Atak DDoS. Wyjaśnienie i przykład. Atak Ddos - szczegółowy przewodnik. Czym są ataki ddos, jak są przeprowadzane i metody ochrony przed nimi Ochrona przed atakami ddos ​​dla uczniów

Prawdopodobnie wielu współczesnych użytkowników komputerów i Internetu słyszało o obecności ataków DDoS przeprowadzanych przez osoby atakujące na dowolne strony internetowe lub serwery dużych firm. Przyjrzyjmy się, czym jest atak DDoS, jak przeprowadzić go samodzielnie i jak się przed takimi działaniami zabezpieczyć.

Co to jest atak DDoS?

Być może warto na początek zrozumieć, czym są takie nielegalne działania. Zastrzegajmy od razu, że rozważając temat „Atak DDoS: jak to zrobić samemu” informacje będą podawane wyłącznie w celach informacyjnych, a nie w celu praktyczne użycie. Wszelkie tego typu działania są karalne.

Sam atak, ogólnie rzecz biorąc, polega na wysłaniu wystarczająco dużej liczby żądań do serwera lub strony internetowej, co w przypadku przekroczenia limitu żądań blokuje działanie zasobu sieciowego lub usługi dostawcy w postaci zamknięcia serwer za pomocą oprogramowania zabezpieczającego, zapory ogniowe lub specjalistyczny sprzęt.

Oczywiste jest, że atak DDoS typu „zrób to sam” nie może zostać przeprowadzony przez jednego użytkownika z jednego terminala komputerowego bez specjalne programy. W końcu nie będzie siedział całymi dniami i co minutę wysyłał żądania do zaatakowanej witryny. Taka liczba nie będzie działać, gdyż każdy dostawca zapewnia ochronę przed atakami DDoS, a jeden użytkownik nie jest w stanie dostarczyć do serwera lub witryny takiej liczby żądań, która w krótkim czasie przekroczyłaby limit żądań i uruchomiłaby różne mechanizmy ochronne. Będziesz więc musiał użyć czegoś innego, aby stworzyć własny atak. Ale o tym później.

Dlaczego pojawia się zagrożenie?

Jeśli rozumiesz, czym jest atak DDoS, jak go przeprowadzić i wysyłasz do serwera nadmierną liczbę żądań, warto zastanowić się, za pomocą jakich mechanizmów przeprowadzane są takie działania.

Mogą to być te zawodne, które nie są w stanie poradzić sobie z ogromną liczbą żądań, luki w systemie bezpieczeństwa dostawcy lub w samych systemach operacyjnych, brak zasobów systemowych do przetwarzania przychodzących żądań z dalszymi zawieszaniami lub awariami systemu itp.

U zarania tego zjawiska ataki DDoS typu „zrób to sam” przeprowadzali głównie sami programiści, którzy przy jego pomocy tworzyli i testowali działanie systemów ochronnych. Nawiasem mówiąc, kiedyś nawet tacy giganci IT, jak Yahoo, Microsoft, eBay, CNN i wielu innych, ucierpieli z powodu działań napastników, którzy wykorzystali komponenty DoS i DDoS jako broń. Kluczowy punkt w takich sytuacjach zaczęto podejmować próby eliminowania konkurentów w zakresie ograniczania dostępu do ich zasobów Internetu.

Ogólnie rzecz biorąc, współcześni sprzedawcy elektroniki robią to samo. Aby to zrobić, wystarczy pobrać program do ataków DDoS, a potem, jak mówią, jest to kwestia techniki.

Rodzaje ataków DDoS

Teraz kilka słów o klasyfikacji ataków tego typu. Najważniejsze dla wszystkich jest wyłączenie serwera lub strony internetowej. Do pierwszego typu zaliczają się błędy związane z wysyłaniem do serwera błędnych instrukcji do wykonania, w wyniku czego następuje zawieszenie jego działania. Drugą opcją jest masowe wysyłanie danych użytkownika, prowadzące do niekończącej się (cyklicznej) kontroli przy rosnącym obciążeniu zasobów systemowych.

Trzeci typ to powódź. Z reguły jest to zadanie polegające na wysyłaniu niepoprawnie sformułowanych (bezsensownych) żądań do serwera lub sprzętu sieciowego w celu zwiększenia obciążenia. Czwarty typ to tzw. zatykanie kanałów komunikacyjnych fałszywymi adresami. Można także zastosować atak, prowadzący do tego, że w samym system komputerowy konfiguracja ulega zmianie, co prowadzi do jej całkowitej niesprawności. Ogólnie rzecz biorąc, lista może zająć dużo czasu.

Atak DDoS na witrynę

Z reguły taki atak jest powiązany z konkretnym hostingiem i jest wymierzony wyłącznie w jeden predefiniowany zasób sieciowy (w przykładzie na poniższym zdjęciu jest on umownie oznaczony jako example.com).

W przypadku zbyt dużej liczby wywołań do witryny, zakłócenia w komunikacji wynikają z blokowania komunikacji nie przez samą witrynę, ale przez serwerową część usługi dostawcy, czy raczej nawet nie przez sam serwer lub system bezpieczeństwa, ale przez usługa wsparcia. Innymi słowy, takie ataki mają na celu zapewnienie, że właściciel hostingu otrzyma od dostawcy odmowę usługi w przypadku przekroczenia określonego umownego limitu ruchu.

Atak DDoS na serwer

Jeśli chodzi o ataki na serwery, tutaj nie są one skierowane na żaden konkretny hosting, ale konkretnie na dostawcę, który go zapewnia. I nie ma znaczenia, że ​​właściciele witryn mogą z tego powodu ucierpieć. Główną ofiarą jest dostawca.

Aplikacja do organizowania ataków DDoS

Teraz zrozumieliśmy, jak to zrobić za pomocą specjalistycznych narzędzi, teraz to rozwiążemy. Od razu zaznaczmy, że aplikacje tego typu nie są szczególnie sklasyfikowane. Są one dostępne w Internecie dla Darmowe pobieranie. Na przykład najprostszy i najbardziej znany program do ataków DDoS o nazwie LOIC jest dostępny bezpłatnie na stronie Sieć WWW Do załadunku. Za jego pomocą można atakować jedynie witryny i terminale o znanych wcześniej adresach URL i IP.

