajoittaa vihollisen kykyjen rajoittamiseksi. Veden, ruoan ja rakennusmateriaalien rajoittaminen yksinkertaisesti tuhoaisi vihollisen. Tietokoneiden kanssa kaikki on erilaista, esimerkiksi DNS, web-palvelin, palvelimet Sähköposti. Heillä kaikilla on erilainen infrastruktuuri, mutta jokin yhdistää niitä. Tämä on verkko. Ilman verkkoa et voi käyttää etäpalvelua.

Sotapäälliköt voivat myrkyttää vettä, polttaa satoa ja asettaa tarkastuspisteitä. Kyberrikolliset voivat lähettää palveluun virheellisiä tietoja, saada sen kuluttamaan kaiken muistin tai ylikuormittamaan koko verkkokanavan. Myös puolustusstrategioilla on samat juuret. Palvelimen järjestelmänvalvojan on valvottava saapuvaa liikennettä löytääkseen haitallisen liikenteen ja estettävä se ennen kuin se saavuttaa kohdeverkkokanavan tai -ohjelman.

johtopäätöksiä

DDoS-hyökkäykset yleistyvät ja kasvavat joka kerta. Tämä tarkoittaa, että käyttämiämme palveluita joutuu yhä enemmän hyökkäyksen kohteeksi. Yksi tapa, jolla voimme vähentää hyökkäysten määrää, on varmistaa, että laitteemme eivät ole viruksen saastuttamia ja saavat päivitykset ajoissa. Nyt tiedät mitä DDoS-hyökkäys on ja tiedät suojauksen perusteet, yhdessä seuraavista artikkeleista tarkastelemme viimeistä kohtaa yksityiskohtaisemmin.

Lopuksi tarjoan luennon DDoS-hyökkäyksistä:

DoS- ja DDoS-hyökkäykset ovat aggressiivisia ulkoisia vaikutuksia laskentaresurssit palvelimelle tai työasemalle, jotka suoritetaan viimeksi mainitun vioittamiseksi. Vialla emme tarkoita koneen fyysistä vikaa, vaan sen resurssien saavuttamattomuutta vilpittömässä mielessä käyttäjille – järjestelmän kieltäytymistä huoltamasta heitä ( D Enial o f S ervice, josta lyhenne DoS tulee).

Jos tällainen hyökkäys suoritetaan yhdestä tietokoneesta, se luokitellaan DoS:ksi (DoS), jos useasta - DDoS (DiDoS tai DDoS), mikä tarkoittaa "D jaetaan D Enial o f S palvelu" - hajautettu palvelunesto. Seuraavaksi puhumme siitä, miksi hyökkääjät tekevät tällaisia ​​hyökkäyksiä, mitä ne ovat, mitä haittaa ne aiheuttavat hyökkääjille ja kuinka hyökkääjät voivat suojata resurssejaan.

Kuka voi kärsiä DoS- ja DDoS-hyökkäyksistä?

Yrityspalvelimiin ja verkkosivustoihin hyökätään, paljon harvemmin henkilökohtaisiin tietokoneisiin yksilöitä. Tällaisten toimien tarkoitus on pääsääntöisesti yksi - aiheuttaa taloudellista vahinkoa hyökätylle henkilölle ja pysyä varjoissa. Joissakin tapauksissa DoS- ja DDoS-hyökkäykset ovat yksi palvelinhakkeroinnin vaiheista ja niiden tarkoituksena on varastaa tai tuhota tietoja. Itse asiassa kenelle tahansa kuuluva yritys tai verkkosivusto voi joutua hyökkääjien uhriksi.

Kaavio, joka havainnollistaa DDoS-hyökkäyksen olemusta:

DoS- ja DDoS-hyökkäykset tehdään useimmiten epärehellisten kilpailijoiden aloitteesta. Siten "kaatumalla" samankaltaista tuotetta tarjoavan verkkokaupan verkkosivustosta voit tulla tilapäisesti "monopoliksi" ja ottaa sen asiakkaat itsellesi. Yrityksen palvelimen "laskeminen alas" voi häiritä kilpailevan yrityksen työtä ja siten heikentää sen asemaa markkinoilla.

