DOS a DDoS útoky: koncepce, typy, způsoby detekce a ochrany. DDoS útok - co to je? Jak jsou prováděny ddos ​​​​útoky na jednotlivých IP

Distribuované útoky odmítnutí služby, zkráceně DDoS, se staly běžným jevem a velkým bolehlavem vlastníků internetových zdrojů po celém světě. Proto dnes ochrana před DDoS útoky na web není doplňkovou možností, ale nezbytným předpokladem pro ty, kteří se chtějí vyhnout prostojům, obrovským ztrátám a poškozené pověsti.

Prozradíme vám podrobněji, co je to za nemoc a jak se před ní chránit.

Co je DDoS

Distributed Denial of Service nebo "Distributed Denial of Service" - útok na informační systém tak, aby nebyl schopen zpracovávat požadavky uživatelů. Jednoduše řečeno, DDoS zahrnuje zahlcení webového zdroje nebo serveru provozem z velkého množství zdrojů, takže je nedostupný. Často se takový útok provádí, aby vyvolal přerušení práce síťové zdroje ve velké společnosti nebo vládní organizaci

DDoS útok je podobný jiné běžné webové hrozbě, Denial of Service (DoS). Jediný rozdíl je v tom, že typický distribuovaný útok pochází z jednoho bodu, zatímco DDos útok je rozšířenější a pochází z různých zdrojů.

Hlavním cílem DDoS útoku je znepřístupnit web pro návštěvníky zablokováním jeho provozu. Existují však případy, kdy jsou takové útoky prováděny s cílem odvrátit pozornost od jiných škodlivých vlivů. DDoS útok může být například proveden, když je narušen bezpečnostní systém za účelem převzetí databáze organizace.

DDoS útoky se dostaly do pozornosti veřejnosti v roce 1999, kdy došlo k sérii útoků na webové stránky velkých společností (Yahoo, eBay, Amazon, CNN). Od té doby se tento typ kybernetické kriminality vyvinul v globální hrozbu. Podle odborníků se v posledních letech jejich frekvence zvýšila 2,5krát a maximální výkon začal překračovat 1 Tbit/sec. Každý šestý se alespoň jednou stal obětí DDoS útoku. ruská společnost. Do roku 2020 jejich celkový počet dosáhne 17 milionů.

Hostingová platforma s 24/7 ochranou před nejsofistikovanějšími DDoS útoky.

Důvody DDoS útoků

  1. Osobní nevraživost.Často nabádá útočníky k útokům na korporace nebo vládní společnosti. Například v roce 1999 byly napadeny webové stránky FBI, což způsobilo jejich výpadek na několik týdnů. Stalo se tak proto, že FBI zahájila rozsáhlou razii na hackery.
  2. Politický protest. Typicky jsou takové útoky prováděny hacktivisty - IT specialisty s radikálními názory na občanský protest. Známým příkladem je série kybernetických útoků na estonské vládní agentury v roce 2007. Jejich pravděpodobným důvodem byla možnost demolice Památníku vojáka-osvoboditele v Tallinnu.
  3. Zábava. Dnes se stále více lidí zajímá o DDoS a chtějí si to vyzkoušet. Začínající hackeři často podnikají útoky pro zábavu.
  4. Vydírání a vydírání. Před zahájením útoku hacker kontaktuje vlastníka zdroje a požaduje výkupné.
  5. Soutěž. DDoS útoky lze objednat u bezohledné společnosti za účelem ovlivnění jejích konkurentů.

Kdo jsou potenciální oběti?

DDoS dokáže zničit stránky jakékoli velikosti, od běžných blogů až po největší korporace, banky a další finanční instituce.

Podle výzkumu provedeného společností Kaspersky Lab by útok mohl stát firmu až 1,6 milionu dolarů. To je vážné poškození, protože napadený webový zdroj nemůže být nějakou dobu obsluhován, což způsobuje výpadky.

Webové stránky a servery nejčastěji trpí útoky DDoS:

  • velké společnosti a vládní agentury;
  • finanční instituce (banky, správcovské společnosti);
  • kupónové služby;
  • lékařské ústavy;
  • platební systémy;
  • Média a agregátory informací;
  • on-line obchody a podniky elektronického obchodování;
  • Online hry a herní služby;
  • směnárny kryptoměn.

Není to tak dávno, co bylo na smutný seznam častých obětí DDoS útoků přidáno zařízení připojené k internetu, souhrnně nazývané „Internet of Things“ (IoT). Největší dynamiku růstu v této oblasti vykazují kybernetické útoky zaměřené na narušení online pokladen velkých obchodů či obchodních center.

Mechanismus provozu

Všechny webové servery mají omezený počet požadavků, které mohou zpracovat současně. Kromě toho existuje omezení na šířku pásma kanálu spojujícího síť a server. K obejití těchto omezení útočníci vytvářejí počítačová síť se škodlivým softwarem, nazývaným „botnet“ nebo „síť zombie“.

K vytvoření botnetu kyberzločinci distribuují trojského koně prostřednictvím e-mailových zpravodajů, sociálních sítí nebo webových stránek. Počítače zahrnuté v botnetu nemají mezi sebou žádné fyzické spojení. Spojuje je pouze „sloužící“ cílům vlastníka hackera.

Během DDoS útoku posílá hacker příkazy „infikovaným“ zombie počítačům a ty zahájí útok. Botnety generují obrovské množství provozu, které může přetížit jakýkoli systém. Hlavními „objekty“ pro DDoS jsou obvykle šířka pásma serveru, server DNS a samotné připojení k internetu.

Známky DDoS útoku

Když akce útočníků dosáhnou svého cíle, může to být okamžitě určeno selháním provozu serveru nebo zdroje tam hostovaného. Existuje ale řada nepřímých příznaků, podle kterých se o DDoS útoku můžete dozvědět hned na začátku.

  • Serverový software a OS se často spouštějí a jednoznačně selhat- zamrznutí, nesprávné vypnutí atd.
    • hardwarová kapacita server, který se výrazně liší od denního průměru.
  • Rychlý nárůst přicházejícíprovoz v jednom nebo více portech.
  • Opakovaně duplicitní akce stejného typu klienti na jednom zdroji (přechod na web, nahrání souboru).
  • Při analýze logů (protokolů uživatelských akcí) serveru, firewallu nebo síťových zařízení byla odhalena mnoho žádostí stejný typ z různých zdrojů do jednoho port nebo službu. Měli byste být obzvláště opatrní, pokud se publikum požadavků výrazně liší od cíle pro web nebo službu.

Klasifikace typů DDoS útoků

Protokolová útočná (přepravní vrstva)

Útok DDoS je zaměřen na síťovou vrstvu serveru nebo webového prostředku, takže se často nazývá útok na síťovou vrstvu nebo transportní vrstvu. Jeho účelem je přetížit tabulkový prostor na bráně firewall založené na protokolech, centrální síti nebo systému vyvažování zátěže.

Nejběžnější metodou DDoS na transportní vrstvě je záplava sítě, což vytváří obrovský proud fiktivních požadavků na různých úrovních, které přijímající uzel fyzicky nemůže zpracovat.

Síťová služba obvykle používá pravidlo FIFO, což znamená, že počítač nezahájí obsluhu druhého požadavku, dokud nezpracuje první. Během útoku se ale počet požadavků zvýší natolik, že zařízení nemá dostatek prostředků na dokončení prvního požadavku. Výsledkem je, že záplava nasytí šířku pásma co nejvíce a zcela ucpe všechny komunikační kanály.

Běžné typy zahlcení sítě

  • HTTP záplava- Na napadený server je odesíláno množství pravidelných nebo šifrovaných HTTP zpráv, které ucpávají komunikační uzly.
  • ICMP záplava- útočníkův botnet přetíží hostitelský stroj oběti servisními požadavky, na které je povinen poskytovat echo odpovědi. Konkrétním příkladem tohoto typu útoku je Ppovodeň nebo Šmoulí útok, kdy jsou komunikační kanály naplněny požadavky ping používanými ke kontrole dostupnosti síťového uzlu. Právě kvůli hrozbě zahlcení ICMP správci systému často zcela blokují možnost zadávat požadavky ICMP pomocí firewallu.
  • SYN záplava- útok postihuje jeden ze základních mechanismů protokolu TCP, známý jako princip „triple handshake“ (algoritmus požadavek-odpověď: paket SYN – paket SYN-ACK – paket ACK). Oběť je bombardována záplavou falešných požadavků SYN bez odezvy. Kanál uživatele je ucpaný frontou TCP spojení z odchozích spojení čekajících na paket ACK odpovědi.
  • Záplava UDP- náhodné porty hostitelského počítače oběti jsou zahlceny pakety UDP, jejichž reakce přetěžují síťové zdroje. Je volán typ zaplavení UDP směrovaného na server DNS DNS záplava.
  • MAC záplava- cílem je síťové zařízení, jehož porty jsou ucpané proudy „prázdných“ paketů s různými MAC adresami. K ochraně před tímto typem DDoS útoků jsou síťové přepínače nakonfigurovány tak, aby kontrolovaly platnost a filtrovaly MAC adresy.

Útoky na aplikační vrstvu (vrstva infrastruktury)

Tato varianta se používá, když je nutné zabavit nebo zakázat hardwarové prostředky. Cílem „nájezdníků“ může být jak fyzický, tak i RAM nebo procesorový čas.

Není třeba přetěžovat šířku pásma. Stačí pouze způsobit přetížení procesoru oběti nebo, jinými slovy, zabrat celou dobu procesu.

