DoS i DDoS napadi: značenje i razlike. Koje su opasnosti DoS i DDoS napada? Razlika između dos i ddos

Na računalni sustav s ciljem njegovog dovođenja do otkaza, odnosno stvaranja uvjeta u kojima legalni (legitimni) korisnici sustava ne mogu pristupiti resursima (poslužiteljima) koje sustav osigurava ili je taj pristup otežan. Kvar "neprijateljskog" sustava također može biti korak prema ovladavanju sustavom (ako u hitnoj situaciji softver proizvede bilo kakvu kritičnu informaciju - na primjer, verziju, dio programskog koda itd.). Ali češće je to mjera ekonomskog pritiska: prekidi usluge koja stvara prihod, računi od pružatelja usluga i mjere za izbjegavanje napada značajno pogađaju "metu" u džepu.

Ako se napad izvodi istovremeno s velikog broja računala, govorimo o DDoS napad(s engleskog Distribuirano uskraćivanje usluge, distribuirani napad uskraćivanja usluge). U nekim slučajevima, stvarni DDoS napad uzrokovan je nenamjernom radnjom, na primjer, postavljanjem na popularan internetski izvor poveznice na web mjesto koje se nalazi na ne baš produktivnom poslužitelju (efekt kose točke). Veliki priljev korisnika dovodi do prekoračenja dopuštenog opterećenja poslužitelja i posljedično uskraćivanja usluge nekima od njih.

Vrste DoS napada

Postoje različiti razlozi zašto se može pojaviti DoS stanje:

  • Greška u programskom kodu, što dovodi do pristupa neiskorištenom fragmentu adresnog prostora, izvršavanja nevažeće instrukcije ili druge neobrađene iznimke kada se poslužiteljski program - poslužiteljski program - sruši. Klasičan primjer je storniranje nulom. ništavan) adresa.
  • Nedovoljna provjera korisničkih podataka, što dovodi do beskonačnog ili dugog ciklusa ili povećane dugotrajne potrošnje procesorskih resursa (do iscrpljenosti procesorskih resursa) ili dodjele velike količine RAM-a (do iscrpljenosti dostupne memorije).
  • Poplava(Engleski) poplava- “flood”, “overflow”) - napad povezan s velikim brojem obično besmislenih ili netočno formatiranih zahtjeva prema računalnom sustavu ili mrežnoj opremi, usmjerenih ili dovodeći do pada sustava zbog iscrpljenosti resursi sustava- procesor, memorija ili komunikacijski kanali.
  • Napad druge vrste- napad koji nastoji izazvati lažni alarm sigurnosnog sustava i time dovesti do nedostupnosti resursa.

Ako se napad (obično poplava) izvede istodobno s velika količina IP adrese - s nekoliko računala raspršenih na mreži - onda se u ovom slučaju poziva distribuiran napad uskraćivanjem usluge ( DDoS).

Iskorištavanje pogrešaka

Iskorištavati je program, dio softverskog koda ili niz softverskih naredbi koje iskorištavaju ranjivosti u softver i koristi se za izvođenje napada na cyber sustav. Od exploita koji dovode do DoS napada, ali su neprikladni, primjerice, za preuzimanje kontrole nad “neprijateljskim” sustavom, najpoznatiji su WinNuke i Ping of death.

Poplava

O plavljenju kao kršenju netikecije, vidi plavljenje.

Poplava nazovite ogroman niz besmislenih zahtjeva sa različita računala kako bi “neprijateljski” sustav (procesor, RAM ili komunikacijski kanal) okupirali radom i time ga privremeno onesposobili. Koncept "DDoS napada" gotovo je ekvivalentan konceptu "poplave", a u svakodnevnom životu oba su često međusobno zamjenjiva ("poplaviti poslužitelj" = "DDoS poslužitelj").

Može se koristiti kao i obično za stvaranje poplave mrežni uslužni programi poput pinga (na primjer, internetska zajednica "Upyachka" poznata je po tome) i posebne programe. Mogućnost DDoS-a često je "ugrađena" u botnet mreže. Ako se utvrdi da web-mjesto s velikim prometom ima ranjivost skriptiranja između web-mjesta ili mogućnost uključivanja slika iz drugih izvora, to se web-mjesto također može koristiti za DDoS napad.