Ze względów etycznych nie będziemy teraz zastanawiać się, jak uzyskać adres IP ofiary. Zakładamy, że mamy dane początkowe.

Do uruchomienia aplikacji wykorzystywany jest plik wykonywalny Loic.exe, po czym w dwóch górnych wierszach po lewej stronie wpisuje się adresy źródłowe, a następnie wciska się dwa przyciski „Zablokuj” – nieco w prawo naprzeciw każdej linii . Następnie w oknie pojawi się adres naszej ofiary.

Na dole znajdują się suwaki umożliwiające dostosowanie szybkości transmisji żądań dla protokołów TCP/UDF i HTTP. Domyślnie wartość jest ustawiona na „10”. Zwiększ go do maksymalnego poziomu, a następnie naciśnij duży przycisk „IMMA CHARGIN MAH LAZER”, aby rozpocząć atak. Można go zatrzymać, naciskając ponownie ten sam przycisk.

Oczywiście jeden taki program, często nazywany „pistoletem laserowym”, nie będzie w stanie spowodować problemów dla jakiegoś poważnego zasobu lub dostawcy, ponieważ ochrona przed atakami DDoS jest dość potężna. Ale jeśli grupa ludzi użyje kilkunastu lub więcej takich broni jednocześnie, można coś osiągnąć.

Ochrona przed atakami DDoS

Z drugiej strony, każdy, kto podejmie próbę ataku DDoS, powinien zrozumieć, że po „drugiej” stronie też nie ma głupców. Mogą łatwo ustalić adresy, z których przeprowadzany jest taki atak, a to wiąże się z najpoważniejszymi konsekwencjami.

Jeśli chodzi o zwykłych właścicieli hostingu, dostawca zazwyczaj od razu udostępnia pakiet usług z odpowiednią ochroną. Istnieje wiele sposobów zapobiegania takim działaniom. Oznacza to, powiedzmy, przekierowanie ataku do atakującego, redystrybucję przychodzących żądań do kilku serwerów, filtrowanie ruchu, powielanie systemów ochrony w celu zapobiegania fałszywym alarmom, zwiększanie zasobów itp. Ogólnie rzecz biorąc, przeciętny użytkownik nie ma się czym martwić.

Zamiast posłowia

Myślę, że z tego artykułu jasno wynika, że ​​samodzielne wykonanie ataku DDoS, jeśli posiadasz specjalne oprogramowanie i pewne początkowe dane, nie będzie trudne. Inną sprawą jest to, czy warto to robić, zwłaszcza dla niedoświadczonego użytkownika, który zdecydował się na pofolgowanie sobie w imię sportu? Każdy musi zrozumieć, że jego działania i tak spowodują podjęcie działań odwetowych ze strony zaatakowanej i, co do zasady, nie na korzyść użytkownika, który przeprowadził atak. Ale zgodnie z kodeksami karnymi większości krajów za takie czyny można, jak mówią, wylądować w miejscach nie tak odległych przez kilka lat. Kto tego chce?

Atak DDoS (atak rozproszona odmowa usługi) to zestaw działań, które mogą całkowicie lub częściowo wyłączyć zasób internetowy. Ofiarą może być prawie każdy zasób internetowy, taki jak witryna internetowa, serwer gier lub zasób rządowy. NA ten moment Zorganizowanie przez hakera ataku DDoS w pojedynkę jest prawie niemożliwe. W większości przypadków atakujący korzysta z sieci komputerów zainfekowanych wirusem. Wirus pozwala otrzymać to, co niezbędne i wystarczające zdalny dostęp do zainfekowanego komputera. Sieć takich komputerów nazywa się botnetem. Z reguły botnety posiadają serwer koordynujący. Podjąwszy decyzję o przeprowadzeniu ataku, osoba atakująca wysyła polecenie do serwera koordynującego, który z kolei sygnalizuje wszystkim, aby rozpoczęli wykonywanie złośliwych żądań sieciowych.

Przyczyny ataków DDoS

• Osobista animozja

Powód ten występuje dość często. Jakiś czas temu niezależny dziennikarz-badacz Brian Krebs ujawnił działalność największego serwisu służącego do przeprowadzania niestandardowych ataków DDoS – vDOS. Informacja została przedstawiona szczegółowo, co doprowadziło do aresztowania organizatorów tego nabożeństwa. W odpowiedzi hakerzy przeprowadzili atak na blog dziennikarza, którego moc osiągnęła 1 Tbit/s. Atak ten był najpotężniejszy na świecie od lat.

• Rozrywka

W dzisiejszych czasach coraz łatwiej jest samodzielnie zorganizować prymitywny atak DDoS. Taki atak byłby wyjątkowo niedoskonały i anonimowy. Niestety większość tych, którzy decydują się poczuć się „hakerami”, nie ma pojęcia ani o tym pierwszym, ani o drugim. Jednak wielu uczniów często praktykuje ataki DDoS. Wynik takich przypadków może być bardzo różnorodny.

• Protest polityczny (haktywizm)

Jednym z pierwszych ataków o charakterze społecznym był atak DDoS przeprowadzony w 1996 roku przez hakera Omega. Omega była członkiem koalicji hakerskiej „Cult of the Dead Crew” (cDc). Termin haktywizm stał się popularny w mediach ze względu na rosnącą częstotliwość cyberataków o podłożu społecznym. Typowymi przedstawicielami haktywistów są grupy Anonymous i LulzSec.

• Niesprawiedliwa Rywalizacja

Takie motywy są powszechne w branży serwerów gier, ale takie przypadki są również dość powszechne w branży handlowej. Wystarczająco efektywny sposób nieuczciwa konkurencja, która może zniszczyć reputację platformy handlowej, jeśli jej właściciele nie zwrócą się o pomoc do specjalistów na czas. Motyw ten można wyróżnić wśród pozostałych jako najczęstszy.

