Su un sistema informatico con l'obiettivo di portarlo al fallimento, cioè creare condizioni in cui gli utenti legali (legittimi) del sistema non possano accedere alle risorse (server) fornite dal sistema, o tale accesso sia difficile. Il fallimento di un sistema "nemico" può anche essere un passo verso il controllo del sistema (se in una situazione di emergenza il software produce informazioni critiche, ad esempio una versione, parte del codice del programma, ecc.). Ma più spesso si tratta di una misura della pressione economica: i tempi di inattività di un servizio che genera entrate, le fatture del fornitore e le misure per evitare un attacco colpiscono significativamente il “bersaglio” in tasca.

Se un attacco viene effettuato contemporaneamente da un gran numero di computer, si parla di Attacco DDoS(dall'inglese Distributed Denial of Service, attacco di negazione del servizio distribuito). In alcuni casi, un vero e proprio attacco DDoS è causato da un'azione involontaria, ad esempio inserendo su una popolare risorsa Internet un collegamento a un sito ospitato su un server poco produttivo (effetto slashdot). Un grande afflusso di utenti porta al superamento del carico consentito sul server e, di conseguenza, alla negazione del servizio per alcuni di essi.

Tipi di attacchi DoS

Esistono vari motivi per cui può verificarsi una condizione DoS:

• Errore nel codice del programma, che porta all'accesso a un frammento inutilizzato dello spazio degli indirizzi, all'esecuzione di un'istruzione non valida o ad altre eccezioni non gestite quando il programma server, il programma server, si blocca. Un classico esempio è l’inversione per zero. nullo) indirizzo.
• Verifica insufficiente dei dati utente, portando a un ciclo infinito o lungo o ad un aumento del consumo a lungo termine delle risorse del processore (fino all'esaurimento delle risorse del processore) o all'allocazione di una grande quantità di RAM (fino all'esaurimento della memoria disponibile).
• Alluvione(Inglese) alluvione- "flood", "overflow") - un attacco associato a un gran numero di richieste solitamente prive di significato o formattate in modo errato a un sistema informatico o a un'apparecchiatura di rete, mirato a o che porta a un guasto del sistema per esaurimento risorse di sistema- processore, memoria o canali di comunicazione.
• Attacco del secondo tipo- un attacco che mira a provocare un falso allarme del sistema di sicurezza e portare così all'indisponibilità di una risorsa.

Se un attacco (di solito un'alluvione) viene effettuato contemporaneamente a grande quantità Indirizzi IP - di diversi computer dispersi nella rete - quindi in questo caso si chiama distribuito attacco di negazione del servizio ( DDoS).

Sfruttamento degli errori

Impresaè un programma, un pezzo di codice software o una sequenza di comandi software che sfrutta le vulnerabilità in Software e utilizzato per sferrare un attacco a un sistema informatico. Tra gli exploit che portano ad un attacco DoS ma che non sono adatti, ad esempio, per prendere il controllo di un sistema “nemico”, i più noti sono WinNuke e Ping of Death.

Alluvione

Sull'inondazione come violazione della netiquette, vedi inondazione.

Alluvione chiamare un enorme flusso di richieste senza senso con computer diversi al fine di occupare di lavoro il sistema “nemico” (processore, RAM o canale di comunicazione) e quindi disabilitarlo temporaneamente. Il concetto di “attacco DDoS” equivale quasi al concetto di “flood”, e nella vita di tutti i giorni entrambi sono spesso intercambiabili (“flood the server” = “DDoS the server”).

Può essere utilizzato come al solito per creare inondazioni utilità di rete come il ping (ad esempio, la comunità Internet "Upyachka" è nota per questo) e programmi speciali. La possibilità di attacchi DDoS è spesso “cablata” nelle botnet. Se si scopre che un sito con traffico elevato presenta una vulnerabilità di cross-site scripting o la capacità di includere immagini da altre risorse, questo sito può essere utilizzato anche per un attacco DDoS.

Inondazione del canale di comunicazione e del sottosistema TCP

Qualsiasi computer collegato a mondo esterno tramite protocollo TCP/IP, suscettibile alle seguenti tipologie di alluvioni:

• SYN Flood - Con questo tipo di attacco Flood un gran numero di pacchetti SYN vengono inviati tramite il protocollo TCP al nodo attaccato (richieste di apertura di una connessione). In questo caso, dopo poco tempo sul computer attaccato il numero di socket disponibili per l'apertura (prese di rete software, porte) viene esaurito e il server smette di rispondere.
• UDP Flood: questo tipo di Flood non attacca il computer di destinazione, ma il suo canale di comunicazione. I provider presumono ragionevolmente che i pacchetti UDP debbano essere consegnati per primi e che TCP possa attendere. Un gran numero di pacchetti UDP di dimensioni diverse intasano il canale di comunicazione e il server in esecuzione sul protocollo TCP smette di rispondere.
• Il Flood ICMP è la stessa cosa, ma utilizza i pacchetti ICMP.