Typy DDoS útoků na úrovni aplikace

  • Odeslání "těžkýX"balíčky, přicházející přímo k procesoru. Zařízení si nedokáže poradit se složitými výpočty a začne selhávat, čímž brání návštěvníkům v přístupu na stránku.
  • Pomocí skriptu je server naplněn „odpadkový“ obsah- log soubory, „uživatelské komentáře“ atd. Li Správce systému nenastavil na serveru limit, pak může hacker vytvořit obrovské dávky souborů, které zaplní celý pevný disk.
  • Problémy s kvótový systém. Některé servery používají ke komunikaci externí programy Rozhraní CGI (Common Gateway Interface, „rozhraní společné brány“). Při získání přístupu k CGI může útočník napsat svůj vlastní skript, který využije některé ze zdrojů, například procesorový čas, v jeho zájmu.
  • Neúplná kontrolaúdaje o návštěvnících. To také vede k dlouhodobému nebo dokonce nekonečnému využívání zdrojů procesoru, dokud nejsou vyčerpány.
  • Útok druhého typu. Způsobí falešný poplach v bezpečnostním systému, který může zdroj automaticky uzavřít před okolním světem.

Útoky na aplikační úrovni

Útok DDoS na úrovni aplikace využívá opomenutí při vytváření programového kódu, což činí software zranitelným vůči vnějším vlivům. Tento typ zahrnuje tak běžný útok jako „Ping of death“ – hromadné odesílání delších ICMP paketů do počítače oběti, což způsobuje přetečení vyrovnávací paměti.

Profesionální hackeři se však zřídka uchýlí k tak jednoduché metodě, jako je přetížení propustné kanály. K útoku na komplexní systémy velkých společností se snaží plně porozumět systémové struktuře serveru a napsat exploit - program, řetězec příkazů nebo část programového kódu, který bere v úvahu zranitelnost softwaru oběti a používá se k útoku. počítač.

DNS útoky

  1. První skupina je zaměřena na zranitelnosta dovnitřPODLE DNS servery. Patří mezi ně běžné typy kybernetických zločinů jako Zero-day attack a Fast Flux DNS.
    Jeden z nejběžnějších typů útoků DNS se nazývá DNS-Spoofing. Během ní útočníci nahradí IP adresu v mezipaměti serveru a přesměrují uživatele na falešnou stránku. Během přechodu zločinec získá přístup k osobním údajům uživatele a může je využít ve svůj prospěch. Například v roce 2009 se uživatelé kvůli falšování DNS záznamů nemohli hodinu dostat na Twitter. Tento útok měl politický charakter. Útočníci nainstalovali domovská stránka sociální síť varování od íránských hackerů související s americkou agresí
  2. Druhou skupinou jsou DDoS útoky, které vedou k Nefunkčnost DNS-servery. Pokud selžou, uživatel nebude mít přístup k požadované stránce, protože prohlížeč nenajde IP adresu specifickou pro konkrétní web.

Prevence a ochrana před DDoS útoky

Podle Corero Network Security je každý měsíc více než ⅔ všech společností na světě vystaveno útokům typu odmítnutí přístupu. Navíc jejich počet dosahuje 50.

Majitelé webových stránek, kteří neposkytují ochranu serveru před DDoS útoky, mohou nejen utrpět obrovské ztráty, ale také snížit důvěru zákazníků a také konkurenceschopnost na trhu.

Nejúčinnějším způsobem ochrany před útoky DDoS jsou filtry instalované poskytovatelem na širokopásmové internetové kanály. Provádějí konzistentní analýzu veškerého provozu a identifikují podezřelou síťovou aktivitu nebo chyby. Filtry lze instalovat jak na úrovni routeru, tak pomocí speciálních hardwarových zařízení.

Způsoby ochrany

  1. Již ve fázi psaní softwaru je třeba myslet na bezpečnost webu. Důkladně zkontrolujte software za chyby a zranitelnosti.
  2. Pravidelně aktualizovat software, a také poskytují příležitost k návratu stará verze pokud nastanou problémy.
  3. Následovat omezení přístupu. Služby související se správou by měly být zcela uzavřeny před přístupem třetích stran. Chraňte svůj administrátorský účet pomocí silných hesel a často je měňte. Okamžitě smažte účty zaměstnanců, kteří skončí.
  4. Přístup k administrátorské rozhraní musí být prováděno výhradně z vnitřní sítě nebo přes VPN.
  5. Prohledejte systém přítomnost zranitelností. Nejnebezpečnější zranitelnosti pravidelně zveřejňuje autoritativní hodnocení OWASP Top 10.
  6. Aplikovat aplikační firewall- WAF (Web Application Firewall). Kontroluje přenášený provoz a sleduje oprávněnost požadavků.
  7. Použití CDN(Content Delivery Network). Je to síť pro doručování obsahu, která funguje pomocí distribuovaná síť. Provoz je tříděn mezi více servery, což snižuje latenci při přístupu návštěvníků.
  8. Ovládejte příchozí provoz pomocí seznamy řízení přístupu (ACL), který bude označovat seznam lidí, kteří mají přístup k objektu (programu, procesu nebo souboru), a také jejich role.
  9. Umět blokovat provoz, který pochází z útočících zařízení. To se provádí dvěma způsoby: pomocí firewallů nebo ACL. V prvním případě je konkrétní tok blokován, ale obrazovky nemohou oddělit „pozitivní“ provoz od „negativního“ provozu. A ve druhém jsou filtrovány vedlejší protokoly. Proto nebude užitečné, pokud hacker používá prioritní dotazy.
  10. Chcete-li se chránit před falšováním DNS, musíte pravidelně vymazat mezipaměť DNS.
  11. Použití ochrana proti spamovým robotům- captcha, „lidské“ časové rámce pro vyplňování formulářů, reCaptcha (zaškrtněte „Nejsem robot“) atd.
  12. Reverzní útok. Veškerý škodlivý provoz je přesměrován na útočníka. Pomůže nejen odrazit útok, ale také zničit server útočníka.
  13. Umístění zdrojů na několik nezávislých serverů. Pokud jeden server selže, zbývající zajistí provoz.
  14. Použití osvědčené hardwarová ochrana z DDoS útoků. Například Impletec iCore nebo DefensePro.
  15. Vyberte si poskytovatele hostingu, se kterým spolupracuje spolehlivý dodavatel služby kybernetické bezpečnosti. Mezi kritérii spolehlivosti odborníci vyzdvihují: dostupnost záruk kvality, zajištění ochrany proti co nejširšímu rozsahu hrozeb, 24/7 technická podpora, transparentnost (klientský přístup ke statistikám a analytikám) a také absence poplatků za škodlivý provoz.

Závěr

V tomto článku jsme se podívali na to, co znamená DDoS útok a jak chránit svůj web před útoky. Je důležité si uvědomit, že takové škodlivé akce mohou snížit i ty nejbezpečnější a největší webové zdroje. To bude mít vážné důsledky v podobě obrovských ztrát a ztrát zákazníků. Proto je ochrana vašeho zdroje před DDoS útoky naléhavým úkolem pro všechny komerční struktury a vládní agentury.

Pokud chcete profesionální úroveň ochrany proti DDoS útokům – vyberte si! Neustálé sledování a nepřetržitá technická podpora.

Stále častěji se v oficiálních sděleních od poskytovatelů hostingu objevují odkazy na odražené DDoS útoky. Uživatelé, kteří zjistí nedostupnost svých stránek, ve stále větší míře okamžitě předpokládají DDoS. Začátkem března Runet skutečně zažil celou vlnu takových útoků. Odborníci přitom ujišťují, že zábava teprve začíná. Je prostě nemožné ignorovat fenomén tak relevantní, hrozivý a zajímavý. Dnes si tedy povíme něco o mýtech a faktech o DDoS. Z pohledu poskytovatele hostingu samozřejmě.

Památný den

Dne 20. listopadu 2013 byla poprvé v 8leté historii naší společnosti na několik hodin nedostupná celá technická platforma z důvodu bezprecedentního DDoS útoku. Trpěly desítky tisíc našich zákazníků v celém Rusku a SNS, nemluvě o nás a našem poskytovateli internetu. Poslední věc, kterou se poskytovateli podařilo zaznamenat, než pro všechny zhaslo bílé světlo, bylo to, že jeho vstupní kanály byly těsně ucpané příchozím provozem. Chcete-li si to představit, představte si svou vanu s běžným odtokem, do kterého se řítí Niagarské vodopády.

Dokonce i poskytovatelé výše v řetězci pocítili účinky této tsunami. Níže uvedené grafy jasně ilustrují, co se ten den dělo s internetovým provozem v Petrohradu a v Rusku. Všimněte si strmých vrcholů v 15 a 18 hodinách, přesně v okamžicích, kdy jsme zaznamenali útoky. Za tyto náhlé plus 500-700 GB.

Lokalizace útoku trvalo několik hodin. Byl vypočten server, na který byl odeslán. Poté byl vypočítán cíl internetových teroristů. Víte, koho všechno to nepřátelské dělostřelectvo zasáhlo? Jeden velmi obyčejný, skromný klientský web.

Mýtus číslo jedna: „Cílem útoku je vždy poskytovatel hostingu. To jsou machinace jeho konkurentů. Není moje." Ve skutečnosti je nejpravděpodobnějším cílem internetových teroristů obyčejná klientská stránka. Tedy stránky jednoho z vašich hostitelských sousedů. Nebo možná i váš.

Ne všechno je DDoS...

Po událostech na našem technickém webu 20. listopadu 2013 a jejich částečném opakování 9. ledna 2014 začali někteří uživatelé předpokládat DDoS při jakémkoli konkrétním selhání jejich vlastního webu: „Toto je DDoS!“ a "Zažíváte znovu DDoS?"

Je důležité si uvědomit, že pokud nás zasáhne takový DDoS, že to pocítí i naši klienti, okamžitě to sami nahlásíme.

Rádi bychom uklidnili ty, kteří spěchají k panice: pokud je na vašem webu něco v nepořádku, pak je pravděpodobnost, že se jedná o DDoS, menší než 1 %. Jednoduše proto, že se webu může stát spousta věcí a těchto „mnoha věcí“ se stává mnohem častěji. O metodách pro rychlou autodiagnostiku toho, co se přesně s vaším webem děje, si povíme v jednom z následujících příspěvků.