• Wymuszenie lub szantaż

W takim przypadku napastnik żąda od potencjalnej ofiary zapłaty kwoty pieniężnej za nieprzeprowadzenie ataku. Lub o jego zakończenie. Ofiarami takich ataków często padają duże organizacje, na przykład w 2014 roku zaatakowano bank Tinkoff i zasoby IT Habrahabr, największy serwis do śledzenia torrentów Rutracker.org (jak to było?).

Konsekwencje ataków DDoS

Konsekwencje ataków DDoS mogą być bardzo zróżnicowane, począwszy od wyłączenia serwera przez centrum danych, aż po całkowitą utratę reputacji zasobu i przepływu klientów. Wiele organizacji, chcąc zaoszczędzić pieniądze, nieświadomie wybiera pozbawionych skrupułów dostawców zabezpieczeń, co często nie przynosi żadnych korzyści. Unikać podobne problemy Zalecamy kontakt ze specjalistami z Twojej branży.

Ataki, które przeszły do ​​historii Internetu

Postęp technologiczny postępuje błyskawicznie, a napastnicy z kolei dokładają wszelkich starań, aby nie stać w miejscu i nie wdrażać coraz bardziej złożonych i potężnych ataków. Zebraliśmy krótki opis najciekawszych przypadków, jakie zapisały się w historii ataków DDoS. Niektóre z nich mogą wydawać się zwyczajne według współczesnych standardów, ale w czasie, gdy miały miejsce, były to ataki na bardzo dużą skalę.

Ping Of Dead. Metoda ataku oparta na poleceniu ping. Atak ten zyskał popularność w latach 90. ze względu na niedoskonały sprzęt sieciowy. Istotą ataku jest wysłanie pojedynczego żądania ping do węzła sieci, a treść pakietu zawiera nie standardowe 64 bajty danych, ale 65535 bajtów. Po odebraniu takiego pakietu stos sieciowy urządzenia zostanie przepełniony i spowoduje odmowę usługi.

Atak, który wpłynął na stabilność Internetu. W 2013 roku Spamhaus padł ofiarą ataku o przepustowości ponad 280 Gb/s. Najciekawsze jest to, że do ataku hakerzy wykorzystali serwery DNS z Internetu, które z kolei były bardzo obciążone dużą liczbą żądań. Tego dnia miliony użytkowników skarżyły się na powolne ładowanie stron spowodowane przeciążeniem usługi.

Rekordowy atak z ruchem powyżej 1 Tbit/s. W 2016 roku hakerzy próbowali zaatakować nas atakiem pakietowym o prędkościach 360 Mpps i 1 Tbps. Liczba ta stała się rekordem od czasu istnienia Internetu. Ale nawet pod takim atakiem przetrwaliśmy, a obciążenie sieci tylko w niewielkim stopniu ograniczało wolne zasoby sprzętu sieciowego.

Charakterystyka współczesnych ataków

Wyłączając ataki szczytowe, można powiedzieć, że siła ataków rośnie ponad 3-4 razy w roku. Geografia atakujących zmienia się tylko częściowo z roku na rok, ponieważ wynika to z maksymalnej liczby komputerów w danym kraju. Jak wynika z raportu kwartalnego za 2016 rok przygotowanego przez naszych specjalistów, rekordowymi krajami pod względem liczby botów są Rosja, USA i Chiny.

Jakie są rodzaje ataków DDoS?

W tej chwili rodzaje ataków można podzielić na 3 klasy:

Ataki polegające na zalaniu kanałów

Ten typ ataku obejmuje i;

Ataki wykorzystujące luki w stosie protokołów sieciowych

Najpopularniejszymi i najciekawszymi atakami tego typu są ataki /.

Dlaczego właśnie my? Nasz sprzęt znajduje się w kluczowych centrach danych na całym świecie i jest w stanie odeprzeć ataki o prędkości do 300 Gbps lub 360 milionów pakietów na sekundę. Posiadamy także sieć dostarczania treści () oraz kadrę inżynierów dyżurującą na wypadek niestandardowego ataku lub sytuacji awaryjnych. Dlatego też pozostając pod naszą ochroną, możesz być pewien dostępności swojego zasobu 24h na dobę, 7 dni w tygodniu. Zaufali nam: REG.RU, Argumenty i Fakty, WebMoney, rosyjskie radio holding GPM i inne korporacje.

Możesz samodzielnie wdrożyć ochronę przed niewielką liczbą ataków, analizując ruch lub konfigurując reguły routingu. Podano metody ochrony przed niektórymi atakami.

Dużo mówimy o atakach na stronę, hakowaniu, ale nie poruszyliśmy tematu DDOS. Dziś naprawiamy tę sytuację i oferujemy Państwu pełna recenzja technologie organizacji ataków DDOS oraz znane narzędzia do przeprowadzania ataków hakerskich.

Listę dostępnych narzędzi do ataków DDOS w KALI możesz wyświetlić uruchamiając komendę:

Aby wyświetlić dostępne narzędzia ataku DDOS dla systemu Linux, wpisz polecenie:

2. LOIC

Działo jonowe o niskiej orbicie (LOIC) Niskoorbitalne działo jonowe. Być może najpopularniejszy program DDOS. Może wysyłać masowe żądania za pośrednictwem protokołów ICMP i UDP, zatykając w ten sposób kanał do serwera ofiary. Najsłynniejszy atak LOIC został przeprowadzony przez firmę Anonymous w 2009 roku i był skierowany przeciwko firmom PayPal, Visa, MasterCard w odwecie za odcięcie WikiLeaks od systemu zbierania datków.

Ataki organizowane przy użyciu LOIC można wykorzystać poprzez blokowanie pakietów UDP i ICMP w sprzęcie sieciowym dostawców Internetu. Sam program LOIC można pobrać bezpłatnie ze strony internetowej. To narzędzie jest włączone Oparty na systemie Windows a praca z nim jest bardzo prosta, określasz witryny ofiary i naciskasz tylko jeden przycisk.

2.HOIC

HOIC został opracowany podczas Operacji Payback przez Praetox przez ten sam zespół, który stworzył LOIC. Kluczowa różnica polega na tym, że HOIC wykorzystuje protokół HTTP i używa go do wysyłania strumienia losowych żądań HTTP GET i POST. Jest w stanie jednocześnie atakować 256 domen. Możesz go pobrać z .