Diluvio a livello di applicazione

Molti servizi sono progettati in modo tale che una piccola richiesta possa causare una grande spesa potenza di calcolo sul server. In questo caso, non è il canale di comunicazione o il sottosistema TCP ad essere attaccato, ma il servizio stesso: un'ondata di richieste "malate" simili. Ad esempio, i server web sono vulnerabili al crowding HTTP; per disabilitare un server web è possibile utilizzare un semplice GET / o una richiesta di database complessa come GET /index.php?search=.<случайная строка> .

Rilevamento di attacchi DoS

Si ritiene che non siano necessari strumenti speciali per rilevare gli attacchi DoS, poiché il fatto di un attacco DoS non può essere ignorato. In molti casi questo è vero. Tuttavia, molto spesso sono stati osservati attacchi DoS riusciti, che le vittime hanno notato solo dopo 2-3 giorni. È successo che le conseguenze negative dell'attacco ( alluvione-attacchi) hanno comportato costi inutili per il pagamento del traffico Internet in eccesso, cosa che è diventata evidente solo dopo aver ricevuto la fattura dal provider Internet. Inoltre, molti metodi di rilevamento degli attacchi sono inefficaci vicino al bersaglio dell’attacco, ma sono efficaci sulle dorsali di rete. In questo caso è meglio installare lì dei sistemi di rilevamento, piuttosto che aspettare che l'utente attaccato se ne accorga e chieda aiuto. Inoltre, per contrastare efficacemente gli attacchi DoS, è necessario conoscere il tipo, la natura e le altre caratteristiche degli attacchi DoS, e i sistemi di rilevamento consentono di ottenere rapidamente queste informazioni.

I metodi per rilevare gli attacchi DoS possono essere suddivisi in diversi grandi gruppi:

• firma - basata sull'analisi qualitativa del traffico.
• statistico - basato sull'analisi quantitativa del traffico.
• ibrido (combinato) - combinando i vantaggi di entrambi i metodi di cui sopra.

Protezione contro gli attacchi DoS

Le misure per contrastare gli attacchi DoS possono essere suddivise in passive e attive, nonché preventive e reazionarie.

Di seguito un breve elenco dei principali metodi.

• Prevenzione. Prevenzione delle ragioni che spingono determinati individui a organizzare e lanciare attacchi DoS. (Molto spesso, gli attacchi informatici sono generalmente il risultato di rimostranze personali, disaccordi politici, religiosi e di altro tipo, comportamenti provocatori della vittima, ecc.)
• Filtrazione e blackholing. Blocco del traffico proveniente da macchine attaccanti. L'efficacia di questi metodi diminuisce man mano che ci si avvicina al bersaglio dell'attacco e aumenta man mano che ci si avvicina alla macchina attaccante.
• DDOS inverso- reindirizzamento del traffico utilizzato per un attacco all'aggressore.
• Eliminazione delle vulnerabilità. Non funziona contro alluvione-attacchi per i quali la “vulnerabilità” è la finitezza di alcune risorse di sistema.
• Aumentare le risorse. Naturalmente non offre una protezione assoluta, ma costituisce una buona base per l'utilizzo di altri tipi di protezione contro gli attacchi DoS.
• Dispersione. Costruire sistemi distribuiti e ridondanti che non smettano di servire gli utenti, anche se alcuni dei loro elementi diventano non disponibili a causa di un attacco DoS.
• Evasione. Allontanare l'obiettivo immediato dell'attacco (nome di dominio o indirizzo IP) da altre risorse che spesso vengono esposte insieme all'obiettivo immediato dell'attacco.
• Risposta attiva. Impatto sulle fonti, sull'organizzatore o sul centro di controllo dell'attacco, sia mezzi tecnologici che organizzativi-legali.
• Utilizzo di apparecchiature per respingere gli attacchi DoS. Ad esempio, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® e di altri produttori.
• Acquisto di un servizio per proteggersi dagli attacchi DoS. Ciò è rilevante se l'allagamento supera la capacità del canale della rete.

