Ataki DoS i DDoS: znaczenie i różnice. Jakie są zagrożenia związane z atakami DoS i DDoS? Różnica między dos i ddos

Na systemie komputerowym w celu doprowadzenia go do awarii, czyli stworzenia warunków, w których legalni (prawowici) użytkownicy systemu nie mogą uzyskać dostępu do zasobów (serwerów) udostępnianych przez system lub dostęp ten jest utrudniony. Awaria „wrogiego” systemu może być także krokiem w kierunku opanowania systemu (jeśli w sytuacji awaryjnej oprogramowanie wygeneruje jakiekolwiek krytyczne informacje – na przykład wersję, fragment kodu programu itp.). Częściej jednak jest to miara presji ekonomicznej: przestój usługi generującej przychody, rachunki od dostawcy i środki mające na celu uniknięcie ataku znacząco uderzają w „cel” po kieszeni.

Mówimy o sytuacji, w której atak przeprowadzany jest jednocześnie z dużej liczby komputerów Atak DDoS(z angielskiego Rozproszona odmowa usługi, rozproszony atak typu „odmowa usługi”.). W niektórych przypadkach faktyczny atak DDoS spowodowany jest niezamierzonym działaniem, na przykład umieszczeniem w popularnym zasobie internetowym linku do strony hostowanej na niezbyt produktywnym serwerze (efekt ukośnika). Duży napływ użytkowników prowadzi do przekroczenia dopuszczalnego obciążenia serwera i w konsekwencji do odmowy obsługi części z nich.

Rodzaje ataków DoS

Istnieje wiele powodów, dla których może wystąpić stan DoS:

  • Błąd w kodzie programu, co prowadzi do dostępu do niewykorzystanego fragmentu przestrzeni adresowej, wykonania nieprawidłowej instrukcji lub innego nieobsłużonego wyjątku w przypadku awarii programu serwera - programu serwera. Klasycznym przykładem jest odwrócenie o zero. zero) adres.
  • Niewystarczająca weryfikacja danych użytkownika, prowadzące do niekończącego się lub długiego cyklu lub zwiększonego długotrwałego zużycia zasobów procesora (aż do wyczerpania zasobów procesora) lub alokacji dużej ilości pamięci RAM (aż do wyczerpania dostępnej pamięci).
  • Powódź(Język angielski) powódź- „powódź”, „przepełnienie”) – atak związany z dużą liczbą zwykle bezsensownych lub nieprawidłowo sformatowanych żądań kierowanych do systemu komputerowego lub sprzętu sieciowego, mający na celu lub prowadzący do awarii systemu na skutek wyczerpania zasoby systemowe- procesor, pamięć lub kanały komunikacyjne.
  • Atak drugiego typu- atak mający na celu wywołanie fałszywego alarmu systemu bezpieczeństwa i tym samym doprowadzenie do niedostępności zasobu.

Jeśli atak (zwykle powódź) zostanie przeprowadzony jednocześnie z duża ilość Adresy IP – z kilku komputerów rozproszonych w sieci – wówczas w tym przypadku jest to tzw Rozpowszechniane atak typu „odmowa usługi” ( DDoS).

Wykorzystanie błędów

Wykorzystać to program, fragment kodu oprogramowania lub sekwencja poleceń oprogramowania wykorzystujących luki w zabezpieczeniach oprogramowanie i wykorzystane do przeprowadzenia ataku na system cybernetyczny. Spośród exploitów, które prowadzą do ataku DoS, ale nie nadają się na przykład do przejęcia kontroli nad „wrogim” systemem, najbardziej znane to WinNuke i Ping of death.

Powódź

O powodzi jako pogwałceniu netykiety zob. powódź.

Powódź wywołaj ogromny strumień bezsensownych żądań różne komputery w celu zajęcia systemu „wroga” (procesora, pamięci RAM lub kanału komunikacyjnego) pracą i tym samym czasowego wyłączenia go. Pojęcie „ataku DDoS” jest niemal równoznaczne z pojęciem „powodzi” i w życiu codziennym oba pojęcia są często stosowane zamiennie („zalanie serwera” = „DDoS serwer”).

Można go używać jak zwykle do tworzenia powodzi narzędzia sieciowe jak ping (na przykład znana jest z tego społeczność internetowa „Upyachka”) i specjalne programy. Możliwość ataków DDoS jest często „wbudowana” w botnety. Jeśli w witrynie o dużym ruchu zostanie wykryta luka w zabezpieczeniach typu cross-site scripting lub możliwość dołączania obrazów z innych zasobów, witryna ta może również zostać wykorzystana do ataku DDoS.