Mezitím si v zájmu přesnosti používání slov ujasníme pojmy.

O podmínkách

DoS útok (z anglického Denial of Service) - Toto je útok navržený tak, aby způsobil, že serveru bude odepřena služba z důvodu jeho přetížení.

DoS útoky nejsou spojeny s poškozením zařízení nebo krádeží informací; jejich cíl - aby server přestal reagovat na požadavky. Zásadní rozdíl mezi DoS spočívá v tom, že k útoku dochází z jednoho stroje na druhý. Účastníci jsou přesně dva.

Ve skutečnosti ale prakticky žádné DoS útoky nevidíme. Proč? Protože cílem útoků jsou nejčastěji průmyslová zařízení (například výkonné produktivní servery hostingových společností). A aby došlo k nějakému znatelnému poškození provozu takového stroje, je zapotřebí mnohem většího výkonu, než je jeho vlastní. To je první věc. A za druhé, iniciátor DoS útoku lze celkem snadno identifikovat.

DDoS - v podstatě to samé jako DoS, jen útok je distribuovaná příroda. Ne pět, ne deset, ne dvacet, ale stovky a tisíce počítačů přistupují k jednomu serveru současně z různých míst. Tato armáda strojů se jmenuje botnet. Identifikovat zákazníka a pořadatele je téměř nemožné.

Spolupachatelé

Jaké druhy počítačů jsou součástí botnetu?

Budete se divit, ale často jde o ty nejobyčejnější domácí stroje. Kdo ví?.. - dost možná tvoje domácí počítač odveden na stranu zla.

Na to moc nepotřebuješ. Útočník najde zranitelnost v populární operační systém nebo aplikaci a s její pomocí infikuje váš počítač trojským koněm, který v určitý den a čas dá vašemu počítači pokyn, aby začal provádět určité akce. Například posílejte požadavky na konkrétní IP. Bez vašeho vědomí a účasti, samozřejmě.

Mýtus číslo dvě: « DDoS se provádí někde daleko ode mě, ve speciálním podzemním bunkru, kde sedí vousatí hackeři s červenýma očima.“ Ve skutečnosti, aniž byste to věděli, vy, vaši přátelé a sousedé - kdokoli se může stát nevědomým spolupachatelem.

To se opravdu děje. I když na to nemyslíš. I když k TOMU máte strašně daleko (zvlášť když k TOMU máte daleko!).

Zábavné hackování nebo mechanika DDoS

Fenomén DDoS není jednotný. Tento koncept kombinuje mnoho možností akce, které vedou k jednomu výsledku (odepření služby). Podívejme se na typy problémů, které nám DDoSers mohou přinést.

Nadměrné využívání výpočetních zdrojů serveru

To se provádí odesíláním paketů na konkrétní IP, jejichž zpracování vyžaduje velké množství zdrojů. Například načtení stránky vyžaduje provedení velkého počtu SQL dotazů. Všichni útočníci budou požadovat přesně tuto stránku, což způsobí přetížení serveru a odmítnutí služby pro normální, legitimní návštěvníky webu.
Jde o útok na úrovni školáka, který strávil pár večerů čtením časopisu Hacker. Ona není problém. Stejná požadovaná adresa URL je vypočítána okamžitě, načež je přístup k ní zablokován na úrovni webového serveru. A to je jen jedno řešení.

Přetížení komunikačních kanálů na server (výstup)

Úroveň obtížnosti tohoto útoku je přibližně stejná jako u předchozího. Útočník určí nejtěžší stránku na webu a botnet pod jeho kontrolou ji začne hromadně vyžadovat.


Představte si, že část Medvídka Pú, která je pro nás neviditelná, je nekonečně velká
V tomto případě je také velmi snadné pochopit, co přesně blokuje odchozí kanál a zabránit přístupu na tuto stránku. Podobné dotazy lze snadno zobrazit pomocí speciální pomůcky, které vám umožní podívat se na síťové rozhraní a analyzovat provoz. Poté je pro Firewall napsáno pravidlo, které takové požadavky blokuje. To vše se děje pravidelně, automaticky a tak bleskově rychle, že Většina uživatelů o žádném útoku ani neví.

Mýtus číslo tři: "A Málokdy se však dostanou na můj hosting a vždy si jich všimnu.“ Ve skutečnosti 99,9 % útoků nevidíte ani necítíte. Ale každodenní boj s nimi - Toto je každodenní rutinní práce hostitelské společnosti. To je naše realita, ve které je útok levný, konkurence je mimo žebříčky a ne každý prokazuje rozlišovací schopnost v metodách boje o místo na slunci.

Přetížení komunikačních kanálů na server (vstup)

To už je úkol pro ty, kteří čtou magazín Hacker déle než jeden den.


Fotografie z webu rádia Echo Moskvy. Nenašli jsme nic vizuálnějšího, co by reprezentovalo DDoS s přetížením vstupních kanálů.
Chcete-li naplnit kanál příchozím provozem do kapacity, musíte mít botnet, jehož síla vám umožňuje generovat požadované množství provozu. Ale možná existuje způsob, jak posílat malý provoz a přijímat hodně?

Existuje, a ne jen jeden. Existuje mnoho možností vylepšení útoku, ale jedna z nejpopulárnějších právě teď je útok přes veřejné DNS servery. Odborníci tomu říkají zesilovací metoda Zesílení DNS(v případě, že někdo preferuje odborné termíny). Zjednodušeně řečeno si představte lavinu: k jejímu prolomení stačí malé úsilí, ale k zastavení stačí nelidské zdroje.

Ty i já to víme veřejný DNS server na požádání poskytne komukoli informace o jakémkoli názvu domény. Například se takového serveru zeptáme: řekni mi o doméně sprinthost.ru. A bez váhání nám říká vše, co ví.

Dotaz na DNS server je velmi jednoduchá operace. Kontaktovat ho téměř nic nestojí, žádost bude mikroskopická. Například takto:

Nezbývá než si vybrat Doménové jméno, informace o kterých vytvoří působivý datový balík. Původních 35 bajtů se tedy pohybem zápěstí změní na téměř 3700. Dochází k více než 10násobnému nárůstu.

Jak ale můžete zajistit, aby byla odpověď odeslána na správnou IP? Jak podvrhnout IP zdroj požadavku, aby DNS server vydal své odpovědi směrem k oběti, která si nevyžádala žádná data?

Faktem je, že servery DNS fungují podle Komunikační protokol UDP, která vůbec nevyžaduje potvrzení zdroje požadavku. Kování odchozí IP není v tomto případě pro dávkovače příliš obtížné. To je důvod, proč je tento typ útoku nyní tak populární.

Nejdůležitější je, že k provedení takového útoku stačí velmi malý botnet. A několik nesourodých veřejných DNS, které nebudou vidět nic divného na tom, že různí uživatelé čas od času požadují data od stejného hostitele. A teprve potom se veškerý tento provoz sloučí do jednoho proudu a pevně sepne jednu „trubku“.

To, co dávkovač nemůže vědět, je kapacita kanálů útočníka. A pokud správně nevypočítá sílu svého útoku a okamžitě neucpe kanál k serveru na 100%, lze útok poměrně rychle a snadno odrazit. Pomocí utilit jako TCPdump Je snadné zjistit, že příchozí provoz přichází z DNS, a na úrovni brány firewall zablokovat jeho přijetí. Tato možnost – odmítnutí přijímat provoz z DNS – je pro každého spojena s určitým nepohodlím, nicméně servery i weby na nich budou nadále úspěšně fungovat.

Toto je jen jedna z mnoha možností, jak posílit útok. Existuje mnoho dalších typů útoků, o nich můžeme mluvit jindy. Prozatím bych rád shrnul, že vše výše uvedené platí pro útok, jehož síla nepřesahuje šířku kanálu k serveru.

Pokud je útok silný

Pokud síla útoku překročí kapacitu kanálu k serveru, stane se následující. Internetový kanál k serveru je okamžitě ucpaný, pak k hostitelské stránce, k jejímu poskytovateli internetu, k poskytovateli upstream atd. útočná síla je dostatečná.

A tehdy se to stane globální problém pro všechny. A stručně řečeno, to jsme museli 20. listopadu 2013 řešit. A když dojde k velkým otřesům, je čas zapnout speciální magii!


Takto vypadá speciální kouzlo, pomocí kterého je možné určit server, na který je provoz směrován, a zablokovat jeho IP na úrovni poskytovatele internetu. Aby přestala přijímat jakékoli požadavky na tuto IP prostřednictvím svých komunikačních kanálů s vnějším světem (uplinky). Pro milovníky termínů: odborníci tento postup nazývají "Černá díra", z anglického blackhole.

V tomto případě napadený server s 500-1500 účty zůstává bez své IP. Je mu přidělena nová podsíť IP adres, na které jsou náhodně rovnoměrně rozmístěny klientské účty. Dále odborníci čekají, až se útok bude opakovat. Téměř vždy se to opakuje.

A když se to opakuje, napadená IP už nemá 500-1000 účtů, ale jen tucet nebo dva.

Okruh podezřelých se zužuje. Těchto 10-20 účtů je opět distribuováno na různé IP adresy. A znovu jsou inženýři v záloze a čekají na opakování útoku. Znovu a znovu rozdělují podezřelé účty na různé IP a tak, postupně se blíží, určují cíl útoku. Všechny ostatní účty se v tomto okamžiku vrátí k normálnímu provozu na předchozí IP.

Jak je zřejmé, nejedná se o okamžitý postup, jeho implementace vyžaduje čas.

Mýtus číslo čtyři:"Když dojde k rozsáhlému útoku, můj hostitel nemá akční plán." Jen se zavřenýma očima čeká, až bombardování skončí, a odpovídá na mé dopisy stejným typem odpovědí.“To není pravda: v případě útoku jedná poskytovatel hostingu podle plánu, aby jej lokalizoval a co nejrychleji odstranil následky. A dopisy stejného typu vám umožní sdělit podstatu toho, co se děje, a zároveň ušetřit prostředky potřebné k co nejrychlejšímu řešení mimořádné situace.