Guarda anche

Appunti

Letteratura

• Chris Kaspersky Virus informatici dentro e fuori. - Peter. - San Pietroburgo. : Pietro, 2006. - P. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analisi delle tipiche violazioni della sicurezza nelle reti = Firme e analisi delle intrusioni. - New Riders Publishing (inglese) San Pietroburgo: Williams Publishing House (russo), 2001. - P. 464. - ISBN 5-8459-0225-8 (russo), 0-7357-1063-5 (inglese)
• Morris, R.T.= Una debolezza nel software TCP/IP Unix 4.2BSD. - Rapporto tecnico sull'informatica n.117. - AT&T Bell Laboratories, febbraio 1985.
• Bellovin, S.M.= Problemi di sicurezza nella suite del protocollo TCP/IP. - Revisione della comunicazione informatica, vol. 19, n.2. - AT&T Bell Laboratories, aprile 1989.
• =daemon9/route/infinity "Spooling IP demistificato: sfruttamento della realizzazione della fiducia." - Phrack Magazine, Vol.7, Numero 48. - Guild Production, luglio 1996.
• =daemon9/route/infinity "Progetto Nettuno". - Phrack Magazine, Vol.7, Numero 48. - Guild Production, luglio 1996.

Collegamenti

• Attacco DOS nella directory dei collegamenti del progetto Open Directory (

Recentemente abbiamo potuto constatare che gli attacchi DDoS sono un'arma piuttosto potente spazio informativo. Utilizzando attacchi DDoS ad alta potenza, non solo puoi chiudere uno o più siti, ma anche interrompere il funzionamento di un intero segmento di rete o chiudere Internet in un piccolo paese. Al giorno d’oggi gli attacchi DDoS si verificano sempre più spesso e la loro potenza aumenta ogni volta.

Ma qual è l’essenza di un simile attacco? Cosa succede sulla rete quando viene eseguito, da dove è nata l'idea di farlo e perché è così efficace? Troverai le risposte a tutte queste domande nel nostro articolo di oggi.

DDoS o Distributed Denial of Service è un attacco computer specifico su una rete che gli impedisce, per sovraccarico, di non rispondere alle richieste di altri utenti.

Per capire cosa significa un attacco DDOS immaginiamo una situazione: un server web fornisce le pagine del sito agli utenti, diciamo che ci vuole mezzo secondo per creare una pagina e trasferirla completamente sul computer dell'utente, poi il nostro server sarà in grado per funzionare normalmente ad una frequenza di due richieste al secondo. Se ci sono più richieste di questo tipo, queste verranno accodate ed elaborate non appena il server web sarà libero. Tutte le nuove richieste vengono aggiunte alla fine della coda. Ora immaginiamo che ci siano molte richieste e la maggior parte di esse venga inviata solo per sovraccaricare questo server.

Se la velocità con cui arrivano le nuove richieste supera la velocità di elaborazione, nel tempo la coda delle richieste sarà così lunga che nessuna nuova richiesta verrà effettivamente elaborata. Questo è il principio fondamentale di un attacco DDOS. In precedenza, tali richieste venivano inviate da un indirizzo IP e questo veniva chiamato attacco Denial of Service - Dead-of-Service, infatti, questa è la risposta alla domanda su cosa sia fare. Ma tali attacchi possono essere combattuti efficacemente semplicemente aggiungendo uno o più indirizzi IP di origine alla lista di blocco; inoltre, a causa delle limitazioni della larghezza di banda della rete, diversi dispositivi non possono generare fisicamente un numero di pacchetti sufficiente a sovraccaricare un server serio.

Pertanto, gli attacchi vengono ora sferrati da milioni di dispositivi contemporaneamente. La parola Distribed è stata aggiunta al nome, si è scoperto: DDoS. Uno alla volta, questi dispositivi non significano nulla e potrebbero non avere una connessione Internet molto buona. ad alta velocità, ma quando iniziano tutti a inviare richieste a un server contemporaneamente, possono raggiungere una velocità totale fino a 10 Tb/s. E questo è già un indicatore abbastanza serio.

Resta da capire dove gli aggressori ottengono così tanti dispositivi per sferrare i loro attacchi. Questo computer normali o vari dispositivi IoT a cui gli aggressori sono riusciti ad accedere. Potrebbe essere qualsiasi cosa, videocamere e router con firmware non aggiornato da molto tempo, dispositivi di controllo e normali computer di utenti che in qualche modo hanno catturato il virus e non ne conoscono l'esistenza o non hanno fretta di rimuoverlo.

Tipi di attacchi DDoS

Esistono due tipi principali di attacchi DDoS, alcuni mirati a sovraccaricare un programma specifico e attacchi mirati a sovraccaricare il collegamento di rete stesso al computer di destinazione.