Zalanie kanału komunikacyjnego i podsystemu TCP

Dowolny komputer podłączony do świat zewnętrzny poprzez protokół TCP/IP, podatne na następujące rodzaje zalań:

  • SYN Flood – w przypadku tego typu ataku typu Flood, do zaatakowanego węzła wysyłana jest duża liczba pakietów SYN za pośrednictwem protokołu TCP (żądania otwarcia połączenia). W takim przypadku po krótkim czasie na zaatakowanym komputerze wyczerpuje się liczba gniazd (programowych gniazd sieciowych, portów) dostępnych do otwarcia, a serwer przestaje odpowiadać.
  • Powódź UDP - tego typu powódź nie atakuje komputera docelowego, ale jego kanał komunikacyjny. Dostawcy rozsądnie zakładają, że pakiety UDP powinny zostać dostarczone jako pierwsze, a protokół TCP może poczekać. Duża liczba pakietów UDP o różnych rozmiarach blokuje kanał komunikacyjny, a serwer działający na protokole TCP przestaje odpowiadać.
  • Zalanie ICMP to to samo, ale przy użyciu pakietów ICMP.

Powódź na poziomie aplikacji

Wiele usług jest zaprojektowanych w taki sposób, że małe żądanie może spowodować duży wydatek moc obliczeniowa na serwerze. W tym przypadku atakowany jest nie kanał komunikacyjny czy podsystem TCP, ale sama usługa – zalew podobnych „chorych” żądań. Na przykład serwery WWW są podatne na zalewanie HTTP; albo proste żądanie GET /, albo złożone żądanie bazy danych, takie jak GET /index.php?search=, może zostać użyte do wyłączenia serwera WWW.<случайная строка> .

Wykrywanie ataków DoS

Istnieje opinia, że ​​nie są potrzebne specjalne narzędzia do wykrywania ataków DoS, gdyż faktu ataku DoS nie można ignorować. W wielu przypadkach jest to prawdą. Jednak dość często obserwowano udane ataki DoS, które ofiary zauważały dopiero po 2-3 dniach. Zdarzało się, że negatywne skutki ataku ( powódź-ataki) spowodowały niepotrzebne koszty płacenia za nadmierny ruch w Internecie, co stało się jasne dopiero po otrzymaniu faktury od dostawcy Internetu. Ponadto wiele metod wykrywania ataków jest nieskutecznych w pobliżu celu ataku, ale są skuteczne w przypadku szkieletów sieci. W takim przypadku wskazane jest zainstalowanie tam systemów wykrywających, zamiast czekać, aż zaatakowany użytkownik sam to zauważy i zwróci się o pomoc. Dodatkowo, aby skutecznie przeciwdziałać atakom DoS, konieczna jest znajomość rodzaju, charakteru i innych cech ataków DoS, a systemy detekcji pozwalają na szybkie uzyskanie tych informacji.

Metody wykrywania ataków DoS można podzielić na kilka dużych grup:

  • podpis - na podstawie jakościowej analizy ruchu.
  • statystyczne - oparte na ilościowej analizie ruchu.
  • hybrydowy (kombinowany) - łączący zalety obu powyższych metod.

Ochrona przed atakami DoS

Środki przeciwdziałania atakom DoS można podzielić na pasywne i aktywne oraz zapobiegawcze i reakcyjne.

Poniżej znajduje się krótka lista głównych metod.

  • Zapobieganie. Zapobieganie przyczynom, które skłaniają określone osoby do organizowania i przeprowadzania ataków DoS. (Bardzo często cyberataki są na ogół wynikiem osobistych skarg, nieporozumień politycznych, religijnych i innych, prowokujących zachowań ofiary itp.)
  • Filtracja i blackholing. Blokowanie ruchu pochodzącego z maszyn atakujących. Skuteczność tych metod maleje w miarę zbliżania się do celu ataku i wzrasta w miarę zbliżania się do atakującej maszyny.
  • Odwróć DDoS- przekierowanie ruchu wykorzystywanego do ataku do atakującego.
  • Eliminacja luk. Nie działa przeciwko powódź-ataki, dla których „luką” jest skończoność niektórych zasobów systemowych.
  • Zwiększanie zasobów. Oczywiście nie zapewnia całkowitej ochrony, ale stanowi dobre tło do stosowania innych rodzajów zabezpieczeń przed atakami DoS.
  • Rozproszenie. Budowanie rozproszonych i redundantnych systemów, które nie przestaną obsługiwać użytkowników, nawet jeśli niektóre ich elementy staną się niedostępne w wyniku ataku DoS.
  • Uchylanie się. Przesunięcie bezpośredniego celu ataku (nazwy domeny lub adresu IP) z dala od innych zasobów, które często są również narażone wraz z bezpośrednim celem ataku.
  • Aktywna odpowiedź. Wpływ na źródła, organizatora lub ośrodek kontroli ataku, zarówno środkami technologicznymi, jak i organizacyjno-prawnymi.
  • Używanie sprzętu do odpierania ataków DoS. Na przykład DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i od innych producentów.
  • Zakup usługi ochrony przed atakami DoS. Ma to znaczenie, jeśli zalanie przekracza przepustowość kanału sieciowego.

