Sulmet DoS dhe DDoS: kuptimi dhe dallimet. Pse janë të rrezikshme sulmet DoS dhe DDoS? Dallimi midis dos dhe ddos

Në një sistem kompjuterik për ta sjellë atë në dështim, domethënë krijimin e kushteve të tilla në të cilat përdoruesit e ligjshëm (të ligjshëm) të sistemit nuk mund të aksesojnë burimet (serverët) e ofruar nga sistemi, ose kjo qasje është e vështirë. Dështimi i sistemit "armik" mund të jetë gjithashtu një hap drejt zotërimit të sistemit (nëse në rast urgjence softueri jep ndonjë informacion kritik - për shembull, versionin, një pjesë të kodit të programit, etj.). Por më shpesh ai është një masë e presionit ekonomik: ndërprerja e një shërbimi që gjeneron të ardhura, faturat nga ofruesi dhe masat për të shmangur një sulm godasin ndjeshëm "objektivin" në xhep.

Nëse një sulm kryhet njëkohësisht nga një numër i madh kompjuterësh, flitet për të Sulmi DDoS(nga anglishtja. Refuzimi i Shpërndarë i Shërbimit, sulmi i shpërndarë i mohimit të shërbimit). Në disa raste, një veprim i paqëllimshëm çon në një sulm aktual DDoS, për shembull, vendosja e një lidhjeje në një burim popullor të Internetit në një sajt të vendosur në një server jo shumë produktiv (efekti i pikës së prerë). Një fluks i madh përdoruesish çon në tejkalimin e ngarkesës së lejuar në server dhe, për rrjedhojë, një refuzim të shërbimit për disa prej tyre.

Llojet e sulmeve DoS

Ka arsye të ndryshme pse mund të ndodhë një gjendje DoS:

  • Gabim në kodin e programit, duke rezultuar në akses në një fragment të papërdorur të hapësirës së adresave, ekzekutimin e një instruksioni të pavlefshëm ose një përjashtim tjetër të patrajtuar kur programi i serverit rrëzohet - programi i serverit. Një shembull klasik është referenca e bazuar në zero. i pavlefshëm) adresë.
  • Vlefshmëria e pamjaftueshme e të dhënave të përdoruesit, që çon në një cikël të pafund ose të gjatë ose rritje të konsumit afatgjatë të burimeve të procesorit (deri në shterimin e burimeve të procesorit) ose ndarjes së një sasie të madhe RAM (deri në shterimin e memories së disponueshme).
  • përmbytje(anglisht) përmbytje- "përmbytje", "mbytje") - një sulm i shoqëruar me një numër të madh kërkesash zakonisht të pakuptimta ose të formatuara gabimisht për një sistem kompjuterik ose pajisje rrjeti, i cili ka si qëllim ose ka çuar në dështimin e sistemit për shkak të rraskapitjes. burimet e sistemit- procesor, memorie ose kanale komunikimi.
  • Sulmi i llojit të dytë- një sulm që kërkon të shkaktojë një alarm të rremë të sistemit të mbrojtjes dhe kështu të çojë në mungesën e disponueshmërisë së burimit.

Nëse një sulm (zakonisht një përmbytje) bëhet në të njëjtën kohë me një numër i madh Adresat IP - nga disa kompjuterë të shpërndarë në rrjet - në këtë rast quhet të shpërndara sulmi i mohimit të shërbimit ( DDoS).

Shfrytëzimi i mete

shfrytëzojnë emërtoni një program, një pjesë të kodit të programit ose një sekuencë komandash programi që shfrytëzon dobësitë në software dhe përdoret për të sulmuar një sistem kibernetik. Nga shfrytëzimet që çojnë në një sulm DoS, por janë të papërshtatshme, për shembull, për të kapur kontrollin e një sistemi "armik", më të famshmit janë WinNuke dhe Ping of death (Ping of death).

përmbytje

Për përmbytjet si shkelje e rregullave të internetit, shih përmbytjet.

përmbytje thirrni një lumë të madhe kërkesash të pakuptimta me kompjuterë të ndryshëm në mënyrë që të pushtoni sistemin "armik" (procesorin, RAM ose kanalin e komunikimit) me punë dhe në këtë mënyrë ta çaktivizoni atë përkohësisht. Koncepti i "sulmit DDoS" është pothuajse i barabartë me konceptin "përmbytje" dhe në jetën e përditshme që të dyja janë shpesh të këmbyeshme ("përmbyt serverin" = "DDoS'it serverin").

Për të krijuar një përmbytje mund të përdoret si zakonisht shërbimet e rrjetit si ping (kjo është e njohur, për shembull, për komunitetin e Internetit " Upyachka"), dhe programe speciale. Mundësia e DDoS shpesh "qepet" në botnet. Nëse në një sajt me trafik të lartë gjendet një cenueshmëri e skriptimit ndër-site ose aftësia për të përfshirë imazhe nga burime të tjera, kjo faqe mund të përdoret gjithashtu për një sulm DDoS.