Je světlo na konci tunelu?

Nyní vidíme, že aktivita DDoS neustále roste. Objednávka útoku se stala velmi dostupnou a nehorázně levnou. Aby se předešlo obvinění z propagandy, nebudou zde žádné důkazní odkazy. Ale vezměte nás za slovo, je to pravda.

Mýtus číslo pět: „DDoS útok je velmi drahý podnik a jen obchodní magnáti si ho mohou dovolit objednat. Přinejmenším jde o machinace tajných služeb!“ Ve skutečnosti se takové akce staly mimořádně přístupnými.

Nelze tedy očekávat, že záškodnická činnost zmizí sama od sebe. Spíš to jen zesílí. Zbývá jen vykovat a naostřit zbraň. To je to, co děláme, zlepšujeme síťovou infrastrukturu.

Právní stránka problému

Toto je velmi nepopulární aspekt diskuse o DDoS útocích, protože jen zřídka slyšíme o případech dopadení a potrestání pachatelů. Měli byste si však pamatovat: DDoS útok je trestný čin. Ve většině zemí světa, včetně Ruské federace.

Mýtus číslo šest: « Teď už vím o DDoS dost, objednám párty pro konkurenci - a za tohle se mi nic nestane!" Je možné, že se to stane. A pokud ano, nebude se to zdát moc.

  • Začátek příběhu s DDoS platebního systému Assist
  • Vzrušující konec

Obecně platí, že nikomu nedoporučujeme, aby se zapojil do kruté praxe DDoS, aby si nevyvolal hněv spravedlnosti a nezničil si karmu. A my, vzhledem ke specifikům naší činnosti a velkému zájmu o výzkum, pokračujeme ve studiu problému, stojíme na stráži a zlepšujeme obranné struktury.

PS:nemáme dost laskavých slov, abychom vyjádřili svou vděčnost, tak jen říkáme"Děkuji!" našim trpělivým zákazníkům, kteří nás vřele podpořili v nelehký den 20. listopadu 2013. Na naši podporu jste řekl mnoho povzbudivých slov

Úvod

Dovolte mi provést rezervaci hned, když jsem psal tato recenze, byl jsem primárně zaměřen na publikum, které rozumí specifikům práce telekomunikačních operátorů a jejich datových sítí. Tento článek nastiňuje základní principy ochrany před DDoS útoky, historii jejich vývoje v posledním desetiletí a současnou situaci.

Co je DDoS?

Pravděpodobně dnes, když ne každý „uživatel“, tak alespoň každý „IT specialista“ ví, co jsou DDoS útoky. Ale ještě je potřeba říct pár slov.

DDoS útoky (Distributed Denial of Service) jsou útoky na počítačové systémy (síťové zdroje nebo komunikační kanály), jejichž cílem je znepřístupnit je legitimním uživatelům. Útoky DDoS zahrnují současné odesílání velkého počtu požadavků na konkrétní zdroj z jednoho nebo více počítačů umístěných na internetu. Pokud tisíce, desítky tisíc nebo miliony počítačů současně začnou odesílat požadavky na konkrétní server (nebo síťovou službu), pak to server buď nebude schopen zpracovat, nebo nebude dostatečná šířka pásma pro komunikační kanál k tomuto serveru. . V obou případech nebudou mít uživatelé internetu přístup k napadenému serveru, ani ke všem serverům a dalším zdrojům připojeným prostřednictvím zablokovaného komunikačního kanálu.

Některé vlastnosti DDoS útoků

Proti komu a za jakým účelem jsou DDoS útoky spouštěny?

DDoS útoky lze spustit proti jakémukoli zdroji na internetu. Největší škody DDoS útoky utrpí organizace, jejichž podnikání přímo souvisí s jejich přítomností na internetu – banky (poskytující služby internetového bankovnictví), internetové obchody, obchodní platformy, aukce, ale i další druhy činností, aktivita a efektivita z toho výrazně závisí na zastoupení na internetu (cestovní kanceláře, aerolinky, výrobci hardwaru a softwaru atd.) DDoS útoky jsou pravidelně spouštěny proti zdrojům takových gigantů globálního IT průmyslu, jako jsou IBM, Cisco Systems, Microsoft a další . Byly pozorovány masivní útoky DDoS proti eBay.com, Amazon.com a mnoha známým bankám a organizacím.

Velmi často jsou DDoS útoky spouštěny proti webovým reprezentacím politických organizací, institucí či jednotlivých známých osobností. Mnoho lidí ví o masivních a zdlouhavých útocích DDoS, které byly zahájeny proti webovým stránkám prezidenta Gruzie během gruzínsko-osetské války v roce 2008 (od srpna 2008 byly stránky několik měsíců nedostupné), proti serverům estonské vlády. (na jaře 2007, během nepokojů spojených s přesunem Bronzového vojáka), o periodických útocích ze severokorejského segmentu internetu proti americkým stránkám.

Hlavními cíli DDoS útoků je buď získat výhody (přímé či nepřímé) vydíráním a vydíráním, nebo sledovat politické zájmy, eskalovat situaci nebo se mstít.

Jaké jsou mechanismy pro spouštění DDoS útoků?

Nejoblíbenějším a nejnebezpečnějším způsobem spouštění DDoS útoků je používání botnetů (BotNets). Botnet je sada počítačů, na kterých jsou nainstalovány speciální softwarové záložky (boti); v překladu z angličtiny je botnet síť botů. Boty jsou obvykle vyvíjeny hackery individuálně pro každý botnet a jejich hlavním cílem je posílat požadavky konkrétnímu zdroji na internetu na příkaz přijatý od řídicího serveru botnetu – serveru příkazů a řízení botnetu. Server pro kontrolu botnetu je řízen hackerem nebo osobou, která botnet koupila a má možnost spustit DDoS útok od hackera. Na internetu se šíří boti různé způsoby zpravidla napadáním počítačů se zranitelnými službami a instalací softwarových záložek na ně nebo klamáním uživatelů a nucením k instalaci botů pod rouškou poskytování jiných služeb nebo softwaru, který funguje zcela neškodně nebo dokonce užitečná funkce. Existuje mnoho způsobů, jak roboty šířit, a pravidelně se vymýšlejí nové metody.

Pokud je botnet dostatečně velký – desítky nebo stovky tisíc počítačů – pak současné odesílání ze všech těchto počítačů i zcela legitimních požadavků na určitou síťovou službu (například webovou službu na konkrétním webu) povede k vyčerpání zdrojů buď samotné služby nebo serveru, nebo vyčerpání možností komunikačního kanálu. V každém případě bude služba uživatelům nedostupná a vlastník služby utrpí přímou, nepřímou újmu a poškození dobré pověsti. A pokud každý počítač nepošle jen jeden požadavek, ale desítky, stovky nebo tisíce požadavků za sekundu, pak se dopad útoku mnohonásobně zvýší, což umožňuje zničit i ty nejproduktivnější zdroje nebo komunikační kanály.

Některé útoky jsou zahájeny „neškodnějšími“ způsoby. Například flash mob uživatelů určitých fór, kteří po dohodě spustí v určitý čas„ping“ nebo jiné požadavky z jejich počítačů na konkrétní server. Dalším příkladem je umístění odkazu na webovou stránku na oblíbené internetové zdroje, což způsobí příliv uživatelů na cílový server. Pokud „falešný“ odkaz (navenek vypadá jako odkaz na jeden zdroj, ale ve skutečnosti odkazuje na zcela jiný server) odkazuje na webovou stránku malé organizace, ale je umístěn na populárních serverech nebo fórech, může takový útok způsobit příliv návštěvníků, který je pro tento web nežádoucí. Útoky posledních dvou typů zřídka vedou k zastavení dostupnosti serverů na řádně organizovaných hostingových serverech, ale takové příklady byly v roce 2009 dokonce v Rusku.

Pomohou tradiční technické prostředky ochrany proti DDoS útokům?

Zvláštností DDoS útoků je, že se skládají z mnoha simultánních požadavků, z nichž každý je jednotlivě zcela „legální“, navíc tyto požadavky odesílají počítače (nakažené roboty), které mohou patřit k nejčastějším skutečným nebo potenciálním uživatelům napadené služby nebo zdroje. Proto je velmi obtížné pomocí standardních nástrojů správně identifikovat a filtrovat přesně ty požadavky, které představují DDoS útok. Standardní systémy třídy IDS/IPS (Intrusion Detection / Prevention System - systém pro detekci / prevenci síťových útoků) v těchto požadavcích nenajdou „corpus delicti“, nepochopí, že jsou součástí útoku, pokud neprovedou kvalitativní analýza dopravních anomálií. A i když to najdou, odfiltrování nepotřebných požadavků také není tak snadné - standardní firewally a routery filtrují provoz na základě jasně definovaných přístupových seznamů (kontrolních pravidel) a nevědí, jak se „dynamicky“ přizpůsobit profilu uživatele. konkrétní útok. Firewally mohou regulovat toky provozu na základě kritérií, jako jsou zdrojové adresy, používané síťové služby, porty a protokoly. Ale účastní se DDoS útoku běžní uživatelé Internet, který odesílá požadavky pomocí nejběžnějších protokolů – nezakáže telekomunikační operátor všechny a všechno? Pak jednoduše přestane poskytovat komunikační služby svým předplatitelům a přestane poskytovat přístup k síťovým zdrojům, které obsluhuje, což je ve skutečnosti to, čeho se iniciátor útoku snaží dosáhnout.

Mnoho specialistů pravděpodobně ví o existenci speciálních řešení ochrany před DDoS útoky, která spočívají v detekci anomálií v provozu, sestavení profilu provozu a profilu útoku a následném procesu dynamického vícestupňového filtrování provozu. A o těchto řešeních budu také mluvit v tomto článku, ale o něco později. Nejprve si povíme o některých méně známých, ale někdy docela účinných opatřeních, kterými lze DDoS útoky potlačit stávající prostředky datové sítě a jejích správců.