Zobacz też

Notatki

Literatura

  • Chrisa Kaspersky'ego Wirusy komputerowe w środku i na zewnątrz. - Piotr. - Petersburgu. : Peter, 2006. - s. 527. - ISBN 5-469-00982-3
  • Stephena Northcutta, Marka Coopera, Matta Fearnowa i Karen Frederik. Analiza typowych naruszeń bezpieczeństwa w sieciach = Sygnatury i analiza włamań. - New Riders Publishing (angielski) St. Petersburg: Williams Publishing House (rosyjski), 2001. - s. 464. - ISBN 5-8459-0225-8 (rosyjski), 0-7357-1063-5 (angielski)
  • Morris, R. T.= Słabość w oprogramowaniu TCP/IP Unix 4.2BSD. - Raport techniczny z zakresu informatyki nr 117. — Laboratoria AT&T Bell, luty 1985.
  • Bellovin, S. M.= Problemy bezpieczeństwa w pakiecie protokołów TCP/IP. - Przegląd komunikacji komputerowej, tom. 19, nr 2. - Laboratoria AT&T Bell, kwiecień 1989.
  • =daemon9/route/infinity "Buforowanie adresów IP wyjaśnione: wykorzystanie realizacji zaufania." - Phrack Magazine, tom 7, wydanie 48. - Produkcja gildii, lipiec 1996.
  • =daemon9/route/infinity „Projekt Neptun”. - Phrack Magazine, tom 7, wydanie 48. - Produkcja gildii, lipiec 1996.

Spinki do mankietów

  • Atak DOS w katalogu łączy projektu Open Directory (

Ostatnio mogliśmy przekonać się, że ataki DDoS są dość potężną bronią przestrzeń informacyjna. Wykorzystując ataki DDoS o dużej mocy, można nie tylko zamknąć jedną lub więcej witryn internetowych, ale także zakłócić działanie całego segmentu sieci lub wyłączyć Internet w małym kraju. Obecnie ataki DDoS zdarzają się coraz częściej, a ich siła za każdym razem wzrasta.

Jaka jest jednak istota takiego ataku? Co dzieje się w sieci podczas jej wykonywania, skąd wziął się pomysł, aby to zrobić i dlaczego jest to tak skuteczne? Odpowiedzi na wszystkie te pytania znajdziesz w naszym dzisiejszym artykule.

DDoS, czyli rozproszona odmowa usługi, to atak na konkretny komputer w sieci, co powoduje, że w wyniku przeciążenia nie odpowiada na żądania innych użytkowników.

Aby zrozumieć, co oznacza atak ddos, wyobraźmy sobie sytuację: serwer WWW udostępnia użytkownikom strony witryny, powiedzmy, że utworzenie strony i całkowite przesłanie jej na komputer użytkownika zajmuje pół sekundy, wtedy nasz serwer będzie mógł działać normalnie z częstotliwością dwóch żądań na sekundę. Jeśli takich żądań będzie więcej, zostaną one umieszczone w kolejce i przetworzone, gdy tylko serwer WWW będzie wolny. Wszystkie nowe żądania dodawane są na koniec kolejki. A teraz wyobraźmy sobie, że żądań jest dużo i większość z nich jest wysyłana tylko po to, by przeciążyć ten serwer.

Jeśli szybkość napływania nowych żądań przekracza szybkość przetwarzania, z biegiem czasu kolejka żądań będzie tak długa, że ​​żadne nowe żądania nie będą faktycznie przetwarzane. To jest główna zasada ataku ddos. Wcześniej takie żądania były wysyłane z jednego adresu IP i nazywano to atakiem typu „odmowa usługi” – Dead-of-Service, w rzeczywistości jest to odpowiedź na pytanie, co to jest. Jednak takie ataki można skutecznie zwalczać, po prostu dodając źródłowy adres IP lub kilka do listy blokowanych; ponadto ze względu na ograniczenia przepustowości sieci kilka urządzeń nie jest w stanie fizycznie wygenerować wystarczającej liczby pakietów, aby przeciążyć poważny serwer.

Dlatego ataki przeprowadzane są obecnie z milionów urządzeń jednocześnie. Okazało się, że do nazwy dodano słowo Distribed – DDoS. Urządzenia te pojedynczo nic nie znaczą i mogą nie mieć bardzo dobrego połączenia internetowego. wysoka prędkość, ale gdy wszystkie jednocześnie zaczną wysyłać żądania do jednego serwera, mogą osiągnąć łączną prędkość aż do 10 Tb/s. A to już dość poważny wskaźnik.

Pozostaje dowiedzieć się, skąd napastnicy zdobywają tak wiele urządzeń do przeprowadzania ataków. Ten zwykłe komputery lub różne urządzenia IoT, do których atakujący mogli uzyskać dostęp. Może to być wszystko, kamery wideo i routery z oprogramowaniem, które nie było aktualizowane od dłuższego czasu, urządzenia sterujące i zwykłe komputery użytkowników, którzy w jakiś sposób złapali wirusa i nie wiedzą o jego istnieniu lub nie spieszą się z jego usunięciem.

Rodzaje ataków DDoS

Istnieją dwa główne typy ataków DDoS, niektóre mające na celu przeciążenie określonego programu oraz ataki mające na celu przeciążenie samego łącza sieciowego z komputerem docelowym.