Kanali i komunikimit dhe përmbytja e nënsistemit TCP

Çdo kompjuter i lidhur me Bota e jashtme mbi protokollin TCP/IP, i nënshtrohet llojeve të mëposhtme të përmbytjeve:

  • SYN flood - me këtë lloj sulmi flood, një numër i madh i paketave SYN dërgohen në nyjen e sulmuar përmes protokollit TCP (kërkesat për të hapur një lidhje). Në të njëjtën kohë, pas një kohe të shkurtër, numri i prizave të disponueshme për hapje (prizat e rrjetit softuer, portat) shterohet në kompjuterin e sulmuar dhe serveri ndalon së përgjigjuri.
  • UDP përmbytje - ky lloj përmbytjeje nuk sulmon kompjuterin e synuar, por kanalin e tij të komunikimit. Ofruesit në mënyrë të arsyeshme supozojnë se paketat UDP duhet të dorëzohen së pari, ndërsa TCP mund të presë. Një numër i madh paketash UDP të madhësive të ndryshme bllokojnë kanalin e komunikimit dhe serveri që funksionon mbi protokollin TCP ndalon të përgjigjet.
  • ICMP flood - e njëjta gjë, por me ndihmën e paketave ICMP.

Përmbytja e shtresës së aplikimit

Shumë shërbime janë krijuar në atë mënyrë që një kërkesë e vogël mund të shkaktojë një shpenzim të madh. fuqia llogaritëse në server. Në këtë rast, nuk është kanali i komunikimit ose nënsistemi TCP që sulmohet, por vetë shërbimi (shërbimi) - një vërshim kërkesash të tilla "të sëmura". Për shembull, serverët e uebit janë të cenueshëm ndaj përmbytjeve HTTP - ose një GET i thjeshtë / ose një pyetje komplekse e bazës së të dhënave si GET /index.php?search= mund të përdoret për të çaktivizuar një server në internet.<случайная строка> .

Zbulimi i sulmit DoS

Ekziston një mendim se mjete të posaçme për zbulimin e sulmeve DoS nuk kërkohen, pasi fakti i një sulmi DoS nuk mund të neglizhohet. Në shumë raste kjo është e vërtetë. Sidoqoftë, sulmet e suksesshme DoS u vërejtën mjaft shpesh, të cilat u vunë re nga viktimat vetëm pas 2-3 ditësh. Ndodhi që pasojat negative të një sulmi ( përmbytje-sulmet) rezultuan në kosto të tepërta për pagesën e trafikut të tepërt të internetit, gjë që u zbulua vetëm kur merrej një faturë nga një ofrues interneti. Përveç kësaj, shumë metoda të zbulimit të ndërhyrjeve janë joefektive pranë objektivit të sulmit, por janë efektive në shtyllat kurrizore të rrjetit. Në këtë rast, këshillohet që të instaloni sistemet e zbulimit pikërisht atje dhe të mos prisni derisa përdoruesi që është sulmuar ta vërejë vetë dhe të kërkojë ndihmë. Përveç kësaj, për të luftuar në mënyrë efektive sulmet DoS, është e nevojshme të njihni llojin, natyrën dhe karakteristikat e tjera të sulmeve DoS, dhe sistemet e zbulimit bëjnë të mundur marrjen e shpejtë të këtij informacioni.

Metodat e zbulimit të sulmit DoS mund të ndahen në disa grupe të mëdha:

  • nënshkrim - bazuar në një analizë cilësore të trafikut.
  • statistikore - bazuar në një analizë sasiore të trafikut.
  • hibrid (i kombinuar) - duke kombinuar avantazhet e të dyja metodave të mësipërme.

Mbrojtja DoS

Masat për të luftuar sulmet DoS mund të ndahen në pasive dhe aktive, si dhe parandaluese dhe reaktive.

Më poshtë është një listë e shkurtër e metodave kryesore.

  • Parandalimi. Parandalimi i arsyeve që nxisin individë të caktuar të organizojnë dhe të ndërmarrin sulme DoS. (Shumë shpesh, sulmet kibernetike në përgjithësi janë rezultat i ankesave personale, mosmarrëveshjeve politike, fetare dhe të tjera, sjelljes provokuese të viktimës, etj.)
  • Filtrimi dhe zbehja. Bllokimi i trafikut nga makinat sulmuese. Efektiviteti i këtyre metodave zvogëlohet kur i afroheni objektit të sulmit dhe rritet kur i afroheni makinës sulmuese.
  • DDOS e kundërt- ridrejtimi i trafikut të përdorur për sulmin te sulmuesi.
  • Eliminimi i dobësive. Nuk funksionon kundër përmbytje-sulmet për të cilat "vulnerabiliteti" është fundshmëria e burimeve të caktuara të sistemit.
  • Rritja e burimeve. Natyrisht, ai nuk ofron mbrojtje absolute, por është një sfond i mirë për aplikimin e llojeve të tjera të mbrojtjes kundër sulmeve DoS.
  • Shpërndarja. Ndërtimi i sistemeve të shpërndara dhe të dyfishuara që nuk do të ndalojnë së shërbyeri përdoruesit, edhe nëse disa nga elementët e tyre bëhen të padisponueshëm për shkak të një sulmi DoS.
  • Evazioni. Lëvizja e objektivit të menjëhershëm të sulmit (emri i domenit ose adresa IP) larg burimeve të tjera që shpesh preken së bashku me objektivin e menjëhershëm të sulmit.
  • Përgjigje aktive. Ndikimi në burimet, organizatorin apo qendrën e kontrollit të sulmit, si nga mjetet e krijuara nga njeriu, ashtu edhe ato organizative dhe ligjore.
  • Përdorimi i pajisjeve për të zmbrapsur sulmet DoS. Për shembull DefensePro® (Radware), Perimetër (MFI Soft), Arbor Peakflow® dhe prodhues të tjerë.
  • Blerja e një shërbimi për të mbrojtur kundër sulmeve DoS. Aktual në rast të tejkalimit të gjerësisë së brezit të kanalit të rrjetit nga përmbytja.