3.XOIC

XOIC to kolejne bardzo proste narzędzie DDOS. Użytkownik musi po prostu ustawić adres IP ofiary, wybrać protokół (HTTP, UDP, ICMP lub TCP) i pociągnąć za spust! Można go pobrać z

5. HULK

6. Zalewacz UDP

UDP Flooder zasługuje na swoją nazwę - narzędzie jest zaprojektowane do wysyłania wielu pakietów UDP do celu. UDP Flooder jest często używany w atakach DDOS na serwery gier, aby odłączyć graczy od serwera. Program jest dostępny do pobrania pod adresem.

7. RUDY

8. Młot ToR

Młot ToR został stworzony, aby działać w poprzek sieci, w celu osiągnięcia większej anonimowości atakującego. Problem z tym narzędziem polega na tym sieć TOR jest dość powolny i tym samym zmniejsza skuteczność ataku DDOS. Możesz pobrać ten program DDOS z Packet Storm lub .

9. Odźwiernik

Pyloris to kolejne narzędzie DDoS, które wykorzystuje nowe podejście. Umożliwia atakującemu utworzenie własnego, unikalnego żądania HTTP. Program będzie następnie próbował utrzymać otwarte połączenie TCP przy użyciu takich żądań, zmniejszając w ten sposób liczbę dostępnych połączeń na serwerze. Kiedy limit połączeń serwera osiągnie swój limit, serwer nie będzie już mógł obsługiwać połączeń, a witryna stanie się niedostępna. To narzędzie można bezpłatnie pobrać ze strony internetowej.

10. Ostrze zwrotne OWASP

Open Web Application Security Project (OWASP) i ProactiveRISK opracowały narzędzie Narzędzie DoS Switchblade dla testów Aplikacje internetowe zapewniający odporność na ataki DDOS.Posiada trzy tryby pracy: 1. SSL Half-Open, 2. HTTP Post i 3. Slowloris. Można go pobrać do recenzji ze strony internetowej OWASP.

11. DAVOSET

12. Narzędzie DoS HTTP GoldenEye

13. THC-SSL-DOS

Ten program jest przeznaczony dla DDOS (dostarczany z Kali) i różni się od większości narzędzi DDOS tym, że nie używa wydajność Kanał internetowy i można z niego korzystać z jednego komputera. THC-SSL-DOS wykorzystuje lukę w protokole SSL i może spowodować awarię serwera docelowego. O ile oczywiście nie ma tej luki. Program możesz pobrać ze strony THC lub użyć Kali Linux gdzie to narzędzie jest już zainstalowane.

14. DDOSIM – emulator DDoS warstwy 7

Na tym kończy się nasza recenzja, ale w przyszłości powrócimy do tematu ataków DDOS na łamach naszego bloga.

Jeśli przeczytasz nasz poradnik i wdrożysz wszystkie opisane technologie, zabezpieczysz swój komputer przed zagrożeniami hakerskimi! Nie zaniedbuj tego!

W pobliżu bezpieczeństwo informacji, ataki ddos i zajmują jedno z czołowych miejsc w rankingu zagrożeń elektronicznych. Jednak większość użytkowników ma bardzo ograniczoną wiedzę na ten temat. Teraz postaramy się omówić ten temat tak szczegółowo i tak przystępnie, jak to możliwe, abyś mógł sobie wyobrazić, co to znaczy ten typ zagrożenie elektroniczne, w jaki sposób jest ono realizowane, a co za tym idzie, jak skutecznie sobie z nim radzić. Zatem zapoznaj się - atak DDOS.

Terminologia

Aby mówić tym samym językiem, musimy wprowadzić terminy i ich definicje.

Atak Dos jest atakiem typu „odmowa usługi”. Stąd angielski skrót dos – Denial of Service. Jednym z podtypów jest atak rozproszony, przeprowadzany jednocześnie z kilku, zwykle z dużej liczby hostów. Tym opcjom poświęcimy większą część dyskusji, gdyż atak ddos ​​niesie ze sobą bardziej destrukcyjne konsekwencje, a znacząca różnica polega jedynie na liczbie hostów użytych do ataku.

Aby było Ci łatwiej zrozumieć. Działania takie mają na celu czasowe wstrzymanie działania usługi. Może to być osobna strona internetowa w sieci, duży dostawca Internetu lub telefonii komórkowej, a także osobna usługa (akceptacja kart plastikowych). Aby atak był skuteczny i przyniósł destrukcyjne działania, musi zostać przeprowadzony z dużej liczby punktów (ten punkt zostanie omówiony szerzej w dalszej części). Stąd „rozproszony atak”. Ale istota pozostaje ta sama - przerwanie działania określonego systemu.

Aby uzupełnić obraz, musisz zrozumieć, kto i w jakim celu wykonuje takie działania.

Ataki typu „odmowa usługi”, podobnie jak inne przestępstwa komputerowe, podlegają karze. Dlatego też materiał prezentowany jest wyłącznie w celach informacyjnych. Realizują je specjaliści IT, osoby dobrze zorientowane w tematyce „komputery” i „ sieć komputerowa”, czyli, jak to się modnie mówi – hakerzy. W zasadzie to wydarzenie ma na celu osiągnięcie zysku, ponieważ z reguły ataki ddos ​​zlecają pozbawieni skrupułów konkurenci. wypadałoby tutaj podać mały przykład .

Załóżmy, że na rynku usług małego miasta działa dwóch dużych dostawców Internetu. A jeden z nich chce wyprzeć konkurenta. Zamawiają dystrybucję atak DOS na serwer konkurencji. Natomiast drugi dostawca z powodu przeciążenia swojej sieci nie jest już w stanie zapewnić swoim użytkownikom dostępu do Internetu. Rezultatem jest utrata klientów i reputacji. Hakerzy dostają nagrodę, a pozbawiony skrupułów dostawca zyskuje nowych klientów.

Często jednak zdarza się, że „robią to” po prostu dla zabawy lub w celu doskonalenia swoich umiejętności.