Preplavljivanje komunikacijskog kanala i TCP podsustava

Bilo koje računalo spojeno na vanjski svijet putem TCP/IP protokola, osjetljiv na sljedeće vrste poplava:

  • SYN flood - kod ove vrste flood napada, veliki broj SYN paketa se šalje napadnutom čvoru preko TCP protokola (zahtjevi za otvaranje veze). U tom slučaju, nakon kratkog vremena broj utičnica (softverskih mrežnih utičnica, portova) dostupnih za otvaranje je iscrpljen na napadnutom računalu i poslužitelj prestaje odgovarati.
  • UDP flood - ova vrsta flooda ne napada ciljno računalo, već njegov komunikacijski kanal. Dobavljači razumno pretpostavljaju da bi UDP paketi trebali biti isporučeni prvi, a TCP može čekati. Velik broj UDP paketa različitih veličina začepljuje komunikacijski kanal, a poslužitelj koji radi na TCP protokolu prestaje reagirati.
  • ICMP flood je ista stvar, ali koristi ICMP pakete.

Poplava na razini aplikacije

Mnoge usluge osmišljene su na način da mali zahtjev može uzrokovati velike troškove računalna snaga na poslužitelju. U ovom slučaju nije napadnut komunikacijski kanal ili TCP podsustav, već sama usluga - poplava sličnih "bolesnih" zahtjeva. Na primjer, web poslužitelji su ranjivi na HTTP flooding; ili jednostavan GET / ili složeni zahtjev baze podataka kao što je GET /index.php?search= može se koristiti za onemogućavanje web poslužitelja.<случайная строка> .

Detekcija DoS napada

Postoji mišljenje da posebni alati za otkrivanje DoS napada nisu potrebni, budući da se činjenica DoS napada ne može zanemariti. U mnogim slučajevima to je istina. Međutim, vrlo često su primijećeni uspješni DoS napadi, koje su žrtve primijetile tek nakon 2-3 dana. Dogodilo se da su negativne posljedice napada ( poplava-napadi) rezultirali su nepotrebnim troškovima plaćanja viška internetskog prometa, što je postalo jasno tek pri dobivanju računa od internetskog provajdera. Osim toga, mnoge metode otkrivanja napada su neučinkovite u blizini cilja napada, ali su učinkovite na mrežnim okosnicama. U tom je slučaju preporučljivo tamo instalirati sustave za detekciju, a ne čekati da korisnik koji je napadnut sam to primijeti i potraži pomoć. Osim toga, za učinkovito suprotstavljanje DoS napadima potrebno je poznavati vrstu, prirodu i druge karakteristike DoS napada, a sustavi detekcije omogućuju brzo dobivanje tih informacija.

Metode za otkrivanje DoS napada mogu se podijeliti u nekoliko velikih skupina:

  • potpis - na temelju kvalitativne analize prometa.
  • statistički – na temelju kvantitativne analize prometa.
  • hibridni (kombinirani) - kombinirajući prednosti obje gore navedene metode.

Zaštita od DoS napada

Mjere za suzbijanje DoS napada mogu se podijeliti na pasivne i aktivne te preventivne i reakcionarne.

Dolje je kratak popis glavnih metoda.

  • Prevencija. Prevencija razloga koji pojedine pojedince potiču na organiziranje i pokretanje DoS napada. (Vrlo često, kibernetički napadi su općenito posljedica osobnih zamjerki, političkih, vjerskih i drugih nesuglasica, provocirajućeg ponašanja žrtve i sl.)
  • Filtriranje i crna rupa. Blokiranje prometa koji dolazi od napadačkih strojeva. Učinkovitost ovih metoda opada kako se približavate meti napada, a povećava se kako se približavate stroju koji vas napada.
  • Obrnuti DDOS- preusmjeravanje prometa korištenog za napad na napadača.
  • Uklanjanje ranjivosti. Ne djeluje protiv poplava-napadi kod kojih je “ranjivost” ograničenost određenih resursa sustava.
  • Povećanje resursa. Naravno, ne pruža apsolutnu zaštitu, ali je dobra podloga za korištenje drugih vrsta zaštite od DoS napada.
  • Raspršenost. Izgradnja distribuiranih i redundantnih sustava koji neće prestati opsluživati ​​korisnike, čak i ako neki od njihovih elemenata postanu nedostupni zbog DoS napada.
  • Izbjegavanje. Udaljavanje neposredne mete napada (naziv domene ili IP adrese) od drugih resursa koji su često također izloženi zajedno s neposrednom metom napada.
  • Aktivan odgovor. Utjecaj na izvore, organizatora ili kontrolno središte napada, kako tehnološkim tako i organizacijsko-pravnim sredstvima.
  • Korištenje opreme za odbijanje DoS napada. Na primjer, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i drugih proizvođača.
  • Kupnja usluge zaštite od DoS napada. Ovo je relevantno ako poplava premašuje kapacitet mrežnog kanala.