Shiko gjithashtu

Shënime

Letërsia

  • Chris Kaspersky Viruset kompjuterike brenda dhe jashtë. - Pjetri. - Shën Petersburg. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza e shkeljeve tipike të sigurisë në rrjete = Nënshkrimet dhe Analiza e Ndërhyrjes. - New Riders Publishing (anglisht) St.
  • Morris, R.T.= Një dobësi në softuerin 4.2BSD Unix TCP/IP. - Raporti Teknik i Shkencave Kompjuterike Nr.117. - AT&T Bell Laboratories, shkurt 1985.
  • Bellovin, S.M.= Probleme sigurie në paketën e protokollit TCP/IP. - Rishikimi i Komunikimit Kompjuterik, Vëll. 19, Nr.2. - AT&T Bell Laboratories, Prill 1989.
  • = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, korrik 1996.
  • = daemon9 / rrugë / pafundësi "Projekti Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, korrik 1996.

Lidhjet

  • Sulmi DoS në Drejtorinë e Lidhjeve të Projekteve të Drejtorisë së Hapur (

Kohët e fundit, ne kemi qenë në gjendje të sigurohemi që sulmet DDoS janë një armë mjaft e fortë hapësirë ​​informacioni. Me ndihmën e sulmeve DDoS me fuqi të lartë, jo vetëm që mund të çaktivizoni një ose disa sajte, por gjithashtu të prishni funksionimin e të gjithë segmentit të rrjetit ose madje të çaktivizoni internetin në një vend të vogël. Këto ditë, sulmet DDoS po ndodhin gjithnjë e më shpesh dhe fuqia e tyre po rritet çdo herë.

Por cili është thelbi i një sulmi të tillë? Çfarë ndodh në rrjet kur ekzekutohet, nga lindi ideja për ta bërë këtë dhe pse është kaq efektive? Përgjigjet për të gjitha këto pyetje do të gjeni në artikullin tonë të sotëm.

DDoS ose mohimi i shërbimit të shpërndarë (mohimi i ndarë i shërbimit) është një sulm ndaj kompjuter specifik në rrjet, gjë që bën që ai, duke mbingarkuar, të mos iu përgjigjet kërkesave të përdoruesve të tjerë.

Për të kuptuar se çfarë do të thotë një sulm ddos, le të imagjinojmë situatën: një server në internet u jep përdoruesve faqet e një faqeje, le të themi se duhet gjysmë sekonde për të krijuar një faqe dhe për ta transferuar plotësisht atë në kompjuterin e përdoruesit, atëherë serveri ynë do të jetë në gjendje të punojë normalisht me një frekuencë prej dy kërkesash për sekondë. Nëse ka më shumë kërkesa të tilla, ato do të vendosen në radhë dhe do të përpunohen sapo ueb serveri të jetë i lirë. Të gjitha kërkesat e reja shtohen në fund të radhës. Tani le të imagjinojmë se ka shumë kërkesa, dhe shumica e tyre shkojnë vetëm për të mbingarkuar këtë server.

Nëse shkalla e mbërritjes së kërkesave të reja tejkalon shkallën e përpunimit, atëherë, me kalimin e kohës, radha e kërkesave do të jetë aq e gjatë sa që në fakt kërkesat e reja nuk do të përpunohen më. Ky është parimi kryesor i një sulmi ddos. Më parë, kërkesa të tilla dërgoheshin nga një adresë IP dhe kjo quhej sulm i mohimit të shërbimit - Dead-of-Service, në fakt, kjo është përgjigjja e pyetjes se çfarë është dos. Por sulme të tilla mund të trajtohen në mënyrë efektive duke shtuar thjesht adresën IP të burimit ose disa në listën e bllokut, për më tepër, disa pajisje, për shkak të kufizimeve të gjerësisë së brezit të rrjetit, nuk mund të gjenerojnë fizikisht një numër të mjaftueshëm paketash për të mbingarkuar një server serioz.

Prandaj, tani sulmet kryhen menjëherë nga miliona pajisje. Fjala Distribud iu shtua emërtimit, u shpërnda, doli - DDoS. Një nga një, këto pajisje nuk do të thotë asgjë, dhe ndoshta kanë një lidhje interneti me jo shumë shpejtësi e lartë, por kur të gjithë fillojnë të dërgojnë kërkesa në të njëjtin server në të njëjtën kohë, ato mund të arrijnë një shpejtësi totale deri në 10 Tb/s. Dhe ky është tashmë një tregues mjaft serioz.

Mbetet për të kuptuar se ku i marrin sulmuesit kaq shumë pajisje për të kryer sulmet e tyre. atë kompjuterë konvencionalë, ose pajisje të ndryshme IoT në të cilat sulmuesit mund të hynin. Mund të jetë çdo gjë, videokamera dhe ruterë me firmware që nuk është përditësuar për një kohë të gjatë, pajisje kontrolli dhe kompjuterë të zakonshëm të përdoruesve që kanë kapur disi një virus dhe nuk janë të vetëdijshëm për ekzistencën e tij ose nuk nxitojnë ta heqin atë.

Llojet e sulmeve DDoS

Ekzistojnë dy lloje kryesore të sulmeve DDoS, njëri i fokusuar në mbingarkimin e një programi specifik dhe sulmet që synojnë mbingarkimin e vetë lidhjes së rrjetit me kompjuterin e synuar.