Rozproszony atak Ddos

Umówmy się od razu – przeanalizujemy ataki komputerowe. Jeśli więc mówimy o kilku urządzeniach, z których przeprowadzany jest atak, będą to komputery z nielegalnym oprogramowaniem.

W tym miejscu wypada też zrobić małą dygresję.. Zasadniczo, aby zatrzymać działanie jakiejkolwiek usługi lub usługi, należy przekroczyć jej maksymalne obciążenie. Najprostszym przykładem jest dostęp do strony internetowej. Tak czy inaczej, jest on zaprojektowany z myślą o określonej szczytowej frekwencji. Jeśli w pewnym momencie witrynę odwiedzi dziesięć razy więcej osób, serwer nie będzie w stanie przetworzyć takiej ilości informacji i przestanie działać. Połączenia w tej chwili będą nawiązywane z dużej liczby komputerów. Będą to te same węzły, które omówiono powyżej.

Zobaczmy jak to wygląda na poniższym schemacie:

Jak widać, haker przejął kontrolę nad dużą liczbą komputerów użytkowników i zainstalował na nich swoje oprogramowanie szpiegujące. To dzięki niemu może teraz występować niezbędne działania. W naszym przypadku ma to na celu przeprowadzenie ataku DDoS.

Dlatego jeśli nie będziesz przestrzegać zasad bezpieczeństwa podczas pracy przy komputerze, możesz być narażony na niebezpieczeństwo Infekcja wirusowa. Być może Twój komputer będzie używany jako host do przeprowadzania szkodliwych działań.

Przekonasz się, że to przydatne: W artykule opisaliśmy niektóre aspekty bezpieczeństwa.

Jednak sposób ich wykorzystania zależy od tego, którą opcję wybierze atakujący

Klasyfikacja ataków ddos

Napastnicy mogą podejmować następujące rodzaje ataków:

1. Przeciążenie przepustowości. Aby komputery podłączone do sieci mogły normalnie ze sobą współdziałać, kanał komunikacyjny, przez który są połączone, musi działać normalnie i zapewniać parametry wystarczające do określonych zadań (na przykład przepustowość). Celem tego typu ataku jest w szczególności przeciążenie kanałów komunikacji sieciowej. Osiąga się to poprzez ciągłe wysyłanie informacji chaotycznych lub systemowych (polecenie ping)
2. Ograniczenie zasobów. O tym typie pisaliśmy już powyżej, na przykładzie dostępu do strony internetowej. Jak zauważyliśmy, serwer był w stanie obsłużyć ograniczoną liczbę jednoczesnych połączeń. Osoba atakująca musi wysłać dużą liczbę jednoczesnych połączeń z serwerem. W efekcie serwer nie będzie w stanie udźwignąć obciążenia i przestanie działać.
3. Atak na Serwery DNS . W tym przypadku atak DDOS ma na celu również zatrzymanie dostępu do serwisu. Inną opcją jest przekierowanie użytkownika z właściwej witryny na fałszywą. Może to mieć na celu kradzież danych osobowych. Osiąga się to poprzez atakowanie serwerów DNS i zastępowanie adresów IP fałszywymi. Spójrzmy na to na przykładzie. Pewien bank wykorzystuje swoją stronę internetową do płatności online. Użytkownik musi do niego przejść i wprowadzić dane swojej karty plastikowej. Osoba atakująca, w celu kradzieży tych informacji, tworzy witrynę tego samego typu i atakuje serwer DNS (serwer nazw). Celem tego zdarzenia jest przekierowanie użytkownika na stronę atakującego, gdy ten będzie próbował uzyskać dostęp do strony banku. Jeśli to się powiedzie, użytkownik nieświadomy zagrożenia wprowadzi swoje dane osobowe na stronę atakującego i uzyska do nich dostęp
4. Niedociągnięcia w oprogramowanie . Ten rodzaj ataku jest najtrudniejszy. Atakujący identyfikują luki w oprogramowaniu i wykorzystują je do zniszczenia systemu. Aby zlecić taki atak DDoS, trzeba będzie wydać dużo pieniędzy

Jak samodzielnie przeprowadzić atak DDOS

Jako przykład postanowiliśmy pokazać, w jaki sposób można przeprowadzić atak DDoS przy użyciu specjalnego oprogramowania.

Aby rozpocząć, pobierz program z tego adresu. Następnie uruchom go. Powinieneś zobaczyć okno startowe:

Musisz dokonać minimalnych ustawień:

1. W kolumnie „URL” wpisujemy adres strony, którą chcemy zaatakować
2. Następnie naciśnij przycisk „Zablokuj” - Zobaczymy zasób docelowy
3. Ustaw metodę TCP
4. Wybierz liczbę wątków (Wątki)
5. Ustaw prędkość wysyłania za pomocą suwaka
6. Po zakończeniu wszystkich ustawień naciśnij przycisk „IMMA CHARGIN MAH LAZER”.

To wszystko – rozpoczął się atak. Po raz kolejny wszystkie działania prezentowane są w celach informacyjnych.

Jak chronić się przed atakami DDOS

Prawdopodobnie już zdałeś sobie sprawę, że tego typu zagrożenie jest bardzo niebezpieczne. Dlatego bardzo ważna jest znajomość metod i zasad zwalczania i zapobiegania atakom rozproszonym.

1. Konfigurowanie systemów filtracyjnych to zadanie dla administratorzy systemu i dostawców hostingu
2. Zakup systemów ochrony przed atakami DDOS (systemy programowe i sprzętowe)
3. Korzystanie z zapory ogniowej i list kontroli dostępu (ACL) - środek ten ma na celu filtrowanie podejrzanego ruchu
4. Zwiększanie dostępnych zasobów i instalacja systemów redundancyjnych
5. Odpowiedzi techniczne i prawne. Aż do postawienia sprawcy przed sądem włącznie

Film do artykułu:

Wniosek

Teraz prawdopodobnie rozumiesz niebezpieczeństwo ataków DDOS. Do kwestii zapewnienia bezpieczeństwa swoich zasobów należy podchodzić bardzo odpowiedzialnie, nie szczędząc czasu, wysiłku i pieniędzy. Jeszcze lepiej mieć osobnego specjalistę lub cały dział bezpieczeństwa informacji.