vidi također

Bilješke

Književnost

  • Chris Kaspersky Računalni virusi unutra i van. - Peter. - St. Petersburg. : Peter, 2006. - P. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza tipičnih kršenja sigurnosti u mrežama = Intrusion Signatures and Analysis. - New Riders Publishing (engleski) St. Petersburg: Williams Publishing House (ruski), 2001. - P. 464. - ISBN 5-8459-0225-8 (ruski), 0-7357-1063-5 (engleski)
  • Morris, R. T.= Slabost u 4.2BSD Unix TCP/IP softveru. - Tehničko izvješće o računarstvu br.117. - AT&T Bell Laboratories, veljača 1985.
  • Bellovin, S. M.= Sigurnosni problemi u paketu TCP/IP protokola. - Revija za računalne komunikacije, sv. 19, br.2. - AT&T Bell Laboratories, travanj 1989.
  • =daemon9/route/infinity "Demistificirano IP-spooling: iskorištavanje ostvarenja povjerenja." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, srpanj 1996.
  • =daemon9/route/infinity "Projekt Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, srpanj 1996.

Linkovi

  • DoS napad u imeniku veza projekta Open Directory (

Nedavno smo mogli vidjeti da su DDoS napadi prilično moćno oružje informacijski prostor. Koristeći DDoS napade velike snage, možete ne samo zatvoriti jednu ili više stranica, već i poremetiti rad cijelog segmenta mreže ili zatvoriti Internet u maloj zemlji. Ovih dana DDoS napadi se događaju sve češće i njihova snaga svaki put raste.

Ali što je bit takvog napada? Što se događa na mreži kada se to izvede, odakle ideja za ovo i zašto je to tako učinkovito? Odgovore na sva ova pitanja pronaći ćete u našem današnjem članku.

DDoS ili distribuirano uskraćivanje usluge je napad na specifično računalo na mreži zbog čega, zbog preopterećenja, ne odgovara na zahtjeve drugih korisnika.

Da bismo razumjeli što znači ddos ​​napad, zamislimo situaciju: web poslužitelj daje stranice web stranice korisnicima, recimo da je potrebno pola sekunde da se izradi stranica i potpuno je prenese na računalo korisnika, tada će naš poslužitelj moći raditi normalno na frekvenciji od dva zahtjeva u sekundi. Ako postoji više takvih zahtjeva, bit će stavljeni u red čekanja i obrađeni čim se web poslužitelj oslobodi. Svi novi zahtjevi dodaju se na kraj reda čekanja. Sada zamislimo da ima puno zahtjeva, a većina ih je poslana samo da preoptereti ovaj poslužitelj.

Ako brzina pristizanja novih zahtjeva premašuje stopu obrade, tada će s vremenom red zahtjeva biti toliko dugačak da se novi zahtjevi zapravo neće obrađivati. Ovo je glavni princip ddos ​​napada. Prije su se takvi zahtjevi slali s jedne IP adrese i to se nazivalo napad uskraćivanjem usluge - Dead-of-Service, zapravo, to je odgovor na pitanje što je dos. Ali protiv takvih napada može se učinkovito boriti jednostavnim dodavanjem izvorne IP adrese ili nekoliko njih na popis za blokiranje; štoviše, zbog ograničenja propusnosti mreže, nekoliko uređaja ne može fizički generirati dovoljan broj paketa da preoptereti ozbiljan poslužitelj.

Stoga se napadi sada izvode s milijuna uređaja odjednom. Nazivu je dodana riječ Distribed, pokazalo se – DDoS. Jedan po jedan, ti uređaji ne znače ništa i možda nemaju baš dobru internetsku vezu. velika brzina, no kada svi istovremeno počnu slati zahtjeve jednom poslužitelju, mogu doseći ukupnu brzinu i do 10 Tb/s. A ovo je već prilično ozbiljan pokazatelj.

Ostaje otkriti odakle napadačima toliko uređaja za izvođenje napada. Ovaj obična računala, ili raznih IoT uređaja kojima su napadači mogli pristupiti. To može biti bilo što, video kamere i usmjerivači s firmverom koji se dugo nije ažurirao, kontrolni uređaji i obična računala korisnika koji su nekako uhvatili virus i ne znaju za njegovo postojanje ili ga se ne žure ukloniti.

Vrste DDoS napada

Postoje dvije glavne vrste DDoS napada, neki usmjereni na preopterećenje određenog programa i napadi usmjereni na preopterećenje same mrežne veze do ciljanog računala.