Sulmet ndaj mbingarkesës së një programi quhen gjithashtu sulme në 7 (në modelin e rrjetit osi, ka shtatë nivele dhe i fundit është nivelet e aplikacioneve individuale). Një sulmues sulmon një program që përdor shumë burime të serverit duke dërguar një numër të madh kërkesash. Në fund, programi nuk ka kohë për të përpunuar të gjitha lidhjet. Ky është lloji që diskutuam më lart.

Sulmet DoS në kanalin e internetit kërkojnë shumë më tepër burime, por ato janë shumë më të vështira për t'u përballuar. Nëse nxjerrim një analogji me osi, atëherë këto janë sulme në nivelin 3-4, përkatësisht në kanalin ose protokollin e transferimit të të dhënave. Fakti është se çdo lidhje interneti ka kufirin e vet të shpejtësisë me të cilin të dhënat mund të transmetohen mbi të. Nëse ka shumë të dhëna, atëherë hardueri i rrjetit në të njëjtën mënyrë si programi, ai do t'i vendosë në radhë për transmetim dhe nëse sasia e të dhënave dhe shpejtësia e mbërritjes së tyre tejkalojnë shumë shpejtësinë e kanalit, atëherë ai do të mbingarkohet. Shpejtësia e transferimit të të dhënave në raste të tilla mund të llogaritet në gigabajt për sekondë. Për shembull, në rastin e një vendi të vogël të Liberisë të shkëputur nga interneti, shkalla e transferimit të të dhënave ishte deri në 5 Tb / s. Megjithatë, 20-40 Gb/s janë të mjaftueshme për të mbingarkuar shumicën e infrastrukturave të rrjetit.

Origjina e sulmeve DDoS

Më lart, ne shikuam se çfarë janë sulmet DDoS, si dhe metodat e sulmeve DDoS, është koha për të kaluar në origjinën e tyre. A keni menduar ndonjëherë pse këto sulme janë kaq efektive? Ato bazohen në strategjitë ushtarake që janë zhvilluar dhe testuar gjatë shumë dekadave.

Në përgjithësi, shumë nga qasjet ndaj siguria e informacionit bazuar në strategjitë ushtarake të së kaluarës. Ka viruse trojan që i ngjajnë betejës së lashtë për Trojën, ransomware që vjedhin skedarët tuaj për të marrë një shpërblim dhe sulme DDoS që kufizojnë burimet e armikut. Duke kufizuar opsionet e armikut, ju fitoni njëfarë kontrolli mbi veprimet e tij të mëvonshme. Kjo taktikë funksionon shumë mirë për të dy strategët ushtarakë. dhe për kriminelët kibernetikë.

Në rastin e strategjisë ushtarake, ne mund të mendojmë shumë thjesht për llojet e burimeve që mund të kufizohen për të kufizuar aftësitë e armikut. Kufizimi i ujit, ushqimit dhe materialeve të ndërtimit thjesht do të shkatërronte armikun. Me kompjuterë, gjithçka është ndryshe; ka shërbime të ndryshme, për shembull, DNS, server në internet, serverë Email. Të gjithë kanë infrastrukturë të ndryshme, por ka diçka që i bashkon. Ky është një rrjet. Pa një rrjet, nuk do të mund të hyni në shërbimin në distancë.

Kryekomandantët mund të helmojnë ujin, të djegin të korrat dhe të vendosin pika kontrolli. Kriminelët kibernetikë mund të dërgojnë të dhëna të pavlefshme në shërbim, ta detyrojnë atë të konsumojë të gjithë kujtesën ose të mbingarkojë plotësisht të gjithë kanalin e rrjetit. Strategjitë e mbrojtjes kanë gjithashtu të njëjtat rrënjë. Administratori i serverit do të duhet të monitorojë trafikun në hyrje për të gjetur trafikun me qëllim të keq dhe për ta bllokuar atë përpara se të arrijë kanalin ose programin e rrjetit të synuar.

gjetjet

Sulmet DDoS po bëhen më të zakonshme dhe më të fuqishme çdo herë. Kjo do të thotë që shërbimet që përdorim do të sulmohen gjithnjë e më shumë. Një nga mënyrat se si mund të zvogëlojmë numrin e sulmeve është të sigurohemi që pajisjet tona të mos jenë të infektuara me ndonjë virus dhe të marrin përditësime në kohë. Tani ju e dini se çfarë është një sulm DDoS dhe dini bazat e mbrojtjes, në një nga artikujt e mëposhtëm do të shohim më në detaje pikën e fundit.

Për të përfunduar, unë ofroj një leksion mbi sulmet DDoS:

Sulmi DoS dhe DDoS është një ndikim i jashtëm agresiv në burimet kompjuterike të një serveri ose stacioni pune, i kryer me qëllim që ta çojë këtë të fundit në dështim. Me dështim, nuk nënkuptojmë dështimin fizik të makinës, por padisponueshmërinë e burimeve të saj për përdoruesit e ndërgjegjshëm - dështimi i sistemit për t'i shërbyer atyre ( D anal o f S shërbimi, nga i cili formohet shkurtesa DoS).

Nëse një sulm i tillë kryhet nga një kompjuter i vetëm, ai klasifikohet si DoS (DoS), nëse nga disa - DDoS (DDoS ose DDoS), që do të thotë "D lëshuar D anal o f S shërbimi" - shpërndarja e mohimit të shërbimit. Më pas, do të flasim pse sulmuesit kryejnë veprime të tilla, cilat janë ato, çfarë dëmi u shkaktojnë të sulmuarve dhe se si këta të fundit mbrojnë burimet e tyre.