Ataki na przeciążenie programu nazywane są także atakami 7 (w modelu sieci OSI istnieje siedem poziomów, ostatni to poziomy poszczególnych aplikacji). Osoba atakująca atakuje program zużywający dużo zasobów serwera, wysyłając dużą liczbę żądań. Ostatecznie program nie ma czasu na przetworzenie wszystkich połączeń. To jest ten typ, który omówiliśmy powyżej.

Ataki DoS na kanał internetowy wymagają znacznie większych zasobów, jednak znacznie trudniej jest sobie z nimi poradzić. Jeśli narysujemy analogię do osi, to są to ataki na poziomie 3-4, czyli na kanał lub protokół transmisji danych. Faktem jest, że każde połączenie internetowe ma własne ograniczenie prędkości, z jaką można przesyłać za jego pośrednictwem dane. Jeśli jest dużo danych, to sprzęt sieciowy podobnie jak program, ustawi je w kolejce do transmisji, a jeśli ilość danych i prędkość, z jaką dotrą, znacznie przekroczą prędkość kanału, zostanie on przeciążony. Szybkość przesyłania danych w takich przypadkach można obliczyć w gigabajtach na sekundę. Przykładowo w przypadku małego kraju Liberii, który był odłączony od Internetu, prędkość przesyłu danych sięgała 5 TB/s. Jednak 20–40 Gb/s wystarczy, aby przeciążyć większość infrastruktur sieciowych.

Geneza ataków DDoS

Powyżej przyjrzeliśmy się, czym są ataki DDoS, a także metodami ataków DDoS, czas przejść do ich pochodzenia. Czy zastanawiałeś się kiedyś, dlaczego te ataki są tak skuteczne? Opierają się one na strategiach wojskowych opracowywanych i testowanych przez wiele dziesięcioleci.

Ogólnie rzecz biorąc, wiele podejść do bezpieczeństwo informacji w oparciu o strategie wojskowe z przeszłości. Istnieją wirusy trojańskie przypominające starożytną bitwę pod Troją, wirusy ransomware kradnące pliki dla okupu oraz ataki DDoS ograniczające zasoby wroga. Ograniczając możliwości przeciwnika zyskujesz pewną kontrolę nad jego kolejnymi działaniami. Ta taktyka sprawdza się bardzo dobrze w przypadku obu strategów wojskowych. i dla cyberprzestępców.

W przypadku strategii wojskowej możemy bardzo prosto myśleć o rodzajach zasobów, które można ograniczyć, aby ograniczyć możliwości wroga. Ograniczanie wody, żywności i materiałów budowlanych po prostu zniszczyłoby wroga. W przypadku komputerów wszystko jest inne, istnieją różne usługi, na przykład DNS, serwer WWW, serwery E-mail. Wszystkie mają inną infrastrukturę, ale jest coś, co je łączy. To jest sieć. Bez sieci dostęp do usługi zdalnej nie będzie możliwy.

Władcy mogą zatruwać wodę, palić plony i ustawiać punkty kontrolne. Cyberprzestępcy mogą wysyłać do usługi nieprawidłowe dane, powodować zużycie całej pamięci lub całkowite przeciążenie całego kanału sieciowego. Strategie obronne również mają te same korzenie. Administrator serwera będzie musiał monitorować ruch przychodzący, aby znaleźć szkodliwy ruch i zablokować go, zanim dotrze do docelowego kanału sieciowego lub programu.

wnioski

Ataki DDoS stają się coraz powszechniejsze i za każdym razem coraz potężniejsze. Oznacza to, że usługi, z których korzystamy, będą w coraz większym stopniu atakowane. Jednym ze sposobów, w jaki możemy zmniejszyć liczbę ataków, jest zapewnienie, że nasze urządzenia nie zostaną zainfekowane żadnymi wirusami i otrzymają aktualizacje na czas. Teraz już wiesz, czym jest atak DDoS i znasz podstawy ochrony, w jednym z kolejnych artykułów przyjrzymy się ostatniemu punktowi bardziej szczegółowo.

Na zakończenie proponuję wykład na temat ataków DDoS:

Atak DoS i DDoS to agresywny wpływ zewnętrzny na zasoby obliczeniowe serwera lub stacji roboczej, przeprowadzany w celu doprowadzenia tego ostatniego do awarii. Przez awarię rozumiemy nie fizyczną awarię maszyny, ale niedostępność jej zasobów dla użytkowników działających w dobrej wierze – odmowę systemu ich obsługi ( D zaprzeczenie o F S usługa, od której pochodzi skrót DoS).

Jeśli taki atak zostanie przeprowadzony z jednego komputera, jest on klasyfikowany jako DoS (DoS), jeśli z kilku - DDoS (DiDoS lub DDoS), co oznacza "D rozdano D zaprzeczenie o F S ervice” – rozproszona odmowa usługi. Następnie porozmawiamy o tym, dlaczego napastnicy przeprowadzają takie ataki, czym one są, jakie szkody wyrządzają atakowanym i w jaki sposób mogą oni chronić swoje zasoby.