Ochrana proti DDoS útokům pomocí dostupných prostředků

Existuje poměrně málo mechanismů a „triků“, které umožňují v některých speciálních případech potlačit DDoS útoky. Některé lze použít pouze v případě, že je datová síť postavena na zařízení konkrétního výrobce, jiné jsou víceméně univerzální.

Začněme doporučeními Cisco Systems. Odborníci z této společnosti doporučují zajistit ochranu pro základ sítě (Network Foundation Protection), která zahrnuje ochranu úrovně správy sítě (Control Plane), úrovně správy sítě (Management Plane) a ochranu datové úrovně sítě (Data Plane).

Management Plane Protection

Termín „administrační vrstva“ zahrnuje veškerý provoz, který spravuje nebo monitoruje směrovače a další síťová zařízení. Tento provoz je směrován směrem k routeru nebo pochází z routeru. Příklady takového provozu jsou relace Telnet, SSH a http(s), zprávy syslog, depeše SNMP. Mezi obecné doporučené postupy patří:

Zajištění maximální bezpečnosti protokolů správy a monitorování pomocí šifrování a ověřování:

  • protokol SNMP v3 poskytuje bezpečnostní opatření, zatímco SNMP v1 prakticky neposkytuje a SNMP v2 poskytuje pouze částečně - výchozí hodnoty komunity je vždy třeba změnit;
  • měly by být použity různé hodnoty pro veřejnou a soukromou komunitu;
  • protokol telnet přenáší všechna data včetně přihlašovacího jména a hesla v čistém textu (pokud je provoz zachycen, lze tyto informace snadno extrahovat a použít), doporučuje se místo toho vždy používat protokol ssh v2;
  • podobně místo http používejte pro přístup k zařízení https, přísnou kontrolu přístupu k zařízení, včetně adekvátní politiky hesel, centralizovaného ověřování, autorizace a účtování (model AAA) a místního ověřování pro účely redundance;

Implementace modelu přístupu založeného na rolích;

Řízení povolených připojení podle zdrojové adresy pomocí seznamů řízení přístupu;

Zakázání nepoužívaných služeb, z nichž mnohé jsou ve výchozím nastavení povoleny (nebo je zapomněli zakázat po diagnostice nebo konfiguraci systému);

Sledování využití prostředků zařízení.

Poslední dva body stojí za to se podrobněji zabývat.
Některé služby, které jsou ve výchozím nastavení zapnuté nebo které se po konfiguraci nebo diagnostice zařízení zapomněly vypnout, mohou útočníci použít k obejití stávajících bezpečnostních pravidel. Seznam těchto služeb je níže:

  • PAD (packet assembler/disassembler);

Před deaktivací těchto služeb musíte samozřejmě pečlivě analyzovat, zda jsou ve vaší síti nezbytné.

Je vhodné sledovat využití prostředků zařízení. To umožní za prvé včas zaznamenat přetížení jednotlivých síťových prvků a přijmout opatření k zabránění havárii a za druhé odhalit DDoS útoky a anomálie, pokud jejich detekce není zajištěna speciálními prostředky. Minimálně se doporučuje sledovat:

  • zatížení CPU
  • využití paměti
  • přetížení rozhraní routerů.

Monitorování lze provádět „ručně“ (pravidelným sledováním stavu zařízení), ale je samozřejmě lepší to provést speciální systémy monitorování nebo monitorování sítě informační bezpečnost(poslední zahrnuje Cisco MARS).

Ochrana řídicího letadla

Vrstva správy sítě zahrnuje veškerý provoz služeb, který zajišťuje fungování a konektivitu sítě v souladu se zadanou topologií a parametry. Příklady provozu řídicí roviny jsou: veškerý provoz generovaný nebo určený pro procesor trasy (RR), včetně všech směrovacích protokolů, v některých případech protokolů SSH a SNMP a ICMP. Jakýkoli útok na fungování směrovacího procesoru a zejména útoky DDoS mohou vést k významným problémům a přerušením fungování sítě. Následují doporučené postupy pro ochranu řídicí roviny.

Kontrola letadla Policing

Skládá se z používání mechanismů QoS (Quality of Service), aby se dala vyšší priorita řízení leteckého provozu než uživatelskému provozu (jehož součástí jsou útoky). Tím bude zajištěn chod servisních protokolů a routovacího procesoru, tedy zachování topologie a konektivity sítě a také samotné směrování a přepojování paketů.

ACL pro příjem IP

Tato funkce umožňuje filtrovat a řídit provoz služeb určený pro směrovač a směrovací procesor.

  • jsou aplikovány přímo na směrovací zařízení před tím, než provoz dosáhne směrovacího procesoru, poskytují ochranu „osobního“ zařízení;
  • jsou aplikovány poté, co provoz prošel běžnými seznamy řízení přístupu - jsou poslední úrovní ochrany na cestě ke směrovacímu procesoru;
  • platí pro veškerý provoz (jak vnitřní, vnější, tak tranzitní ve vztahu k síti telekomunikačního operátora).

Infrastruktura ACL

Přístup k proprietárním adresám směrovacího zařízení je obvykle nutný pouze pro hostitele ve vlastní síti operátora, ale existují výjimky (například eBGP, GRE, IPv6 přes tunely IPv4 a ICMP). Infrastrukturní seznamy ACL:

  • obvykle instalován na okraji sítě telekomunikačního operátora („na vstupu do sítě“);
  • mají za cíl zabránit externím hostitelům v přístupu k adresám infrastruktury operátora;
  • zajistit nerušený tranzit dopravy přes hranici sítě operátora;
  • poskytují základní ochranné mechanismy proti neoprávněným osobám síťová aktivita, popsané v RFC 1918, RFC 3330, zejména ochrana proti spoofingu (spoofing, použití falešných zdrojových IP adres za účelem maskování při zahájení útoku).

Autentizace souseda

Hlavním účelem autentizace sousedů je zabránit útokům, které zahrnují odesílání falešných zpráv směrovacího protokolu za účelem změny směrování v síti. Takové útoky mohou vést k neoprávněnému pronikání do sítě, neoprávněnému použití síťových zdrojů a také k tomu, že útočník zachytí provoz za účelem analýzy a získání potřebných informací.

Nastavení BGP

  • BGP filtry prefixů – slouží k zajištění toho, aby se informace o trasách vnitřní sítě telekomunikačního operátora nešířily do internetu (někdy mohou být tyto informace pro útočníka velmi užitečné);
  • omezení počtu prefixů, které mohou být přijaty z jiného routeru (prefix limiting) – používá se k ochraně před DDoS útoky, anomáliemi a selháními v sítích peeringových partnerů;
  • použití parametrů BGP Community a jejich filtrování lze také použít k omezení distribuce směrovacích informací;
  • Monitorování BGP a porovnávání dat BGP s pozorovaným provozem je jedním z mechanismů pro včasnou detekci DDoS útoků a anomálií;
  • filtrování podle parametru TTL (Time-to-Live) - slouží ke kontrole BGP partnerů.

Pokud je útok BGP spuštěn nikoli ze sítě peeringového partnera, ale ze vzdálenější sítě, pak bude parametr TTL pro pakety BGP nižší než 255. Hraniční směrovače operátora můžete nakonfigurovat tak, aby zahazovaly všechny pakety BGP s TTL hodnota< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana datové roviny v síti (Data Plane)

Navzdory důležitosti ochrany úrovně správy a řízení je většina provozu v síti telekomunikačního operátora datového, tranzitního nebo určeného pro účastníky tohoto operátora.

Unicast Reverse Path Forwarding (uRPF)

Útoky jsou často spouštěny pomocí technologie spoofingu – zdrojové IP adresy jsou falšovány, aby nebylo možné dohledat zdroj útoku. Falešné IP adresy mohou být:

  • ze skutečně používaného adresního prostoru, ale v jiném segmentu sítě (v segmentu, ze kterého byl útok zahájen, nejsou tyto falešné adresy směrovány);
  • z adresního prostoru nevyužitého v dané síti pro přenos dat;
  • z adresního prostoru, který není směrovatelný na internetu.

Implementace mechanismu uRPF na routerech zabrání směrování paketů se zdrojovými adresami, které jsou nekompatibilní nebo nepoužívané v segmentu sítě, ze kterého přišly na rozhraní routeru. Tato technologie někdy umožňuje poměrně efektivně odfiltrovat nežádoucí provoz nejblíže jeho zdroji, tedy nejúčinněji. Mnoho útoků DDoS (včetně slavné sítě Smurf a Tribal Flood Network) používá mechanismus spoofingu a stálý posun zdrojové adresy za účelem klamání standardní prostředky ochrana a filtrování provozu.

Využití mechanismu uRPF telekomunikačními operátory poskytujícími předplatitelům přístup k internetu účinně zabrání DDoS útokům využívajícím technologii spoofingu nasměrovaných jejich vlastními předplatiteli proti internetovým zdrojům. DDoS útok je tedy potlačen nejblíže svému zdroji, tedy nejúčinněji.

Vzdáleně spouštěné černé díry (RTBH)

Vzdáleně spouštěné černé díry se používají k „vyprázdnění“ (zničení, odeslání „nikam“) provozu vstupujícího do sítě směrováním tohoto provozu na speciální rozhraní Null 0. Tato technologie Doporučuje se jej používat na okraji sítě k poklesu provozu obsahujícího útok DDoS při jeho vstupu do sítě. Omezení (a významné) této metody spočívá v tom, že se vztahuje na veškerý provoz určený pro konkrétního hostitele nebo hostitele, kteří jsou cílem útoku. Tím pádem, tato metoda lze použít v případech, kdy je jeden nebo více hostitelů vystaveno masivnímu útoku, který způsobuje problémy nejen napadeným hostitelům, ale i dalším účastníkům a síti telekomunikačního operátora jako celku.