Kush mund të ndikohet nga sulmet DoS dhe DDoS

Serverët e korporatave të ndërmarrjeve dhe faqeve të internetit janë të ekspozuar ndaj sulmeve, shumë më rrallë - kompjuterët personalë individët. Qëllimi i veprimeve të tilla, si rregull, është i njëjtë - të shkaktohet dëm ekonomik ndaj personit të sulmuar dhe në të njëjtën kohë të mbetet në hije. Në disa raste, sulmet DoS dhe DDoS janë një nga fazat e hakimit të serverit dhe kanë për qëllim vjedhjen ose shkatërrimin e informacionit. Në fakt, një ndërmarrje ose faqe interneti që i përket kujtdo mund të bëhet viktimë e sulmuesve.

Një diagram që ilustron thelbin e një sulmi DDoS:

Sulmet DoS dhe DDoS kryhen më shpesh me sugjerimin e konkurrentëve të pandershëm. Pra, duke “mbushur” faqen e internetit të një dyqani online që ofron një produkt të ngjashëm, ju mund të bëheni përkohësisht një “monopolist” dhe të merrni klientët e tij për vete. Duke "shuar" një server të korporatës, ju mund të prishni punën e një kompanie konkurruese dhe në këtë mënyrë të zvogëloni pozicionin e saj në treg.

Sulmet në shkallë të gjerë që mund të shkaktojnë dëme të konsiderueshme zakonisht kryhen nga kriminelët profesionistë kibernetikë për shumë para. Por jo gjithmonë. Hakerat amatorë të rritur në shtëpi mund të sulmojnë burimet tuaja - pa interes, dhe hakmarrës nga punonjësit e pushuar nga puna, dhe thjesht ata që nuk ndajnë pikëpamjet tuaja për jetën.

Ndonjëherë goditja kryhet me qëllim zhvatjeje, ndërsa sulmuesi kërkon hapur para nga pronari i burimit për të ndaluar sulmin.

Serverët e kompanive shtetërore dhe organizatave të njohura shpesh sulmohen nga grupe anonime hakerësh shumë të aftë për të ndikuar tek zyrtarët ose për të shkaktuar protesta publike.

Si kryhen sulmet

Parimi i funksionimit të sulmeve DoS dhe DDoS është dërgimi i një fluksi të madh informacioni në server, i cili, në maksimum (për aq sa lejojnë aftësitë e hakerit), ngarkon burimet kompjuterike të procesorit, RAM-it, bllokon kanalet e komunikimit ose mbush hapësirën në disk. Makina e sulmuar nuk mund të përballojë përpunimin e të dhënave hyrëse dhe ndalon përgjigjen ndaj kërkesave të përdoruesve.

Kështu duket funksionimi normal i serverit, i vizualizuar në programin Logstalgia:

Efektiviteti i sulmeve të vetme DOS nuk është shumë i lartë. Përveç kësaj, një sulm nga një kompjuter personal e vë sulmuesin në rrezik për t'u identifikuar dhe kapur. Sulmet e shpërndara (DDoS) të kryera nga të ashtuquajturat rrjete zombie ose botnet ofrojnë shumë më tepër fitim.

Kjo është mënyra se si faqja e internetit Norse-corp.com shfaq aktivitetin e botnet-it:

Një rrjet zombie (botnet) është një grup kompjuterësh që nuk kanë lidhje fizike me njëri-tjetrin. Ata janë të bashkuar nga fakti se janë të gjithë nën kontrollin e një sulmuesi. Kontrolli ushtrohet nëpërmjet Trojan, e cila për momentin mund të mos shfaqet në asnjë mënyrë. Kur kryen një sulm, një haker udhëzon kompjuterët e infektuar të dërgojnë kërkesa në faqen e internetit ose serverin e viktimës. Dhe ai, në pamundësi për t'i bërë ballë sulmit, nuk përgjigjet më.

Ja se si Logstalgia tregon një sulm DDoS:

Çdo kompjuter mund të bashkohet me botnet. Dhe madje edhe një smartphone. Mjafton të kapni një Trojan dhe të mos e zbuloni në kohë. Nga rruga, botnet-i më i madh numëronte pothuajse 2 milionë makina në mbarë botën dhe pronarët e tyre nuk e kishin idenë se çfarë duhej të bënin.

Metodat e sulmit dhe mbrojtjes

Para se të nisë një sulm, hakeri kupton se si ta kryejë atë me efekt maksimal. Nëse nyja e sulmuar ka disa dobësi, ndikimi mund të kryhet në drejtime të ndryshme, gjë që do të komplikojë shumë kundërmasat. Prandaj, është e rëndësishme që çdo administrator i serverit të studiojë të gjitha "fytet e ngushta" të tij dhe, nëse është e mundur, t'i forcojë ato.

përmbytje

Flud, me fjalë të thjeshta, është informacion që nuk mbart një ngarkesë semantike. Në kontekstin e sulmeve DoS / DDoS, një përmbytje është një ortek kërkesash boshe, të pakuptimta të një niveli ose një tjetër që nyja marrëse është e detyruar të përpunojë.

Qëllimi kryesor i përdorimit të përmbytjes është të bllokojë plotësisht kanalet e komunikimit, për të ngopur gjerësinë e brezit në maksimum.