Napadi na preopterećenje programa nazivaju se i napadi 7 (u OSI mrežnom modelu postoji sedam razina, a zadnja je razina pojedinačnih aplikacija). Napadač napada program koji koristi puno resursa poslužitelja slanjem velikog broja zahtjeva. Na kraju, program nema vremena obraditi sve veze. Ovo je tip o kojem smo gore govorili.

DoS napadi na internetski kanal zahtijevaju mnogo više resursa, ali se s njima mnogo teže nositi. Ako povučemo analogiju s osi, onda su to napadi na razini 3-4, odnosno na kanal ili protokol prijenosa podataka. Činjenica je da svaka internetska veza ima svoje ograničenje brzine pri kojoj se podaci mogu prenositi preko nje. Ako ima puno podataka, onda mrežni hardver baš kao i program, stavit će ih u red čekanja za prijenos, a ako količina podataka i brzina kojom stižu uvelike premašuju brzinu kanala, bit će preopterećen. Brzina prijenosa podataka u takvim slučajevima može se izračunati u gigabajtima u sekundi. Na primjer, u slučaju male države Liberije koja je bila isključena s interneta, brzina prijenosa podataka bila je do 5 TB/s. Međutim, 20-40 Gb/s dovoljno je za preopterećenje većine mrežnih infrastruktura.

Podrijetlo DDoS napada

Gore smo pogledali što su DDoS napadi, kao i metode DDoS napada, vrijeme je da prijeđemo na njihovo podrijetlo. Jeste li se ikada zapitali zašto su ti napadi tako učinkoviti? Temelje se na vojnim strategijama koje su razvijane i testirane tijekom mnogih desetljeća.

Općenito, mnogi od pristupa sigurnost informacija na temelju vojnih strategija iz prošlosti. Postoje trojanski virusi koji podsjećaju na drevnu bitku za Troju, ransomware virusi koji kradu vaše datoteke za otkupninu i DDoS napadi koji ograničavaju neprijateljske resurse. Ograničavanjem protivnikovih opcija dobivate određenu kontrolu nad njegovim daljnjim radnjama. Ova taktika vrlo dobro funkcionira za oba vojna stratega. i za kibernetičke kriminalce.

U slučaju vojne strategije, možemo vrlo jednostavno razmišljati o vrstama resursa koji se mogu ograničiti kako bi se ograničile sposobnosti neprijatelja. Ograničenje vode, hrane i građevinskog materijala jednostavno bi uništilo neprijatelja. S računalima je sve drugačije, postoje razne usluge, na primjer DNS, web poslužitelj, poslužitelji E-mail. Svi imaju različitu infrastrukturu, ali postoji nešto što ih spaja. Ovo je mreža. Bez mreže nećete moći pristupiti udaljenoj usluzi.

Gospodari rata mogu zatrovati vodu, spaliti usjeve i postaviti kontrolne točke. Cyberkriminalci mogu servisu poslati netočne podatke, uzrokovati da on zauzme svu memoriju ili potpuno preopteretiti cijeli mrežni kanal. Obrambene strategije također imaju iste korijene. Administrator poslužitelja morat će nadzirati dolazni promet kako bi pronašao zlonamjerni promet i blokirao ga prije nego što stigne do ciljnog mrežnog kanala ili programa.

zaključke

DDoS napadi svakim su vremenom sve češći i moćniji. To znači da će usluge koje koristimo biti sve više napadnute. Jedan od načina na koji možemo smanjiti broj napada je osiguravanje da naši uređaji nisu zaraženi nikakvim virusima i da primaju ažuriranja na vrijeme. Sada znate što je DDoS napad i znate osnove zaštite, u jednom od sljedećih članaka ćemo se detaljnije osvrnuti na posljednju točku.

Za kraj nudim predavanje o DDoS napadima:

DoS i DDoS napad je agresivan vanjski utjecaj na računalne resurse poslužitelja ili radne stanice, koji se provodi s ciljem da potonju dovede do kvara. Pod neuspjehom ne mislimo na fizički kvar stroja, već na nedostupnost njegovih resursa dobronamjernim korisnicima - odbijanje sustava da ih servisira ( D enijalan o f S ervice, od čega potječe kratica DoS).

Ako je takav napad izveden s jednog računala, klasificira se kao DoS (DoS), ako je s nekoliko - DDoS (DiDoS ili DDoS), što znači "D raspoređeno D enijalan o f S ervice" - distribuirano uskraćivanje usluge. Zatim ćemo govoriti o tome zašto napadači izvode takve napade, što su oni, kakvu štetu uzrokuju napadnutima i kako potonji mogu zaštititi svoje resurse.