Gli attacchi al sovraccarico di un programma sono anche chiamati attacchi 7 (nel modello di rete OSI ci sono sette livelli e l'ultimo sono i livelli delle singole applicazioni). Un utente malintenzionato attacca un programma che utilizza molte risorse del server inviando un gran numero di richieste. Alla fine, il programma non ha il tempo di elaborare tutte le connessioni. Questo è il tipo di cui abbiamo discusso sopra.

Gli attacchi DoS sul canale Internet richiedono molte più risorse, ma sono molto più difficili da gestire. Se tracciamo un'analogia con OSI, si tratta di attacchi al livello 3-4, ovvero al canale o al protocollo di trasferimento dati. Il fatto è che qualsiasi connessione Internet ha il proprio limite di velocità alla quale i dati possono essere trasferiti su di essa. Se ci sono molti dati, allora hardware di rete proprio come il programma, li metterà in coda per la trasmissione e, se la quantità di dati e la velocità con cui arrivano superano di molto la velocità del canale, sarà sovraccaricato. La velocità di trasferimento dati in questi casi può essere calcolata in gigabyte al secondo. Nel caso, ad esempio, della disconnessione da Internet del piccolo paese della Liberia, la velocità di trasferimento dei dati è arrivata fino a 5 TB/sec. Tuttavia, 20-40 Gb/s sono sufficienti per sovraccaricare la maggior parte delle infrastrutture di rete.

Origine degli attacchi DDoS

Sopra abbiamo visto cosa sono gli attacchi DDoS e i metodi degli attacchi DDoS, è ora di passare alla loro origine. Vi siete mai chiesti perché questi attacchi sono così efficaci? Si basano su strategie militari sviluppate e testate nel corso di molti decenni.

In generale, molti degli approcci a informazioni di sicurezza basato sulle strategie militari del passato. Esistono virus trojan che ricordano l'antica battaglia di Troia, virus ransomware che rubano i tuoi file a scopo di riscatto e attacchi DDoS che limitano le risorse del nemico. Limitando le opzioni del tuo avversario, ottieni un certo controllo sulle sue azioni successive. Questa tattica funziona molto bene per entrambi gli strateghi militari. e per i criminali informatici.

Nel caso della strategia militare, possiamo pensare in modo molto semplice ai tipi di risorse che possono essere limitate per limitare le capacità del nemico. Limitare l’acqua, il cibo e i materiali da costruzione significherebbe semplicemente distruggere il nemico. Con i computer tutto è diverso, ci sono diversi servizi, ad esempio DNS, web server, server E-mail. Hanno tutti infrastrutture diverse, ma c'è qualcosa che li unisce. Questa è una rete. Senza rete non sarà possibile accedere al servizio remoto.

I signori della guerra possono avvelenare l'acqua, bruciare i raccolti e creare posti di blocco. I criminali informatici possono inviare dati errati al servizio, fargli consumare tutta la memoria o sovraccaricare completamente l'intero canale di rete. Anche le strategie di difesa hanno le stesse radici. L'amministratore del server dovrà monitorare il traffico in entrata per trovare traffico dannoso e bloccarlo prima che raggiunga il canale o il programma di rete di destinazione.

conclusioni

Gli attacchi DDoS stanno diventando ogni volta più comuni e più potenti. Ciò significa che i servizi che utilizziamo saranno sempre più attaccati. Uno dei modi in cui possiamo ridurre il numero di attacchi è garantire che i nostri dispositivi non siano infettati da alcun virus e ricevano aggiornamenti in tempo. Ora che sai cos'è un attacco DDoS e conosci le basi della protezione, in uno dei seguenti articoli esamineremo più in dettaglio l'ultimo punto.

Per concludere, offro una lezione sugli attacchi DDoS:

Un attacco DoS e DDoS è un impatto esterno aggressivo sulle risorse informatiche di un server o di una workstation, effettuato con l'obiettivo di portare quest'ultima al fallimento. Per fallimento non intendiamo il guasto fisico di una macchina, ma l’inaccessibilità delle sue risorse per gli utenti in buona fede – il rifiuto del sistema di fornirgli assistenza ( D negazione o F S ervizio, da cui deriva l'abbreviazione DoS).

Se un tale attacco viene effettuato da un singolo computer, viene classificato come DoS (DoS), se da più - DDoS (DiDoS o DDoS), il che significa "D distribuito D negazione o F S ervice" - negazione del servizio distribuita. Successivamente parleremo del motivo per cui gli aggressori effettuano tali attacchi, cosa sono, quale danno causano all’attaccato e come quest’ultimo può proteggere le proprie risorse.