Černé díry lze spravovat buď ručně, nebo pomocí protokolu BGP.

Šíření zásad QoS prostřednictvím BGP (QPPB)

Řízení QoS přes BGP (QPPB) vám umožňuje spravovat zásady priority pro provoz určený pro konkrétní autonomní systém nebo blok IP adres. Tento mechanismus může být velmi užitečný pro telekomunikační operátory a velké podniky, včetně správy úrovně priority pro nežádoucí provoz nebo provoz obsahující útok DDoS.

Dřezové otvory

V některých případech není nutné zcela odstranit provoz pomocí černých děr, ale odklonit jej od hlavních kanálů nebo zdrojů pro následné monitorování a analýzu. To je přesně to, k čemu jsou určeny „diverzní kanály“ nebo Sink Holes.

Dřezové otvory se nejčastěji používají v následujících případech:

  • odklonit a analyzovat provoz s cílovými adresami, které patří do adresního prostoru sítě telekomunikačního operátora, ale ve skutečnosti se nepoužívají (nebyly přiděleny ani zařízení, ani uživatelům); takový provoz je a priori podezřelý, protože často naznačuje pokusy o skenování nebo pronikání do vaší sítě útočníkem, který nemá detailní informace o jeho struktuře;
  • přesměrovat provoz z cíle útoku, což je zdroj skutečně fungující v síti telekomunikačního operátora, pro jeho monitorování a analýzu.

DDoS ochrana pomocí speciálních nástrojů

Koncept Cisco Clean Pipes je průkopníkem v oboru

Moderní koncept ochrany proti DDoS útokům byl vyvinut (ano, ano, nebudete se divit! :)) společností Cisco Systems. Koncept vyvinutý společností Cisco se nazývá Cisco Clean Pipes. Koncept podrobně rozpracovaný před téměř 10 lety poměrně podrobně popisoval základní principy a technologie ochrany před dopravními anomáliemi, z nichž většina se používá dodnes, včetně jiných výrobců.

Koncept Cisco Clean Pipes zahrnuje následující principy pro detekci a zmírnění DDoS útoků.

Jsou vybrány body (úseky sítě), jejichž provoz je analyzován za účelem zjištění anomálií. V závislosti na tom, co chráníme, mohou být takovými body peeringová spojení telekomunikačního operátora s operátory vyšší úrovně, spojovací body nižších operátorů nebo předplatitelů, kanály připojující centra zpracování dat k síti.

Speciální detektory analyzují provoz v těchto bodech, sestavují (studují) dopravní profil v normálním stavu, a když se objeví DDoS útok nebo anomálie, detekují jej, studují a dynamicky formují jeho charakteristiky. Dále jsou informace analyzovány operátorem systému a poloautomaticky resp automatický režim Spustí se proces potlačení útoku. Potlačení je tam, kde je provoz určený pro „oběť“ dynamicky přesměrován přes filtrační zařízení, kde jsou na tento provoz aplikovány filtry generované detektorem a odrážejí individuální povahu tohoto útoku. Vyčištěný provoz je zaveden do sítě a odeslán příjemci (proto vznikl název Clean Pipes - předplatitel obdrží „čistý kanál“, který neobsahuje útok).

Celý cyklus ochrany před útoky DDoS tedy zahrnuje následující hlavní fáze:

  • Školení v řídicích charakteristikách provozu (profilování, základní učení)
  • Detekce útoků a anomálií (Detekce)
  • Přesměrování provozu, aby prošel čisticím zařízením (Odklon)
  • Filtrování provozu k potlačení útoků (zmírnění)
  • Vložení provozu zpět do sítě a jeho odeslání příjemci (Injection).

Několik funkcí.
Jako detektory lze použít dva typy zařízení:

  • Detektory vyráběné společností Cisco Systems jsou moduly Cisco Traffic Anomaly Detector Services Modules, navržené pro instalaci do šasi Cisco 6500/7600.
  • Detektory vyráběné společností Arbor Networks jsou zařízení Arbor Peakflow SP CP.

Níže je tabulka srovnávající detektory Cisco a Arbor.

Parametr

Cisco Detektor dopravních anomálií

Arbor Peakflow SP CP

Získávání dopravních informací pro analýzu

Používá kopii provozu přiděleného šasi Cisco 6500/7600

Používají se data o provozu Netflow přijatá z routerů; vzorkování lze upravit (1: 1, 1: 1 000, 1: 10 000 atd.)

Použité principy identifikace

Analýza podpisu (detekce zneužití) a detekce anomálií (dynamickýprofilování)

Primárně detekce anomálií; používá se analýza podpisů, ale podpisy jsou obecné povahy

Tvarový faktor

servisní moduly v šasi Cisco 6500/7600

samostatná zařízení (servery)

Výkon

Analyzován je provoz do 2 Gbit/s

Prakticky neomezené (frekvenci vzorkování lze snížit)

Škálovatelnost

Instalace až 4 modulůCiscoDetektorS.M.do jednoho šasi (moduly však fungují nezávisle na sobě)

Možnost použití několika zařízení v rámci jednoho analytického systému, z nichž jednomu je přiřazen status Leader

Sledování síťového provozu a směrování

Prakticky neexistuje žádná funkčnost

Funkčnost je velmi rozvinutá. Mnoho telekomunikačních operátorů kupuje Arbor Peakflow SP kvůli jeho hluboké a sofistikované funkcionalitě pro monitorování provozu a směrování v síti.

Poskytování portálu (individuální rozhraní pro účastníka, které umožňuje sledovat pouze část sítě, která se ho přímo týká)

Není poskytnuto

Pokud. Je to vážná výhoda toto rozhodnutí, protože telekomunikační operátor může svým předplatitelům prodávat jednotlivé služby ochrany DDoS.

Kompatibilní zařízení pro čištění dopravy (potlačení útoků)

Cisco Modul strážních služeb

 Arbor Peakflow SP TMS; Modul Cisco Guard Services.
Ochrana datových center při připojení k internetu Monitorování navazujících připojení účastnických sítí do sítě telekomunikačního operátora Detekce útoků naproti proudu- připojení sítě telekomunikačního operátora do sítí poskytovatelů vyšší úrovně Monitorování páteře telekomunikačního operátora
Poslední řádek tabulky ukazuje scénáře použití detektorů od Cisco a od Arbor, které byly doporučeny společností Cisco Systems. Tyto scénáře jsou znázorněny na obrázku níže.

Jako zařízení pro čištění provozu společnost Cisco doporučuje používat servisní modul Cisco Guard, který je instalován v šasi Cisco 6500/7600 a na základě příkazu přijatého z detektoru Cisco nebo Arbor Peakflow SP CP je provoz dynamicky přesměrován, vyčištěn a znovu vložen do síť. Mechanismy přesměrování jsou buď aktualizace BGP pro upstream routery, nebo přímé řídicí příkazy supervizorovi pomocí proprietárního protokolu. Při použití aktualizací BGP je upstream routeru přidělena nová hodnota nex-hop pro provoz obsahující útok, takže tento provoz jde na čistící server. Zároveň je třeba dbát na to, aby tyto informace nevedly k organizaci smyčky (aby se downstream router, když na něj zadává vyčištěný provoz, nepokoušel tento provoz zabalit zpět do zúčtovacího zařízení) . K tomu lze využít mechanismy pro řízení distribuce aktualizací BGP pomocí komunitního parametru nebo použití GRE tunelů při zadávání vyčištěného provozu.

Tento stav existoval do doby, než společnost Arbor Networks výrazně rozšířila produktovou řadu Peakflow SP a začala vstupovat na trh se zcela nezávislým řešením ochrany před DDoS útoky.

Představen Arbor Peakflow SP TMS

Před několika lety se společnost Arbor Networks rozhodla vyvinout svou řadu produktů pro ochranu před útoky DDoS nezávisle a bez ohledu na tempo a politiku rozvoje této oblasti ve společnosti Cisco. Řešení Peakflow SP CP měla oproti Cisco Detector zásadní výhody, protože analyzovala informace o toku se schopností regulovat vzorkovací frekvenci, a proto neměla žádná omezení pro použití v sítích telekomunikačních operátorů a na dálkových kanálech (na rozdíl od Cisco Detector, který analyzuje kopii provoz). Kromě toho byla hlavní výhodou Peakflow SP možnost operátorů prodávat účastníkům individuální službu pro monitorování a ochranu jejich segmentů sítě.

Díky těmto a dalším úvahám Arbor výrazně rozšířil svou produktovou řadu Peakflow SP. Objevila se řada nových zařízení:

Peakflow SP TMS (Threat Management System)- potlačuje DDoS útoky pomocí vícestupňového filtrování na základě dat získaných z Peakflow SP CP a z laboratoře ASERT vlastněné Arbor Networks, která monitoruje a analyzuje DDoS útoky na internetu;

Peakflow SP BI (Business Intelligence)- zařízení, která poskytují škálování systému, zvyšující počet logických objektů, které mají být monitorovány, a poskytující redundanci pro shromažďovaná a analyzovaná data;

Peakflow SP PI (portálové rozhraní)- zařízení, která poskytují nárůst účastníků, kteří mají k dispozici individuální rozhraní pro správu jejich vlastní bezpečnosti;

Peakflow SP FS (Flow Censor)- zařízení, která zajišťují monitorování účastnických routerů, připojení k downstream sítím a datovým centrům.

Principy fungování systému Arbor Peakflow SP zůstávají v podstatě stejné jako u Cisco Clean Pipes, nicméně Arbor své systémy pravidelně vyvíjí a zdokonaluje, takže v současnosti je funkčnost produktů Arbor v mnoha ohledech lepší než u Cisco, včetně produktivity .

K datu, maximální výkon Cisco Guard lze dosáhnout vytvořením clusteru 4 modulů Guard v jednom šasi Cisco 6500/7600, ale plné clusterování těchto zařízení není implementováno. Přitom špičkové modely Arbor Peakflow SP TMS disponují výkonem až 10 Gb/s a lze je zase clusterovat.