Tko može patiti od DoS i DDoS napada?

Napadaju se korporativni poslužitelji poduzeća i web stranice, mnogo rjeđe - osobna računala pojedinaca. Svrha takvih radnji, u pravilu, je jedna - nanijeti ekonomsku štetu napadnutoj osobi i ostati u sjeni. U nekim slučajevima, DoS i DDoS napadi su jedna od faza hakiranja poslužitelja i usmjereni su na krađu ili uništavanje informacija. Zapravo, tvrtka ili web stranica koja pripada bilo kome može postati žrtva napadača.

Dijagram koji ilustrira suštinu DDoS napada:

DoS i DDoS napadi najčešće se izvode na poticaj nepoštenih konkurenata. Dakle, "rušenjem" web stranice internetske trgovine koja nudi sličan proizvod možete privremeno postati "monopolist" i preuzeti kupce za sebe. “Spuštanjem” korporativnog servera možete poremetiti rad konkurentske tvrtke i time smanjiti njenu poziciju na tržištu.

Napade velikih razmjera koji mogu prouzročiti značajnu štetu obično izvode profesionalni kibernetički kriminalci za velik novac. Ali ne uvijek. Vaše resurse mogu napasti domaći hakeri amateri iz interesa, osvetnici iz redova otpuštenih zaposlenika i jednostavno oni koji ne dijele vaše poglede na život.

Ponekad se utjecaj provodi u svrhu iznude, dok napadač otvoreno traži novac od vlasnika resursa da zaustavi napad.

Poslužitelje državnih tvrtki i poznatih organizacija često napadaju anonimne skupine visokokvalificiranih hakera kako bi utjecali na dužnosnike ili izazvali negodovanje javnosti.

Kako se izvode napadi

Princip rada DoS i DDoS napada je slanje velikog protoka informacija na poslužitelj, koji maksimalno (koliko hakerske mogućnosti dopuštaju) opterećuje računalne resurse procesora, RAM-a, začepljuje komunikacijske kanale ili puni prostor na disku. . Napadnuti stroj ne može obraditi dolazne podatke i prestaje odgovarati na zahtjeve korisnika.

Ovako izgleda normalan rad poslužitelja vizualiziran u programu Logstalgia:

Učinkovitost pojedinačnih DOS napada nije jako visoka. Osim toga, napad s osobnog računala izlaže napadača riziku da bude identificiran i uhvaćen. Distribuirani napadi (DDoS) koji se izvode iz tzv. zombi mreža ili botneta donose mnogo veću zaradu.

Ovako web stranica Norse-corp.com prikazuje aktivnost botneta:

Zombie mreža (botnet) je skupina računala koja nemaju međusobnu fizičku vezu. Zajedničko im je da su svi pod kontrolom napadača. Kontrola se provodi kroz trojanski konj, koji se za sada možda neće manifestirati ni na koji način. Prilikom izvođenja napada haker daje upute zaraženim računalima da pošalju zahtjeve žrtvinoj web stranici ili poslužitelju. A on, ne izdržavši pritisak, prestaje se javljati.

Ovako Logstalgia prikazuje DDoS napad:

Apsolutno svako računalo može se pridružiti botnetu. Pa čak i pametni telefon. Dovoljno je uhvatiti trojanca i ne biti otkriven na vrijeme. Inače, najveći botnet sastojao se od gotovo 2 milijuna strojeva diljem svijeta, a njihovi vlasnici nisu imali pojma što rade.

Metode napada i obrane

Prije pokretanja napada, haker smišlja kako ga izvesti s maksimalnim učinkom. Ako napadnuti čvor ima nekoliko ranjivosti, utjecaj se može izvesti u različitim smjerovima, što će značajno zakomplicirati protudjelovanje. Stoga je važno da svaki administrator poslužitelja prouči sva njegova „uska grla“ i, ako je moguće, ojača ih.

Poplava

Poplava je, pojednostavljeno rečeno, informacija koja nema nikakvo značenje. U kontekstu DoS/DDoS napada, poplava je lavina praznih, besmislenih zahtjeva ove ili one razine, koje je prijemni čvor prisiljen obraditi.

Glavna svrha korištenja floodinga je potpuno začepiti komunikacijske kanale i maksimalno zasititi propusnost.

