DoS та DDoS-атаки: значення та відмінності. Чим небезпечні атаки DoS і DDoS? Відмінність dos від ddos

На обчислювальну систему з метою довести її до відмови, тобто створення таких умов, за яких легальні (правомірні) користувачі системи не можуть отримати доступ до ресурсів (серверів), що надаються системою, або цей доступ утруднений. Відмова «ворожої» системи може бути і кроком до оволодіння системою (якщо в нештатній ситуації видає якусь критичну інформацію - наприклад, версію, частина програмного коду і т. д.). Але найчастіше це міра економічного тиску: простої служби, що приносить дохід, рахунки від провайдера і заходи щодо уникнення атаки відчутно б'ють «мету» по кишені.

Якщо атака виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаці(Від англ. Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні»). У деяких випадках до фактичної DDoS-атаки призводить ненавмисна дія, наприклад, розміщення на популярному інтернет-ресурсі посилання на сайт, розміщений на не дуже продуктивному сервері (слешдот-ефект). Великий наплив користувачів призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні частини їх.

Види DoS-атак

Існують різні причини, через які може виникнути умова DoS:

  • Помилкау програмному коді , що призводить до звернення до фрагмента адресного простору, що не використовується, виконання неприпустимої інструкції або іншої необробленої виняткової ситуації, коли відбувається аварійне завершення програми-сервера - серверної програми. Класичним прикладом є звернення за нульовим (англ. null) адресою.
  • Недостатня перевірка даних користувача, що призводить до нескінченного або тривалого циклу або підвищеного тривалого споживання процесорних ресурсів (до вичерпання процесорних ресурсів) або виділення великого обсягу оперативної пам'яті (до вичерпання доступної пам'яті).
  • Флуд(англ. flood- «повінь», «переповнення») - атака, пов'язана з великою кількістю звичайно безглуздих або сформованих у неправильному форматі запитів до комп'ютерної системи або мережного обладнання, що має на меті або призвела до відмови в роботі системи через вичерпання системних ресурсів- процесора, пам'яті чи каналів зв'язку.
  • Атака другого роду- атака, яка прагне викликати хибне спрацьовування системи захисту та таким чином призвести до недоступності ресурсу.

Якщо атака (зазвичай флуд) проводиться одночасно з великої кількості IP-адрес - з кількох розосереджених у мережі комп'ютерів - то в цьому випадку вона називається розподіленоюатакою на відмову в обслуговуванні ( DDoS).

Експлуатація помилок

Експлойтомназивають програму, фрагмент програмного коду або послідовність програмних команд, що використовують уразливості в програмне забезпеченнята застосовувані для проведення атаки на кіберсистему. З експлойтів, що ведуть до DoS-атаки, але непридатних, наприклад, для захоплення контролю над «ворожою» системою, найбільш відомі WinNuke та Ping of death (Пінг смерті).

Флуд

Про флуд як порушення мережевого етикету див. Флуд.

Флудомназивають величезний потік безглуздих запитів з різних комп'ютерівз метою зайняти «ворожу» систему (процесор, ОЗП чи канал зв'язку) роботою і цим тимчасово вивести її з ладу. Поняття «DDoS-атака» практично рівносильне поняттю «флуд», і в побуті і той і інший часто взаємозамінні («зафлудити сервер» = «заDDoS'ити сервер»).

Для створення флуду можуть застосовуватись як звичайні мережеві утилітина кшталт ping (цим відомо, наприклад, інтернет-спільнота «Уп'ячка»), і особливі програми. Можливість DDoS'а часто «зашивають» у ботнети. Якщо на сайті з високою відвідуваністю буде виявлена ​​вразливість типу «міжсайтовий скриптинг» або можливість включення картинок з інших ресурсів, цей сайт також можна застосувати для DDoS-атаки.