Laajamittaiset hyökkäykset, jotka voivat aiheuttaa merkittäviä vahinkoja, tehdään yleensä ammattimaisten kyberrikollisten toimesta suurella rahalla. Mutta ei aina. Resursseihisi voivat hyökätä kotona kasvatetut amatöörihakkerit kiinnostuksen vuoksi, irtisanottujen työntekijöiden kostajat ja yksinkertaisesti ne, jotka eivät jaa näkemyksiäsi elämästä.

Joskus isku suoritetaan kiristystarkoituksessa, kun taas hyökkääjä vaatii avoimesti rahaa resurssin omistajalta hyökkäyksen lopettamiseksi.

Valtionyhtiöiden ja tunnettujen organisaatioiden palvelimia vastaan ​​hyökkäävät usein nimettömät korkeasti koulutettujen hakkereiden ryhmät pyrkiäkseen vaikuttamaan viranomaisiin tai aiheuttamaan julkista kohua.

Miten hyökkäykset suoritetaan

DoS- ja DDoS-hyökkäysten toimintaperiaate on lähettää palvelimelle suuri tietovirta, joka maksimaalisesti (hakkerin kykyjen salliessa) kuormittaa prosessorin laskentaresursseja, RAM-muistia, tukkii viestintäkanavia tai täyttää levytilan. . Hyökkäyksen kohteena oleva kone ei pysty käsittelemään saapuvia tietoja ja lakkaa vastaamasta käyttäjien pyyntöihin.

Tältä näyttää normaali palvelimen toiminta Logstalgia-ohjelmassa visualisoituna:

Yksittäisten DOS-hyökkäysten tehokkuus ei ole kovin korkea. Lisäksi henkilökohtaisesta tietokoneesta tuleva hyökkäys altistaa hyökkääjän riskille tulla tunnistetuksi ja kiinni. Hajautetut hyökkäykset (DDoS) ns. zombieverkoista tai bottiverkoista tuottavat paljon enemmän voittoa.

Näin Norse-corp.com-sivusto näyttää bottiverkon toiminnan:

Zombie-verkko (botnet) on joukko tietokoneita, joilla ei ole fyysistä yhteyttä toisiinsa. Niille on yhteistä se, että ne ovat kaikki hyökkääjän hallinnassa. Ohjaus tapahtuu troijalaisen ohjelman kautta, joka ei toistaiseksi välttämättä ilmene millään tavalla. Hyökkäyksen yhteydessä hakkeri ohjeistaa tartunnan saaneita tietokoneita lähettämään pyyntöjä uhrin verkkosivustolle tai palvelimelle. Ja hän, joka ei kestä painetta, lakkaa vastaamasta.

Näin Logstalgia näyttää DDoS-hyökkäyksen:

Ehdottomasti mikä tahansa tietokone voi liittyä bottiverkkoon. Ja jopa älypuhelimen. Riittää, kun saa kiinni troijalaisen, eikä sitä havaita ajoissa. Muuten, suurin botnet koostui lähes 2 miljoonasta koneesta ympäri maailmaa, eikä niiden omistajilla ollut aavistustakaan, mitä he olivat tekemässä.

Hyökkäys- ja puolustusmenetelmät

Ennen hyökkäyksen käynnistämistä hakkeri selvittää, kuinka se suoritetaan mahdollisimman tehokkaasti. Jos hyökkäyksen kohteena olevassa solmussa on useita haavoittuvuuksia, isku voidaan suorittaa eri suuntiin, mikä vaikeuttaa merkittävästi vastatoimia. Siksi on tärkeää, että jokainen palvelimen ylläpitäjä tutkii kaikki sen "pullonkauloja" ja, jos mahdollista, vahvistaa niitä.

Tulva

Tulva, puhuminen yksinkertaisella kielellä, tämä on tieto, joka ei kanna semanttista kuormaa. DoS/DDoS-hyökkäysten yhteydessä tulva on tyhjien, merkityksettömien yhden tai toisen tason pyyntöjen lumivyöry, jotka vastaanottavan solmun on pakko käsitellä.

Floodingin käytön päätarkoitus on tukkia viestintäkanavat kokonaan ja kyllästää kaistanleveys maksimiin.