Kto może ucierpieć z powodu ataków DoS i DDoS?

Atakowane są serwery korporacyjne przedsiębiorstw i stron internetowych, znacznie rzadziej - komputery osobiste osoby. Cel takich działań jest z reguły jeden – wyrządzić krzywdę ekonomiczną zaatakowanej osobie i pozostać w cieniu. W niektórych przypadkach ataki DoS i DDoS stanowią jeden z etapów włamań do serwerów i mają na celu kradzież lub zniszczenie informacji. W rzeczywistości firma lub witryna internetowa należąca do dowolnej osoby może stać się ofiarą atakujących.

Schemat ilustrujący istotę ataku DDoS:

Ataki DoS i DDoS najczęściej przeprowadzane są za namową nieuczciwych konkurentów. Tym samym „awariując” witrynę sklepu internetowego oferującego podobny produkt, możesz chwilowo stać się „monopolem” i przejąć jego klientów dla siebie. „Odkładając” serwer firmowy, można zakłócić pracę konkurencyjnej firmy i tym samym zmniejszyć jej pozycję na rynku.

Ataki na dużą skalę, które mogą wyrządzić znaczne szkody, są zwykle przeprowadzane przez profesjonalnych cyberprzestępców za duże pieniądze. Ale nie zawsze. Twoje zasoby mogą zostać zaatakowane przez domorosłych hakerów-amatorów z ciekawości, mścicieli spośród zwolnionych pracowników i po prostu tych, którzy nie podzielają Twoich poglądów na życie.

Czasami wpływ ma na celu wymuszenie, podczas gdy osoba atakująca otwarcie żąda pieniędzy od właściciela zasobu, aby powstrzymać atak.

Serwery przedsiębiorstw państwowych i znanych organizacji są często atakowane przez anonimowe grupy wysoko wykwalifikowanych hakerów w celu wywarcia wpływu na urzędników lub wywołania oburzenia opinii publicznej.

Jak przeprowadzane są ataki

Zasada działania ataków DoS i DDoS polega na przesłaniu do serwera dużego strumienia informacji, który maksymalnie (na ile pozwalają możliwości hakera) obciąża zasoby obliczeniowe procesora, pamięci RAM, zatyka kanały komunikacyjne lub zapełnia przestrzeń dyskową . Zaatakowana maszyna nie jest w stanie przetwarzać przychodzących danych i przestaje odpowiadać na żądania użytkowników.

Tak wygląda normalna praca serwera zwizualizowana w programie Logstalgia:

Skuteczność pojedynczych ataków DOS-owych nie jest zbyt wysoka. Ponadto atak z komputera osobistego naraża osobę atakującą na ryzyko zidentyfikowania i złapania. Ataki rozproszone (DDoS) przeprowadzane z tzw. sieci zombie lub botnetów przynoszą znacznie większe zyski.

Tak witryna Norse-corp.com prezentuje aktywność botnetu:

Sieć zombie (botnet) to grupa komputerów, które nie mają ze sobą fizycznego połączenia. Łączy je to, że wszystkie znajdują się pod kontrolą atakującego. Kontrola odbywa się poprzez Koń trojański, co na razie może nie objawiać się w żaden sposób. Przeprowadzając atak, haker instruuje zainfekowane komputery, aby wysyłały żądania do witryny internetowej lub serwera ofiary. A on, nie mogąc wytrzymać presji, przestaje odpowiadać.

Tak Logstalgia pokazuje atak DDoS:

Absolutnie każdy komputer może dołączyć do botnetu. A nawet smartfon. Wystarczy złapać trojana i nie zostać wykrytym na czas. Swoją drogą największy botnet składał się z prawie 2 milionów maszyn na całym świecie, a ich właściciele nie mieli pojęcia, co robią.

Metody ataku i obrony

Przed rozpoczęciem ataku haker zastanawia się, jak przeprowadzić go z maksymalnym skutkiem. Jeśli zaatakowany węzeł ma kilka podatności, wpływ może zostać przeprowadzony w różnych kierunkach, co znacznie komplikuje przeciwdziałanie. Dlatego ważne jest, aby każdy administrator serwera przestudiował wszystkie jego „wąskie gardła” i, jeśli to możliwe, je wzmocnił.

Powódź

Powódź, najprościej mówiąc, to informacja, która nie niesie ze sobą żadnego znaczenia. W kontekście ataków DoS/DDoS powódź to lawina pustych, bezsensownych żądań tego czy innego poziomu, które węzeł odbiorczy jest zmuszony przetworzyć.

Głównym celem stosowania zalewania jest całkowite zapchanie kanałów komunikacyjnych i maksymalne nasycenie przepustowości.