Флуд каналу зв'язку та TCP-підсистеми

Будь-який комп'ютер, що має зв'язок з зовнішнім світомза протоколом TCP/IP , схильний до таких типів флуду:

  • SYN-флуд - при даному виді флуд-атаки на вузол, що атакується, направляється велика кількість SYN-пакетів за протоколом TCP (запитів на відкриття з'єднання). При цьому на комп'ютері, що атакується, через короткий час вичерпується кількість доступних для відкриття сокетів (програмних мережевих гнізд, портів) і сервер перестає відповідати.
  • UDP-флуд - цей тип флуду атакує не комп'ютер-мету, яке канал зв'язку. Провайдери резонно припускають, що UDP пакети треба доставити першими, а TCP можуть почекати. Великою кількістю UDP-пакетів різного розміру забивають канал зв'язку, і сервер, який працює за протоколом TCP, перестає відповідати.
  • ICMP-флуд - те саме, але за допомогою ICMP-пакетів.

Флуд прикладного рівня

Багато служб влаштовані так, що невеликим запитом можна викликати велику витрату обчислювальних потужностейна сервері. У такому разі атакується не канал зв'язку або TCP-підсистема, а безпосередньо служба (сервіс) – флудом подібних «хворих» запитів. Наприклад, веб-сервери вразливі для HTTP-флуду, - для виведення веб-сервера з ладу може застосовуватися як найпростіше GET /, так і складний запит до бази даних на кшталт GET /index.php?search=<случайная строка> .

Виявлення DoS-атак

Існує думка, що спеціальні засоби виявлення DoS-атак не потрібні, оскільки факт DoS-атаки неможливо не помітити. У багатьох випадках це справді так. Однак досить часто спостерігалися вдалі DoS-атаки, які були помічені жертвами лише через 2-3 доби. Бувало, що негативні наслідки атаки ( флуд-Атаки) виливалися в зайві витрати на оплату надлишкового Internet-трафіку, що з'ясовувалося лише при отриманні рахунку від Internet-провайдера. Крім того, багато методів виявлення атак неефективні поблизу об'єкта атаки, але ефективні на мережевих магістральних каналах. У такому разі доцільно ставити системи виявлення саме там, а не чекати, поки користувач, який зазнав атаки, сам її помітить і звернеться за допомогою. До того ж, для ефективної протидії DoS-атакам необхідно знати тип, характер та інші характеристики DoS-атак, а оперативно отримати ці відомості таки дозволяють системи виявлення.

Методи виявлення DoS-атак можна розділити на кілька великих груп:

  • сигнатурні – засновані на якісному аналізі трафіку.
  • статистичні – засновані на кількісному аналізі трафіку.
  • гібридні (комбіновані) - поєднують у собі переваги обох вищезгаданих методів.

Захист від DoS-атак

Заходи протидії DoS-атакам можна розділити на пасивні та активні, а також на превентивні та реакційні.

Нижче наведено короткий перелік основних методів.

  • Запобігання.Профілактика причин, що спонукають тих чи інших осіб організовувати та вжити DoS-атаки. (Дуже часто кібератаки взагалі є наслідками особистих образ, політичних, релігійних та інших розбіжностей, що провокує поведінку жертви тощо)
  • Фільтрування та блекхолінг.Блокування трафіку, що походить від атакуючих машин. Ефективність цих методів знижується в міру наближення до об'єкта атаки і підвищується в міру наближення до атакуючої машини.
  • Зворотній DDOS- Перенаправлення трафіку, що використовується для атаки, на атакуючого.
  • Усунення вразливостей.Не працює проти флуд-атак, котрим «уразливістю» є кінцівка тих чи інших системних ресурсів.
  • Нарощування ресурсів.Абсолютного захисту природно не дає, але є гарним тлом для застосування інших видів захисту від DoS-атак.
  • Розосередження.Побудова розподілених та дублювання систем, які не припинять обслуговувати користувачів, навіть якщо деякі їх елементи стануть недоступними через DoS-атаку.
  • Ухиляння.Видалення безпосередньої мети атаки (доменного імені або IP-адреси) подалі від інших ресурсів, які часто також піддаються впливу разом з метою атаки.
  • Активні заходи у відповідь.Вплив на джерела, організатора або центр управління атакою як техногенними, так і організаційно-правовими засобами.
  • Використання обладнання для відображення DoS-атак.Наприклад DefensePro® (Radware), Периметр (МФІ Софт), Arbor Peakflow® та інших виробників.
  • Придбання сервісу захисту від DoS-атак.Актуально у разі перевищення флудом пропускної спроможності мережного каналу.