Tulvien tyypit:

  • MAC-tulva - vaikutus verkkokommunikaattoreihin (estää portit tietovirroilla).
  • ICMP-tulva - uhrin tulviminen palvelun kaikupyynnöillä zombie-verkon avulla tai pyyntöjen lähettäminen hyökkäyksen kohteena olevan solmun "puolesta" siten, että kaikki botnetin jäsenet lähettävät sille samanaikaisesti kaikuvastauksen (Smurffihyökkäys). ICMP-tulvan erikoistapaus on ping-tulva (ping-pyyntöjen lähettäminen palvelimelle).
  • SYN-tulva - useiden SYN-pyyntöjen lähettäminen uhrille, TCP-yhteysjonon ylittäminen luomalla suuri määrä puoliavoimia (odottaa asiakkaan vahvistusta) yhteyksiä.
  • UDP-tulva - toimii Smurf-hyökkäysmallin mukaisesti, jossa ICMP-pakettien sijaan lähetetään UDP-datagrammit.
  • HTTP-tulva - palvelimen tulviminen lukuisilla HTTP-viesteillä. Kehittyneempi vaihtoehto on HTTPS-tulva, jossa lähetetty data on valmiiksi salattu, ja ennen kuin hyökkäävä solmu käsittelee sen, sen on purettava sen salaus.


Kuinka suojautua tulvilta

  • Määritä verkkokytkimet tarkistamaan kelvollisuus ja suodattamaan MAC-osoitteet.
  • Rajoita tai poista käytöstä ICMP-kaikupyyntöjen käsittely.
  • Estä tietystä osoitteesta tai verkkotunnuksesta tulevat paketit, mikä antaa aihetta epäillä sen epäluotettavuutta.
  • Aseta raja puoliavoimien yhteyksien määrälle yhdellä osoitteella, lyhennä niiden pitoaikaa ja pidennä TCP-yhteyksien jonoa.
  • Estä UDP-palveluita vastaanottamasta liikennettä ulkopuolelta tai rajoita UDP-yhteyksien määrää.
  • Käytä CAPTCHAa, viiveitä ja muita bot-suojaustekniikoita.
  • Lisääntyä enimmäismäärä HTTP-yhteydet, määritä pyyntöjen välimuisti nginx:n avulla.
  • Laajenna verkon kanavakapasiteettia.
  • Jos mahdollista, varaa erillinen palvelin käsittelemään kryptografiaa (jos käytössä).
  • Luo varmuuskopiokanava järjestelmänvalvojan pääsyä varten palvelimeen hätätilanteissa.

Laitteistoresurssien ylikuormitus

On olemassa tulvatyyppejä, jotka eivät vaikuta viestintäkanavaan, vaan hyökkäyksen kohteena olevan tietokoneen laitteistoresursseihin, lataavat ne täyteen kapasiteettiinsa ja aiheuttavat jäätymisen tai kaatumisen. Esimerkiksi:

  • Komentosarjan luominen, joka lähettää valtavan määrän merkityksetöntä tekstitietoa foorumille tai verkkosivustolle, jossa käyttäjillä on mahdollisuus jättää kommentteja, kunnes koko levytila ​​on täytetty.
  • Sama asia, vain palvelimen lokit täyttävät aseman.
  • Ladataan sivusto, jossa suoritetaan jonkinlainen syötetyn tiedon muunnos, jatkuvasti prosessoimalla näitä tietoja (lähettämällä ns. "raskaita" paketteja).
  • Prosessorin tai muistin lataaminen suorittamalla koodia CGI-liitännän kautta (CGI-tuen avulla voit ajaa mitä tahansa ulkoista ohjelmaa palvelimella).
  • Turvajärjestelmän laukaiseminen, palvelimen saavuttamattomuus ulkopuolelta jne.


Kuinka suojautua laitteistoresurssien ylikuormitukselta

  • Lisää laitteiston suorituskykyä ja levytilaa. Kun palvelin toimii normaalisti, vähintään 25-30 % resursseista tulisi jäädä vapaiksi.
  • Käytä liikenteen analysointi- ja suodatusjärjestelmiä ennen sen lähettämistä palvelimelle.
  • Rajoita järjestelmäkomponenttien laitteistoresurssien käyttöä (aseta kiintiöt).
  • Tallenna palvelimen lokitiedostot erilliseen asemaan.
  • Jaa resurssit useille palvelimille toisistaan ​​riippumatta. Joten jos yksi osa epäonnistuu, muut pysyvät toiminnassa.