Chi può subire attacchi DoS e DDoS?

I server aziendali e i siti Web vengono attaccati, molto meno spesso: i personal computer individui. Lo scopo di tali azioni, di regola, è uno: causare un danno economico alla persona aggredita e rimanere nell'ombra. In alcuni casi, gli attacchi DoS e DDoS sono una delle fasi dell'hacking dei server e mirano a rubare o distruggere informazioni. Infatti, un'azienda o un sito web appartenente a chiunque può diventare vittima di attacchi.

Un diagramma che illustra l'essenza di un attacco DDoS:

Gli attacchi DoS e DDoS vengono spesso sferrati su istigazione di concorrenti disonesti. Pertanto, "bloccando" il sito web di un negozio online che offre un prodotto simile, puoi diventare temporaneamente un "monopolista" e prendere per te i suoi clienti. "Mettendo giù" un server aziendale, puoi interrompere il lavoro di un'azienda concorrente e quindi ridurre la sua posizione sul mercato.

Gli attacchi su larga scala che possono causare danni significativi vengono solitamente sferrati da criminali informatici professionisti per ingenti somme di denaro. Ma non sempre. Le tue risorse possono essere attaccate da hacker dilettanti nostrani per interesse, vendicatori tra i dipendenti licenziati e semplicemente da coloro che non condividono le tue opinioni sulla vita.

A volte l'impatto viene effettuato a scopo di estorsione, mentre l'aggressore richiede apertamente denaro al proprietario della risorsa per fermare l'attacco.

I server di aziende statali e di organizzazioni rinomate vengono spesso attaccati da gruppi anonimi di hacker altamente qualificati per influenzare i funzionari o suscitare proteste pubbliche.

Come vengono effettuati gli attacchi

Il principio di funzionamento degli attacchi DoS e DDoS è inviare un grande flusso di informazioni al server, che al massimo (per quanto consentito dalle capacità dell'hacker) carica le risorse di calcolo del processore, della RAM, intasa i canali di comunicazione o riempie lo spazio su disco . La macchina attaccata non è in grado di elaborare i dati in ingresso e smette di rispondere alle richieste dell'utente.

Ecco come appare il normale funzionamento del server, visualizzato nel programma Logstalgia:

L'efficacia dei singoli attacchi DOS non è molto elevata. Inoltre, un attacco proveniente da un personal computer espone l'aggressore al rischio di essere identificato e catturato. Gli attacchi distribuiti (DDoS) sferrati dalle cosiddette reti zombie o botnet garantiscono profitti molto maggiori.

Ecco come il sito Norse-corp.com mostra l'attività della botnet:

Una rete zombie (botnet) è un gruppo di computer che non hanno alcuna connessione fisica tra loro. Ciò che hanno in comune è che sono tutti sotto il controllo di un aggressore. Il controllo viene effettuato attraverso cavallo di Troia, che per il momento potrebbe non manifestarsi in alcun modo. Durante l'attacco l'hacker ordina ai computer infetti di inviare richieste al sito web o al server della vittima. E lui, incapace di sopportare la pressione, smette di rispondere.

Ecco come Logstalgia mostra un attacco DDoS:

Assolutamente qualsiasi computer può unirsi a una botnet. E anche uno smartphone. È sufficiente catturare un Trojan e non essere rilevati in tempo. A proposito, la botnet più grande era composta da quasi 2 milioni di macchine sparse in tutto il mondo e i loro proprietari non avevano idea di cosa stessero facendo.

Metodi di attacco e difesa

Prima di lanciare un attacco, l'hacker capisce come eseguirlo con la massima efficacia. Se il nodo attaccato presenta diverse vulnerabilità, l'impatto può essere effettuato in diverse direzioni, il che complicherà notevolmente la contrazione. Pertanto, è importante che ogni amministratore di server studi tutti i suoi "colli di bottiglia" e, se possibile, li rafforzi.

Alluvione

L'alluvione, in termini semplici, è un'informazione che non ha alcun significato. Nel contesto degli attacchi DoS/DDoS, un'ondata è una valanga di richieste vuote e prive di significato di un livello o di un altro, che il nodo ricevente è costretto a elaborare.

Lo scopo principale dell'utilizzo del Flooding è intasare completamente i canali di comunicazione e saturare al massimo la larghezza di banda.