Див. також

Примітки

Література

  • Кріс Касперський Комп'ютерні вірусизсередини та зовні. - Пітере. - СПб. : Пітер, 2006. - С. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik.Аналіз типових порушень безпеки в мережах = Intrusion Signatures and Analysis. - New Riders Publishing (англ.) СПб.: Видавничий дім "Вільямс" (російськ.), 2001. - С. 464. - ISBN 5-8459-0225-8 (російськ.), 0-7357-1063-5 ( англ.)
  • Morris, R.T= A Weakness in the 4.2BSD Unix TCP/IP Software. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, Feb 1985.
  • Bellovin, S. M.= Security Problems у протоколі TCP/IP. - Computer Communication Review, Vol. 19, No.2. - AT&T Bell Laborotories, April 1989.
  • = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.
  • = daemon9 / route / infinity "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.

Посилання

  • DoS-атакау каталозі посилань Open Directory Project (

Останнім часом ми змогли переконатися, що DDoS атаки - це досить сильна зброя в інформаційному просторі. За допомогою DDoS атак з високою потужністю можна не тільки відключити один або кілька сайтів, але й порушити роботу всього сегменту мережі або відключити інтернет у маленькій країні. У наші дні DDoS атаки трапляються все частіше і їхня потужність з кожним разом зростає.

Але в чому суть такої атаки? Що відбувається в мережі, коли вона виконується, звідки взагалі виникла ідея так робити і чому вона така ефективна? На всі ці запитання ви знайдете відповіді у нашій сьогоднішній статті.

DDoS або distributed denial-of-service (розділена відмова в обслуговуванні) - це атака на певний комп'ютеру мережі, яка змушує його шляхом навантаження не відповідати на запити інших користувачів.

Щоб зрозуміти що означає ddos ​​атака, давайте уявимо ситуацію: веб-сервер віддає користувачам сторінки сайту, допустимо створення сторінки і повну її передачу комп'ютера користувача йде півсекунди, тоді наш сервер зможе нормально працювати при частоті два запити в секунду. Якщо таких запитів буде більше, то вони будуть поставлені в чергу і обробляться як тільки веб-сервер звільнитися. Усі нові запити додаються до кінця черги. А тепер уявимо, що запитів дуже багато, і більшість із них йдуть тільки для того, щоб перевантажити цей сервер.

Якщо швидкість надходження нових запитів перевищує швидкість обробки, то згодом черга запитів буде настільки довгою, що фактично нові запити вже не будуть оброблятися. Це і є головним принципом ddos ​​атаки. Раніше такі запити відправлялися з однієї IP-адреси і це називалося атакою відмови в обслуговуванні - Dead-of-Service, по суті, це відповідь на питання що таке dos. Але з такими атаками можна ефективно боротися, просто додавши ip адресу джерела або кількох до списку блокування, до того ж кілька пристроїв через обмеження пропускної спроможності мережі не фізично не можуть генерувати достатню кількість пакетів, щоб перевантажити серйозний сервер.

Тому зараз атаки виконуються одразу з мільйонів пристроїв. До називання було додано слово Distribed, розподілене, вийшло – DDoS. По одному ці пристрої нічого не означають, і можливо підключення до інтернету з не дуже великою швидкістю, Але коли вони починають все одночасно надсилати запити на один сервер, то можуть досягти загальної швидкості до 10 Тб/с. А це вже досить серйозний показник.

Залишилося розібратися, де зловмисники беруть стільки пристроїв для виконання своїх атак. Це звичайні комп'ютери, або різні пристрої IoT, до яких зловмисники змогли отримати доступ. Це може бути все, що завгодно, відеокамери та роутери з давно не оновлюваною прошивкою, пристрої контролю, та й звичайні комп'ютери користувачів, які якимось чином підхопили вірус і не знають про його існування або не поспішають його видаляти.

Види DDoS атак

Є два основні типи DDoS атак, одні орієнтовані на те, щоб перевантажити певну програму та атаки, спрямовані на навантаження самого мережевого каналу до цільового комп'ютера.

Атаки на перевантаження якої-небудь програми ще називаються атаки у 7 (у моделі роботи мережі osi - сім рівнів і останній - це рівнів окремих додатків). Зловмисник атакує програму, яка використовує багато ресурсів сервера шляхом надсилання великої кількості запитів. Зрештою, програма не встигає обробляти всі з'єднання. Саме цей вид ми розглядали вище.