Haavoittuvuudet käyttöjärjestelmissä, ohjelmistoissa, laiteohjelmistoissa

Tällaisten hyökkäysten toteuttamiseen on mittaamattoman enemmän vaihtoehtoja kuin tulvien käyttäminen. Niiden toteutus riippuu hyökkääjän pätevyydestä ja kokemuksesta, hänen kyvystään löytää virheitä ohjelmakoodista ja käyttää niitä hyödykseen ja resurssin omistajan vahingoksi.

Kun hakkeri löytää haavoittuvuuden (virheen ohjelmistossa, jota voidaan käyttää häiritsemään järjestelmän toimintaa), hänen tarvitsee vain luoda ja suorittaa hyväksikäyttö - ohjelma, joka hyödyntää tätä haavoittuvuutta.

Haavoittuvuuksien hyödyntämisen ei aina ole tarkoitus aiheuttaa vain palvelunestoa. Jos hakkeri on onnekas, hän voi hallita resurssia ja käyttää tätä "kohtalon lahjaa" oman harkintansa mukaan. Käytä esimerkiksi jakeluun haittaohjelma, varastaa ja tuhota tietoja jne.

Ohjelmiston haavoittuvuuksien hyväksikäytön torjuntamenetelmät

  • Asenna ajoissa päivitykset, jotka kattavat käyttöjärjestelmien ja sovellusten haavoittuvuudet.
  • Eristä kaikki hallinnollisten tehtävien ratkaisemiseen tarkoitetut palvelut kolmannen osapuolen pääsystä.
  • Käytä keinoja palvelimen käyttöjärjestelmän ja ohjelmien toiminnan jatkuvaan seurantaan (käyttäytymisanalyysi jne.).
  • Kiellä mahdollisesti haavoittuvia ohjelmia (ilmaisia, itse kirjoitettuja, harvoin päivitettyjä) hyväksi havaittujen ja hyvin suojattujen ohjelmien hyväksi.
  • Käytä valmiita keinoja järjestelmien suojaamiseen DoS- ja DDoS-hyökkäyksiltä, ​​joita esiintyy sekä laitteisto- että ohjelmistojärjestelmien muodossa.

Kuinka määrittää, että hakkeri on hyökännyt resurssiin

Jos hyökkääjä onnistuu saavuttamaan tavoitteen, on mahdotonta olla huomaamatta hyökkäystä, mutta joissakin tapauksissa ylläpitäjä ei voi määrittää tarkalleen, milloin se alkoi. Toisin sanoen useita tunteja kuluu joskus hyökkäyksen alkamisesta havaittaviin oireisiin. Piilotetun vaikutuksen aikana (kunnes palvelin kaatuu) kuitenkin esiintyy myös tiettyjä merkkejä. Esimerkiksi:

  • Palvelinsovellusten luonnoton käyttäytyminen tai käyttöjärjestelmä(riippuminen, sammuttaminen virheiden vuoksi jne.).
  • CPU kuormitus, RAM ja kertyminen kasvaa jyrkästi alkutasoon verrattuna.
  • Yhden tai useamman sataman liikenteen määrä kasvaa merkittävästi.
  • Asiakkailta on useita pyyntöjä samoihin resursseihin (sama verkkosivuston avaaminen, saman tiedoston lataaminen).
  • Palvelin-, palomuuri- ja verkkolaitelokien analyysi osoittaa suuren määrän yksitoikkoisia pyyntöjä eri osoitteista, jotka on usein suunnattu tiettyyn porttiin tai palveluun. Varsinkin jos sivusto on suunnattu kapealle yleisölle (esimerkiksi venäjänkieliselle) ja pyyntöjä tulee kaikkialta maailmasta. Liikenteen laadullinen analyysi osoittaa, että pyynnöillä ei ole käytännön merkitystä asiakkaille.

Kaikki edellä mainitut eivät ole 100-prosenttinen merkki hyökkäyksestä, mutta se on aina syy kiinnittää huomiota ongelmaan ja ryhtyä asianmukaisiin suojatoimenpiteisiin.

DoS-hyökkäykset– nämä ovat hyökkäyksiä, jotka johtavat palvelimen halvaantumiseen tai henkilökohtainen tietokone johtuen valtavasta määrästä pyyntöjä, jotka saapuvat hyökkäyksen kohteena olevaan resurssiin suurella nopeudella. Jos tällainen hyökkäys suoritetaan samanaikaisesti suuresta määrästä tietokoneita, puhumme tässä tapauksessa DDoS-hyökkäys.