Stali czytelnicy bardzo często zadawali sobie pytanie, w jaki sposób można edytować tekst, jeśli plik go posiada formacie PDF. Odpowiedź znajdziesz w materiale -

Aby chronić swoje dane, możesz zastosować całą gamę środków. Jedną z takich opcji jest

Jeśli potrzebujesz edytować swój film online, przygotowaliśmy dla Ciebie recenzję popularnych.

Po co szukać informacji na innych stronach, skoro wszystko jest tutaj zebrane?

Coraz częściej tu i ówdzie w oficjalnych komunikatach dostawców usług hostingowych pojawiają się odniesienia do odzwierciedlonych ataków DDoS. Coraz częściej użytkownicy, gdy odkryją niedostępność swojej witryny, natychmiast zakładają atak DDoS. Rzeczywiście, na początku marca Runet doświadczył całej fali takich ataków. Jednocześnie eksperci zapewniają, że zabawa dopiero się zaczyna. Po prostu nie da się przejść obojętnie obok zjawiska tak aktualnego, groźnego i intrygującego. Zatem dzisiaj porozmawiajmy o mitach i faktach na temat DDoS. Oczywiście z punktu widzenia dostawcy usług hostingowych.

Niezapomniany dzień

W dniu 20 listopada 2013 roku po raz pierwszy w 8-letniej historii naszej firmy cała platforma techniczna była przez kilka godzin niedostępna z powodu niespotykanego dotąd ataku DDoS. Ucierpiały dziesiątki tysięcy naszych klientów w całej Rosji i krajach WNP, nie wspominając o nas i naszym dostawcy Internetu. Ostatnią rzeczą, jaką dostawca zdołał zarejestrować, zanim zgasło dla wszystkich białe światło, było to, że jego kanały wejściowe były mocno zatkane ruchem przychodzącym. Aby to sobie wyobrazić, wyobraź sobie swoją wannę ze zwykłym odpływem i wpadającym do niej wodospadem Niagara.

Nawet dostawcy znajdujący się wyżej w łańcuchu odczuli skutki tego tsunami. Poniższe wykresy wyraźnie ilustrują, co działo się tego dnia z ruchem internetowym w Petersburgu i Rosji. Zwróć uwagę na strome szczyty w godzinach 15 i 18, dokładnie w momentach, w których rejestrowaliśmy ataki. Za te nagłe plusy 500-700 GB.

Zlokalizowanie ataku zajęło kilka godzin. Obliczono serwer, na który został wysłany. Następnie obliczono cel internetowych terrorystów. Czy wiesz, w kogo uderzała ta cała artyleria wroga? Jedna bardzo zwyczajna, skromna witryna klienta.

Mit numer jeden: „Celem ataku jest zawsze dostawca usług hostingowych. To machinacje jego konkurentów. Nie moje." W rzeczywistości najbardziej prawdopodobnym celem terrorystów internetowych jest zwykła witryna klienta. Oznacza to, że jest to witryna jednego z sąsiadów hostujących. A może także Twoje.

Nie wszystko jest DDoS...

Po wydarzeniach, które miały miejsce na naszej stronie technicznej w dniu 20 listopada 2013 r. i ich częściowym powtórzeniu w dniu 9 stycznia 2014 r., niektórzy użytkownicy zaczęli zakładać, że DDoS dotyczy jakiejkolwiek konkretnej awarii ich własnej witryny internetowej: „To jest DDoS!” i „Czy ponownie doświadczasz DDoS?”

Należy pamiętać, że jeśli trafi nas taki DDoS, że nawet nasi klienci to odczują, sami natychmiast to zgłaszamy.

Tych, którym spieszy się z paniką, chcielibyśmy uspokoić: jeśli coś jest nie tak z Twoją witryną, prawdopodobieństwo, że jest to DDoS, jest mniejsze niż 1%. Po prostu dlatego, że na stronie może wydarzyć się wiele rzeczy, a te „wiele rzeczy” zdarza się znacznie częściej. O metodach szybkiej autodiagnozy tego, co dokładnie dzieje się z Twoją witryną, porozmawiamy w jednym z kolejnych postów.

W międzyczasie, dla ścisłości użycia słów, wyjaśnijmy pojęcia.

O warunkach

Atak DoS (od angielskiego Denial of Service) - Jest to atak mający na celu spowodowanie odmowy obsługi serwera ze względu na jego przeciążenie.

Ataki DoS nie są powiązane z uszkodzeniem sprzętu lub kradzieżą informacji; ich cel - sprawić, że serwer przestanie odpowiadać na żądania. Podstawowa różnica między DoS polega na tym, że atak następuje z jednej maszyny na drugą. Uczestników jest dokładnie dwóch.

Ale w rzeczywistości nie widzimy praktycznie żadnych ataków DoS. Dlaczego? Ponieważ celem ataków są najczęściej obiekty przemysłowe (na przykład potężne serwery produkcyjne firm hostingowych). Aby spowodować zauważalne uszkodzenie działania takiej maszyny, potrzebna jest znacznie większa moc niż jej własna. To jest pierwsza rzecz. Po drugie, inicjator ataku DoS jest dość łatwy do zidentyfikowania.

DDoS - zasadniczo to samo co DoS, tylko atak jest rozproszony charakter. Nie pięć, nie dziesięć, nie dwadzieścia, ale setki i tysiące komputerów uzyskują dostęp do jednego serwera jednocześnie z różnych miejsc. Ta armia maszyn nazywa się botnet. Identyfikacja klienta i organizatora jest prawie niemożliwa.

Wspólnicy

Jakie komputery wchodzą w skład botnetu?

Zdziwisz się, ale często są to najzwyklejsze maszyny domowe. Kto wie?.. - całkiem możliwe, że twoje komputer domowy przeniesiony na stronę zła.