DoS атаки на інтернет канал вимагають набагато більше ресурсів, зате з ними набагато складніше впоратися. Якщо проводити аналогію з osi, це атаки на 3-4 рівень, саме у канал чи протокол передачі. Справа в тому, що будь-яке інтернет-з'єднання має свій ліміт швидкості, з якої по ньому можуть передаватися дані. Якщо даних буде дуже багато, то мережеве обладнаннятак само, як і програма, ставитиме їх у чергу на передачу, і якщо кількість даних і швидкість їх надходження буде дуже перевищувати швидкість каналу, то він буде перевантажений. Швидкість передачі в таких випадках може обчислюватися в гігабайтах в секунду. Наприклад, у разі відключення від інтернету невеликої країни Ліберії, швидкість передачі даних склала до 5 Тб/сек. Тим не менш, 20-40 Гб/сек достатньо, щоб перевантажити більшість мережевих інфраструктур.

Походження DDoS атак

Вище ми розглянули що таке DDoS атаки, а також способи DDoS атаки, настав час перейти до їх походження. Ви коли-небудь замислювалися, чому ці атаки настільки ефективні? Вони ґрунтуються на військових стратегіях, які розроблялися та перевірялися протягом багатьох десятиліть.

Взагалі, багато хто з підходів до інформаційної безпекизасновані на військових стратегіях минулого. Існують троянські віруси, які нагадують стародавню битву за Трою, віруси-здирники, які крадуть ваші файли, щоб отримати викуп і DDoS атаки обмежують ресурси супротивника. Обмежуючи можливості противника, ви отримуєте трохи контролю за його наступними діями. Ця тактика працює дуже добре, як для військових стратегів. так і для кіберзлочинців.

У випадку військової стратегії ми можемо дуже просто думати про типи ресурсів, які можна обмежити, для обмеження можливостей противника. Обмеження води, їжі та будівельних матеріалів просто знищили б супротивника. З комп'ютерами все інакше тут є різні послуги, наприклад, DNS, веб-сервер, сервера електронної пошти. Усі вони мають різну інфраструктуру, але є те, що їх об'єднує. Це мережа. Без мережі ви не зможете отримати доступ до віддаленої служби.

Полководці можуть отруювати воду, спалювати посіви та влаштовувати контрольні пункти. Кіберзлочинці можуть надсилати службі невірні дані, змусити її спожити всю пам'ять або перевантажити весь мережевий канал. Стратегії захисту теж мають те саме коріння. Адміністратору сервера доведеться відстежувати вхідний трафік, щоб знайти шкідливий і заблокувати його ще до того, як він досягне цільового мережного каналу або програми.

Висновки

DDoS атаки стають все більш поширеними і з кожним разом все сильніше. Це означає, що служби, які ми використовуємо, будуть все частіше піддаватися атакам. Один із способів, за допомогою якого ми можемо зменшити кількість атак – це стежити за тим, щоб наші пристрої не були заражені жодними вірусами та вчасно отримували оновлення. Тепер ви знаєте, що таке DDoS атака і знаєте основи захисту, в одній з наступних статей ми розглянемо останній момент докладніше.

На завершення пропоную лекцію про DDoS атаки:

DoS і DDoS-атака - це агресивний зовнішній вплив на обчислювальні ресурси сервера або робочої станції, що проводиться з метою доведення останніх до відмови. Під відмовою ми розуміємо не фізичний вихід машини з ладу, а недоступність її ресурсів для сумлінних користувачів - відмова системи в їх обслуговуванні. D enial o f S ervice, із чого і складається абревіатура DoS).

Якщо така атака проводиться з одиночного комп'ютера, вона класифікується як DoS (ДоС), якщо з кількох – DDoS (ДіДоС чи ДДоС), що означає «D istributed D enial o f S ervice» - розподілене доведення до відмови в обслуговуванні. Далі поговоримо, для чого зловмисники проводять подібні впливи, якими вони бувають, яку шкоду завдають атакованим та як останнім захищати свої ресурси.