Rodzaje powodzi:

  • MAC powódź - wpływ na komunikatory sieciowe (blokowanie portów z przepływem danych).
  • Zalewanie ICMP - zasypywanie ofiary żądaniami echa usług za pomocą sieci zombie lub wysyłanie żądań „w imieniu” zaatakowanego węzła, tak aby wszyscy członkowie botnetu jednocześnie wysłali mu odpowiedź echa (atak Smurf). Szczególnym przypadkiem zalewania ICMP jest zalewanie pingiem (wysyłanie żądań ping do serwera).
  • Powódź SYN - wysyłanie do ofiary wielu żądań SYN, przepełnienie kolejki połączeń TCP poprzez utworzenie dużej liczby połączeń półotwartych (oczekujących na potwierdzenie klienta).
  • Powódź UDP - działa według schematu ataku Smurf, w którym zamiast pakietów ICMP wysyłane są datagramy UDP.
  • Powódź HTTP - zalewanie serwera licznymi wiadomościami HTTP. Bardziej wyrafinowaną opcją jest zalew HTTPS, w którym przesyłane dane są wstępnie szyfrowane i zanim zaatakowany węzeł je przetworzy, musi je odszyfrować.


Jak uchronić się przed powodzią

  • Skonfiguruj przełączniki sieciowe, aby sprawdzać ważność i filtrować adresy MAC.
  • Ogranicz lub wyłącz przetwarzanie żądań echa ICMP.
  • Blokuj pakiety przychodzące z określonego adresu lub domeny, które dają podstawy do podejrzeń o zawodność.
  • Ustaw limit liczby półotwartych połączeń z jednym adresem, skróć czas ich utrzymywania i wydłuż kolejkę połączeń TCP.
  • Wyłącz usługi UDP przed odbieraniem ruchu z zewnątrz lub ogranicz liczbę połączeń UDP.
  • Używaj CAPTCHA, opóźnień i innych technik ochrony przed botami.
  • Zwiększyć maksymalna ilość Połączenia HTTP, skonfiguruj buforowanie żądań za pomocą nginx.
  • Zwiększ pojemność kanału sieciowego.
  • Jeśli to możliwe, wydziel oddzielny serwer do obsługi kryptografii (jeśli jest używany).
  • Utwórz zapasowy kanał dostępu administracyjnego do serwera w sytuacjach awaryjnych.

Przeciążenie sprzętu

Istnieją rodzaje zalewania, które wpływają nie na kanał komunikacyjny, ale na zasoby sprzętowe zaatakowanego komputera, ładując je do pełnej wydajności i powodując zawieszenie lub awarię. Na przykład:

  • Stworzenie skryptu, który opublikuje ogromną ilość bezsensownych informacji tekstowych na forum lub stronie internetowej, gdzie użytkownicy będą mieli możliwość pozostawiania komentarzy, aż do zapełnienia całego miejsca na dysku.
  • To samo, tylko logi serwera zapełnią dysk.
  • Wczytanie strony, na której dokonywana jest swego rodzaju transformacja wprowadzonych danych, ciągłe przetwarzanie tych danych (wysyłanie tzw. „ciężkich” pakietów).
  • Załadowanie procesora lub pamięci poprzez wykonanie kodu poprzez interfejs CGI (obsługa CGI pozwala na uruchomienie dowolnego zewnętrznego programu na serwerze).
  • Uruchomienie systemu bezpieczeństwa, uniemożliwienie dostępu do serwera z zewnątrz itp.


Jak uchronić się przed przeciążeniem zasobów sprzętowych

  • Zwiększ wydajność sprzętu i miejsce na dysku. Gdy serwer działa normalnie, co najmniej 25-30% zasobów powinno pozostać wolne.
  • Skorzystaj z systemów analizy ruchu i filtrowania przed przesłaniem go na serwer.
  • Ogranicz wykorzystanie zasobów sprzętowych przez komponenty systemu (ustaw przydziały).
  • Przechowuj pliki dziennika serwera na osobnym dysku.
  • Rozdzielaj zasoby na kilka niezależnych od siebie serwerów. Dzięki temu w przypadku awarii jednej części pozostałe nadal działają.

Luki w systemach operacyjnych, oprogramowaniu, oprogramowaniu sprzętowym

Możliwości przeprowadzenia tego typu ataku jest nieporównywalnie więcej niż przy użyciu zalewania. Ich wdrożenie zależy od kwalifikacji i doświadczenia atakującego, jego umiejętności znalezienia błędów w kodzie programu i wykorzystania ich na swoją korzyść i ze szkodą dla właściciela zasobu.

Gdy haker odkryje lukę (błąd w oprogramowaniu, który może zostać wykorzystany do zakłócenia działania systemu), wystarczy, że stworzy i uruchomi exploita – program wykorzystujący tę lukę.

Wykorzystanie luk w zabezpieczeniach nie zawsze ma na celu jedynie spowodowanie odmowy usługi. Jeśli haker będzie miał szczęście, będzie mógł przejąć kontrolę nad zasobem i wykorzystać ten „dar losu” według własnego uznania. Na przykład użyj do dystrybucji złośliwe oprogramowanie, kraść i niszczyć informacje itp.