Tipi di inondazioni:

• MAC Flood - impatto sui comunicatori di rete (blocco delle porte con flussi di dati).
• Flooding ICMP: inondare una vittima con richieste di eco di servizio utilizzando una rete zombie o inviando richieste "per conto" del nodo attaccato in modo che tutti i membri della botnet gli inviino contemporaneamente una risposta di eco (attacco Smurf). Un caso speciale di ICMP Flood è il ping Flood (invio di richieste ping al server).
• SYN Flood: invio di numerose richieste SYN alla vittima, traboccando la coda di connessione TCP creando un gran numero di connessioni semiaperte (in attesa della conferma del client).
• UDP Flood: funziona secondo lo schema di attacco Smurf, in cui vengono inviati datagrammi UDP invece di pacchetti ICMP.
• Inondazione HTTP: inondazione del server con numerosi messaggi HTTP. Un’opzione più sofisticata è il Flooding HTTPS, in cui i dati inviati vengono pre-crittografati e prima che il nodo attaccato li elabori, deve decrittografarli.

Come proteggersi dalle inondazioni

• Configura gli switch di rete per verificare la validità e filtrare gli indirizzi MAC.
• Limitare o disabilitare l'elaborazione delle richieste echo ICMP.
• Blocca i pacchetti provenienti da un indirizzo o dominio specifico che dia motivo di sospettare che sia inaffidabile.
• Imposta un limite al numero di connessioni semiaperte con un indirizzo, riduci il tempo di attesa e allunga la coda delle connessioni TCP.
• Disabilita la ricezione del traffico dall'esterno da parte dei servizi UDP o limita il numero di connessioni UDP.
• Utilizza CAPTCHA, ritardi e altre tecniche di protezione dei bot.
• Aumento importo massimo Connessioni HTTP, configura la memorizzazione nella cache delle richieste utilizzando nginx.
• Espandere la capacità del canale di rete.
• Se possibile, dedicare un server separato per gestire la crittografia (se utilizzata).
• Creare un canale di backup per l'accesso amministrativo al server in situazioni di emergenza.

Sovraccarico dell'hardware

Esistono tipi di inondazioni che non colpiscono il canale di comunicazione, ma le risorse hardware del computer attaccato, caricandole al massimo delle loro capacità e provocandone il blocco o l'arresto anomalo. Per esempio:

• Creazione di uno script che pubblicherà un'enorme quantità di informazioni di testo prive di significato su un forum o un sito Web in cui gli utenti hanno la possibilità di lasciare commenti fino a riempire l'intero spazio su disco.
• La stessa cosa, solo i registri del server riempiranno l'unità.
• Caricamento di un sito in cui viene eseguita una sorta di trasformazione dei dati inseriti, elaborando continuamente questi dati (invio dei cosiddetti pacchetti “pesanti”).
• Caricamento del processore o della memoria eseguendo il codice tramite l'interfaccia CGI (il supporto CGI consente di eseguire qualsiasi programma esterno sul server).
• Attivare il sistema di sicurezza, rendere il server inaccessibile dall'esterno, ecc.

Come proteggersi dal sovraccarico delle risorse hardware

• Aumenta le prestazioni dell'hardware e lo spazio su disco. Quando il server funziona normalmente, almeno il 25-30% delle risorse dovrebbe rimanere libero.
• Utilizzare sistemi di analisi e filtraggio del traffico prima di trasmetterlo al server.
• Limitare l'utilizzo delle risorse hardware da parte dei componenti del sistema (impostare quote).
• Archiviare i file di registro del server su un'unità separata.
• Distribuisci le risorse su più server indipendenti l'uno dall'altro. In modo che se una parte fallisce, le altre rimangono operative.

Vulnerabilità nei sistemi operativi, software, firmware dei dispositivi

Esistono moltissime più possibilità per effettuare questo tipo di attacco rispetto all’uso delle inondazioni. La loro implementazione dipende dalle qualifiche e dall'esperienza dell'aggressore, dalla sua capacità di trovare errori nel codice del programma e di utilizzarli a proprio vantaggio ea scapito del proprietario della risorsa.

Una volta che un hacker scopre una vulnerabilità (un errore nel software che può essere utilizzato per interrompere il funzionamento del sistema), tutto ciò che deve fare è creare ed eseguire un exploit, un programma che sfrutta questa vulnerabilità.

Lo sfruttamento delle vulnerabilità non è sempre inteso a causare solo un rifiuto di servizio. Se l'hacker è fortunato, potrà prendere il controllo della risorsa e utilizzare questo "dono del destino" a sua discrezione. Ad esempio, utilizzare per la distribuzione malware, rubare e distruggere informazioni, ecc.