Nie potrzeba do tego wiele. Osoba atakująca znajduje lukę w popularnym pliku system operacyjny lub aplikacji i za jego pomocą infekuje Twój komputer trojanem, który w określonym dniu i o określonej godzinie instruuje Twój komputer, aby zaczął wykonywać określone czynności. Na przykład wysyłaj żądania na określony adres IP. Oczywiście bez Twojej wiedzy i udziału.

Mit numer dwa: « DDoS odbywa się gdzieś daleko ode mnie, w specjalnym podziemnym bunkrze, w którym siedzą brodaci hakerzy z czerwonymi oczami.” W rzeczywistości, nie wiedząc o tym, ty, twoi przyjaciele i sąsiedzi - każdy może być nieświadomym wspólnikiem.

To się naprawdę dzieje. Nawet jeśli o tym nie myślisz. Nawet jeśli jesteś strasznie daleko od IT (zwłaszcza jeśli jesteś daleko od IT!).

Zabawna mechanika hakowania lub DDoS

Zjawisko DDoS nie jest jednolite. Koncepcja ta łączy w sobie wiele opcji działania, które prowadzą do jednego rezultatu (odmowa usługi). Zastanówmy się, jakie rodzaje problemów mogą nam przynieść DDoSers.

Nadmierne wykorzystanie zasobów obliczeniowych serwera

Odbywa się to poprzez wysyłanie pakietów na konkretny adres IP, których przetworzenie wymaga dużej ilości zasobów. Na przykład, aby załadować stronę, musisz ją uruchomić duża liczba Zapytania SQL. Wszyscy atakujący będą żądać dokładnie tej strony, co spowoduje przeciążenie serwera i odmowę świadczenia usług zwykłym, legalnym odwiedzającym witrynę.
To atak na poziomie ucznia, który spędził kilka wieczorów na czytaniu magazynu Hacker. Ona nie jest problemem. Ten sam żądany adres URL jest obliczany natychmiastowo, po czym dostęp do niego jest blokowany na poziomie serwera WWW. A to tylko jedno z rozwiązań.

Przeciążenie kanałów komunikacyjnych do serwera (wyjście)

Poziom trudności tego ataku jest mniej więcej taki sam jak poprzedniego. Atakujący określa najcięższą stronę w witrynie, a kontrolowany przez niego botnet zaczyna masowo żądać jej dostępu.

Wyobraź sobie, że niewidzialna dla nas część Kubusia Puchatka jest nieskończenie duża
W tym przypadku również bardzo łatwo jest zrozumieć, co dokładnie blokuje kanał wychodzący i uniemożliwia dostęp do tej strony. Podobne zapytania można łatwo zobaczyć za pomocą specjalne narzędzia, które umożliwiają podgląd interfejsu sieciowego i analizę ruchu. Następnie dla Firewalla pisana jest reguła blokująca takie żądania. Wszystko to odbywa się regularnie, automatycznie i tak błyskawicznie, że Większość użytkowników nawet nie jest świadoma żadnego ataku.

Mit numer trzy: "A Rzadko jednak docierają do mojego hostingu i zawsze je zauważam.” Tak naprawdę 99,9% ataków nie widać ani nie czuć. Ale codzienna walka z nimi - To codzienna, rutynowa praca firmy hostingowej. Taka jest nasza rzeczywistość, w której atak jest tani, konkurencja nie wchodzi w grę i nie każdy wykazuje się rozeznaniem w metodach walki o miejsce pod słońcem.

Przeciążenie kanałów komunikacyjnych do serwera (wejście)

To już zadanie dla tych, którzy czytają magazyn Hacker dłużej niż jeden dzień.

Zdjęcie ze strony internetowej radia Ekho Moskvy. Nie znaleźliśmy niczego bardziej wizualnego, co odzwierciedlałoby DDoS z przeciążeniem kanałów wejściowych.
Aby zapełnić kanał ruchem przychodzącym do pełna, należy posiadać botnet, którego moc pozwala wygenerować wymaganą ilość ruchu. Ale może istnieje sposób, aby wysyłać niewielki ruch i odbierać go dużo?

Jest i nie tylko jeden. Istnieje wiele opcji ulepszenia ataku, ale obecnie jedną z najpopularniejszych jest atak poprzez publiczne serwery DNS. Eksperci nazywają tę metodę amplifikacji Wzmocnienie DNS(jeśli ktoś woli fachowe określenia). Mówiąc najprościej, wyobraźmy sobie lawinę: wystarczy niewielki wysiłek, aby ją rozbić, ale wystarczą nieludzkie zasoby, aby ją zatrzymać.

Ty i ja to wiemy publiczny serwer DNS na żądanie udostępnia każdemu informacje na temat dowolnej nazwy domeny. Na przykład pytamy taki serwer: opowiedz mi o domenie sprinthost.ru. I bez wahania opowiada nam wszystko, co wie.

Zapytanie do serwera DNS jest bardzo prostą operacją. Kontakt z nim prawie nic nie kosztuje, prośba będzie mikroskopijna. Na przykład tak:

Pozostaje tylko wybrać Nazwa domeny, informacje o których utworzą imponujący pakiet danych. Zatem oryginalne 35 bajtów jednym ruchem nadgarstka zamienia się w prawie 3700. Jest to wzrost ponad 10-krotny.

Jak jednak zapewnić, że odpowiedź zostanie wysłana na właściwy adres IP? Jak sfałszować źródło IP żądania, aby serwer DNS wysłał swoje odpowiedzi w stronę ofiary, która nie żądała żadnych danych?

Faktem jest, że serwery DNS działają zgodnie z Protokół komunikacyjny UDP, co w ogóle nie wymaga potwierdzenia źródła żądania. Sfałszowanie wychodzącego adresu IP w tym przypadku nie jest dla dawcy zbyt trudne. Dlatego właśnie ten rodzaj ataku jest obecnie tak popularny.

Najważniejsze jest to, że do przeprowadzenia takiego ataku wystarczy bardzo mały botnet. Oraz kilka odmiennych publicznych DNS, w których nie będzie widać nic dziwnego w tym, że różni użytkownicy od czasu do czasu żądają danych od tego samego hosta. I dopiero wtedy cały ten ruch połączy się w jeden strumień i mocno przybije jedną „rurę”.