Metody przeciwdziałania wykorzystywaniu luk w oprogramowaniu

  • Terminowo instaluj aktualizacje, które obejmują luki w zabezpieczeniach systemów operacyjnych i aplikacji.
  • Izoluj wszystkie usługi przeznaczone do rozwiązywania zadań administracyjnych od dostępu osób trzecich.
  • Stosuj środki ciągłego monitorowania działania systemu operacyjnego i programów serwera (analiza behawioralna itp.).
  • Odrzuć potencjalnie podatne na ataki programy (darmowe, napisane samodzielnie, rzadko aktualizowane) na rzecz sprawdzonych i dobrze chronionych.
  • Skorzystaj z gotowych sposobów ochrony systemów przed atakami DoS i DDoS, które występują zarówno w postaci systemów sprzętowych, jak i programowych.

Jak ustalić, że zasób został zaatakowany przez hakera

Jeśli atakującemu uda się osiągnąć cel, nie da się nie zauważyć ataku, jednak w niektórych przypadkach administrator nie jest w stanie dokładnie określić, kiedy on się rozpoczął. Oznacza to, że od początku ataku do zauważalnych objawów czasami mija kilka godzin. Jednak podczas ukrytego wpływu (do czasu awarii serwera) występują również pewne znaki. Na przykład:

  • Nienaturalne zachowanie aplikacji serwerowych lub system operacyjny(zawieszanie się, zamykanie z błędami itp.).
  • obciążenie procesora, Baran a akumulacja gwałtownie wzrasta w porównaniu z poziomem początkowym.
  • Natężenie ruchu na jednym lub większej liczbie portów znacznie wzrasta.
  • Istnieje wiele żądań od klientów do tych samych zasobów (otwarcie tej samej strony internetowej, pobranie tego samego pliku).
  • Analiza logów serwerów, firewalli i urządzeń sieciowych pokazuje dużą liczbę monotonnych żądań z różnych adresów, często kierowanych do konkretnego portu lub usługi. Zwłaszcza jeśli witryna jest skierowana do wąskiej grupy odbiorców (na przykład rosyjskojęzycznej), a prośby pochodzą z całego świata. Jakościowa analiza ruchu pokazuje, że żądania nie mają praktycznego znaczenia dla klientów.

Wszystko to nie jest 100% oznaką ataku, ale zawsze jest powodem do zwrócenia uwagi na problem i podjęcia odpowiednich środków ochronnych.

Ataki DoS– są to ataki, które prowadzą do paraliżu serwera lub komputer osobisty ze względu na ogromną liczbę żądań docierających do zaatakowanego zasobu z dużą prędkością. Jeśli taki atak zostanie przeprowadzony jednocześnie z dużej liczby komputerów, wówczas w tym przypadku mówimy Atak DDoS.

DoS- Odmowa usługi– atak typu „odmowa usługi”. Istnieją dwa sposoby przeprowadzenia tego ataku. Z pierwszą metodą atak DoS wykorzystuje lukę w oprogramowaniu zainstalowanym na zaatakowanym komputerze. Korzystając z takiej luki, możesz spowodować pewien krytyczny błąd na swoim komputerze, który doprowadzi do zakłóceń w systemie.

W drugiej metodzie atak odbywa się poprzez jednoczesne wysłanie dużej liczby pakietów informacji do zaatakowanego komputera. Zgodnie z zasadami przesyłania danych pomiędzy komputerami w sieci, każdy pakiet informacji przesyłany z jednego komputera do drugiego jest przetwarzany przez określony czas.

Jeśli w tym samym czasie do komputera wpłynie kolejne żądanie, pakiet zostaje „ustawiony” w kolejce i zajmuje pewną ilość fizycznych zasobów systemu. Dlatego też, jeśli do komputera zostanie wysłana jednocześnie duża liczba żądań, nadmierne obciążenie spowoduje zawieszenie się komputera lub odłączenie go od Internetu. Właśnie tego potrzebują organizatorzy ataku DoS.

Atak DDoS to rodzaj ataku DoS. Rozproszona odmowa usługi– „rozproszona odmowa usługi” – organizowana jest przy użyciu bardzo dużej liczby komputerów, dzięki czemu serwery nawet o bardzo dużej przepustowości Internetu mogą zostać zaatakowane.

Czasami efekt ataku DDoS jest wyzwalany przez przypadek. Dzieje się tak, jeśli np. link został umieszczony na stronie znajdującej się na serwerze w popularnym zasobie internetowym. Powoduje to znaczny wzrost ruchu w witrynie ( efekt plamki), który działa na serwerze w sposób podobny do ataku DDoS.

Ataki DDoS w odróżnieniu od prostych ataków DoS najczęściej przeprowadzane są w celach komercyjnych, ponieważ zorganizowanie ataku DDoS wymaga zaangażowania setek tysięcy komputerów i nie każdego stać na tak ogromne koszty materiałowe i czasowe. Aby zorganizować ataki DDoS, napastnicy wykorzystują specjalną sieć komputerów - botnet.