Хто може постраждати від DoS та DDoS атак

Атакам піддаються корпоративні сервери підприємств та веб-сайти, значно рідше – особисті комп'ютери. фізичних осіб. Мета подібних акцій, як правило, одна - завдати атакованому економічну шкоду і залишитися при цьому в тіні. В окремих випадках DoS та DDoS атаки є одним з етапів злому сервера та спрямовані на крадіжку або знищення інформації. По суті, жертвою зловмисників може стати підприємство чи сайт, що належать будь-кому.

Схема, що ілюструє суть DDoS-атаки:

DoS і DDoS-атаки найчастіше проводять із подачі нечесних конкурентів. Так, «заваливши» веб-сайт інтернет-магазину, який пропонує аналогічний товар, можна на якийсь час стати «монополістом» і забрати його клієнтів собі. "Поклавши" корпоративний сервер, можна розладнати роботу конкуруючої компанії і тим самим знизити її позиції на ринку.

Масштабні атаки, здатні завдати суттєвої шкоди, виконуються, як правило, професійними кіберзлочинцями за чималі гроші. Але не завжди. Атакувати ваші ресурси можуть і доморощені хакери-аматори - з інтересу, і месники з числа звільнених співробітників, і просто ті, хто не поділяє ваші погляди на життя.

Іноді вплив проводиться з метою здирства, зловмисник при цьому відкрито вимагає від власника ресурсу гроші за припинення атаки.

На сервери державних компаній та відомих організацій нерідко нападають анонімні групи висококваліфікованих хакерів з метою впливу на посадових осіб чи виклику суспільного резонансу.

Як проводяться атаки

Принцип дії DoS і DDoS-атак полягає у відправленні на сервер великого потоку інформації, який по максимуму (наскільки дозволяють хакерові можливості) завантажує обчислювальні ресурси процесора, оперативної пам'яті, забиває канали зв'язку або заповнює дискове простір. Атакована машина не справляється з обробкою даних, що надходять, і перестає відгукуватися на запити користувачів.

Так виглядає нормальна робота сервера, візуалізована в програмі Logstalgia:

Ефективність одиночних DOS-атак не надто висока. Крім того, напад з особистого комп'ютера наражає зловмисника на ризик бути впізнаним і спійманим. Набагато більший прибуток дають розподілені атаки (DDoS), що проводяться з так званих зомбі-мереж або ботнетів.

Так відображає діяльність ботнету сайт Norse-corp.com:

Зомбі-мережа (ботнет) - це група комп'ютерів, які не мають фізичного зв'язку між собою. Їх об'єднує те, що вони перебувають під контролем зловмисника. Контроль здійснюється за допомогою троянської програми, яка до певного часу може ніяк себе не проявляти. При проведенні атаки хакер дає зараженим комп'ютерам команду надсилати запити на сайт або сервер жертви. І той, не витримавши тиску, перестає відповідати.

Так Logstalgia показує DDoS-атаку:

Увійти до складу ботнета може будь-який комп'ютер. І навіть смартфон. Достатньо підхопити троянця та вчасно його не виявити. До речі, найбільший ботнет налічував майже 2 млн машин по всьому світу, а їхні власники поняття не мали чим їм доводиться займатися.

Способи нападу та захисту

Перед початком атаки хакер з'ясовує, як провести її із максимальним ефектом. Якщо вузол, що атакується, має кілька вразливостей, вплив може бути проведений за різними напрямками, що значно ускладнить протидію. Тому кожному адміністратору сервера важливо вивчити всі його «вузькі місця» та, по можливості, їх зміцнити.

Флуд

Флуд, кажучи простою мовою, це інформація, яка не несе смислового навантаження. У контексті DoS/DDoS-атак флуд є лавиною порожніх, безглуздих запитів того чи іншого рівня, які приймаючий вузол змушений обробляти.

Основна мета використання флуду – повністю забити канали зв'язку, наситити смугу пропускання до максимуму.