Dostawca nie może wiedzieć, jaką pojemność mają kanały atakującego. A jeśli nie obliczy poprawnie siły swojego ataku i nie zablokuje od razu kanału do serwera w 100%, atak można dość szybko i łatwo odeprzeć. Korzystanie z narzędzi takich jak Zrzut TCPŁatwo jest dowiedzieć się, że ruch przychodzący pochodzi z DNS i na poziomie zapory sieciowej zablokować jego akceptowanie. Opcja ta – odmowa przyjęcia ruchu z DNS – wiąże się z pewną niedogodnością dla wszystkich, jednak zarówno serwery, jak i znajdujące się na nich witryny będą nadal działać pomyślnie.

To tylko jedna z wielu możliwości wzmocnienia ataku. Istnieje wiele innych rodzajów ataków, o których porozmawiamy innym razem. Na razie chciałbym podsumować, że wszystko powyższe dotyczy ataku, którego siła nie przekracza szerokości kanału do serwera.

Jeśli atak jest potężny

Jeżeli siła ataku przekracza pojemność kanału prowadzącego do serwera, dzieje się co następuje. Kanał internetowy prowadzący do serwera jest natychmiast zatkany, następnie do witryny hostingowej, do jej dostawcy Internetu, do dostawcy wyższego szczebla i tak dalej i dalej w górę (na dłuższą metę – do najbardziej absurdalnych granic), aż do siła ataku jest wystarczająca.

I wtedy to się stanie globalnego problemu dla wszystkich. I w skrócie z tym mieliśmy do czynienia 20 listopada 2013 roku. A kiedy nastąpią wstrząsy na dużą skalę, czas włączyć specjalną magię!

Tak wygląda specjalna magia, za pomocą której można określić serwer, na który kierowany jest ruch, i zablokować jego IP na poziomie dostawcy Internetu. Aby przestał otrzymywać jakiekolwiek żądania do tego adresu IP za pośrednictwem swoich kanałów komunikacyjnych ze światem zewnętrznym (linkami w górę). Dla miłośników terminów: eksperci nazywają tę procedurę "czarna dziura", z angielskiego blackhole.

W tym przypadku zaatakowany serwer posiadający 500-1500 kont pozostaje bez swojego adresu IP. Przydzielana jest dla niego nowa podsieć adresów IP, w której konta klientów są losowo równomiernie rozłożone. Następnie eksperci czekają, aż atak się powtórzy. To prawie zawsze się powtarza.

A gdy się to powtórzy, zaatakowany adres IP nie ma już 500-1000 kont, a jedynie kilkanaście lub dwa.

Krąg podejrzanych się zawęża. Te 10–20 kont jest ponownie rozdzielanych na różne adresy IP. I znowu inżynierowie wpadli w zasadzkę, czekając na powtórzenie ataku. Raz po raz rozdzielają podejrzane konta na różne adresy IP i w ten sposób stopniowo zbliżając się do celu, ustalają cel ataku. Wszystkie pozostałe konta w tym momencie wracają do normalnego działania na poprzednim adresie IP.

Jak widać, nie jest to procedura natychmiastowa, jej wdrożenie wymaga czasu.

Mit numer cztery:„Kiedy dochodzi do ataku na dużą skalę, mój gospodarz nie ma planu działania. On po prostu czeka z zamkniętymi oczami, aż bombardowanie się skończy, i odpowiada na moje listy w ten sam sposób”.To nieprawda: w przypadku ataku dostawca usług hostingowych działa zgodnie z planem, aby go zlokalizować i jak najszybciej wyeliminować skutki. A listy tego samego typu pozwalają przekazać istotę tego, co się dzieje, a jednocześnie oszczędzają zasoby niezbędne do jak najszybszego poradzenia sobie z sytuacją awaryjną.

Czy jest światełko w tunelu?

Teraz widzimy, że aktywność DDoS stale rośnie. Zlecenie ataku stało się bardzo dostępne i skandalicznie tanie. Aby uniknąć oskarżeń o propagandę, nie będzie żadnych linków dowodowych. Ale uwierz nam na słowo, to prawda.

Mit numer pięć: „Atak DDoS jest bardzo kosztownym przedsięwzięciem i na jego zlecenie mogą pozwolić sobie tylko potentaci biznesowi. To w każdym razie machinacje tajnych służb!” W rzeczywistości takie wydarzenia stały się niezwykle dostępne.

Dlatego nie można oczekiwać, że szkodliwa aktywność sama zniknie. Raczej będzie się tylko nasilać. Pozostaje tylko wykuć i naostrzyć broń. Tym właśnie się zajmujemy, ulepszając infrastrukturę sieciową.

Prawna strona problemu

Jest to bardzo niepopularny aspekt dyskusji o atakach DDoS, ponieważ rzadko słyszymy o przypadkach złapania i ukarania sprawców. Należy jednak pamiętać: Atak DDoS jest przestępstwem. W większości krajów świata, w tym w Federacji Rosyjskiej.

Mit numer sześć: « Teraz, gdy wiem już wystarczająco dużo o DDoS, zamówię imprezę dla konkurencji - i nic mi się przez to nie stanie!” Możliwe, że tak się stanie. A jeśli tak się stanie, nie będzie to zbyt wiele.

• Początek historii DDoS system płatności Wspierać
• Ekscytujące zakończenie

Ogólnie rzecz biorąc, nie zalecamy nikomu angażowania się w okrutne praktyki DDoS, aby nie narazić się na gniew sprawiedliwości i nie zrujnować swojej karmy. A my, ze względu na specyfikę naszej działalności i duże zainteresowanie badawcze, nadal zgłębiamy ten problem, stoimy na straży i doskonalimy struktury obronne.

PS:nie mamy dość miłych słów, żeby wyrazić naszą wdzięczność, więc po prostu mówimy"Dziękuję!" naszym cierpliwym klientom, którzy gorąco nas wspierali w trudnym dniu 20 listopada 2013 roku. Powiedziałeś wiele zachęcających słów w ramach naszego wsparcia w