Llojet e lëngjeve:

  • MAC flood - ndikim në komunikuesit e rrjetit (bllokimi i porteve nga rrjedhat e të dhënave).
  • ICMP flood - vërshimi i viktimës me kërkesa për jehonë shërbimi duke përdorur një rrjet zombie ose dërgimi i kërkesave "në emër të" hostit të sulmuar në mënyrë që të gjithë anëtarët e botnet-it t'i dërgojnë njëkohësisht një përgjigje jehone (sulmi Smurf). Një rast i veçantë i përmbytjes së ICMP është ping flooding (dërgimi i kërkesave për ping në server).
  • SYN flood - dërgimi i kërkesave të shumta SYN për viktimën, tejmbushja e radhës së lidhjes TCP duke krijuar një numër të madh lidhjesh gjysmë të hapura (në pritje të konfirmimit të klientit).
  • UDP flood - punon sipas skemës së sulmit Smurf, ku dërgohen datagramet UDP në vend të paketave ICMP.
  • HTTP flood - vërshimi i serverit me mesazhe të shumta HTTP. Një opsion më i sofistikuar është një përmbytje HTTPS, ku të dhënat e transmetuara janë të koduara paraprakisht dhe përpara se nyja e sulmuar t'i përpunojë ato, duhet t'i deshifrojë ato.


Si të mbroheni nga përmbytjet

  • Konfiguro çelësat e rrjetit për të vërtetuar dhe filtruar adresat MAC.
  • Kufizoni ose çaktivizoni përpunimin e kërkesave për echo ICMP.
  • Blloko paketat që vijnë nga një adresë ose domen specifik, gjë që jep arsye për të dyshuar për mosbesueshmëri.
  • Vendosni një kufi në numrin e lidhjeve gjysmë të hapura me një adresë, zvogëloni kohën e mbajtjes së tyre, zgjasni radhën e lidhjes TCP.
  • Çaktivizoni shërbimet UDP nga marrja e trafikut nga jashtë ose kufizoni numrin e lidhjeve UDP.
  • Përdorni CAPTCHA, vonesa dhe teknika të tjera të mbrojtjes së robotëve.
  • Rrit shuma maksimale Lidhjet HTTP, konfiguroni cachimin e kërkesave me nginx.
  • Zgjeroni gjerësinë e brezit të kanalit të rrjetit.
  • Nëse është e mundur, ndani një server të veçantë për përpunimin e kriptografisë (nëse përdoret).
  • Krijo një kanal rezervë për qasje administrative në server në situata emergjente.

Mbingarkimi i burimeve harduerike

Ka lloje të përmbytjeve që prekin jo kanalin e komunikimit, por burimet harduerike të kompjuterit të sulmuar, duke i ngarkuar ato në maksimum dhe duke shkaktuar një ngrirje ose përplasje. Për shembull:

  • Krijimi i një skripti që do të postojë në një forum ose faqe interneti ku përdoruesit kanë mundësinë të lënë komente, një sasi e madhe informacioni tekstual të pakuptimtë derisa të mbushet e gjithë hapësira në disk.
  • E njëjta gjë, vetëm regjistrat e serverit do të mbushin diskun.
  • Ngarkimi i një faqeje ku kryhet një lloj transformimi i të dhënave të futura me përpunim të vazhdueshëm të këtyre të dhënave (duke dërguar të ashtuquajturat paketa "të rënda").
  • Ngarkimi i procesorit ose memorjes duke ekzekutuar kodin përmes ndërfaqes CGI (mbështetja CGI ju lejon të ekzekutoni një program të jashtëm në server).
  • Aktivizimi i një sistemi sigurie që e bën serverin të paarritshëm nga jashtë, etj.


Si të mbroheni nga mbingarkesa e burimeve harduerike

  • Rritja e performancës së harduerit dhe hapësirës në disk. Kur serveri funksionon në modalitetin normal, të paktën 25-30% e burimeve duhet të mbeten të lirë.
  • Aktivizo analizën e trafikut dhe sistemet e filtrimit përpara se ta dërgosh në server.
  • Kufizoni përdorimin e burimeve të harduerit nga komponentët e sistemit (vendosni kuotat).
  • Ruani skedarët e regjistrit të serverit në një disk të veçantë.
  • Shpërndani burimet nëpër serverë të shumtë të pavarur. Kështu që nëse një pjesë dështon, të tjerat mbeten funksionale.

Dobësitë në sistemet operative, softuerin, firmuerin e pajisjes

Ka pa masë më shumë opsione për kryerjen e sulmeve të tilla sesa me përdorimin e përmbytjeve. Zbatimi i tyre varet nga aftësia dhe përvoja e sulmuesit, aftësia e tij për të gjetur gabime në kodin e programit dhe për t'i përdorur ato për përfitimin e tij dhe në dëm të pronarit të burimit.

Sapo një haker zbulon një dobësi (një gabim në softuer që mund të përdoret për të prishur sistemin), atij do t'i duhet vetëm të krijojë dhe të ekzekutojë një shfrytëzim - një program që shfrytëzon këtë dobësi.

Shfrytëzimi i dobësive nuk synohet gjithmonë të shkaktojë vetëm një mohim të shërbimit. Nëse hakeri është me fat, ai do të jetë në gjendje të fitojë kontrollin mbi burimin dhe të disponojë këtë "dhuratë të fatit" sipas gjykimit të tij. Për shembull, përdorni për të shpërndarë malware, vjedhin dhe shkatërrojnë informacionet, etj.