Види флуду:

  • MAC-флуд – вплив на мережеві комунікатори (блокування портів потоками даних).
  • ICMP-флуд — завалення жертви службовими луною за допомогою зомбі-мережі або розсилання запитів «від імені» вузла, що атакується, щоб всі члени ботнета одночасно відправили йому луну-відповідь (атака Smurf). Окремий випадок ICMP-флуда - ping-флуд (надсилання на сервер запитів ping).
  • SYN-флуд — відправка жертві численних SYN-запитів, переповнюючи чергу TCP-підключень шляхом створення великої кількості напіввідкритих (що чекають на підтвердження клієнта) з'єднань.
  • UDP-флуд працює за схемою Smurf-атак, де замість ICMP-пакетів пересилаються датаграми UDP.
  • HTTP-флуд – завалювання сервера численними HTTP-повідомленнями. Більш витончений варіант - HTTPS-флуд, де дані, що пересилаються, попередньо шифруються, і перш ніж атакований вузол їх обробить, йому належить їх розшифрувати.


Як захиститися від флуду

  • Налаштувати на мережних комутаторах перевірку на валідність та фільтрацію MAC-адрес.
  • Обмежити або заборонити обробку відлуння ICMP.
  • Блокувати пакети, що надходять з певної адреси або домену, що дає привід підозрювати його в неблагонадійності.
  • Встановити ліміт кількості напіввідкритих з'єднань з однією адресою, скоротити час їх утримання, подовжити чергу TCP-подключений.
  • Вимкнути сервіси UDP від ​​прийому трафіку ззовні або обмежити кількість UDP-з'єднань.
  • Використовувати CAPTCHA, затримки та інші засоби захисту від ботів.
  • Збільшити максимальна кількістьПідключення HTTP, налаштувати кешування запитів за допомогою nginx.
  • Розширити пропускну спроможність мережного каналу.
  • По можливості виділити окремий сервер обробки криптографії (якщо використовується).
  • Створення резервного каналу для адміністративного доступу до сервера в аварійних ситуаціях.

Перевантаження апаратних ресурсів

Існують різновиди флуду, які впливають не на канал зв'язку, а на апаратні ресурси комп'ютера, що атакується, завантажуючи їх по повній і викликаючи зависання або аварійне завершення роботи. Наприклад:

  • Створення скрипту, який розмістить на форумі або сайті, де користувачі мають можливість залишати коментарі, величезну кількість безглуздої текстової інформації, поки не заповниться весь дисковий простір.
  • Те саме, тільки заповнювати накопичувач будуть логи сервера.
  • Завантаження сайту, де виконується будь-яке перетворення введених даних, безперервною обробкою цих даних (надсилання так званих «важких» пакетів).
  • Завантаження процесора або пам'яті виконанням коду через інтерфейс CGI (підтримка CGI дозволяє запускати на сервері будь-яку зовнішню програму).
  • Виклик спрацьовування системи безпеки, що робить сервер недоступним ззовні і т.д.


Як захиститись від перевантаження апаратних ресурсів

  • Збільшити продуктивність обладнання та обсяг дискового простору. Працюючи сервера в штатному режимі вільними повинні залишатися щонайменше 25-30% ресурсів.
  • Задіяти системи аналізу та фільтрації трафіку до передачі його на сервер.
  • Лімітувати використання апаратних ресурсів компонентами системи (встановити квоти).
  • Зберігати файли сервера на окремому накопичувачі.
  • Розосередити ресурси на кількох незалежних друг від друга серверах. Так щоб при відмові однієї частини інші зберігали працездатність.

Уразливості в операційних системах, програмному забезпеченні, прошивках пристроїв

Варіантів проведення такого роду атак набагато більше, ніж з використанням флуду. Їх реалізація залежить від кваліфікації та досвіду зловмисника, його вміння знаходити помилки в програмному коді та використовувати їх на благо собі та на шкоду власнику ресурсу.

Після того як хакер виявить уразливість (помилку в програмному забезпеченні, використовуючи яку можна порушити роботу системи), йому залишиться лише створити та запустити експлойт – програму, яка експлуатує цю вразливість.

Експлуатація вразливостей не завжди має на меті викликати лише відмову в обслуговуванні. Якщо хакеру пощастить, він зможе отримати контроль над ресурсом і розпорядитися цим «подарунком долі» на власний розсуд. Наприклад, використовувати для розповсюдження шкідливих програм, вкрасти та знищити інформацію тощо.