Metodi per contrastare lo sfruttamento delle vulnerabilità del software

• Installa tempestivamente gli aggiornamenti che coprono le vulnerabilità dei sistemi operativi e delle applicazioni.
• Isolare tutti i servizi destinati a risolvere compiti amministrativi dall'accesso di terzi.
• Utilizzare mezzi di monitoraggio continuo del funzionamento del sistema operativo del server e dei programmi (analisi comportamentale, ecc.).
• Rifiuta i programmi potenzialmente vulnerabili (gratuiti, scritti da te, aggiornati raramente) a favore di quelli collaudati e ben protetti.
• Utilizzare mezzi già pronti per proteggere i sistemi dagli attacchi DoS e DDoS, che esistono sia sotto forma di sistemi hardware che software.

Come determinare che una risorsa è stata attaccata da un hacker

Se l'aggressore riesce a raggiungere l'obiettivo, è impossibile non notare l'attacco, ma in alcuni casi l'amministratore non è in grado di determinare esattamente quando è iniziato. Cioè, a volte passano diverse ore dall'inizio dell'attacco ai sintomi evidenti. Tuttavia, durante l'influenza nascosta (fino al blocco del server), sono presenti anche alcuni segni. Per esempio:

• Comportamento innaturale delle applicazioni server o sistema operativo(blocco, arresto con errori, ecc.).
• Carico della CPU, RAM e l'accumulo aumenta notevolmente rispetto al livello iniziale.
• Il volume del traffico su uno o più porti aumenta in modo significativo.
• Esistono più richieste da parte dei client alle stesse risorse (apertura della stessa pagina del sito Web, download dello stesso file).
• L'analisi dei log di server, firewall e dispositivi di rete mostra un gran numero di richieste monotone provenienti da vari indirizzi, spesso dirette a una porta o un servizio specifico. Soprattutto se il sito è rivolto a un pubblico ristretto (ad esempio, di lingua russa) e le richieste provengono da tutto il mondo. Un'analisi qualitativa del traffico mostra che le richieste non hanno alcun significato pratico per i clienti.

Tutto quanto sopra non è un segno al 100% di un attacco, ma è sempre un motivo per prestare attenzione al problema e adottare misure protettive adeguate.

Attacchi DoS– si tratta di attacchi che portano alla paralisi del server o personal computer a causa dell'enorme numero di richieste che arrivano alla risorsa attaccata ad alta velocità. Se un simile attacco viene effettuato contemporaneamente da un gran numero di computer, in questo caso si parla di Attacco DDoS.

DoS- Negazione del servizio– attacco di negazione del servizio. Esistono due modi per eseguire questo attacco. Con il primo metodo un attacco DoS sfrutta una vulnerabilità nel software installato sul computer attaccato. Utilizzando una tale vulnerabilità, puoi causare un certo errore critico sul tuo computer, che porterà all'interruzione del sistema.

Nel secondo metodo l'attacco viene effettuato inviando contemporaneamente un gran numero di pacchetti di informazioni al computer attaccato. Secondo i principi del trasferimento dei dati tra computer in una rete, ogni pacchetto di informazioni inviato da un computer a un altro viene elaborato per un certo periodo di tempo.

Se contemporaneamente arriva un'altra richiesta al computer, il pacchetto viene “accodato” e occupa una certa quantità di risorse fisiche del sistema. Pertanto, se al computer viene inviato un numero elevato di richieste contemporaneamente, il carico eccessivo causerà il blocco o la disconnessione del computer da Internet. Questo è esattamente ciò di cui hanno bisogno gli organizzatori di un attacco DoS.

Un attacco DDoS è un tipo di attacco DoS. Distributed Denial of Service– “Distributed Denial of Service” – è organizzato utilizzando un numero molto elevato di computer, per cui i server anche con una larghezza di banda Internet molto elevata possono essere soggetti ad attacchi.

A volte l'effetto di un attacco DDoS viene attivato accidentalmente. Ciò accade se, ad esempio, un collegamento è stato inserito su un sito situato su un server in una popolare risorsa Internet. Ciò provoca un forte aumento del traffico del sito ( effetto splashdot), che agisce sul server in modo simile ad un attacco DDoS.

Gli attacchi DDoS, a differenza dei semplici attacchi DoS, vengono spesso eseguiti a scopo commerciale, perché l'organizzazione di un attacco DDoS richiede centinaia di migliaia di computer e non tutti possono permettersi costi materiali e di tempo così enormi. Per organizzare gli attacchi DDoS, gli aggressori utilizzano una speciale rete di computer: botnet.