Botnet to sieć komputerów zainfekowanych specjalnym rodzajem wirusa. "bałwan". Osoba atakująca może zdalnie kontrolować każdy taki komputer, bez wiedzy jego właściciela. Wykorzystując wirusa lub program umiejętnie udający „użyteczną zawartość”, na komputerze ofiary instalowany jest kod złośliwego oprogramowania, który nie jest rozpoznawany przez program antywirusowy i działa w „trybie niewidocznym”. W odpowiednim momencie, na polecenie właściciela botnetu, taki program zostaje aktywowany i zaczyna wysyłać żądania do zaatakowanego serwera.

Podczas przeprowadzania ataków DDoS napastnicy często wykorzystują „Klaster DDoS”— specjalna trójpoziomowa architektura sieci komputerowej. Ta struktura zawiera jeden lub więcej konsole sterujące, z którego bezpośrednio wysyłany jest sygnał o ataku DDoS.

Sygnał jest przesyłany do główne komputery– „łącze transmisyjne” pomiędzy konsolami kontrolnymi a komputerami agentów. Agenci– są to komputery, które swoimi żądaniami bezpośrednio atakują serwer. Zarówno komputery główne, jak i komputery agentów to z reguły „zombie”, czyli tzw. ich właściciele nie wiedzą, że biorą udział w ataku DDoS.

Metody ochrony przed atakami DDoS różnią się w zależności od rodzaju samego ataku. Wyróżnia się następujące typy ataków DDoS:

UDP Flood – atak polegający na wysłaniu wielu pakietów UDP na adres „ofiary”; TCP Flood - atak polegający na wysłaniu wielu pakietów TCP na adres „ofiary”; TCP SYN Flood – atak polegający na wysyłaniu dużej liczby żądań inicjowania połączeń TCP; ICMP Flood – atak wykorzystujący żądania ping ICMP.

Atakujący mogą łączyć te i inne rodzaje ataków DDoS, co czyni takie ataki jeszcze bardziej niebezpiecznymi i trudniejszymi do wyeliminowania.

Niestety, Nie ma uniwersalnych metod ochrony przed atakami DDoS. Jednak przestrzeganie kilku ogólnych zasad pomoże zmniejszyć ryzyko ataku DDoS lub jak najskuteczniej uporać się z jego konsekwencjami.

Zatem, aby zapobiec atakowi DDoS, należy stale monitorować eliminację luk w używanym oprogramowaniu, zwiększać zasoby i je rozpraszać. Upewnij się, że na komputerze jest zainstalowany co najmniej minimalny pakiet oprogramowania chroniącego przed atakami DDoS. Mogą to być zwykłe zapory ogniowe (firewalle) i specjalne programy anty-DDoS. Do wykrywania ataków DDoS należy używać specjalnego oprogramowania i systemów sprzętowych.

Celem ataku DDoS może być zablokowanie konkurencyjnego projektu lub popularnego zasobu albo przejęcie pełnej kontroli nad systemem. Promując witrynę, należy wziąć pod uwagę, że warunki DoS powstają z następujących powodów:

  • z powodu błędów w kodzie programu, które prowadzą do wykonania nieprawidłowych instrukcji, dostępu do niewykorzystanej części przestrzeni adresowej itp.;
  • z powodu niewystarczającej weryfikacji danych użytkownika, co może prowadzić do długiego (lub nieskończonego) cyklu, zwiększonego zużycia zasobów procesora, wyczerpania pamięci itp.;
  • z powodu powodzi - atak zewnętrzny poprzez dużą liczbę niepoprawnie sformułowanych lub pozbawionych znaczenia żądań do serwera. Zalewa podsystem TCP, kanały komunikacji i poziom aplikacji
  • z powodu wpływu zewnętrznego, którego celem jest spowodowanie fałszywy alarm systemu ochronnego i w efekcie prowadzić do niedostępności zasobu.

Ochrona

Ataki DDoS są skomplikowane, ponieważ jeśli serwer nie działa przez wystarczająco długi czas, strony wypadają z indeksu. Do wykrywania zagrożeń wykorzystywane są metody sygnaturowe, statystyczne i hybrydowe. Pierwsze opierają się na analizie jakościowej, drugie na ilościowej, a trzecie łączą w sobie zalety dotychczasowych metod. Środki zaradcze mogą być pasywne i aktywne, zapobiegawcze i reakcyjne. Stosowane są głównie następujące metody:

  • eliminowanie powodów osobistych i społecznych, które motywują ludzi do organizowania ataków DDoS,
  • blackholing i filtrowanie ruchu,
  • eliminacja luk w kodzie podczas optymalizacja wyszukiwarki strona,
  • zwiększanie zasobów serwerowych, budowanie redundantnych i rozproszonych systemów zapasowej obsługi użytkowników,
  • wpływ techniczny i organizacyjno-prawny na organizatora, źródła lub ośrodek kontroli ataku,
  • instalacja sprzętu odpierającego ataki DDoS (Arbor Peakflow®, DefensePro® itp.),
  • zakup serwera dedykowanego do hostingu stron internetowych.


POWIĄZANE ARTYKUŁY