Poté, co se Arbor začal etablovat jako nezávislý hráč na trhu detekce a potlačování DDoS útoků, začalo Cisco hledat partnera, který by jí poskytl tolik potřebné monitorování dat o toku síťového provozu, ale nebyl by přímým konkurent. Takovou společností byla společnost Narus, která vyrábí systémy pro monitorování provozu založené na datech toků (NarusInsight), a uzavřela partnerství se společností Cisco Systems. Toto partnerství však nezaznamenalo vážný rozvoj a přítomnost na trhu. Navíc podle některých zpráv Cisco neplánuje investovat do svých řešení Cisco Detector a Cisco Guard, ve skutečnosti tuto mezeru přenechává Arbor Networks.

Některé funkce řešení Cisco a Arbor

Za zmínku stojí některé vlastnosti řešení Cisco a Arbor.

  1. Cisco Guard lze použít buď ve spojení s detektorem, nebo samostatně. V druhém případě se instaluje v in-line režimu a plní funkce detektoru, analyzuje provoz a v případě potřeby zapíná filtry a maže provoz. Nevýhodou tohoto režimu je, že za prvé je přidán další bod potenciálního selhání a za druhé další dopravní zpoždění (ačkoli je malé, dokud se nezapne filtrační mechanismus). Doporučeným režimem pro Cisco Guard je počkat na příkaz k přesměrování provozu obsahujícího útok, odfiltrovat jej a vrátit zpět do sítě.
  2. Zařízení Arbor Peakflow SP TMS mohou také pracovat v režimu off-ramp nebo in-line. V prvním případě zařízení pasivně čeká na příkaz k přesměrování provozu obsahujícího útok, aby jej vyčistilo a vložilo zpět do sítě. Ve druhém prochází veškerý provoz přes sebe, generuje na jeho základě data ve formátu Arborflow a přenáší je do Peakflow SP CP pro analýzu a detekci útoků. Arborflow je formát podobný Netflow, ale upravený Arborem pro jeho systémy Peakflow SP. Monitorování provozu a detekci útoků provádí Peakflow SP CP na základě dat Arborflow přijatých z TMS. Když je detekován útok, operátor Peakflow SP CP vydá příkaz k jeho potlačení, načež TMS zapne filtry a vymaže provoz z útoku. Na rozdíl od Cisco nemůže Peakflow SP TMS server pracovat samostatně, jeho provoz vyžaduje Peakflow SP CP server, který analyzuje provoz.
  3. Dnes se většina odborníků shoduje na tom, že úkoly ochrany místních částí sítě (například připojení datových center nebo připojení navazujících sítí) jsou efektivní.

Pravděpodobně mnoho moderních uživatelů počítačů a internetu slyšelo o přítomnosti DDoS útoků prováděných útočníky na jakékoli webové stránky nebo servery velkých společností. Pojďme se podívat na to, co je to DDoS útok, jak to udělat sami a jak se před takovým jednáním chránit.

Co je to DDoS útok?

Pro začátek možná stojí za to pochopit, co to takové protiprávní jednání je. Okamžitě si ujasněme, že při zvažování tématu „DDoS útok: jak to udělat sám“ budou informace poskytovány pouze pro informační účely, nikoli pro praktické použití. Veškeré jednání tohoto druhu je trestně postižitelné.

Samotný útok vesměs zasílá dostatečně velký počet požadavků na server nebo webovou stránku, která v případě překročení limitu požadavků zablokuje provoz webového zdroje nebo služby poskytovatele v podobě vypnutí. server bezpečnostním softwarem, firewally nebo specializované vybavení.

Je jasné, že DIY DDoS útok nemůže vytvořit jeden uživatel z jednoho počítačového terminálu bez speciální programy. Koneckonců nebude sedět celé dny a každou minutu posílat požadavky na napadený web. Takový počet nebude fungovat, protože každý poskytovatel poskytuje ochranu před DDoS útoky a jeden uživatel není schopen poskytnout serveru nebo webu takové množství požadavků, které by v krátké době překročily limit požadavků a spustily různé ochranné mechanismy. K vytvoření vlastního útoku tedy budete muset použít něco jiného. Ale o tom později.

Proč hrozba vzniká?

Pokud rozumíte tomu, co je útok DDoS, jak jej provést a odeslat na server nadměrné množství požadavků, stojí za to zvážit mechanismy, kterými jsou takové akce prováděny.

Mohou to být nespolehlivé, které nejsou schopny zvládnout velké množství požadavků, mezery v bezpečnostním systému poskytovatele nebo v samotných operačních systémech, nedostatek systémových zdrojů pro zpracování příchozích požadavků s dalším zamrzáním nebo pády systému atd.

Na úsvitu tohoto fenoménu prováděli svépomocné DDoS útoky především sami programátoři, kteří s jeho pomocí vytvářeli a testovali výkon ochranných systémů. Mimochodem, svého času i takoví IT giganti jako Yahoo, Microsoft, eBay, CNN a mnoho dalších trpěli akcemi útočníků, kteří používali komponenty DoS a DDoS jako zbraně. Klíčovým bodem v těchto situacích byly pokusy eliminovat konkurenty ve smyslu omezení přístupu k jejich internetovým zdrojům.

Obecně platí, že moderní elektronickí obchodníci dělají totéž. Chcete-li to provést, jednoduše si stáhněte program pro útoky DDoS a pak, jak se říká, je to otázka techniky.

Typy DDoS útoků

Nyní pár slov o klasifikaci útoků tohoto typu. Hlavní věcí pro každého je zakázat server nebo web. První typ zahrnuje chyby spojené s odesíláním nesprávných instrukcí na server k provedení, v důsledku čehož jeho provoz padá. Druhou možností je hromadné odesílání uživatelských dat, vedoucí k nekonečné (cyklické) kontrole s rostoucí zátěží systémových prostředků.

Třetím typem je povodeň. Zpravidla se jedná o odesílání chybně vytvořených (nesmyslných) požadavků na server nebo síťové zařízení za účelem zvýšení zátěže. Čtvrtým typem je tzv. ucpání komunikačních kanálů falešnými adresami. Lze také použít útok, což vede k tomu, že ve velmi počítačový systém se změní konfigurace, což vede k jeho úplné nefunkčnosti. Obecně platí, že seznam může trvat dlouho.

DDoS útok na web

Takový útok je zpravidla spojen s konkrétním hostingem a je zaměřen výhradně na jeden předem definovaný webový zdroj (v příkladu na fotografii níže je konvenčně označen jako example.com).

Je-li na stránku příliš mnoho hovorů, dochází k přerušení komunikace v důsledku blokování komunikace nikoli samotnou stránkou, ale serverovou částí služby poskytovatele, respektive ani samotným serverem nebo bezpečnostním systémem, ale blokováním komunikace. podpora. Jinými slovy, takové útoky mají za cíl zajistit, aby majitel hostingu obdržel od poskytovatele odmítnutí služby, pokud je překročen určitý smluvní limit provozu.

DDoS útok na server

Co se týče útoků na servery, tak zde nesměřují na žádný konkrétní hosting, ale konkrétně na poskytovatele, který jej poskytuje. A nezáleží na tom, že majitelé stránek kvůli tomu mohou trpět. Hlavní obětí je poskytovatel.

Aplikace pro organizaci DDoS útoků

Nyní jsme pochopili, jak to udělat pomocí specializovaných nástrojů, nyní na to přijdeme. Ihned poznamenejme, že aplikace tohoto typu nejsou nijak zvlášť klasifikovány. Jsou k dispozici online pro stažení zdarma. Například nejjednodušší a nejznámější program pro DDoS útoky s názvem LOIC je volně dostupný na Celosvětová Síť Pro načítání. S jeho pomocí můžete útočit pouze na stránky a terminály s dříve známými URL a IP adresami.

Z etických důvodů se nyní nebudeme zabývat tím, jak získat IP adresu oběti. Předpokládáme, že máme počáteční data.

Ke spuštění aplikace slouží spustitelný soubor Loic.exe a poté dva horní řádky Původní adresy se zadají na levé straně a poté se stisknou dvě tlačítka „Zamknout“ - mírně vpravo naproti každému řádku. Poté se v okně objeví adresa naší oběti.

Ve spodní části jsou posuvníky pro nastavení přenosové rychlosti požadavku pro TCP/UDF a HTTP. Ve výchozím nastavení je hodnota nastavena na „10“. Zvyšte jej na limit a poté stiskněte velké tlačítko „IMMA CHARGIN MAH LAZER“ pro zahájení útoku. Můžete jej zastavit opětovným stisknutím stejného tlačítka.

Přirozeně, jeden takový program, který se často nazývá „laserová zbraň“, nebude schopen způsobit potíže nějakému vážnému zdroji nebo poskytovateli, protože ochrana proti útokům DDoS je poměrně silná. Ale pokud skupina lidí používá tucet nebo více těchto zbraní současně, lze něčeho dosáhnout.

Ochrana proti DDoS útokům

Na druhou stranu, každý, kdo se pokusí o DDoS útok, by měl pochopit, že ani na „druhé“ straně nejsou žádní hlupáci. Mohou snadno zjistit adresy, ze kterých je takový útok prováděn, a to je plné nejstrašnějších důsledků.

Pokud jde o běžné majitele hostingu, poskytovatel obvykle okamžitě poskytuje balíček služeb s patřičnou ochranou. Prostředků, jak takovým akcím zabránit, může být celá řada. Jedná se řekněme o přesměrování útoku na útočníka, přerozdělení příchozích požadavků na několik serverů, filtrování provozu, duplikování ochranných systémů, aby se zabránilo falešným poplachům, navýšení zdrojů atd. Celkově se běžný uživatel nemá čeho obávat.