Vrste poplava:

  • MAC flood - utjecaj na mrežne komunikatore (blokiranje portova s ​​protokom podataka).
  • ICMP flooding - zatrpavanje žrtve servisnim echo zahtjevima pomoću zombi mreže ili slanje zahtjeva "u ime" napadnutog čvora tako da mu svi članovi botneta istovremeno pošalju echo odgovor (Štrumpf napad). Poseban slučaj ICMP flooda je ping flood (slanje ping zahtjeva poslužitelju).
  • SYN flood - slanje brojnih SYN zahtjeva žrtvi, prepunjavanje reda čekanja TCP veze stvaranjem velikog broja poluotvorenih (koje čekaju potvrdu klijenta) veza.
  • UDP flood - radi prema shemi Smurf napada, gdje se šalju UDP datagrami umjesto ICMP paketa.
  • HTTP flood - preplavljivanje poslužitelja brojnim HTTP porukama. Sofisticiranija opcija je HTTPS flooding, gdje su poslani podaci unaprijed kriptirani, a prije nego što ih napadnuti čvor obradi, mora ih dekriptirati.


Kako se zaštititi od poplava

  • Konfigurirajte mrežne sklopke za provjeru valjanosti i filtriranje MAC adresa.
  • Ograničite ili onemogućite obradu ICMP echo zahtjeva.
  • Blokirajte pakete koji dolaze s određene adrese ili domene za koje se sumnja da su nepouzdani.
  • Postavite ograničenje broja poluotvorenih veza s jednom adresom, smanjite njihovo vrijeme zadržavanja i produljite red čekanja TCP veza.
  • Onemogućite UDP uslugama primanje prometa izvana ili ograničite broj UDP veza.
  • Koristite CAPTCHA, odgode i druge tehnike zaštite od botova.
  • Povećati maksimalan iznos HTTP veze, konfigurirajte predmemoriju zahtjeva koristeći nginx.
  • Proširite kapacitet mrežnog kanala.
  • Ako je moguće, dodijelite poseban poslužitelj za rukovanje kriptografijom (ako se koristi).
  • Stvorite pričuvni kanal za administrativni pristup poslužitelju u hitnim situacijama.

Preopterećenje hardvera

Postoje vrste floodinga koje ne utječu na komunikacijski kanal, već na hardverske resurse napadnutog računala, opterećujući ih punim kapacitetom i uzrokujući zamrzavanje ili pad. Na primjer:

  • Izrada skripte koja će objaviti ogromnu količinu besmislenih tekstualnih informacija na forumu ili web stranici gdje korisnici imaju priliku ostavljati komentare dok se ne popuni cijeli prostor na disku.
  • Ista stvar, samo će zapisnici poslužitelja ispuniti pogon.
  • Učitavanje stranice gdje se vrši neka vrsta transformacije unesenih podataka, kontinuirana obrada tih podataka (slanje tzv. “teških” paketa).
  • Opterećenje procesora ili memorije izvršavanjem koda kroz CGI sučelje (CGI podrška omogućuje pokretanje bilo kojeg vanjskog programa na poslužitelju).
  • Aktiviranje sigurnosnog sustava, onemogućavanje pristupa poslužitelju izvana itd.


Kako se zaštititi od preopterećenja hardverskih resursa

  • Povećajte performanse hardvera i prostora na disku. Kada poslužitelj radi normalno, najmanje 25-30% resursa bi trebalo ostati slobodno.
  • Koristite sustave za analizu i filtriranje prometa prije nego što ga pošaljete na poslužitelj.
  • Ograničite korištenje hardverskih resursa po komponentama sustava (postavite kvote).
  • Pohranite zapisničke datoteke poslužitelja na poseban pogon.
  • Distribuirajte resurse na nekoliko poslužitelja neovisno jedan o drugom. Tako da ako jedan dio zakaže, ostali ostaju u funkciji.

Ranjivosti u operativnim sustavima, softveru, firmware-u uređaja

Postoji nemjerljivo više opcija za izvođenje ove vrste napada od korištenja floodinga. Njihova implementacija ovisi o kvalifikacijama i iskustvu napadača, njegovoj sposobnosti da pronađe pogreške u programskom kodu i iskoristi ih u svoju korist i na štetu vlasnika resursa.

Nakon što haker otkrije ranjivost (grešku u softveru koja se može iskoristiti za ometanje rada sustava), sve što treba učiniti je kreirati i pokrenuti exploit - program koji iskorištava tu ranjivost.

Iskorištavanje ranjivosti nije uvijek namijenjeno samo za uzrok uskraćivanja usluge. Ako haker bude imao sreće, moći će preuzeti kontrolu nad resursom i koristiti ovaj "dar sudbine" po vlastitom nahođenju. Na primjer, koristiti za distribuciju malware, ukrasti i uništiti informacije itd.