Metodat për të luftuar shfrytëzimin e dobësive në softuer

  • Instaloni në kohë përditësime që mbyllin dobësitë e sistemeve operative dhe aplikacioneve.
  • Izoloni nga aksesi i palëve të treta të gjitha shërbimet e krijuara për të zgjidhur detyrat administrative.
  • Përdorni mjete për monitorimin e vazhdueshëm të funksionimit të serverit OS dhe programeve (analiza e sjelljes, etj.).
  • Refuzoni programet potencialisht të cenueshme (falas, të shkruara vetë, të përditësuara rrallë) në favor të atyre të provuara dhe të mbrojtura mirë.
  • Përdorni mjete të gatshme për mbrojtjen e sistemeve nga sulmet DoS dhe DDoS, të cilat ekzistojnë si në formën e sistemeve harduerike dhe softuerike.

Si të përcaktoni nëse një burim është sulmuar nga një haker

Nëse sulmuesi ka arritur të arrijë qëllimin, është e pamundur të mos vërehet sulmi, por në disa raste administratori nuk mund të përcaktojë saktësisht se kur filloi. Kjo do të thotë, nga fillimi i një sulmi deri te simptomat e dukshme, ndonjëherë kalojnë disa orë. Megjithatë, gjatë ndikimit latent (derisa serveri "të shtrihet"), janë të pranishme edhe shenja të caktuara. Për shembull:

  • Sjellja e panatyrshme e aplikacioneve server ose sistemi operativ(varet, përplaset etj.).
  • Ngarkesa e CPU-së, RAM dhe kapaciteti i ruajtjes rritet ndjeshëm në krahasim me nivelin fillestar.
  • Vëllimi i trafikut në një ose më shumë porte rritet ndjeshëm.
  • Ka kërkesa të përsëritura të klientëve për të njëjtat burime (hapja e një faqeje të faqes, shkarkimi i të njëjtit skedar).
  • Analiza e regjistrave të serverëve, mureve të zjarrit dhe pajisjeve të rrjetit tregon një numër të madh kërkesash të përsëritura nga adresa të ndryshme, shpesh të drejtuara në një port ose shërbim specifik. Sidomos nëse faqja është e përqendruar në një audiencë të ngushtë (për shembull, rusisht-folëse), dhe kërkesat vijnë nga e gjithë bota. Në të njëjtën kohë, një analizë cilësore e trafikut tregon se kërkesat nuk kanë kuptim praktik për klientët.

E gjithë sa më sipër nuk është një shenjë 100% e një sulmi, por është gjithmonë një arsye për t'i kushtuar vëmendje problemit dhe për të marrë masat e duhura mbrojtëse.

Sulmet DoS janë sulme që çojnë në paralizën e serverit ose Kompjuter personal për shkak të numrit të madh të kërkesave që mbërrijnë me shpejtësi të madhe në burimin e sulmuar. Nëse një sulm i tillë kryhet njëkohësisht nga një numër i madh kompjuterësh, atëherë në këtë rast flitet për Sulmi DDoS.

DoS- Mohimi i Shërbimit- sulm ndaj "mohimit të shërbimit". Ky sulm mund të kryhet në dy mënyra. Me metodën e parë Një sulm DoS përdor një dobësi në softuerin e instaluar në kompjuterin e sulmuar. Duke përdorur një dobësi të tillë në një kompjuter, mund të shkaktoni një gabim të caktuar kritik, i cili do të çojë në një shkelje të sistemit.

Në metodën e dytë, sulmi kryhet duke dërguar njëkohësisht një numër të madh të paketave të informacionit në kompjuterin e sulmuar. Sipas parimeve të transferimit të të dhënave ndërmjet kompjuterëve në një rrjet, çdo paketë informacioni e dërguar nga një kompjuter në tjetrin përpunohet për një kohë të caktuar.

Nëse në të njëjtën kohë në kompjuter arrin një kërkesë tjetër, atëherë paketa hyn në "radhë" dhe zë një sasi të caktuar të burimeve fizike të sistemit. Prandaj, nëse një numër i madh kërkesash dërgohen në kompjuter në të njëjtën kohë, atëherë ngarkesa e tepërt do të bëjë që kompjuteri të "varet" ose të shkëputet nga interneti në rast urgjence. Kjo është pikërisht ajo që u nevojitet organizatorëve të një sulmi DoS.

Një sulm DDoS është një lloj sulmi DoS. Refuzimi i Shpërndarë i Shërbimit- “Distributed Denial of Service” - organizuar duke përdorur një numër shumë të madh kompjuterësh, për shkak të të cilave serverët mund të sulmohen edhe me një gjerësi bande shumë të madhe të kanaleve të internetit.

Ndonjëherë efekti i një sulmi DDoS "funksionon" rastësisht. Kjo ndodh nëse, për shembull, një lidhje është vendosur në një sit të vendosur në server në një burim popullor të Internetit. Kjo shkakton një rritje të madhe të trafikut të faqes ( efekti i pikës së spërkatjes), i cili vepron në server në mënyrë të ngjashme me një sulm DDoS.

Sulmet DDoS, ndryshe nga sulmet e thjeshta DoS, më së shpeshti kryhen për përfitime komerciale, sepse nevojiten qindra mijëra kompjuterë për të organizuar një sulm DDoS, dhe jo të gjithë mund të përballojnë kosto të tilla të mëdha materiale dhe kohore. Për të organizuar sulme DDoS, sulmuesit përdorin një rrjet të veçantë kompjuterash - botnet.