Una botnet è una rete di computer infettati da un tipo speciale di virus. "zombie". Un utente malintenzionato può controllare ciascuno di questi computer da remoto, all'insaputa del proprietario del computer. Utilizzando un virus o un programma camuffato abilmente da “contenuto utile”, sul computer della vittima viene installato un codice software dannoso che non viene riconosciuto dall’antivirus e funziona in “modalità invisibile”. Al momento opportuno, su comando del proprietario della botnet, tale programma viene attivato e inizia a inviare richieste al server attaccato.

Quando eseguono attacchi DDoS, gli aggressori spesso utilizzano "Cluster DDoS"— una speciale architettura di rete informatica a tre livelli. Questa struttura ne contiene uno o più console di controllo, da cui viene inviato direttamente un segnale relativo a un attacco DDoS.

Il segnale viene trasmesso a computer principali– “collegamento trasmittente” tra console di controllo e computer agente. Agenti– si tratta di computer che attaccano direttamente il server con le loro richieste. Sia i computer principali che i computer agenti sono, di regola, “zombi”, cioè i loro proprietari non sanno che stanno partecipando a un attacco DDoS.

I metodi per proteggersi dagli attacchi DDoS variano a seconda del tipo di attacco stesso. Si distinguono i seguenti tipi di attacchi DDoS:

UDP Flood – un attacco mediante l’invio di molti pacchetti UDP all’indirizzo della “vittima”; TCP Flood: un attacco mediante l'invio di numerosi pacchetti TCP all'indirizzo della "vittima"; TCP SYN Flood – un attacco mediante l'invio di un gran numero di richieste per inizializzare le connessioni TCP; Flood ICMP: attacco utilizzando richieste ping ICMP.

Gli aggressori possono combinare questi e altri tipi di attacchi DDoS, il che rende tali attacchi ancora più pericolosi e difficili da eliminare.

Purtroppo, Non esistono metodi universali di protezione contro gli attacchi DDoS. Ma seguire alcune regole generali aiuterà a ridurre il rischio di un attacco DDoS o ad affrontarne le conseguenze nel modo più efficace possibile.

Pertanto, per prevenire un attacco DDoS, è necessario monitorare costantemente l’eliminazione delle vulnerabilità nel software utilizzato, aumentare le risorse e disperderle. Assicurati di avere almeno un pacchetto minimo di software di protezione DDoS installato sul tuo computer. Questi possono essere normali firewall (firewall) e speciali programmi anti-DDoS. Per rilevare gli attacchi DDoS dovrebbero essere utilizzati sistemi software e hardware speciali.

L’obiettivo di un attacco DDoS può essere quello di bloccare il progetto di un concorrente o una risorsa popolare oppure di ottenere il controllo completo sul sistema. Quando promuovi un sito, tieni presente che le condizioni DoS si verificano per i seguenti motivi:

• a causa di errori nel codice del programma che portano all'esecuzione di istruzioni non valide, accesso ad una parte inutilizzata dello spazio indirizzi, ecc.;
• a causa di una verifica insufficiente dei dati utente, che può portare a un ciclo lungo (o infinito), aumento del consumo di risorse del processore, esaurimento della memoria, ecc.;
• a causa di un allagamento: un attacco esterno attraverso un gran numero di richieste formate in modo errato o prive di significato al server. Ci sono inondazioni del sottosistema TCP, dei canali di comunicazione e del livello di applicazione
• a causa di un'influenza esterna, il cui scopo è causare falso allarme sistema protettivo e, di conseguenza, portare all’indisponibilità della risorsa.

Protezione

Gli attacchi DDoS sono complicati perché se il server rimane inattivo per un periodo sufficientemente lungo, le pagine escono dall'indice. Per rilevare le minacce vengono utilizzati metodi di firma, statistici e ibridi. I primi si basano sull'analisi qualitativa, il secondo su quella quantitativa e il terzo combina i vantaggi dei metodi precedenti. Le contromisure possono essere passive e attive, preventive e reazionarie. Principalmente vengono utilizzati i seguenti metodi:

• eliminare le ragioni personali e sociali che motivano le persone a organizzare attacchi DDoS,
• blackholing e filtraggio del traffico,
• eliminazione delle vulnerabilità del codice durante Ottimizzazione del motore di ricerca luogo,
• aumentare le risorse del server, costruire sistemi ridondanti e distribuiti per i servizi utente di backup,
• impatto tecnico e organizzativo-giuridico sull'organizzatore, sulle fonti o sul centro di controllo dell'attacco,
• installazione di apparecchiature per respingere gli attacchi DDoS (Arbor Peakflow®, DefensePro®, ecc.),
• acquisto di un server dedicato per l'hosting del sito web.