Metode za suzbijanje iskorištavanja softverskih ranjivosti

  • Pravovremeno instalirajte ažuriranja koja pokrivaju ranjivosti operativnih sustava i aplikacija.
  • Izolirajte sve servise namijenjene rješavanju administrativnih zadataka od pristupa trećih strana.
  • Koristiti sredstva kontinuiranog praćenja rada poslužiteljskog OS-a i programa (analiza ponašanja i sl.).
  • Odbacite potencijalno ranjive programe (besplatne, koje ste sami napisali, rijetko ažurirani) u korist provjerenih i dobro zaštićenih.
  • Koristite gotova sredstva za zaštitu sustava od DoS i DDoS napada, koja postoje iu obliku hardverskih i softverskih sustava.

Kako utvrditi da je resurs napadnut od strane hakera

Ako napadač uspije postići cilj, nemoguće je ne primijetiti napad, ali u nekim slučajevima administrator ne može točno odrediti kada je počeo. Odnosno, ponekad prođe nekoliko sati od početka napada do vidljivih simptoma. Međutim, tijekom skrivenog utjecaja (dok server ne padne) također su prisutni određeni znakovi. Na primjer:

  • Neprirodno ponašanje poslužiteljskih aplikacija odn operacijski sustav(visi, gasi se s pogreškama itd.).
  • CPU opterećenje, radna memorija a akumulacija se naglo povećava u usporedbi s početnom razinom.
  • Opseg prometa na jednoj ili više luka značajno se povećava.
  • Postoji više zahtjeva klijenata prema istim resursima (otvaranje iste web stranice, preuzimanje iste datoteke).
  • Analiza zapisa servera, vatrozida i mrežnih uređaja pokazuje velik broj monotonih zahtjeva s raznih adresa, često usmjerenih na određeni port ili uslugu. Pogotovo ako je stranica namijenjena uskoj publici (na primjer, ruskom govornom području), a zahtjevi dolaze iz cijelog svijeta. Kvalitativna analiza prometa pokazuje da zahtjevi nemaju nikakvo praktično značenje za klijente.

Sve navedeno nije 100% znak napada, ali je uvijek razlog da se obrati pažnja na problem i poduzmu odgovarajuće mjere zaštite.

DoS napadi– to su napadi koji dovode do paralize poslužitelja ili osobno računalo zbog ogromnog broja zahtjeva koji velikom brzinom stižu do napadnutog resursa. Ako se takav napad izvodi istovremeno s velikog broja računala, tada u ovom slučaju govorimo o DDoS napad.

DoS - Uskraćivanje usluge– napad uskraćivanjem usluge. Postoje dva načina za izvođenje ovog napada. S prvom metodom DoS napad koristi ranjivost u softveru instaliranom na napadnutom računalu. Koristeći takvu ranjivost, možete izazvati određenu kritičnu pogrešku na vašem računalu, što će dovesti do poremećaja sustava.

U drugoj metodi napad se izvodi simultanim slanjem velikog broja paketa informacija na napadnuto računalo. Prema načelima prijenosa podataka između računala u mreži, svaki paket informacija koji jedno računalo šalje drugome obrađuje se određeno vrijeme.

Ako u isto vrijeme drugi zahtjev stigne na računalo, paket postaje "u redu čekanja" i zauzima određenu količinu fizičkih resursa sustava. Stoga, ako se na računalo šalje veliki broj zahtjeva u isto vrijeme, prekomjerno opterećenje će uzrokovati zamrzavanje računala ili prekid veze s internetom. Upravo je to potrebno organizatorima DoS napada.

DDoS napad je vrsta DoS napada. Distribuirano uskraćivanje usluge– “distribuirano uskraćivanje usluge” – organizirano je korištenjem vrlo velikog broja računala, zbog čega poslužitelji čak i s vrlo visokom internetskom propusnošću mogu biti izloženi napadu.

Ponekad se učinak DDoS napada pokreće slučajno. To se događa ako je, na primjer, poveznica postavljena na web mjesto koje se nalazi na poslužitelju u popularnom internetskom izvoru. To uzrokuje snažan porast prometa na stranici ( splashdot efekt), koji djeluje na poslužitelj na sličan način kao DDoS napad.

DDoS napadi se, za razliku od jednostavnih DoS napada, najčešće izvode radi komercijalne dobiti, jer organizacija DDoS napada zahtijeva stotine tisuća računala, a ne može si svatko priuštiti tako velike materijalne i vremenske troškove. Za organiziranje DDoS napada napadači koriste posebnu mrežu računala - botnet.