Методи протидії експлуатації вразливостей у софті

  • Вчасно встановлювати оновлення, що закривають уразливості операційних систем та програм.
  • Ізолювати від стороннього доступу всі служби, призначені на вирішення адміністративних завдань.
  • Використовувати засоби постійного моніторингу роботи ОС сервера та програм (поведінковий аналіз тощо).
  • Відмовитись від потенційно вразливих програм (безкоштовних, самописних, рідко оновлюваних) на користь перевірених та добре захищених.
  • Використовувати готові засоби захисту систем від DoS та DDoS-атак, які існують як у вигляді апаратних, так і програмних комплексів.

Як визначити, що ресурс зазнав нападу хакера

Якщо зловмиснику вдалося досягти мети, не помітити атаку неможливо, але в окремих випадках адміністратор не може точно визначити, коли вона почалася. Тобто від початку нападу до помітних симптомів іноді минає кілька годин. Однак під час прихованого впливу (поки сервер не «ліг») теж є певні ознаки. Наприклад:

  • Неприродна поведінка серверних програм або операційної системи(зависання, завершення роботи з помилками тощо).
  • Навантаження на процесор, оперативну пам'ятьі накопичувач проти вихідним рівнем різко зростає.
  • Обсяг трафіку однією чи кілька портів збільшується в рази.
  • Спостерігаються багаторазові звернення клієнтів до тих самих ресурсів (відкриття однієї сторінки сайту, завантаження одного й того самого файла).
  • Аналіз логів сервера, брандмауера та мережевих пристроїв показує велику кількість одноманітних запитів із різних адрес, часто спрямованих на конкретний порт чи сервіс. Особливо, якщо сайт орієнтований на вузьку аудиторію (наприклад, російськомовну), а запити йдуть з усього світу. Якісний аналіз трафіку у своїй показує, що звернення немає практичного сенсу клієнтам.

Все перераховане не є стовідсотковою ознакою атаки, але це завжди привід звернути увагу на проблему та вжити належних заходів захисту.

DoS-атаки- це атаки, що призводять до паралізації роботи сервера або персонального комп'ютеравнаслідок величезної кількості запитів, що з високою швидкістю надходять на атакований ресурс. Якщо подібна атака проводиться одночасно відразу з великої кількості комп'ютерів, то в цьому випадку говорять про DDoS-атаці.

DoS - Denial of Service- Атака на «відмову в обслуговуванні». Здійснити цю атаку можна двома способами. При першому способі для DoS-атаки використовується вразливість ПЗ, встановленого на комп'ютері, що атакується.. За допомогою такої вразливості на комп'ютері можна викликати певну критичну помилку, яка призведе до порушення працездатності системи.

У другому способі атака здійснюється за допомогою одночасного відсилання великої кількості пакетів інформації на комп'ютер, що атакується. Відповідно до принципів передачі між комп'ютерами в мережі, кожен пакет інформації, що посилається одним комп'ютером іншому, обробляється деякий час.

Якщо в цей же час на комп'ютер надходить ще один запит, то пакет стає в чергу і займає якусь кількість фізичних ресурсів системи. Тому якщо на комп'ютер одночасно надіслати велику кількість запитів, то надмірне навантаження змусить комп'ютер «повиснути» або аварійно відключитися від інтернету. Саме це потрібно організаторам DoS-атаки.

DDoS-атака – це різновид DoS-атаки. Distributed Denial of Service– «розподілена відмова в обслуговуванні» — організується за допомогою дуже великої кількості комп'ютерів, завдяки чому атаці можуть бути піддані серверу навіть з дуже великою пропускною спроможністю інтернет-каналів.

Іноді ефект DDoS-атаки "спрацьовує" випадково. Це відбувається в тому випадку, якщо, наприклад, сайт, що знаходиться на сервері, було поставлене посилання в популярному інтернет-ресурсі. Це викликає потужний сплеск відвідуваності сайту ( сплешдот-ефект), що діє на сервер аналогічно DDoS-атаці.

DDoS-атаки, на відміну від просто DoS-атак, найчастіше проводяться для комерційної вигоди, адже для організації DDoS-атаки потрібні сотні тисяч комп'ютерів, а такі величезні матеріальні та часові витрати може дозволити собі далеко не кожен. Для організації DDoS-атак зловмисники використовують спеціальну мережу комп'ютерів. ботнет.