DoS - Palvelunestohyökkäys- palvelunestohyökkäys. On kaksi tapaa suorittaa tämä hyökkäys. Ensimmäisellä menetelmällä DoS-hyökkäys käyttää hyökkäyksen kohteena olevaan tietokoneeseen asennetun ohjelmiston haavoittuvuutta. Käyttämällä tällaista haavoittuvuutta tietokoneessa voit aiheuttaa tietyn kriittinen virhe, mikä johtaa järjestelmän toimintahäiriöön.

Toisessa menetelmässä hyökkäys suoritetaan lähettämällä samanaikaisesti suuri määrä tietopaketteja hyökkäyksen kohteena olevalle tietokoneelle. Verkossa olevien tietokoneiden välisen tiedonsiirron periaatteiden mukaan jokainen tietokoneelta toiselle lähettämä tietopaketti käsitellään tietyn ajan.

Jos tietokoneelle saapuu samaan aikaan toinen pyyntö, paketti tulee "jonoon" ja vie tietyn määrän fyysisiä järjestelmäresursseja. Siksi, jos tietokoneelle lähetetään suuri määrä pyyntöjä samanaikaisesti, liiallinen kuormitus saa tietokoneen jäätymään tai katkaisemaan yhteyden Internetiin. Juuri tätä DoS-hyökkäyksen järjestäjät tarvitsevat.

DDoS-hyökkäys on eräänlainen DoS-hyökkäys. Hajautettu palvelunesto– "hajautettu palvelunesto" - on järjestetty erittäin suurella määrällä tietokoneita, minkä vuoksi palvelimet, joilla on erittäin suuri Internet-kaistanleveys, voivat joutua hyökkäyksen kohteeksi.

Joskus DDoS-hyökkäyksen vaikutus laukeaa vahingossa. Näin tapahtuu, jos esimerkiksi linkki on sijoitettu suositun Internet-resurssin palvelimella sijaitsevalle sivustolle. Tämä aiheuttaa voimakkaan nousun sivuston liikenteessä ( splashdot-efekti), joka toimii palvelimella samalla tavalla kuin DDoS-hyökkäys.

DDoS-hyökkäykset, toisin kuin yksinkertaiset DoS-hyökkäykset, tehdään useimmiten kaupallisen hyödyn vuoksi, koska DDoS-hyökkäyksen järjestäminen vaatii satoja tuhansia tietokoneita, eikä kaikilla ole varaa näin suuriin materiaali- ja aikakustannuksiin. DDoS-hyökkäysten järjestämiseen hyökkääjät käyttävät erityistä tietokoneverkkoa - botnet.

Bottiverkko on tietyntyyppisen viruksen saastuttamien tietokoneiden verkko. "zombie". Hyökkääjä voi hallita jokaista tällaista tietokonetta etänä ilman tietokoneen omistajan tietämystä. Viruksen tai "hyödylliseksi sisällöksi" taitavasti naamioituvan ohjelman avulla uhrin tietokoneeseen asennetaan haittaohjelmakoodi, jota virustorjunta ei tunnista ja toimii "näkymättömässä tilassa". Oikealla hetkellä bottiverkon omistajan käskystä tällainen ohjelma aktivoituu ja alkaa lähettää pyyntöjä hyökkäyksen kohteena olevalle palvelimelle.

Suorittaessaan DDoS-hyökkäyksiä hyökkääjät käyttävät usein "DDoS-klusteri"— erityinen kolmitasoinen tietokoneverkkoarkkitehtuuri. Tämä rakenne sisältää yhden tai useamman ohjauskonsolit, josta lähetetään suoraan signaali DDoS-hyökkäyksestä.

Signaali välitetään osoitteeseen päätietokoneet– "lähetyslinkki" ohjauskonsolien ja agenttitietokoneiden välillä. Agentit– nämä ovat tietokoneita, jotka hyökkäävät suoraan palvelimeen pyyntöillään. Sekä päätietokoneet että agenttitietokoneet ovat pääsääntöisesti ”zombeja”, ts. niiden omistajat eivät tiedä osallistuvansa DDoS-hyökkäykseen.