Një botnet është një rrjet kompjuterash të infektuar me një lloj të caktuar virusi. "zombi". Një sulmues mund të kontrollojë çdo kompjuter të tillë nga distanca, pa dijeninë e pronarit të kompjuterit. Me ndihmën e një virusi ose një programi që maskohet me mjeshtëri si "përmbajtje e dobishme", kodi i programit me qëllim të keq instalohet në kompjuterin e viktimës, i cili nuk njihet nga antivirusi dhe funksionon në "modalitetin e fshehtë". Në momentin e duhur, me komandën e pronarit të botnet-it, një program i tillë aktivizohet dhe fillon të dërgojë kërkesa në serverin e sulmuar.

Gjatë kryerjes së sulmeve DDoS, sulmuesit shpesh përdorin "Klaster DDoS"- një arkitekturë e veçantë me tre nivele e një rrjeti kompjuterash. Kjo strukturë përmban një ose më shumë konzolat e kontrollit, nga i cili dërgohet drejtpërdrejt një sinjal për një sulm DDoS.

Sinjali transmetohet në kompjuterët kryesorë- "lidhje transmetuese" midis konsolave ​​të kontrollit dhe kompjuterëve të agjentëve. Agjentët Këta janë kompjuterë që sulmojnë drejtpërdrejt serverin me kërkesat e tyre. Si kompjuterët pritës ashtu edhe kompjuterët e agjentëve janë, si rregull, "zombi", d.m.th. pronarët e tyre nuk e dinë se janë pjesëmarrës në një sulm DDoS.

Metodat e mbrojtjes kundër sulmeve DDoS janë të ndryshme në varësi të llojit të vetë sulmit. Sulmet DDoS përfshijnë llojet e mëposhtme:

UDP flood - një sulm duke dërguar shumë pako UDP në adresën e "viktimës"; TCP flood - një sulm duke dërguar shumë paketa TCP në adresën e "viktimës"; TCP SYN flood - një sulm duke dërguar një numër të madh kërkesash për të inicializuar lidhjet TCP; ICMP flood - një sulm për shkak të kërkesave për ping të ICMP.

Sulmuesit mund të kombinojnë këto dhe lloje të tjera të sulmeve DDoS, gjë që i bën sulme të tilla edhe më të rrezikshme dhe të vështira për t'u eliminuar.

Për fat të keq, nuk ka metoda universale të mbrojtjes kundër sulmeve DDoS. Por ndjekja e disa rregullave të përgjithshme do të ndihmojë në uljen e rrezikut të një sulmi DDoS ose në trajtimin e pasojave të tij në mënyrë sa më efektive.

Pra, për të parandaluar një sulm DDoS, është e nevojshme të monitorohet vazhdimisht eliminimi i dobësive në softuerin e përdorur, të rriten burimet dhe të shpërndahen ato. Sigurohuni që të keni të paktën paketën minimale të softuerit të mbrojtjes DDoS të instaluar në kompjuterin tuaj. Këto mund të jenë mure zjarri të zakonshëm (firewall) dhe programe speciale anti-DDoS. Për të zbuluar sulmet DDoS, duhet të përdoren softuer dhe sisteme të veçanta harduerike.

Qëllimi i një sulmi DDoS mund të jetë ose të bllokojë projektin e një konkurrenti ose një burim popullor, ose të fitojë kontroll të plotë mbi sistemin. Kur promovoni një faqe, merret parasysh që kushtet e DoS ndodhin për arsyet e mëposhtme:

  • për shkak të gabimeve në kodin e programit që çojnë në ekzekutimin e udhëzimeve të pavlefshme, akses në një pjesë të papërdorur të hapësirës së adresave, etj.;
  • për shkak të verifikimit të pamjaftueshëm të të dhënave të përdoruesit, të cilat mund të çojnë në një cikël të gjatë (ose të pafund), rritje të konsumit të burimeve të procesorit, rraskapitje të memories, etj.;
  • për shkak të një përmbytjeje - një sulm i jashtëm përmes një numri të madh kërkesash të keqformuara ose të pakuptimta për serverin. Ka një vërshim të nënsistemit TCP, kanaleve të komunikimit dhe shtresës së aplikimit
  • për shkak të ndikimit të jashtëm, qëllimi i të cilit është të shkaktojë alarm i rremë sistemi mbrojtës dhe, si rezultat, çon në mungesën e disponueshmërisë së burimit.

Mbrojtja

Sulmet DDoS e bëjnë më të vështirë, sepse nëse serveri nuk funksionon për një kohë mjaft të gjatë, faqet bien nga indeksi. Për të zbuluar një kërcënim, përdoren metoda nënshkrimi, statistikore dhe hibride. Të parat bazohen në analizën cilësore, të dytat në analizën sasiore dhe të tretat kombinojnë avantazhet e metodave të mëparshme. Kundërmasat janë pasive dhe aktive, parandaluese dhe reaksionare. Kryesisht përdoren metodat e mëposhtme:

  • eliminimi i arsyeve personale dhe sociale që inkurajojnë njerëzit të organizojnë sulme DDoS,
  • gropa e zezë dhe filtrimi i trafikut,
  • eliminimi i dobësive të kodit gjatë optimizimi i motorit të kërkimit faqe,
  • rritja e burimeve të serverit, ndërtimi i sistemeve të dyfishta dhe të shpërndara për shërbimin rezervë të përdoruesve,
  • ndikim teknik dhe organizativo-ligjor në organizatorin, burimet ose qendrën e kontrollit të sulmit,
  • instalimi i pajisjeve për të zmbrapsur sulmet DDoS (Arbor Peakflow®, DefensePro®, etj.),
  • blerja e një serveri të dedikuar për hostimin e faqes në internet.


ARTIKUJ TË LIDHUR