Ботнет – мережа із заражених особливим видом вірусів комп'ютерів. «зомбі». Кожним комп'ютером зловмисник може керувати віддалено, без відома самого власника комп'ютера. За допомогою вірусу або програми, що майстерно маскується під "корисний вміст", на комп'ютер-жертву встановлюється шкідливий програмний код, який не розпізнається антивірусом і працює в "невидимому режимі". У потрібний момент за командою власника ботнета, така програма активізується і починає надсилати запити на сервер, що атакується.

Під час проведення DDoS-атак зловмисники часто використовують «кластер DDoS»- Спеціальну трирівневу архітектуру мережі комп'ютерів. Така структура містить одну або декілька керуючих консолей, з яких безпосередньо подається сигнал про DDoS-атаку.

Сигнал передається на головні комп'ютери– «передаюча ланка» між керуючими консолями та комп'ютерами-агентами. Агенти– це комп'ютери, які безпосередньо атакують сервер своїми запитами. І головні комп'ютери та комп'ютери-агенти – це, зазвичай, «зомбі», тобто. їх власники не знають, що є учасниками DDoS-атаки.

Способи захисту від DDoS-атак різняться залежно від виду самої атаки. Серед DDoS-атак виділяють такі типи:

UDP flood – атака за рахунок відправки на адресу «жертви» множини пакетів UDP; TCP flood - атака за рахунок відправки на адресу "жертви" безлічі пакетів TCP; TCP SYN flood – атака за рахунок виправлення великої кількості запитів на ініціалізацію TCP-з'єднань; ICMP flood – атака з допомогою пінг-запитів ICMP.

Зловмисники можуть комбінувати ці та інші види DDoS-атак, що робить такі атаки ще більш небезпечними та важко усувними.

На жаль, універсальних методів захисту від DDoS-атак не існує. Але дотримання деяких загальних правил допоможе знизити ризик DDoS-атаки або максимально ефективно боротися з її наслідками.

Так, для запобігання DDoS-атаки необхідно постійно стежити за усуненням уразливостей у ПЗ, нарощувати ресурси і розосереджувати їх. Обов'язково має бути встановлений хоча б мінімальний пакет програм захисту від DDoS. Це можуть бути і звичайні файрволи (брандмауери) та спеціальні анти-DDoS програми. Для виявлення DDoS-атак слід використовувати спеціальні програмно-апаратні комплекси.

Метою DDoS-атаки може бути як блокування проекту конкурента чи популярного ресурсу, і отримання повного контролю над системою. При розкручуванні сайту враховують, що DoS-умови виникають з наступних причин:

  • через помилки у програмному коді, які призводять до виконання неприпустимих інструкцій, звернення до невикористовуваної частини адресного простору тощо;
  • через недостатню перевірку даних користувачів, що може призвести до тривалого (або нескінченного) циклу, збільшеного споживання ресурсів процесора, вичерпання пам'яті та ін.;
  • через флуд — зовнішню атаку за допомогою великої кількості неправильно сформованих або безглуздих запитів до сервера. Розрізняють флуд TCP-підсистеми, каналів зв'язку та прикладного рівня
  • через зовнішній вплив, мета якого - викликати хибне спрацьовуваннязахисної системи та, як наслідок, призвести до недоступності ресурсу.

Захист

DDoS-атаки ускладнюють , оскільки за досить тривалої непрацездатності сервера сторінки випадають із індексу. Для виявлення загрози використовують сигнатурні, статистичні та гібридні методи. Перші базуються на якісному аналізі, другі - на кількісному, треті поєднують переваги попередніх способів. Заходи протидії бувають пасивними та активними, превентивними та реакційними. В основному застосовуються такі способи:

  • усунення особистих і соціальних причин, що спонукають людей організовувати DDoS-атаки,
  • блекхолінг та фільтрація трафіку,
  • ліквідація вразливостей коду в ході пошукової оптимізаціїсайту,
  • нарощування ресурсів сервера, побудова продубльованих та розподілених систем для резервного обслуговування користувачів,
  • технічний та організаційно-правовий вплив на організатора, джерела або центр управління атакою,
  • встановлення обладнання для відображення DDoS-атак (Arbor Peakflow®, DefensePro® та ін.),
  • купівля виділеного сервера для хостингу сайту


ПОХОДЖЕННЯ СТАТТІ