DDoS-hyökkäyksiltä suojautumismenetelmät vaihtelevat itse hyökkäyksen tyypin mukaan. Seuraavat DDoS-hyökkäystyypit erotellaan:

UDP-tulva – hyökkäys, jossa lähetetään useita UDP-paketteja "uhri"-osoitteeseen; TCP-tulva - hyökkäys lähettämällä useita TCP-paketteja "uhri"-osoitteeseen; TCP SYN -tulva – hyökkäys, jossa lähetetään suuri määrä pyyntöjä TCP-yhteyksien alustamiseksi; ICMP-tulva – hyökkäys käyttämällä ICMP-ping-pyyntöjä.

Hyökkääjät voivat yhdistää näitä ja muun tyyppisiä DDoS-hyökkäyksiä, mikä tekee tällaisista hyökkäyksistä entistä vaarallisempia ja vaikeammin eliminoitavia.

Valitettavasti, DDoS-hyökkäyksiä vastaan ​​ei ole olemassa yleisiä suojautumismenetelmiä. Mutta joidenkin yleisten sääntöjen noudattaminen auttaa vähentämään DDoS-hyökkäyksen riskiä tai käsittelemään sen seurauksia mahdollisimman tehokkaasti.

Näin ollen DDoS-hyökkäyksen estämiseksi on jatkuvasti seurattava käytettyjen ohjelmistojen haavoittuvuuksien poistamista, lisättävä resursseja ja hajautettava niitä. Varmista, että tietokoneellesi on asennettu vähintään vähimmäispaketti DDoS-suojausohjelmistoa. Nämä voivat olla tavallisia palomuureja (palomuureja) ja erityisiä DDoS-torjuntaohjelmia. DDoS-hyökkäysten havaitsemiseen tulee käyttää erityisiä ohjelmisto- ja laitteistojärjestelmiä.

DDoS-hyökkäyksen tavoitteena voi olla joko kilpailijan projektien tai suosittujen resurssien estäminen tai järjestelmän täydellinen hallinta. Kun mainostat sivustoa, ota huomioon, että DoS-ehdot syntyvät seuraavista syistä:

  • johtuen ohjelmakoodin virheistä, jotka johtavat virheellisten käskyjen suorittamiseen, pääsyyn osoiteavaruuden käyttämättömään osaan jne.;
  • käyttäjätietojen riittämättömästä todentamisesta, mikä voi johtaa pitkään (tai loputtomaan) sykliin, prosessoriresurssien lisääntyneeseen kulutukseen, muistin loppumiseen jne.;
  • tulvan vuoksi - ulkoinen hyökkäys suuren määrän väärin muodostettuja tai merkityksettömiä pyyntöjä palvelimelle. On tulvia TCP-alijärjestelmästä, viestintäkanavista ja sovellustasosta
  • ulkoisen vaikutuksen vuoksi, jonka tarkoituksena on aiheuttaa väärä hälytys suojajärjestelmä ja sen seurauksena resurssi ei ole käytettävissä.

Suojaus

DDoS-hyökkäykset ovat monimutkaisia, koska jos palvelin on poissa riittävän pitkään, sivut putoavat hakemistosta. Uhkien havaitsemiseen käytetään allekirjoitus-, tilasto- ja hybridimenetelmiä. Ensimmäiset perustuvat kvalitatiiviseen analyysiin, toisessa - kvantitatiiviseen, ja kolmannessa yhdistyvät aikaisempien menetelmien edut. Vastatoimet voivat olla passiivisia ja aktiivisia, ennaltaehkäiseviä ja taantumuksellisia. Seuraavia menetelmiä käytetään pääasiassa:

  • poistaa henkilökohtaisia ​​ja sosiaalisia syitä, jotka motivoivat ihmisiä järjestämään DDoS-hyökkäyksiä,
  • mustaholkki ja liikenteen suodatus,
  • koodin haavoittuvuuksien poistaminen aikana Hakukoneoptimointi sivusto,
  • palvelinresurssien lisääminen, redundanttien ja hajautettujen järjestelmien rakentaminen varmuuskopiointipalveluita varten,
  • tekniset, organisatoriset ja oikeudelliset vaikutukset hyökkäyksen järjestäjään, lähteisiin tai valvontakeskukseen,
  • DDoS-hyökkäysten torjumiseen tarvittavien laitteiden asennus (Arbor Peakflow®, DefensePro® jne.),
  • oman palvelimen ostaminen verkkosivustojen isännöintiä varten.


AIHEESEEN LIITTYVÄT ARTIKKELIT