Místo doslovu

Myslím, že z tohoto článku je jasné, že provést DDoS útok sami, pokud máte speciální software a některá počáteční data, nebude obtížné. Jiná věc je, zda se to vyplatí dělat, zvláště pro nezkušeného uživatele, který se rozhodl dopřát si kvůli sportu? Každý musí pochopit, že svým jednáním v každém případě způsobí odvetná opatření ze strany napadené strany a zpravidla ne ve prospěch uživatele, který útok zahájil. Ale podle trestních zákonů většiny zemí můžete za takové činy skončit, jak se říká, na několik let v místech ne tak vzdálených. kdo to chce?

Na počítačovém systému s cílem jeho selhání, tedy vytvoření podmínek, za kterých legální (legitimní) uživatelé systému nemají přístup ke zdrojům (serverům) poskytovaným systémem, nebo je tento přístup obtížný. Krokem k ovládnutí systému může být i selhání „nepřátelského“ systému (pokud software v nouzové situaci vyprodukuje nějakou kritickou informaci – např. verzi, část programového kódu apod.). Častěji se však jedná o míru ekonomického tlaku: odstávka služby generující příjmy, účty od poskytovatele a opatření k zamezení útoku výrazně zasáhly „cíl“ v kapse.

Pokud je útok proveden současně s velké číslo o počítačích, mluví se o nich DDoS útok(z angličtiny Distribuované odmítnutí služby, distribuovaný útok odmítnutí služby). V některých případech je skutečný útok DDoS způsoben neúmyslnou akcí, například umístěním odkazu na oblíbený internetový zdroj na stránku hostovanou na nepříliš produktivním serveru (efekt slashdot). Velký příliv uživatelů vede k nadbytku přípustné zatížení na server a následně odmítnutí služby některým z nich.

Typy DoS útoků

Existují různé důvody, proč se stav DoS může objevit:

  • Chyba v programovém kódu, což vede k přístupu k nevyužitému fragmentu adresního prostoru, vykonání neplatné instrukce nebo jiné neošetřené výjimce, když program serveru - program serveru - havaruje. Klasickým příkladem je obrácení o nulu. nula) adresa.
  • Nedostatečné ověření uživatelských dat vedoucí k nekonečnému nebo dlouhému cyklu nebo zvýšené dlouhodobé spotřebě procesorových zdrojů (až do vyčerpání procesorových zdrojů) nebo alokaci velkého množství paměť s náhodným přístupem(do vyčerpání dostupné paměti).
  • Zaplavit(Angličtina) zaplavit- "povodeň", "přetečení") - útok spojený s velkým počtem obvykle nesmyslných nebo nesprávně naformátovaných požadavků na počítačový systém nebo síťové zařízení, jejichž cílem je nebo vede k selhání systému z důvodu vyčerpání systémových zdrojů - procesor, paměť nebo komunikační kanály.
  • Útok druhého typu- útok, který se snaží vyvolat falešný poplach bezpečnostního systému a vést tak k nedostupnosti zdroje.

Pokud je útok (obvykle záplava) proveden současně z velkého počtu IP adres - z několika počítačů rozptýlených v síti - pak se v tomto případě jedná o tzv. distribuovánoútok odmítnutí služby ( DDoS).

Využití chyb

Využívat je program, část softwarového kódu nebo sekvence softwarových příkazů, které využívají zranitelnosti v software a slouží k provedení útoku na kybernetický systém. Z exploitů, které vedou k DoS útoku, ale jsou nevhodné například pro převzetí kontroly nad „nepřátelským“ systémem, jsou nejznámější WinNuke a Ping of death.

Zaplavit

O záplavách jako porušení netikety viz záplavy.

Zaplavit zavolat obrovský proud nesmyslných požadavků pomocí různé počítače s cílem zaměstnat „nepřátelský“ systém (procesor, RAM nebo komunikační kanál) prací a tím jej dočasně znemožnit. Pojem „útok DDoS“ je téměř ekvivalentní pojmu „záplava“ a v každodenním životě jsou oba často zaměnitelné („zaplavit server“ = „DDoS server“).

K vytvoření záplavy lze použít jak běžné síťové nástroje, jako je ping (známá je například internetová komunita „Upyachka“), tak speciální programy. Možnost DDoS je často „pevně zapojena“ do botnetů. Pokud se zjistí, že web s vysokou návštěvností má zranitelnost skriptování mezi weby nebo schopnost zahrnout obrázky z jiných zdrojů, lze tento web také použít k útoku DDoS.

Zahlcení komunikačního kanálu a TCP subsystému

Každý počítač, který má spojení s vnějším světem přes protokol TCP/IP, je náchylný k následujícím typům záplav:

  • SYN flood - při tomto typu záplavového útoku je přes TCP protokol odesláno velké množství SYN paketů do napadeného uzlu (požadavky na otevření spojení). V tomto případě se po krátké době vyčerpá na napadeném počítači počet dostupných soketů (softwarových síťových soketů, portů) pro otevření a server přestane reagovat.
  • UDP záplava - tento typ záplavy neútočí na cílový počítač, ale na jeho komunikační kanál. Poskytovatelé důvodně předpokládají, že pakety UDP by měly být doručeny jako první a TCP může čekat. Velké množství UDP paketů různých velikostí ucpe komunikační kanál a server běžící na protokolu TCP přestane reagovat.
  • ICMP flood je to samé, ale pomocí ICMP paketů.

Záplava aplikační úrovně

Mnoho služeb je navrženo tak, že malý požadavek může způsobit velkou spotřebu výpočetního výkonu na serveru. V tomto případě není napaden komunikační kanál nebo subsystém TCP, ale služba samotná - záplava podobných „nemocných“ požadavků. Webové servery jsou například zranitelné vůči zahlcení HTTP; k deaktivaci webového serveru lze použít buď jednoduchý GET / nebo složitý požadavek na databázi, jako je GET /index.php?search=.<случайная строка> .

Detekce DoS útoků

Existuje názor, že speciální nástroje pro detekci DoS útoků nejsou potřeba, protože fakt DoS útoku nelze ignorovat. V mnoha případech je to pravda. Poměrně často však byly pozorovány úspěšné DoS útoky, kterých si oběti všimly až po 2-3 dnech. Stalo se, že negativní důsledky útoku ( zaplavit-útoky) vedly ke zbytečným nákladům na placení za nadměrný internetový provoz, což se ukázalo až po obdržení faktury od poskytovatele internetu. Mnohé metody detekce útoků jsou navíc neúčinné v blízkosti cíle útoku, ale jsou účinné na páteřních sítích. V takovém případě je vhodné tam instalovat detekční systémy, než čekat, až si toho sám všimne napadený uživatel a vyhledá pomoc. Pro efektivní čelit DoS útokům je navíc nutné znát typ, povahu a další charakteristiky DoS útoků a detekční systémy umožňují tyto informace rychle získat.

Metody detekce DoS útoků lze rozdělit do několika velkých skupin:

  • podpis - na základě kvalitativní analýzy provozu.
  • statistické - založené na kvantitativní analýze návštěvnosti.
  • hybridní (kombinovaný) - spojující výhody obou výše uvedených způsobů.

Ochrana proti DoS útokům

Opatření proti DoS útokům lze rozdělit na pasivní a aktivní a také na preventivní a reakční.

Níže je uveden krátký seznam hlavních metod.

  • Prevence. Prevence důvodů, které nutí určité jednotlivce organizovat a spouštět DoS útoky. (Velmi často jsou kybernetické útoky obecně výsledkem osobních křivd, politických, náboženských a jiných neshod, provokativního chování oběti atd.)
  • Filtrace a blackholing. Blokování provozu přicházejícího z útočících strojů. Účinnost těchto metod klesá, když se přibližujete k cíli útoku, a zvyšuje se, když se přibližujete k útočícímu stroji.
  • Reverzní DDOS- přesměrování provozu použitého k útoku na útočníka.
  • Odstranění zranitelností. Nefunguje proti zaplavit-útoky, jejichž „zranitelností“ je omezenost určitých systémových zdrojů.
  • Zvyšování zdrojů. Přirozeně neposkytuje absolutní ochranu, ale je dobrým zázemím pro použití jiných typů ochrany proti DoS útokům.
  • Rozptýlení. Budování distribuovaných a redundantních systémů, které nepřestanou sloužit uživatelům, i když se některé jejich prvky stanou nedostupnými kvůli DoS útoku.
  • Únik. Přesunutí bezprostředního cíle útoku (název domény nebo IP adresa) od jiných zdrojů, které jsou často také vystaveny spolu s bezprostředním cílem útoku.
  • Aktivní odezva. Dopad na zdroje, organizátora či řídící centrum útoku, a to jak technologické, tak organizačně-právní prostředky.
  • Použití vybavení k odražení útoků DoS. Například DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® a od dalších výrobců.
  • Nákup služby na ochranu před útoky DoS. To je důležité, pokud zaplavení překročí kapacitu kanálu sítě.

viz také

Poznámky

Literatura

  • Chris Kaspersky Počítačové viry uvnitř i vně. - Petere. - Petrohrad. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analýza typických narušení bezpečnosti v sítích = Intrusion Signatures and Analysis. - New Riders Publishing (anglicky) St. Petersburg: Williams Publishing House (ruština), 2001. - S. 464. - ISBN 5-8459-0225-8 (ruština), 0-7357-1063-5 (angličtina)
  • Morris, R.T.= Slabina v 4.2BSD Unix TCP/IP softwaru. - Technická zpráva Computing Science č.117. - AT&T Bell Laboratories, únor 1985.
  • Bellovin, S.M.= Bezpečnostní problémy v sadě protokolů TCP/IP. - Computer Communication Review, sv. 19, č.2. - AT&T Bell Laboratories, duben 1989.
  • =daemon9/route/infinity "Demystified IP-spooling: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, červenec 1996.
  • =daemon9/route/infinity "Projekt Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, červenec 1996.

Odkazy

  • DoS útok v adresáři odkazů projektu Open Directory (