Botnet je mreža računala zaraženih posebnom vrstom virusa. "zombi". Svakim takvim računalom napadač može upravljati na daljinu, bez znanja vlasnika računala. Korištenjem virusa ili programa koji se vješto maskira kao "korisni sadržaj", zloćudni softverski kod se instalira na žrtvino računalo koje antivirus ne prepoznaje i radi u "nevidljivom načinu". U pravom trenutku, na naredbu vlasnika botneta, takav se program aktivira i počinje slati zahtjeve napadnutom poslužitelju.

Pri izvođenju DDoS napada napadači često koriste "DDoS klaster"— posebna arhitektura računalne mreže na tri razine. Ova struktura sadrži jedan ili više upravljačke konzole, s kojeg se izravno šalje signal o DDoS napadu.

Signal se prenosi na glavna računala– “prijenosna veza” između upravljačkih konzola i agentskih računala. Agenti– to su računala koja svojim zahtjevima izravno napadaju poslužitelj. I glavna računala i agentska računala su u pravilu "zombiji", tj. njihovi vlasnici ne znaju da sudjeluju u DDoS napadu.

Metode zaštite od DDoS napada razlikuju se ovisno o vrsti napada. Razlikuju se sljedeće vrste DDoS napada:

UDP flood – napad slanjem velikog broja UDP paketa na adresu “žrtve”; TCP flood - napad slanjem velikog broja TCP paketa na adresu “žrtve”; TCP SYN flood – napad slanjem velikog broja zahtjeva za inicijalizaciju TCP veze; ICMP flood – napad pomoću ICMP ping zahtjeva.

Napadači mogu kombinirati ove i druge vrste DDoS napada, što takve napade čini još opasnijim i teže eliminiranim.

Nažalost, Ne postoje univerzalne metode zaštite od DDoS napada. Ali pridržavanje nekih općih pravila pomoći će smanjiti rizik od DDoS napada ili se što učinkovitije nositi s njegovim posljedicama.

Dakle, kako bi se spriječio DDoS napad, potrebno je stalno pratiti uklanjanje ranjivosti u softveru koji se koristi, povećati resurse i raspršiti ih. Provjerite imate li barem minimalni paket softvera za zaštitu od DDoS-a instaliran na vašem računalu. To mogu biti obični vatrozidi (firewall) i posebni anti-DDoS programi. Za otkrivanje DDoS napada potrebno je koristiti posebne softverske i hardverske sustave.

Cilj DDoS napada može biti ili blokiranje konkurentskog projekta ili popularnog resursa ili postizanje potpune kontrole nad sustavom. Kada promovirate web mjesto, uzmite u obzir da DoS uvjeti nastaju iz sljedećih razloga:

  • zbog grešaka u programskom kodu koje dovode do izvršavanja neispravnih instrukcija, pristupa neiskorištenom dijelu adresnog prostora i sl.;
  • zbog nedovoljne provjere korisničkih podataka, što može dovesti do dugog (ili beskrajnog) ciklusa, povećane potrošnje resursa procesora, iscrpljenosti memorije itd.;
  • zbog floodinga - vanjskog napada kroz veliki broj netočno formiranih ili besmislenih zahtjeva prema poslužitelju. Tu su poplave TCP podsustava, komunikacijskih kanala i aplikativne razine
  • zbog vanjskog utjecaja, čija je svrha izazvati lažna uzbuna zaštitni sustav i, kao rezultat toga, dovesti do nedostupnosti resursa.

Zaštita

DDoS napadi su komplicirani jer ako poslužitelj ne radi dovoljno dugo, stranice ispadaju iz indeksa. Za otkrivanje prijetnji koriste se signaturne, statističke i hibridne metode. Prvi se temelje na kvalitativnoj analizi, drugi - na kvantitativnoj, a treći kombiniraju prednosti prethodnih metoda. Protumjere mogu biti pasivne i aktivne, preventivne i reakcionarne. Uglavnom se koriste sljedeće metode:

  • otklanjanje osobnih i društvenih razloga koji motiviraju ljude da organiziraju DDoS napade,
  • blackholing i filtriranje prometa,
  • uklanjanje ranjivosti koda tijekom optimizacija pretraživača mjesto,
  • povećanje resursa poslužitelja, izgradnja redundantnih i distribuiranih sustava za sigurnosne korisničke usluge,
  • tehnički i organizacijsko-pravni utjecaj na organizatora, izvore ili kontrolni centar napada,
  • ugradnja opreme za odbijanje DDoS napada (Arbor Peakflow®, DefensePro® i sl.),
  • kupnja namjenskog poslužitelja za hosting web stranice.


POVEZANI ČLANCI